MS Defender for Office 365

14 min readNov 25, 2024

Microsoft Defender for Office 365 是一個SaaS電子郵件過濾服務，可透過提供零時差(zero-day)保護來協助保護組織免受未知惡意軟體和病毒的侵害。它包括即時保護組織免受有害連結侵害的功能。 Microsoft Defender for Office 365 具有報表和 URL 追蹤功能，可讓管理員深入了解組織中發生的攻擊類型。

Office 365 的 Microsoft Defender 提供以下效益：

Industry-leading Protection。 Microsoft Defender for Office 365 僅每天使用電子郵件中的 6.5 兆個訊號來快速準確地偵測威脅並保護使用者免受網路釣魚和零時差惡意軟體等複雜攻擊。
Actionable Insights。透過關聯來自廣泛資料的訊號，向安全管理員提供可操作的見解，以協助識別、確定優先順序並提供有關如何解決潛在問題的建議。這些建議包括使管理員能夠主動保護其組織的補救措施。
Automated response。違規後的調查和補救可能會很困難、昂貴且耗時。大多數組織缺乏快速調查和有效補救所需的專業知識和資源。 Microsoft Defender for Office 365 提供進階自動回應選項，安全性操作可以使用這些選項節省大量時間、金錢和資源。
Training & awareness。網路釣魚等社交工程攻擊通常看起來合法，但對於忙碌的使用者來說很難發現。教育end users在發生攻擊時做出正確的決策至關重要。產品內通知可協助使用者了解執行操作（例如點擊可疑連結）的風險。攻擊模擬器等功能可協助管理員啟動真實的威脅模擬，以訓練使用者提高意識和警覺性。使用者報告功能使用戶能夠將可疑內容通知 Microsoft。

以下是使用 Microsoft Defender for Office 365 進行郵件保護的主要方法：

在 Microsoft Defender for Office 365 filtering-only場景中，Microsoft Defender for Office 365 為地端 Exchange Server 環境或任何其他地端 SMTP 電子郵件解決方案提供基於雲端的電子郵件保護。
可啟用 Microsoft Defender for Office 365 來保護 Exchange Online 雲端託管信箱。
在混合部署中，當混合使用地機信箱和雲端信箱以及用於inbound email filtering的 Exchange Online Protection 時，可以將 Microsoft Defender for Office 365 設定為保護訊息環境並控制郵件路由。

自動化、調查與修復

當調查潛在的網路攻擊時，時間至關重要。越早識別和減輕威脅，組織就會入侵的機率越低。AIR(Automated investigation and response)功能包括一組security playbooks，這些playbook可以自動啟動（例如在觸發告警時），也可以手動啟動（例如從資源管理器中的視圖）。 AIR 可以節省安全營運團隊的時間和精力，有效且有效率地緩解威脅。

讓我們從 Office 365 產生的原生告警開始。現今，這些告警通常是手動調查的 — — 這個過程就是AIR 發揮作用的地方。以下圖示中，告警呈現 Microsoft Defender for Office 365 透過安全連結 URL 引爆（在右側的「詳細資料」下）偵測到最近被武器化的 URL。

Microsoft Defender for Office 365 根據此告警觸發了 AIR playbook，並在自動調查完成處理了該告警。

點擊告警中的調查深層鏈接，我們將進入 Office 365 威脅情資摘要調查圖。該圖顯示了所有不同的實體 — — 電子郵件、使用者（及其活動）和設備，這些實體已作為觸發警報的一部分自動調查。

具體來說：

多封電子郵件 (23) 被確定為與本調查相關（基於寄件者、IP、網域、URL 和其他電子郵件屬性），其中一部分 (6) 被確定為惡意電子郵件，由內部使用者發送該組織本身就是受損使用者的強大指標。
此調查的使用者軸也發現了一名使用者（傑夫）在可疑登入和大量文件下載方面的異常情況。
針對本次調查中發現的受感染用戶、用戶異常和受感染設備威脅，Microsoft Defender for Office 365 也採取了一些自動補救措施，例如封鎖URL、刪除與此URL 相關的郵箱中的任何電子郵件以及觸發Microsoft Entra 工作流程受感染使用者的密碼重設和 MFA。根據政策採取自動操作或透過手動批准推動修復的能力是 AIR 的核心要素。

Microsoft Defender for Office 365 中的 AIR 包含某些修復操作。每當自動調查正在運行或完成時，通常會看到一項或多項需要安全維運團隊批准才能繼續的補救措施。此類補救措施包括：

Soft delete email messages or clusters
Block URL (time-of-click)
Turn off external mail forwarding
Turn off delegation

這些操作可以在所選調查下的「Actions」頁標中找到，如下圖示所示：

配置、保護與偵測

透過 Microsoft Defender for Office 365，組織的安全團隊可以透過在 Microsoft Defender 網站中定義政策來設定保護。為組織定義的政策決定了預先定義威脅的行為和保護等級。政策選擇是可以靈活的。例如，組織的安全團隊可以在使用者、組織、收件者和網域層級設定細緻度的威脅防護。定期檢視政策非常重要，因為每天都會出現新的威脅和挑戰。

安全性附件(Safe Attachments)

Microsoft Defender for Office 365 安全性附件可防禦未知惡意軟體和病毒，並提供零時差保護來保護訊息系統。所有沒有已知病毒/惡意軟體簽章的郵件和附件都會路由到一個特殊環境，其中 Microsoft Defender for Office 365 使用各種機器學習和分析技術來偵測惡意意圖。如果未偵測到可疑活動，則會釋放郵件以傳送到郵箱。

建立安全性附件政策時，可以選擇以下選項：

Under the Action for unknown malware in Attachments:

Off. 不會掃描附件是否有惡意軟體。
Monitor. 偵測到惡意軟體後繼續發送訊息並追蹤掃描結果。
Block. 封鎖目前和未來帶有偵測到的惡意軟體的電子郵件和附件。
Replace. 封鎖含有偵測到的惡意軟體的附件，但繼續將郵件內容傳遞給使用者。
Dynamic delivery. 立即傳送不含附件的郵件內容，並在掃描後如果發現附件安全則重新附加附件。

在"Redirect attachment on detection"下，我們可以啟用以下一項或兩項設定:

如果想要將被封鎖、取代或監控的附件轉發給組織中的資安人員進行進一步調查，請選取" Enable redirect"核取方塊並輸入電子郵件地址。
如果掃描過程逾時，也可以透過勾選「Apply the above selection if malware scanning for attachments times out or error occurs」核取方塊來轉送這些附件。

配置這些設定後，可以按特定網域、使用者名稱或群組成員資格（或組合）使用該政策來定位使用者。也可以透過使用者、群組或網域為此定位配置例外情況。

有時，允許郵件從內部寄件者（例如發送已知安全且來自受信任來源的附件的scan to mail）立即傳送是很有用的。但不建議跳過對所有內部訊息的過濾，因為受感染的帳號可能會發送惡意內容。我們可以在 Exchange 管理中心 (EAC) 中建立傳輸規則（也稱為mail flow rule）以繞過安全附件掃描。作為郵件流規則的一部分，修改郵件屬性以設定郵件標頭，並將 X-MS-Exchange-Organization-SkipSafeAttachmentProcessing 作為標頭名稱，以繞過安全性附件政策。

安全性連結(Safe Links)

Microsoft Defender for Office 365 安全性連結功能可主動保護使用者免受訊息或 Office 文件中的惡意 URL 的侵害。每次他們點選該連結時，保護功能都會存在，因為惡意連結會被動態阻止，而良好的連結可以存取。

安全性連結適用於以下應用程式中的 URL：

Microsoft 365 apps for enterprise on Windows or Mac
Office for the web (Word for the web, Excel for the web, PowerPoint for the web, and OneNote for the web)
Word, Excel, PowerPoint, and Visio on Windows, as well as Office apps on iOS and Android devices
Microsoft Teams channels and chats

安全連結與cleint和位置無關，因為end users使用的位置和設備不會影響點選連結的行為。此外，安全性連結可以設定為支援使用者使用其 Office 365 憑證登入的 Office 2016 client中的連結。

安全性連結包括控制全域設定的預設策略，例如要阻止哪些連結以及要封裝哪些連結。我們無法刪除此政策，但可以根據需要在環境中進行編輯，例如封鎖特定於組織環境的惡意連結。建議將 Microsoft Defender for Office 365 安全性連結原則套用到組織中的所有使用者。

以下選項可以配置為安全性連結政策的一部分：

對於”Select the action for unknown potentially malicious URLs in messages” 的操作，選擇開啟將允許rewrite和檢查 URL。
使用“Safe Attachments to scan downloadable content”將啟用 URL 偵測來掃描網站上託管的文件。例如，如果電子郵件包含 https://jasonkao.com/maliciousfile.pdf 等鏈接，則 .pdf 文件將在單獨的虛擬機管理程式環境中打開，如果發現該文件是惡意的，使用者將看到警告頁面（如果他們選擇連結）。
"Do not track when users click safe links"將提供與組織內透過電子郵件傳送連結相同等級的保護。
當啟用""Do not track when users click safe links或停用"storing Safe Links select data for clicked URLs"。 Microsoft 建議不選擇此設置，這樣可以追蹤點擊的 URL。
如果發現目標網站是惡意的，則不允許使用者點擊原始 URL 將封鎖使用者繼續造訪目標網站。
如果使用者經常收到來自已知安全網站的鏈接，可以在「Do not rewrite the following URL」下輸入這些 URL。例如，如果使用者經常收到來自合作夥伴的電子郵件，其中包含指向外部組織網站的 URL，則可以將 URL 新增至合作夥伴的網站。

與繞過安全性附件類似，還可以建立傳輸規則來繞過安全性連結。用於繞過安全性連結的郵件標頭是 X-MS-Exchange-Organization-SkipSafeLinksProcessing。

反網路釣魚政策

Microsoft Defender for Office 365 反網路釣魚功能會檢查傳入郵件是否有跡象顯示郵件可能是網路釣魚嘗試。當使用者受到 Microsoft Defender for Office 365 政策（安全附件、安全連結或反網路釣魚）保護時，傳入的訊息將由多個分析訊息的機器學習模型進行評估。根據配置的策略採取適當的動作。

沒有預設的 Microsoft Defender for Office 365 反網路釣魚政策。當我們建立一個政策時，最初只配置了定位。模擬設定在 Microsoft Defender for Office 365 反網路釣魚政策中發揮重要作用。模擬是指郵件中的寄件者或寄件者的電子郵件網域看起來與真實寄件者或網域相似：

An example impersonation of the domain jasonkao.com is jasonkao.com.
An example impersonation of the user michelle@jasonkao.com is michele@jasonkao.com.

否則，模擬的網域可能會被視為合法（註冊網域、配置的電子郵件驗證記錄等），除非其目的是欺騙收件者。在Microsoft Defender for Office 365 反網路釣魚策略中，可以設定一組要保護的使用者、要保護的網域、受保護使用者的操作（例如重定向郵件或傳送到垃圾資料夾）、安全性提示、受信任的寄件者和網域等等。這些設定是 Microsoft Defender for Office 365 反網路釣魚所獨有的。 Microsoft Defender for Office 365 反網路釣魚策略中也包含反詐欺設定。

模擬攻擊

Microsoft Defender for Office 365 包含威脅調查和回應工具，讓組織的資安團隊能夠預測、了解並防止惡意攻擊。

Threat trackers提供有關當前網路安全問題的最新情報。例如，可以查看有關最新惡意軟體的資訊，並在其對組織構成實際威脅之前採取對策。可用的追蹤器包括Noteworthy trackers, Trending trackers, Tracked queries與 Saved queries。
Threat Explorer（或即時偵測）（也稱為資源管理器）是一種即時報告，可識別和分析最近的威脅。可以將Explorer配置為顯示自訂時間段的資料。
Attack Simulator可在組織中運行真實的攻擊場景來識別漏洞。可以模擬當前類型的攻擊，包括魚叉式網路釣魚、憑證收集和附件攻擊以及password spray和暴力密碼攻擊。

Threat Explorer 能夠開始深入研究組織的精細資料。在Threat Explorer中，會看到隨著時間的推移影響我們組織的各種威脅系列。此外，還會看到組織內的主要威脅和主要目標使用者。

也可以變更圖表的類別。在這種情況下，將顯示所有電子郵件，可以根據許多選項過濾威脅瀏覽器圖表，包括寄件者地址、收件人，甚至用於阻止威脅的偵測技術。偵測技術可辨識電子郵件是否被 Microsoft Defender for Cloud 的沙箱或透過 Exchange Online Protection (EOP) filter封鎖。此圖表會進行調整以反映正在檢查的類別。