SlideShare a Scribd company logo

D4_DFO_Configurare Microsoft Defender for Office 365 & Best Practice_Public.pdf

A
Andrea524834

Configure Microsoft Defender for Office 365 & Best Practices

Presentations & Public Speaking
1 of 79
Download to read offline
Configurare Microsoft Defender for Office 365 e Best Practice Andrea Gallazzi IQUAD
Thanks to our Sponsor
About Me • Microsoft 365 Certified: Enterprise Administrator Expert • Microsoft 365 Certified: Security Administrator Associate • MCITP: Enterprise Messaging Administrator • HONOR Community member: WindowServer.it • Consultant and Trainer • Founder & CEO/CTO at IQUAD • EX Microsoft MVP Exchange Server • LinkedIn: https://www.linkedin.com/in/andreagx/ • Blog: https://andreagx.blogspot.com Andrea Gallazzi
Agenda • Email Security (DKIM, DMARC, ARC, SPF) • Exchange Online Protection • Defender for Office 365 • Edge protection layer • Sender intelligence • Content filtering layer • Post-delivery protection layer • Threat investigation and response • Configuration Analyzer • Demo
E-mail security stuff
• Il protocollo che definisce la comunicazione della posta elettronica è SMTP • Originariamente rilasciato come standard Internet nel 1982, RFC 821 descriveva i meccanismi che avrebbero rimodellato la comunicazione come la conosciamo SIMPLE MAIL TRANSFER PROTOCOL
• Spoofing è una frode in cui un mittente sconosciuto finge di essere un mittente conosciuto, considerato attendibile dal destinatario. Diverse tipologie: E-mail, DNS, IP e ARP spoofing • SPF (Sender Policy Framework) consente di proteggere il dominio dallo spoofing e impedisce che i messaggi in uscita vengano contrassegnati come spam. Grazie a SPF è possibile specificare i server di posta autorizzati a inviare email per conto del dominio MAIL AUTHENTICATION - SPOOFING, SPF, DKIM, DMARC, ARC
• DKIM, che sta per DomainKeys Identified Mail, utilizza la crittografia a chiave pubblica per controllare la posta elettronica e per consentire al destinatario di verificare se le intestazioni e il contenuto delle email sono stati modificati durante il transito • DKIM aggiunge una firma criptata all'intestazione di tutti i messaggi in uscita. I server email che ricevono messaggi con firma utilizzano DKIM per decriptare l'intestazione del messaggio e per verificare che non abbia subito modifiche dopo l'invio, DKIM utilizza una coppia di chiavi, una privata e una pubblica, per verificare i messaggi (Threat management > Policy > DKIM) MAIL AUTHENTICATION - SPOOFING, SPF, DKIM, DMARC, ARC
• DMARC indica ai server di ricezione della posta che cosa fare quando arriva un messaggio che sembra provenire dalla tua azienda, ma che non supera i controlli di autenticazione o non soddisfa i requisiti di autenticazione della policy di DMARC. I messaggi non autenticati potrebbero aver rubato l'identità della tua organizzazione o provenire da server non autorizzati. DMARC viene sempre utilizzato con DKIM e SPF. Non serve fare nulla per configurare DMARC per la posta ricevuta in Microsoft 365. Sarà necessario configurarlo per la posta in uscita. • Valimail Monitor free per i clienti M365. Fa parte del MISA. According to Gartner®, DMARC is one of the top 1o security projects _dmarc.domain TTL IN TXT "v=DMARC1; p=policy; pct=100; rua=mailto:dmarc_agg@vali.email" p= {none, quarantine, reject} MAIL AUTHENTICATION - SPOOFING, SPF, DKIM, DMARC, ARC
VALIMAIL | MONITOR
MAIL AUTHENTICATION – LOGICAL FLOW
• Backscatter (detto anche outscatter o blowback) indica la ricezione di messaggi di mancata consegna, solitamente aventi origine dall'invio di spam da parte di altri. Prassi comune tra gli spammer è infatti quella di indicare indirizzi realmente esistenti • ARC (Authenticated Received Chain) è uno standard creato nel 2016 per aiutare a migliorare il modo in cui i risultati DKIM e SPF vengono passati da un server di posta all'altro durante l'inoltro. Quando i messaggi vengono passati a intermediari come mailing list o inoltro di account e-mail, DKIM e SPF possono rompersi. ARC mira a risolvere questo problema MAIL AUTHENTICATION - ARC
EOP Exchange Online Protection
EOP - OVERVIEW
Microsoft Defender for Office 365 (MDO) formerly known as Office Advanced Threat Protection (ATP)
• Microsoft Defender per Office 365 (MDO), precedentemente noto come Office Advanced Threat Protection (ATP), è un insieme di funzionalità progettate per rispondere agli exploit zero-day o a nuovi metodi creati dagli aggressori per aggirare e ingannare i sistemi di protezione di base come EOP • Nell'attuale panorama, tutti gli amministratori dovrebbero considerare l’acquisto «obbligatorio» di un servizio di protezione zero-day malware e di protezione dei link (safe link) che operi su e-mail di origine sia interna che esterna • Microsoft Defender per Office 365 è incluso in Microsoft 365 E5 e Office 365 E5 ed è disponibile anche come componente aggiuntivo. Può essere attivato in Evaluation Mode COS’È MICROSOFT DEFENDER PER OFFICE 365 (MDO)
• Threat protection policies: oltre ad un insieme di criteri predefiniti, è possibile definire criteri di protezione dalle minacce per impostare il livello di protezione appropriato per il tipo di organizzazione/business • Reports: consente di visualizzare report in tempo reale per monitorare Defender per Office 365 • Threat investigation and response capabilities: usa funzionalità all'avanguardia (AI, ML) per analizzare, comprendere, simulare e prevenire le minacce • Automated investigation and response capabilities: consente di risparmiare tempo e fatica nell’investigation & mitigation delle minacce. Le funzionalità di risposta automatica agli incidenti includono processi di indagine automatizzati in risposta alle minacce note COSA INCLUDE MICROSOFT DEFENDER PER OFFICE 365?
Piano 1 • Safe Attachments • Safe Links • Safe Attachments for SharePoint, OneDrive, and Teams • Impersonation protection in anti- phishing policies • Real-time detections PIANI DI MDO Piano 2 • Threat trackers • Threat explorer • Automated investigation and response • Attack simulation and training • Campaign Views
• Microsoft Defender per Office 365 Piano 2 è incluso in Office 365 E5, Office 365 A5 e Microsoft 365 E5 • Microsoft Defender per Office 365 Piano 1 è incluso in Microsoft 365 Business Premium • Microsoft Defender per Office 365 Piano 1 e Defender per Office 365 Piano 2 sono disponibili come componenti aggiuntivi per determinati abbonamenti PIANI DI MDO
LO STACK DI PROTEZIONE DI MICROSOFT DEFENDER PER OFFICE 365
The edge protection layer
• Network throttling: protegge dagli attacchi DoS limitando il numero di messaggi che è possibile inviare/ricevere. Ric: 3600 /h, sngl usr, 33% r.m. | Send: Rcpt 10000/d, 30 e-mail/min • IP reputation and throttling: bloccano i messaggi inviati da indirizzi IP di connessione non validi (noti) • Domain reputation: blocca tutti i messaggi inviati da un dominio non valido (noto allo stack). Reputazione determinata dagli ISP PHASE 1 - EDGE PROTECTION
• Directory-based edge blocking: DBEB blocca i tentativi di raccogliere le informazioni dalla directory (GAL) di un'organizzazione tramite SMTP. • Backscatter detection: impedisce a un'organizzazione di essere attaccata tramite rapporti di mancato recapito (NDR) non validi • Enhanced Filtering for Connectors: (noto anche come skip listing) utilizza la vera origine dei messaggi e-mail, anche quando il traffico passa attraverso un altro dispositivo prima che raggiunga Office 365 PHASE 1 - EDGE PROTECTION
• Spoof intelligence: blocca tutti i messaggi inviati da un dominio non valido noto. I messaggi oggetto di spoofing sembrano provenire da una persona o una posizione diversa da quella reale (SpoofMailReportV2) • Intra-org spoof intelligence: (Self to Self) L'intelligence di spoofing tra organizzazioni rileva e blocca i tentativi di spoofing da un dominio all'interno dell'organizzazione (compauth) Authentication-Results: compauth=<fail | pass | softpass | none> reason=<yyy> SFTY è il livello di sicurezza del messaggio. 9 indica il phishing, .22 indica lo spoofing tra domini • Cross-domain spoof intelligence: L'intelligence di spoofing tra domini rileva e blocca i tentativi di spoofing da un dominio esterno all'organizzazione Da: tony@stark.com A: piru@piru.com PHASE 2 - SENDER INTELLIGENCE
• Account compromise detection: Gli avvisi di rilevamento della compromissione dell'account vengono generati quando un account ha un comportamento strano coerente con la compromissione PHASE 2 - SENDER INTELLIGENCE • Email Authentication: L'autenticazione delle e-mail ha lo scopo di garantire che i mittenti siano autenticati e autorizzati. Per evitare lo spoofing, è «consigliabile» utilizzare i metodi di autenticazione SPF, DKIM, DMARC e ARC
• Mailbox intelligence: Consente alla policy di utilizzare Microsoft Graph per analizzare il mail flow dell'utente. Ciò aiuta a garantire che le persone con cui si è comunicato in precedenza non vengano trattate come mittenti falsificati (spoofed senders) • Mailbox intelligence for impersonation protection: L'intelligence delle mailbox per la protezione dall’imitazione consente di configurare azioni specifiche da eseguire sui messaggi se la mailbox intelligence rileva un utente imitato PHASE 2 - SENDER INTELLIGENCE
• Bulk e-mail filtering: L’invio massivo di e-mail si potrebbe descrivere come messaggi potenzialmente indesiderati, spesso sotto forma di newsletter che vengono inviate contemporaneamente a un vasto numero di destinatari (da qui il riferimento a massa). La differenza tra email di massa e spam è relativamente sottile. PHASE 2 - SENDER INTELLIGENCE Le informazioni BCL sono incapsulate nell'intestazione X-Microsoft-Antispam in un campo chiamato "BCL". Il campo può avere i valori descritti nella Tabella BCL Value Meaning 0 The message is not from a bulk email sender. 1,2,3 The message is from a known bulk sender but is unlikely to generate many complaints. 4,5,6,7 The message is from a known bulk sender and can possibly generate many complaints. 8,9 The message is from a known bulk sender and is likely to generate a high number of complaints.
• User impersonation: La configurazione di “imitazione/rappresentazione” dell'utente consente all'organizzazione di elencare i propri top executive come CEO, CFO, Direttori, ecc. Tutte le e-mail che arrivano con lo stesso nome visualizzato (imitato) e che sono indirizzati agli utenti verranno messe in quarantena / consegnate alla posta indesiderata secondo la configurazione (Max 350 usr) • Domain impersonation: La configurazione di imitazione del dominio protegge dalle e-mail provenienti da domini typosquatted simili ai tuoi. Per es. il dominio della tua organizzazione è Contoso.com e gli aggressori possono inviare e-mail dopo aver registrato domini dall'aspetto simile come Cont0so.com, Contoso-inc.com ecc PHASE 2 - SENDER INTELLIGENCE
• 1 - Standard: questo è il valore predefinito. La gravità dell'azione intrapresa sul messaggio dipende dal grado di fiducia che il messaggio sia phishing (fiducia bassa, media, alta o molto alta) • 2 - Aggressivo: i messaggi identificati come phishing con un elevato grado di fiducia vengono considerati come se fossero identificati con un livello di fiducia molto elevato • 3 - Più aggressivo: i messaggi identificati come phishing con un grado di fiducia medio o elevato vengono considerati come se fossero identificati con un livello di fiducia molto elevato • 4 - Massima aggressività: i messaggi identificati come phishing con un livello di fiducia basso, medio o alto vengono considerati come se fossero identificati con un livello di fiducia molto elevato SOGLIE DI PHISHING AVANZATE
The content filtering layer
• Mail flow rules (also known as transport rules): valutano tutti i messaggi che attraversano l'organizzazione in base alle condizioni, alle eccezioni e alle azioni delle regole abilitate • Microsoft Defender Antivirus: Microsoft Defender e altri due motori antivirus di terze parti vengono utilizzati per rilevare il malware • Common attachment filtering: blocca allegati specifici Policies & rules > Threat policies > Anti-malware PHASE 3 - CONTENT FILTERING
• Attachment reputation blocking: Il blocco della reputazione degli allegati blocca i file dannosi noti in tutto Office 365 PHASE 3 - CONTENT FILTERING
• URL reputation blocking: blocca qualsiasi messaggio con un URL dannoso noto. Microsoft determina la reputazione tramite sandboxing degli URL, nonché dai feed di terze parti. • Heuristic clustering: Può determinare se un file è sospetto in base all'euristica di recapito. Quando viene trovato un allegato sospetto, l'intera campagna viene messa in pausa e il file viene inserito nella sandbox. Se il file risulta dannoso, l'intera campagna viene bloccata. • Machine learning models: I modelli di machine learning agiscono sull'intestazione, sul contenuto del corpo e sugli URL di un messaggio per rilevare i tentativi di phishing PHASE 3 - CONTENT FILTERING
• Content heuristics: L'euristica del contenuto può rilevare messaggi sospetti in base alla struttura e alla frequenza delle parole all'interno del corpo del messaggio, utilizzando modelli di machine learning • Safe Attachments: consente di creare sandbox per ogni allegato (per i piani con Defender for Office 365), usando l'analisi dinamica per rilevare minacce sconosciute che non hanno una firma AV nota (attacco zero day) Safe Attachments offre un ulteriore livello di protezione per gli allegati che sono già stati analizzati dalla protezione antimalware in EOP PHASE 3 - CONTENT FILTERING
• Linked content detonation: La detonazione del contenuto considera ogni URL che si collega a un file «come allegato» in un messaggio e-mail, creando un sandboxing del file, in modo asincrono, al momento del recapito PHASE 3 - CONTENT FILTERING • URL Detonation: si verifica quando la tecnologia anti- phishing a monte rileva un messaggio o un URL sospetto. La detonazione dell'URL esegue il sandboxing degli URL nel messaggio al momento del recapito How Defender for Office 365 classifies detonated attachments and URLs
The post-delivery protection layer
• Safe Links: Collegamenti sicuri è la protezione time-of-click di Defender per Office 365. Quando un URL viene selezionato, viene controllato rispetto alla recente «reputazione» prima di reindirizzare al sito di destinazione • Campaign Views: Dal portale Microsoft 365 Defender identifica e classifica gli attacchi di phishing. La sezione campagne consente di visualizzare il quadro generale di un attacco utilizzando le grandi quantità di dati anti-phishing, anti- spam e antimalware nell'intero servizio (E5/P2) PHASE 4 - POST-DELIVERY PROTECTION
Campaign VIEWS
• Zero-hour auto-purge (ZAP) for phishing: rileva e neutralizza retroattivamente i messaggi di phishing dannosi già recapitati nelle cassette postali di Exchange Online. ZAP non funziona in Hybrid con le mailbox on-premises • ZAP for malware: ZAP per i malware rileva e neutralizza retroattivamente i messaggi malware dannosi già recapitati nelle mailbox di Exchange Online ZAP per malware è abilitato per impostazione predefinita nelle policy antimalware • ZAP for spam: rileva e neutralizza retroattivamente i messaggi di posta indesiderata (non letti) dannosi già recapitati nelle cassette postali di Exchange Online PHASE 4 - POST-DELIVERY PROTECTION
• Report Message add-in and Report phishing add-in: consente agli utenti di segnalare facilmente falsi positivi (posta elettronica legittima contrassegnata come illegittima) o falsi negativi (posta elettronica illegittima consentita) a Microsoft per ulteriori analisi PHASE 4 - POST-DELIVERY PROTECTION • Safe Links for Office apps: offre la stessa protezione time-of-click di safe links, in modo nativo, all'interno di app Office supportate, come Word, PowerPoint e Excel
• Protection for OneDrive, SharePoint, and Teams: offre la stessa protezione dai malware di Safe Attachments, in modo nativo, all'interno di OneDrive, SharePoint e Microsoft Teams • Linked content detonation: Quando viene selezionato un URL che punta a un file dopo il recapito, la detonazione del contenuto visualizza una pagina di avviso fino al completamento del sandboxing del file e l'URL risulta sicuro PHASE 4 - POST-DELIVERY PROTECTION
Threat investigation and response
Come le feature di investigation and response aiutano gli analisti e amministratori a proteggere le loro organizzazioni: • Semplificando l'identificazione, il monitoraggio e la comprensione degli attacchi informatici • Aiutando a risolvere rapidamente le minacce in Exchange Online, SharePoint Online, OneDrive for Business e Microsoft Teams • Fornendo approfondimenti e conoscenze per agevolare le «security operation» a prevenire attacchi informatici contro la propria organizzazione • Utilizzo di indagini e risposte automatizzate in Office 365 per le minacce critiche basate sulla posta elettronica THREAT INVESTIGATION AND RESPONSE (PLAN 2)
Le funzionalità di analisi e risposta delle minacce si presentano nel portale di Microsoft 365 Defender, come un insieme di strumenti e flussi di lavoro di risposta, inclusi: • Explorer • Incidents • Attack simulation training • Automated investigation and response STRUMENTI DI INDAGINE E RISPOSTA ALLE MINACCE
• Utilizzare Explorer (e i rilevamenti in tempo reale) per analizzare le minacce, vedere il volume degli attacchi nel tempo e analizzare i dati in base alle famiglie delle minacce (threat), all'infrastruttura degli aggressori e altro ancora • Explorer (noto anche come Threat Explorer) è il punto di partenza per il lavoro di indagine di qualsiasi analista o amministratore della sicurezza • Per analizzare questo report andare su Email & collaboration > Explorer dal portale di Defender for Office 365 THREAT INVESTIGATION AND RESPONSE: EXPLORER
THREAT INVESTIGATION AND RESPONSE: EXPLORER
• Utilizzare l'elenco degli Incidenti (chiamato anche Indagini) per visualizzare un elenco di incidenti di sicurezza attivi. Gli incidenti vengono utilizzati per tenere traccia di minacce come messaggi e-mail sospetti e per condurre ulteriori indagini e correzioni (investigation and remediation) THREAT INVESTIGATION AND RESPONSE: INCIDENTS
• Utilizzare la formazione sulla simulazione degli attacchi (benigni) per impostare ed eseguire attacchi informatici realistici nella tua organizzazione e identificare le persone vulnerabili prima che un vero attacco informatico colpisca la tua azienda (P2/E5) THREAT INVESTIGATION AND RESPONSE: ATTACK SIMULATION TRAINING
• Sono disponibili diversi payload per diverse tecniche • Sono disponibili le seguenti tecniche di ingegneria sociale: • Credential harvest: tentativi di raccogliere credenziali indirizzando gli utenti a un sito Web dall'aspetto noto con caselle di input per inviare un nome utente e una password • Malware attachment: aggiunge un allegato dannoso a un messaggio. Quando l'utente apre l'allegato, viene eseguito un codice arbitrario che aiuterà l'attaccante a compromettere il dispositivo del bersaglio • Link in attachment: un tipo di raccolta delle credenziali ibrido . Un utente malintenzionato inserisce un URL in un allegato di posta elettronica. L'URL all'interno dell'allegato segue la stessa tecnica della raccolta delle credenziali • Link to malware: esegue del codice arbitrario da un file ospitato su un noto servizio di condivisione fil. Il messaggio inviato all'utente conterrà un collegamento a questo file dannoso • Drive-by URL: L'URL dannoso nel messaggio porta l'utente a un sito Web dall'aspetto familiare che esegue e/o installa automaticamente il codice sul dispositivo dell'utente THREAT INVESTIGATION AND RESPONSE: ATTACK SIMULATION TRAINING
• AIR consente al team di security di operare in modo più efficiente ed efficace. Le funzionalità AIR includono processi di indagine automatizzati in risposta alle minacce note. Le azioni di correzione appropriate attendono l'approvazione, consentendo al team delle operazioni di sicurezza di rispondere alle minacce rilevate • Con AIR, il team di security può concentrarsi su attività con priorità più elevata senza perdere di vista gli avvisi importanti che vengono attivati. THREAT INVESTIGATION AND RESPONSE: AUTOMATED INVESTIGATION AND RESPONSE
Viene attivato un alert e un playbook di sicurezza avvia un'indagine automatizzata, che si traduce in risultati e azioni consigliate. Ecco il flusso complessivo di AIR, step by step 1. Un'indagine automatizzata viene avviata in uno dei seguenti modi: • Un avviso viene attivato da qualcosa di sospetto nella posta elettronica (ad esempio un messaggio, un allegato, un URL o un account utente compromesso). Viene creato un incidente e inizia un'indagine automatizzata; • Un amministratore avvia un'indagine automatizzata durante l'utilizzo di Explorer 2. Durante l'esecuzione di un'indagine automatizzata, raccoglie dati sull'e-mail in questione e sulle entità correlate a tale e-mail. Tali entità possono includere file, URL e destinatari. L'ambito dell'indagine può aumentare man mano che vengono attivati avvisi nuovi e correlati AUTOMATED INVESTIGATION AND RESPONSE (AIR) FLOW
3. Durante e dopo un'indagine automatizzata, i dettagli e i risultati sono disponibili per la visualizzazione. I risultati includono azioni consigliate che possono essere intraprese per rispondere e correggere eventuali minacce rilevate 4. Il team delle operazioni di sicurezza esamina i risultati delle indaginie i consigli e approva o rifiuta le azioni correttive 5. Quando le azioni correttive in sospeso vengono approvate (o rifiutate), l'indagine automatizzata viene completata AUTOMATED INVESTIGATION AND RESPONSE (AIR) FLOW
Configuration Analyzer
• Configuration analyzer: L'analizzatore di configurazione nel portale di Microsoft 365 Defender fornisce una posizione centralizzata per trovare e correggere le security policy in cui le impostazioni sono inferiori alle impostazioni del profilo di protezione standard e a quello di protezione Strict (rigorosa) rispetto alle policy di base preimpostate • Per utilizzare l'analizzatore di configurazione e apportare aggiornamenti ai criteri di sicurezza, è necessario essere membri dei ruoli Organization Management o Security Administrator. Per l'accesso in sola lettura all'analizzatore di configurazione, è necessario essere membri dei gruppi di ruoli Global Reader o Security Reader. CONFIGURATION ANALYZER
Nella pagina Analizzatore configurazione sono disponibili tre schede principali: • Standard recommendations: confronta i criteri di sicurezza esistenti con quelli standard. E’ possibile modificare i valori delle impostazioni per portarli allo stesso livello di Standard • Strict recommendations: confronta i criteri di sicurezza esistenti con i suggerimenti per un assetto più rigoroso. E’ possibile modificare i valori delle impostazioni per portarli allo stesso livello di Strict • Configuration drift analysis and history: controlla e tiene traccia delle modifiche dei criteri nel tempo USARE IL CONFIGURATION ANALYZER
CONFIGURATION DRIFT ANALYSIS AND HISTORY TAB IN THE CONFIGURATION ANALYZER
Demo Time
Se esaminano i dettagli dei messaggi in quarantena, si scoprirà perché EOP/DFO li considera sospetti. A ogni messaggio in quarantena viene assegnato un motivo per cui EOP/DFO ha interrotto il recapito alle cassette postali di destinazione • Bulk: EOP suspects that the message is commercial bulk email. • Policy: The message matched the conditions of a transport rule (also known as a mail flow rule) • Phish: EOP suspects the message to be a phishing attempt. • High Confidence Phish: EOP has extra reasons to suspect the message to be a phishing attempt. • Malware: EOP suspects the message to contain malware. • Spam: EOP considers the message to be plain old spam. Regretfully, EOP sometimes thinks email from Gumroad.com is spam, which is why some of our subscribers don’t receive receipts or news about book updates. REVIEWING QUARANTINED MESSAGES
ANALISI
ANALISI
ANALISI DELL’HEADER ...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;CAT:NONE;SFTY:;..
• Il portale di Microsoft 365 Defender è un portale unificato che fornisce protezione, rilevamento, indagine e risposta in merito alle minacce di posta elettronica, collaborazione, identità e dispositivi. Il portale di Microsoft 365 Defender consente di accedere rapidamente alle informazioni presentate in un layout semplice che combina le informazioni correlate per semplificarne l'utilizzo. Il portale di Microsoft 365 Defender consente di rispondere agli attacchi, portando le informazioni in un set di esperienze unificate per: • Incidents & alerts • Hunting • Action center • Threat analytics IL PORTALE DI MICROSOFT 365 DEFENDER
• Il portale di Microsoft 365 Defender combina le risorse di più origini dati per offrire una visualizzazione completa della sicurezza nell'organizzazione UNIFIED INVESTIGATIONS
• I controlli comuni vengono visualizzati nella stessa posizione o sono condensati in un unico feed di dati, ad esempio impostazioni unificate PROCESSI MIGLIORATI
SUBMISSION
REPORT MESSAGE
THREAT POLICIES
CAMPAIGNS
CAMPAIGNS
ATTACK SIMULATION TRAINING
REPORTING
Take Away
Take Away
Take Away
Take Away • Anti-spam message headers - Office 365 | Microsoft Docs • Enable the Report Message or the Report Phishing add-ins - Office 365 | Microsoft Docs • Message Header Analyzer (mha.azurewebsites.net) • Microsoft Remote Connectivity Analyzer • Delist IP - Delist IP (office.com) • Smart Network Data Services (outlook.com) • How to use DKIM for email in your custom domain - Office 365 | Microsoft Docs • Use DMARC to validate email, setup steps - Office 365 | Microsoft Docs
Take Away • Free Valimail DMARC Monitor for Microsoft 365 • Microsoft recommendations for EOP and Defender for Office 365 security settings - Office 365 | Microsoft Docs • Simulate a phishing attack with Microsoft Defender for Office 365 - Office 365 | Microsoft Docs • https://security.microsoft.com/spoofintelligence
Grazie!

Recommended

From Zero To Protected Hero- Difendiamoci dallo Spam, #DD13
From Zero To Protected Hero- Difendiamoci dallo Spam, #DD13From Zero To Protected Hero- Difendiamoci dallo Spam, #DD13
From Zero To Protected Hero- Difendiamoci dallo Spam, #DD13
Dominopoint - Italian Lotus User Group
 
From Zero To Protected Hero… - Fabio Grasso - Dominopoint Days 2013 #dd13
From Zero To Protected Hero… - Fabio Grasso - Dominopoint Days 2013 #dd13From Zero To Protected Hero… - Fabio Grasso - Dominopoint Days 2013 #dd13
From Zero To Protected Hero… - Fabio Grasso - Dominopoint Days 2013 #dd13
Fabio Grasso
 
La gestione dei database secondo il GDPR – SQL Server
La gestione dei database secondo il GDPR – SQL ServerLa gestione dei database secondo il GDPR – SQL Server
La gestione dei database secondo il GDPR – SQL Server
Datamaze
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL Server
Cristiano Gasparotto
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Massimo Chirivì
 
Seqrite utm(ita)
Seqrite utm(ita)Seqrite utm(ita)
Seqrite utm(ita)
netWork S.a.s
 
Breve presentazione atp
Breve presentazione atpBreve presentazione atp
Breve presentazione atp
Giuseppe Coppola
 
MySQL Day 2020 Digital Edition - Come proteggere al meglio un database MySQL
MySQL Day 2020 Digital Edition - Come proteggere al meglio un database MySQLMySQL Day 2020 Digital Edition - Come proteggere al meglio un database MySQL
MySQL Day 2020 Digital Edition - Come proteggere al meglio un database MySQL
Par-Tec S.p.A.
 

Recommended

From Zero To Protected Hero- Difendiamoci dallo Spam, #DD13
From Zero To Protected Hero- Difendiamoci dallo Spam, #DD13From Zero To Protected Hero- Difendiamoci dallo Spam, #DD13
From Zero To Protected Hero- Difendiamoci dallo Spam, #DD13
Dominopoint - Italian Lotus User Group
 
From Zero To Protected Hero… - Fabio Grasso - Dominopoint Days 2013 #dd13
From Zero To Protected Hero… - Fabio Grasso - Dominopoint Days 2013 #dd13From Zero To Protected Hero… - Fabio Grasso - Dominopoint Days 2013 #dd13
From Zero To Protected Hero… - Fabio Grasso - Dominopoint Days 2013 #dd13
Fabio Grasso
 
La gestione dei database secondo il GDPR – SQL Server
La gestione dei database secondo il GDPR – SQL ServerLa gestione dei database secondo il GDPR – SQL Server
La gestione dei database secondo il GDPR – SQL Server
Datamaze
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL Server
Cristiano Gasparotto
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Massimo Chirivì
 
Seqrite utm(ita)
Seqrite utm(ita)Seqrite utm(ita)
Seqrite utm(ita)
netWork S.a.s
 
Breve presentazione atp
Breve presentazione atpBreve presentazione atp
Breve presentazione atp
Giuseppe Coppola
 
MySQL Day 2020 Digital Edition - Come proteggere al meglio un database MySQL
MySQL Day 2020 Digital Edition - Come proteggere al meglio un database MySQLMySQL Day 2020 Digital Edition - Come proteggere al meglio un database MySQL
MySQL Day 2020 Digital Edition - Come proteggere al meglio un database MySQL
Par-Tec S.p.A.
 
Cryptolocker come limitare il rischio
Cryptolocker come limitare il rischioCryptolocker come limitare il rischio
Cryptolocker come limitare il rischio
Mario Mancini
 
Mfa.intro
Mfa.introMfa.intro
Mfa.intro
Luigi Perrone
 
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black TulipCorso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Massimiliano Masi
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security
 
HPE Security – Data Security HPE Voltage SecureMail
HPE Security – Data Security HPE Voltage SecureMailHPE Security – Data Security HPE Voltage SecureMail
HPE Security – Data Security HPE Voltage SecureMail
at MicroFocus Italy ❖✔
 
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
Profesia Srl, Lynx Group
 
Un approccio scalabile e robusto per il mail filtering. - Simone Marzona
Un approccio scalabile e robusto per il mail filtering. - Simone MarzonaUn approccio scalabile e robusto per il mail filtering. - Simone Marzona
Un approccio scalabile e robusto per il mail filtering. - Simone Marzona
Daniele Albrizio
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
Leonardo Antichi
 
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
walk2talk srl
 
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
walk2talk srl
 
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischioCyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
MarcoViscardi6
 
Come Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdfCome Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdf
HelpRansomware
 
Evento 15 novembre microsoft
Evento 15 novembre microsoftEvento 15 novembre microsoft
Evento 15 novembre microsoft
desimonedeb
 
Evento 15 novembre microsoft
Evento 15 novembre microsoftEvento 15 novembre microsoft
Evento 15 novembre microsoft
PRAGMA PROGETTI
 
Pervasive Encryption for DB2
Pervasive Encryption for DB2Pervasive Encryption for DB2
Pervasive Encryption for DB2
Luigi Perrone
 
Neither snow nor rain nor mitm... An empirical analysis of email delivery sec...
Neither snow nor rain nor mitm... An empirical analysis of email delivery sec...Neither snow nor rain nor mitm... An empirical analysis of email delivery sec...
Neither snow nor rain nor mitm... An empirical analysis of email delivery sec...
Peter Vogric
 
Key management
Key managementKey management
Key management
Luigi Perrone
 
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Par-Tec S.p.A.
 
Cloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaCloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezza
Mario Gentili
 

More Related Content

Similar to D4_DFO_Configurare Microsoft Defender for Office 365 & Best Practice_Public.pdf

Cryptolocker come limitare il rischio
Cryptolocker come limitare il rischioCryptolocker come limitare il rischio
Cryptolocker come limitare il rischio
Mario Mancini
 
Mfa.intro
Mfa.introMfa.intro
Mfa.intro
Luigi Perrone
 
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black TulipCorso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Massimiliano Masi
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security
 
HPE Security – Data Security HPE Voltage SecureMail
HPE Security – Data Security HPE Voltage SecureMailHPE Security – Data Security HPE Voltage SecureMail
HPE Security – Data Security HPE Voltage SecureMail
at MicroFocus Italy ❖✔
 
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
Profesia Srl, Lynx Group
 
Un approccio scalabile e robusto per il mail filtering. - Simone Marzona
Un approccio scalabile e robusto per il mail filtering. - Simone MarzonaUn approccio scalabile e robusto per il mail filtering. - Simone Marzona
Un approccio scalabile e robusto per il mail filtering. - Simone Marzona
Daniele Albrizio
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
Leonardo Antichi
 
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
walk2talk srl
 
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
walk2talk srl
 
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischioCyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
MarcoViscardi6
 
Come Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdfCome Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdf
HelpRansomware
 
Evento 15 novembre microsoft
Evento 15 novembre microsoftEvento 15 novembre microsoft
Evento 15 novembre microsoft
desimonedeb
 
Evento 15 novembre microsoft
Evento 15 novembre microsoftEvento 15 novembre microsoft
Evento 15 novembre microsoft
PRAGMA PROGETTI
 
Pervasive Encryption for DB2
Pervasive Encryption for DB2Pervasive Encryption for DB2
Pervasive Encryption for DB2
Luigi Perrone
 
Neither snow nor rain nor mitm... An empirical analysis of email delivery sec...
Neither snow nor rain nor mitm... An empirical analysis of email delivery sec...Neither snow nor rain nor mitm... An empirical analysis of email delivery sec...
Neither snow nor rain nor mitm... An empirical analysis of email delivery sec...
Peter Vogric
 
Key management
Key managementKey management
Key management
Luigi Perrone
 
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Par-Tec S.p.A.
 
Cloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaCloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezza
Mario Gentili
 

Similar to D4_DFO_Configurare Microsoft Defender for Office 365 & Best Practice_Public.pdf (20)

Cryptolocker come limitare il rischio
Cryptolocker come limitare il rischioCryptolocker come limitare il rischio
Cryptolocker come limitare il rischio
 
Mfa.intro
Mfa.introMfa.intro
Mfa.intro
 
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black TulipCorso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
 
HPE Security – Data Security HPE Voltage SecureMail
HPE Security – Data Security HPE Voltage SecureMailHPE Security – Data Security HPE Voltage SecureMail
HPE Security – Data Security HPE Voltage SecureMail
 
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
 
Un approccio scalabile e robusto per il mail filtering. - Simone Marzona
Un approccio scalabile e robusto per il mail filtering. - Simone MarzonaUn approccio scalabile e robusto per il mail filtering. - Simone Marzona
Un approccio scalabile e robusto per il mail filtering. - Simone Marzona
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
 
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
 
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischioCyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
 
Come Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdfCome Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdf
 
Evento 15 novembre microsoft
Evento 15 novembre microsoftEvento 15 novembre microsoft
Evento 15 novembre microsoft
 
Evento 15 novembre microsoft
Evento 15 novembre microsoftEvento 15 novembre microsoft
Evento 15 novembre microsoft
 
Pervasive Encryption for DB2
Pervasive Encryption for DB2Pervasive Encryption for DB2
Pervasive Encryption for DB2
 
Neither snow nor rain nor mitm... An empirical analysis of email delivery sec...
Neither snow nor rain nor mitm... An empirical analysis of email delivery sec...Neither snow nor rain nor mitm... An empirical analysis of email delivery sec...
Neither snow nor rain nor mitm... An empirical analysis of email delivery sec...
 
Key management
Key managementKey management
Key management
 
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
 
Cloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaCloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezza
 

D4_DFO_Configurare Microsoft Defender for Office 365 & Best Practice_Public.pdf

  • 1.
  • 2. Configurare Microsoft Defender for Office 365 e Best Practice Andrea Gallazzi IQUAD
  • 3. Thanks to our Sponsor
  • 4.
  • 5. About Me • Microsoft 365 Certified: Enterprise Administrator Expert • Microsoft 365 Certified: Security Administrator Associate • MCITP: Enterprise Messaging Administrator • HONOR Community member: WindowServer.it • Consultant and Trainer • Founder & CEO/CTO at IQUAD • EX Microsoft MVP Exchange Server • LinkedIn: https://www.linkedin.com/in/andreagx/ • Blog: https://andreagx.blogspot.com Andrea Gallazzi
  • 6. Agenda • Email Security (DKIM, DMARC, ARC, SPF) • Exchange Online Protection • Defender for Office 365 • Edge protection layer • Sender intelligence • Content filtering layer • Post-delivery protection layer • Threat investigation and response • Configuration Analyzer • Demo
  • 8. • Il protocollo che definisce la comunicazione della posta elettronica è SMTP • Originariamente rilasciato come standard Internet nel 1982, RFC 821 descriveva i meccanismi che avrebbero rimodellato la comunicazione come la conosciamo SIMPLE MAIL TRANSFER PROTOCOL
  • 9. • Spoofing è una frode in cui un mittente sconosciuto finge di essere un mittente conosciuto, considerato attendibile dal destinatario. Diverse tipologie: E-mail, DNS, IP e ARP spoofing • SPF (Sender Policy Framework) consente di proteggere il dominio dallo spoofing e impedisce che i messaggi in uscita vengano contrassegnati come spam. Grazie a SPF è possibile specificare i server di posta autorizzati a inviare email per conto del dominio MAIL AUTHENTICATION - SPOOFING, SPF, DKIM, DMARC, ARC
  • 10. • DKIM, che sta per DomainKeys Identified Mail, utilizza la crittografia a chiave pubblica per controllare la posta elettronica e per consentire al destinatario di verificare se le intestazioni e il contenuto delle email sono stati modificati durante il transito • DKIM aggiunge una firma criptata all'intestazione di tutti i messaggi in uscita. I server email che ricevono messaggi con firma utilizzano DKIM per decriptare l'intestazione del messaggio e per verificare che non abbia subito modifiche dopo l'invio, DKIM utilizza una coppia di chiavi, una privata e una pubblica, per verificare i messaggi (Threat management > Policy > DKIM) MAIL AUTHENTICATION - SPOOFING, SPF, DKIM, DMARC, ARC
  • 11. • DMARC indica ai server di ricezione della posta che cosa fare quando arriva un messaggio che sembra provenire dalla tua azienda, ma che non supera i controlli di autenticazione o non soddisfa i requisiti di autenticazione della policy di DMARC. I messaggi non autenticati potrebbero aver rubato l'identità della tua organizzazione o provenire da server non autorizzati. DMARC viene sempre utilizzato con DKIM e SPF. Non serve fare nulla per configurare DMARC per la posta ricevuta in Microsoft 365. Sarà necessario configurarlo per la posta in uscita. • Valimail Monitor free per i clienti M365. Fa parte del MISA. According to Gartner®, DMARC is one of the top 1o security projects _dmarc.domain TTL IN TXT "v=DMARC1; p=policy; pct=100; rua=mailto:dmarc_agg@vali.email" p= {none, quarantine, reject} MAIL AUTHENTICATION - SPOOFING, SPF, DKIM, DMARC, ARC
  • 13. MAIL AUTHENTICATION – LOGICAL FLOW
  • 14. • Backscatter (detto anche outscatter o blowback) indica la ricezione di messaggi di mancata consegna, solitamente aventi origine dall'invio di spam da parte di altri. Prassi comune tra gli spammer è infatti quella di indicare indirizzi realmente esistenti • ARC (Authenticated Received Chain) è uno standard creato nel 2016 per aiutare a migliorare il modo in cui i risultati DKIM e SPF vengono passati da un server di posta all'altro durante l'inoltro. Quando i messaggi vengono passati a intermediari come mailing list o inoltro di account e-mail, DKIM e SPF possono rompersi. ARC mira a risolvere questo problema MAIL AUTHENTICATION - ARC
  • 17. Microsoft Defender for Office 365 (MDO) formerly known as Office Advanced Threat Protection (ATP)
  • 18. • Microsoft Defender per Office 365 (MDO), precedentemente noto come Office Advanced Threat Protection (ATP), è un insieme di funzionalità progettate per rispondere agli exploit zero-day o a nuovi metodi creati dagli aggressori per aggirare e ingannare i sistemi di protezione di base come EOP • Nell'attuale panorama, tutti gli amministratori dovrebbero considerare l’acquisto «obbligatorio» di un servizio di protezione zero-day malware e di protezione dei link (safe link) che operi su e-mail di origine sia interna che esterna • Microsoft Defender per Office 365 è incluso in Microsoft 365 E5 e Office 365 E5 ed è disponibile anche come componente aggiuntivo. Può essere attivato in Evaluation Mode COS’È MICROSOFT DEFENDER PER OFFICE 365 (MDO)
  • 19. • Threat protection policies: oltre ad un insieme di criteri predefiniti, è possibile definire criteri di protezione dalle minacce per impostare il livello di protezione appropriato per il tipo di organizzazione/business • Reports: consente di visualizzare report in tempo reale per monitorare Defender per Office 365 • Threat investigation and response capabilities: usa funzionalità all'avanguardia (AI, ML) per analizzare, comprendere, simulare e prevenire le minacce • Automated investigation and response capabilities: consente di risparmiare tempo e fatica nell’investigation & mitigation delle minacce. Le funzionalità di risposta automatica agli incidenti includono processi di indagine automatizzati in risposta alle minacce note COSA INCLUDE MICROSOFT DEFENDER PER OFFICE 365?
  • 20. Piano 1 • Safe Attachments • Safe Links • Safe Attachments for SharePoint, OneDrive, and Teams • Impersonation protection in anti- phishing policies • Real-time detections PIANI DI MDO Piano 2 • Threat trackers • Threat explorer • Automated investigation and response • Attack simulation and training • Campaign Views
  • 21. • Microsoft Defender per Office 365 Piano 2 è incluso in Office 365 E5, Office 365 A5 e Microsoft 365 E5 • Microsoft Defender per Office 365 Piano 1 è incluso in Microsoft 365 Business Premium • Microsoft Defender per Office 365 Piano 1 e Defender per Office 365 Piano 2 sono disponibili come componenti aggiuntivi per determinati abbonamenti PIANI DI MDO
  • 22. LO STACK DI PROTEZIONE DI MICROSOFT DEFENDER PER OFFICE 365
  • 24. • Network throttling: protegge dagli attacchi DoS limitando il numero di messaggi che è possibile inviare/ricevere. Ric: 3600 /h, sngl usr, 33% r.m. | Send: Rcpt 10000/d, 30 e-mail/min • IP reputation and throttling: bloccano i messaggi inviati da indirizzi IP di connessione non validi (noti) • Domain reputation: blocca tutti i messaggi inviati da un dominio non valido (noto allo stack). Reputazione determinata dagli ISP PHASE 1 - EDGE PROTECTION
  • 25. • Directory-based edge blocking: DBEB blocca i tentativi di raccogliere le informazioni dalla directory (GAL) di un'organizzazione tramite SMTP. • Backscatter detection: impedisce a un'organizzazione di essere attaccata tramite rapporti di mancato recapito (NDR) non validi • Enhanced Filtering for Connectors: (noto anche come skip listing) utilizza la vera origine dei messaggi e-mail, anche quando il traffico passa attraverso un altro dispositivo prima che raggiunga Office 365 PHASE 1 - EDGE PROTECTION
  • 26. • Spoof intelligence: blocca tutti i messaggi inviati da un dominio non valido noto. I messaggi oggetto di spoofing sembrano provenire da una persona o una posizione diversa da quella reale (SpoofMailReportV2) • Intra-org spoof intelligence: (Self to Self) L'intelligence di spoofing tra organizzazioni rileva e blocca i tentativi di spoofing da un dominio all'interno dell'organizzazione (compauth) Authentication-Results: compauth=<fail | pass | softpass | none> reason=<yyy> SFTY è il livello di sicurezza del messaggio. 9 indica il phishing, .22 indica lo spoofing tra domini • Cross-domain spoof intelligence: L'intelligence di spoofing tra domini rileva e blocca i tentativi di spoofing da un dominio esterno all'organizzazione Da: tony@stark.com A: piru@piru.com PHASE 2 - SENDER INTELLIGENCE
  • 27. • Account compromise detection: Gli avvisi di rilevamento della compromissione dell'account vengono generati quando un account ha un comportamento strano coerente con la compromissione PHASE 2 - SENDER INTELLIGENCE • Email Authentication: L'autenticazione delle e-mail ha lo scopo di garantire che i mittenti siano autenticati e autorizzati. Per evitare lo spoofing, è «consigliabile» utilizzare i metodi di autenticazione SPF, DKIM, DMARC e ARC
  • 28. • Mailbox intelligence: Consente alla policy di utilizzare Microsoft Graph per analizzare il mail flow dell'utente. Ciò aiuta a garantire che le persone con cui si è comunicato in precedenza non vengano trattate come mittenti falsificati (spoofed senders) • Mailbox intelligence for impersonation protection: L'intelligence delle mailbox per la protezione dall’imitazione consente di configurare azioni specifiche da eseguire sui messaggi se la mailbox intelligence rileva un utente imitato PHASE 2 - SENDER INTELLIGENCE
  • 29. • Bulk e-mail filtering: L’invio massivo di e-mail si potrebbe descrivere come messaggi potenzialmente indesiderati, spesso sotto forma di newsletter che vengono inviate contemporaneamente a un vasto numero di destinatari (da qui il riferimento a massa). La differenza tra email di massa e spam è relativamente sottile. PHASE 2 - SENDER INTELLIGENCE Le informazioni BCL sono incapsulate nell'intestazione X-Microsoft-Antispam in un campo chiamato "BCL". Il campo può avere i valori descritti nella Tabella BCL Value Meaning 0 The message is not from a bulk email sender. 1,2,3 The message is from a known bulk sender but is unlikely to generate many complaints. 4,5,6,7 The message is from a known bulk sender and can possibly generate many complaints. 8,9 The message is from a known bulk sender and is likely to generate a high number of complaints.
  • 30. • User impersonation: La configurazione di “imitazione/rappresentazione” dell'utente consente all'organizzazione di elencare i propri top executive come CEO, CFO, Direttori, ecc. Tutte le e-mail che arrivano con lo stesso nome visualizzato (imitato) e che sono indirizzati agli utenti verranno messe in quarantena / consegnate alla posta indesiderata secondo la configurazione (Max 350 usr) • Domain impersonation: La configurazione di imitazione del dominio protegge dalle e-mail provenienti da domini typosquatted simili ai tuoi. Per es. il dominio della tua organizzazione è Contoso.com e gli aggressori possono inviare e-mail dopo aver registrato domini dall'aspetto simile come Cont0so.com, Contoso-inc.com ecc PHASE 2 - SENDER INTELLIGENCE
  • 31. • 1 - Standard: questo è il valore predefinito. La gravità dell'azione intrapresa sul messaggio dipende dal grado di fiducia che il messaggio sia phishing (fiducia bassa, media, alta o molto alta) • 2 - Aggressivo: i messaggi identificati come phishing con un elevato grado di fiducia vengono considerati come se fossero identificati con un livello di fiducia molto elevato • 3 - Più aggressivo: i messaggi identificati come phishing con un grado di fiducia medio o elevato vengono considerati come se fossero identificati con un livello di fiducia molto elevato • 4 - Massima aggressività: i messaggi identificati come phishing con un livello di fiducia basso, medio o alto vengono considerati come se fossero identificati con un livello di fiducia molto elevato SOGLIE DI PHISHING AVANZATE
  • 33. • Mail flow rules (also known as transport rules): valutano tutti i messaggi che attraversano l'organizzazione in base alle condizioni, alle eccezioni e alle azioni delle regole abilitate • Microsoft Defender Antivirus: Microsoft Defender e altri due motori antivirus di terze parti vengono utilizzati per rilevare il malware • Common attachment filtering: blocca allegati specifici Policies & rules > Threat policies > Anti-malware PHASE 3 - CONTENT FILTERING
  • 34. • Attachment reputation blocking: Il blocco della reputazione degli allegati blocca i file dannosi noti in tutto Office 365 PHASE 3 - CONTENT FILTERING
  • 35. • URL reputation blocking: blocca qualsiasi messaggio con un URL dannoso noto. Microsoft determina la reputazione tramite sandboxing degli URL, nonché dai feed di terze parti. • Heuristic clustering: Può determinare se un file è sospetto in base all'euristica di recapito. Quando viene trovato un allegato sospetto, l'intera campagna viene messa in pausa e il file viene inserito nella sandbox. Se il file risulta dannoso, l'intera campagna viene bloccata. • Machine learning models: I modelli di machine learning agiscono sull'intestazione, sul contenuto del corpo e sugli URL di un messaggio per rilevare i tentativi di phishing PHASE 3 - CONTENT FILTERING
  • 36. • Content heuristics: L'euristica del contenuto può rilevare messaggi sospetti in base alla struttura e alla frequenza delle parole all'interno del corpo del messaggio, utilizzando modelli di machine learning • Safe Attachments: consente di creare sandbox per ogni allegato (per i piani con Defender for Office 365), usando l'analisi dinamica per rilevare minacce sconosciute che non hanno una firma AV nota (attacco zero day) Safe Attachments offre un ulteriore livello di protezione per gli allegati che sono già stati analizzati dalla protezione antimalware in EOP PHASE 3 - CONTENT FILTERING
  • 37. • Linked content detonation: La detonazione del contenuto considera ogni URL che si collega a un file «come allegato» in un messaggio e-mail, creando un sandboxing del file, in modo asincrono, al momento del recapito PHASE 3 - CONTENT FILTERING • URL Detonation: si verifica quando la tecnologia anti- phishing a monte rileva un messaggio o un URL sospetto. La detonazione dell'URL esegue il sandboxing degli URL nel messaggio al momento del recapito How Defender for Office 365 classifies detonated attachments and URLs
  • 39. • Safe Links: Collegamenti sicuri è la protezione time-of-click di Defender per Office 365. Quando un URL viene selezionato, viene controllato rispetto alla recente «reputazione» prima di reindirizzare al sito di destinazione • Campaign Views: Dal portale Microsoft 365 Defender identifica e classifica gli attacchi di phishing. La sezione campagne consente di visualizzare il quadro generale di un attacco utilizzando le grandi quantità di dati anti-phishing, anti- spam e antimalware nell'intero servizio (E5/P2) PHASE 4 - POST-DELIVERY PROTECTION
  • 41. • Zero-hour auto-purge (ZAP) for phishing: rileva e neutralizza retroattivamente i messaggi di phishing dannosi già recapitati nelle cassette postali di Exchange Online. ZAP non funziona in Hybrid con le mailbox on-premises • ZAP for malware: ZAP per i malware rileva e neutralizza retroattivamente i messaggi malware dannosi già recapitati nelle mailbox di Exchange Online ZAP per malware è abilitato per impostazione predefinita nelle policy antimalware • ZAP for spam: rileva e neutralizza retroattivamente i messaggi di posta indesiderata (non letti) dannosi già recapitati nelle cassette postali di Exchange Online PHASE 4 - POST-DELIVERY PROTECTION
  • 42. • Report Message add-in and Report phishing add-in: consente agli utenti di segnalare facilmente falsi positivi (posta elettronica legittima contrassegnata come illegittima) o falsi negativi (posta elettronica illegittima consentita) a Microsoft per ulteriori analisi PHASE 4 - POST-DELIVERY PROTECTION • Safe Links for Office apps: offre la stessa protezione time-of-click di safe links, in modo nativo, all'interno di app Office supportate, come Word, PowerPoint e Excel
  • 43. • Protection for OneDrive, SharePoint, and Teams: offre la stessa protezione dai malware di Safe Attachments, in modo nativo, all'interno di OneDrive, SharePoint e Microsoft Teams • Linked content detonation: Quando viene selezionato un URL che punta a un file dopo il recapito, la detonazione del contenuto visualizza una pagina di avviso fino al completamento del sandboxing del file e l'URL risulta sicuro PHASE 4 - POST-DELIVERY PROTECTION
  • 45. Come le feature di investigation and response aiutano gli analisti e amministratori a proteggere le loro organizzazioni: • Semplificando l'identificazione, il monitoraggio e la comprensione degli attacchi informatici • Aiutando a risolvere rapidamente le minacce in Exchange Online, SharePoint Online, OneDrive for Business e Microsoft Teams • Fornendo approfondimenti e conoscenze per agevolare le «security operation» a prevenire attacchi informatici contro la propria organizzazione • Utilizzo di indagini e risposte automatizzate in Office 365 per le minacce critiche basate sulla posta elettronica THREAT INVESTIGATION AND RESPONSE (PLAN 2)
  • 46. Le funzionalità di analisi e risposta delle minacce si presentano nel portale di Microsoft 365 Defender, come un insieme di strumenti e flussi di lavoro di risposta, inclusi: • Explorer • Incidents • Attack simulation training • Automated investigation and response STRUMENTI DI INDAGINE E RISPOSTA ALLE MINACCE
  • 47. • Utilizzare Explorer (e i rilevamenti in tempo reale) per analizzare le minacce, vedere il volume degli attacchi nel tempo e analizzare i dati in base alle famiglie delle minacce (threat), all'infrastruttura degli aggressori e altro ancora • Explorer (noto anche come Threat Explorer) è il punto di partenza per il lavoro di indagine di qualsiasi analista o amministratore della sicurezza • Per analizzare questo report andare su Email & collaboration > Explorer dal portale di Defender for Office 365 THREAT INVESTIGATION AND RESPONSE: EXPLORER
  • 48. THREAT INVESTIGATION AND RESPONSE: EXPLORER
  • 49. • Utilizzare l'elenco degli Incidenti (chiamato anche Indagini) per visualizzare un elenco di incidenti di sicurezza attivi. Gli incidenti vengono utilizzati per tenere traccia di minacce come messaggi e-mail sospetti e per condurre ulteriori indagini e correzioni (investigation and remediation) THREAT INVESTIGATION AND RESPONSE: INCIDENTS
  • 50. • Utilizzare la formazione sulla simulazione degli attacchi (benigni) per impostare ed eseguire attacchi informatici realistici nella tua organizzazione e identificare le persone vulnerabili prima che un vero attacco informatico colpisca la tua azienda (P2/E5) THREAT INVESTIGATION AND RESPONSE: ATTACK SIMULATION TRAINING
  • 51. • Sono disponibili diversi payload per diverse tecniche • Sono disponibili le seguenti tecniche di ingegneria sociale: • Credential harvest: tentativi di raccogliere credenziali indirizzando gli utenti a un sito Web dall'aspetto noto con caselle di input per inviare un nome utente e una password • Malware attachment: aggiunge un allegato dannoso a un messaggio. Quando l'utente apre l'allegato, viene eseguito un codice arbitrario che aiuterà l'attaccante a compromettere il dispositivo del bersaglio • Link in attachment: un tipo di raccolta delle credenziali ibrido . Un utente malintenzionato inserisce un URL in un allegato di posta elettronica. L'URL all'interno dell'allegato segue la stessa tecnica della raccolta delle credenziali • Link to malware: esegue del codice arbitrario da un file ospitato su un noto servizio di condivisione fil. Il messaggio inviato all'utente conterrà un collegamento a questo file dannoso • Drive-by URL: L'URL dannoso nel messaggio porta l'utente a un sito Web dall'aspetto familiare che esegue e/o installa automaticamente il codice sul dispositivo dell'utente THREAT INVESTIGATION AND RESPONSE: ATTACK SIMULATION TRAINING
  • 52. • AIR consente al team di security di operare in modo più efficiente ed efficace. Le funzionalità AIR includono processi di indagine automatizzati in risposta alle minacce note. Le azioni di correzione appropriate attendono l'approvazione, consentendo al team delle operazioni di sicurezza di rispondere alle minacce rilevate • Con AIR, il team di security può concentrarsi su attività con priorità più elevata senza perdere di vista gli avvisi importanti che vengono attivati. THREAT INVESTIGATION AND RESPONSE: AUTOMATED INVESTIGATION AND RESPONSE
  • 53. Viene attivato un alert e un playbook di sicurezza avvia un'indagine automatizzata, che si traduce in risultati e azioni consigliate. Ecco il flusso complessivo di AIR, step by step 1. Un'indagine automatizzata viene avviata in uno dei seguenti modi: • Un avviso viene attivato da qualcosa di sospetto nella posta elettronica (ad esempio un messaggio, un allegato, un URL o un account utente compromesso). Viene creato un incidente e inizia un'indagine automatizzata; • Un amministratore avvia un'indagine automatizzata durante l'utilizzo di Explorer 2. Durante l'esecuzione di un'indagine automatizzata, raccoglie dati sull'e-mail in questione e sulle entità correlate a tale e-mail. Tali entità possono includere file, URL e destinatari. L'ambito dell'indagine può aumentare man mano che vengono attivati avvisi nuovi e correlati AUTOMATED INVESTIGATION AND RESPONSE (AIR) FLOW
  • 54. 3. Durante e dopo un'indagine automatizzata, i dettagli e i risultati sono disponibili per la visualizzazione. I risultati includono azioni consigliate che possono essere intraprese per rispondere e correggere eventuali minacce rilevate 4. Il team delle operazioni di sicurezza esamina i risultati delle indaginie i consigli e approva o rifiuta le azioni correttive 5. Quando le azioni correttive in sospeso vengono approvate (o rifiutate), l'indagine automatizzata viene completata AUTOMATED INVESTIGATION AND RESPONSE (AIR) FLOW
  • 56. • Configuration analyzer: L'analizzatore di configurazione nel portale di Microsoft 365 Defender fornisce una posizione centralizzata per trovare e correggere le security policy in cui le impostazioni sono inferiori alle impostazioni del profilo di protezione standard e a quello di protezione Strict (rigorosa) rispetto alle policy di base preimpostate • Per utilizzare l'analizzatore di configurazione e apportare aggiornamenti ai criteri di sicurezza, è necessario essere membri dei ruoli Organization Management o Security Administrator. Per l'accesso in sola lettura all'analizzatore di configurazione, è necessario essere membri dei gruppi di ruoli Global Reader o Security Reader. CONFIGURATION ANALYZER
  • 57. Nella pagina Analizzatore configurazione sono disponibili tre schede principali: • Standard recommendations: confronta i criteri di sicurezza esistenti con quelli standard. E’ possibile modificare i valori delle impostazioni per portarli allo stesso livello di Standard • Strict recommendations: confronta i criteri di sicurezza esistenti con i suggerimenti per un assetto più rigoroso. E’ possibile modificare i valori delle impostazioni per portarli allo stesso livello di Strict • Configuration drift analysis and history: controlla e tiene traccia delle modifiche dei criteri nel tempo USARE IL CONFIGURATION ANALYZER
  • 58. CONFIGURATION DRIFT ANALYSIS AND HISTORY TAB IN THE CONFIGURATION ANALYZER
  • 60. Se esaminano i dettagli dei messaggi in quarantena, si scoprirà perché EOP/DFO li considera sospetti. A ogni messaggio in quarantena viene assegnato un motivo per cui EOP/DFO ha interrotto il recapito alle cassette postali di destinazione • Bulk: EOP suspects that the message is commercial bulk email. • Policy: The message matched the conditions of a transport rule (also known as a mail flow rule) • Phish: EOP suspects the message to be a phishing attempt. • High Confidence Phish: EOP has extra reasons to suspect the message to be a phishing attempt. • Malware: EOP suspects the message to contain malware. • Spam: EOP considers the message to be plain old spam. Regretfully, EOP sometimes thinks email from Gumroad.com is spam, which is why some of our subscribers don’t receive receipts or news about book updates. REVIEWING QUARANTINED MESSAGES
  • 64. • Il portale di Microsoft 365 Defender è un portale unificato che fornisce protezione, rilevamento, indagine e risposta in merito alle minacce di posta elettronica, collaborazione, identità e dispositivi. Il portale di Microsoft 365 Defender consente di accedere rapidamente alle informazioni presentate in un layout semplice che combina le informazioni correlate per semplificarne l'utilizzo. Il portale di Microsoft 365 Defender consente di rispondere agli attacchi, portando le informazioni in un set di esperienze unificate per: • Incidents & alerts • Hunting • Action center • Threat analytics IL PORTALE DI MICROSOFT 365 DEFENDER
  • 65. • Il portale di Microsoft 365 Defender combina le risorse di più origini dati per offrire una visualizzazione completa della sicurezza nell'organizzazione UNIFIED INVESTIGATIONS
  • 66. • I controlli comuni vengono visualizzati nella stessa posizione o sono condensati in un unico feed di dati, ad esempio impostazioni unificate PROCESSI MIGLIORATI
  • 77. Take Away • Anti-spam message headers - Office 365 | Microsoft Docs • Enable the Report Message or the Report Phishing add-ins - Office 365 | Microsoft Docs • Message Header Analyzer (mha.azurewebsites.net) • Microsoft Remote Connectivity Analyzer • Delist IP - Delist IP (office.com) • Smart Network Data Services (outlook.com) • How to use DKIM for email in your custom domain - Office 365 | Microsoft Docs • Use DMARC to validate email, setup steps - Office 365 | Microsoft Docs
  • 78. Take Away • Free Valimail DMARC Monitor for Microsoft 365 • Microsoft recommendations for EOP and Defender for Office 365 security settings - Office 365 | Microsoft Docs • Simulate a phishing attack with Microsoft Defender for Office 365 - Office 365 | Microsoft Docs • https://security.microsoft.com/spoofintelligence