From Zero To Protected Hero… - Fabio Grasso - Dominopoint Days 2013 #dd13Fabio Grasso
Difendiamoci dallo Spam con Lotus Protector for Mail Security
Lo Spam e le minacce che giungono per posta elettronica (come phishing e virus) rappresentano ormai da molti anni uno dei maggiori problemi della sicurezza informatica.
Nella prima fase di questa sessione faremo una veloce carrellata degli strumenti che Domino mette a nostra disposizione per ridurre il traffico di posta indesiderata, come ad esempio recipient verification, DNS blacklist e lookup.
In seguito ci concrentreremo su IBM Lotus Protector for Mail Security, un prodotto del branch ISS (Internet Security Systems), acquisito da IBM nel 2006, che si occupa di filtrare le email in ingresso con interessanti funzionalità ed una integrazione con Notes che consente di gestire la quarantena e le black/white list degli utenti direttamente dal client.
Vedremo poi come, in pochi semplici passaggi, è possibile installare e configurare Protector, come distribuire ai client la configurazione per l'integrazione in Notes ed infine alcuni "trucchetti" non documentati che ci aiuteranno a gestire al meglio il nostro sistema.
La gestione dei database secondo il GDPR – SQL ServerDatamaze
La nuova privacy europea e come adeguarsi entro la scadenza normativa per la gestione dei database Microsoft SQL Server e infrastruttura informative aziendali.
L'avvento del GDPR nel Maggio del 2018 ci consente di fare una serie di riflessioni riguardo ai nostri database e ai dati in essi contenuti. Come dobbiamo prepararci?
Seqrite Terminator: quello che un tempo era solo un Firewall, si è ora evoluto in un’Appliance UTM che fornisce molte funzionalità di sicurezza, tutto tramite una sola Console.
Scopriamole, affinchè la rete aziendale sia sempre protetta e al sicuro!
La soluzione Spamina ATP è uno strato aggiuntivo di protezione da malware che incorpora 2 tecnologie: Sandboxing e un Premium antivirus per mantenere la vostra e-mail aziendale protetta dai malware di ultima generazione (ransomware, cryptolocker, ...)
MySQL Day 2020 Digital Edition - Come proteggere al meglio un database MySQLPar-Tec S.p.A.
In occasione del MySQL Day 2020 Digital Edition, il TechAdvisor Michelangelo Uberti ha aiutato manager e tecnici a comprendere le minacce e le contromisure tecniche studiate appositamente per proteggere un database MySQL.
I punti trattati durante il webinar sono:
- La sicurezza è la ricerca dell'equilibrio tra...
- La compliance... a cosa?
- Panoramica delle tecniche di protezione
- Cifratura delle connessioni + MySQL Authentication
- MySQL Enterprise Authentication
- MySQL Enterprise Audit
- MySQL Enterprise Monitor
- MySQL Enterprise Transparent Data Encryption
- MySQL Enterprise Encryption
- MySQL Enterprise Masking and De-identification
- MySQL Enterprise Masking - Alcuni esempi
- MySQL Enterprise Firewall
Per approfondimenti:
- Reportage di ImpresaCity https://bit.ly/3l3Fi0H
- Registrazione dell'evento https://bit.ly/3jLuhPP
From Zero To Protected Hero… - Fabio Grasso - Dominopoint Days 2013 #dd13Fabio Grasso
Difendiamoci dallo Spam con Lotus Protector for Mail Security
Lo Spam e le minacce che giungono per posta elettronica (come phishing e virus) rappresentano ormai da molti anni uno dei maggiori problemi della sicurezza informatica.
Nella prima fase di questa sessione faremo una veloce carrellata degli strumenti che Domino mette a nostra disposizione per ridurre il traffico di posta indesiderata, come ad esempio recipient verification, DNS blacklist e lookup.
In seguito ci concrentreremo su IBM Lotus Protector for Mail Security, un prodotto del branch ISS (Internet Security Systems), acquisito da IBM nel 2006, che si occupa di filtrare le email in ingresso con interessanti funzionalità ed una integrazione con Notes che consente di gestire la quarantena e le black/white list degli utenti direttamente dal client.
Vedremo poi come, in pochi semplici passaggi, è possibile installare e configurare Protector, come distribuire ai client la configurazione per l'integrazione in Notes ed infine alcuni "trucchetti" non documentati che ci aiuteranno a gestire al meglio il nostro sistema.
La gestione dei database secondo il GDPR – SQL ServerDatamaze
La nuova privacy europea e come adeguarsi entro la scadenza normativa per la gestione dei database Microsoft SQL Server e infrastruttura informative aziendali.
L'avvento del GDPR nel Maggio del 2018 ci consente di fare una serie di riflessioni riguardo ai nostri database e ai dati in essi contenuti. Come dobbiamo prepararci?
Seqrite Terminator: quello che un tempo era solo un Firewall, si è ora evoluto in un’Appliance UTM che fornisce molte funzionalità di sicurezza, tutto tramite una sola Console.
Scopriamole, affinchè la rete aziendale sia sempre protetta e al sicuro!
La soluzione Spamina ATP è uno strato aggiuntivo di protezione da malware che incorpora 2 tecnologie: Sandboxing e un Premium antivirus per mantenere la vostra e-mail aziendale protetta dai malware di ultima generazione (ransomware, cryptolocker, ...)
MySQL Day 2020 Digital Edition - Come proteggere al meglio un database MySQLPar-Tec S.p.A.
In occasione del MySQL Day 2020 Digital Edition, il TechAdvisor Michelangelo Uberti ha aiutato manager e tecnici a comprendere le minacce e le contromisure tecniche studiate appositamente per proteggere un database MySQL.
I punti trattati durante il webinar sono:
- La sicurezza è la ricerca dell'equilibrio tra...
- La compliance... a cosa?
- Panoramica delle tecniche di protezione
- Cifratura delle connessioni + MySQL Authentication
- MySQL Enterprise Authentication
- MySQL Enterprise Audit
- MySQL Enterprise Monitor
- MySQL Enterprise Transparent Data Encryption
- MySQL Enterprise Encryption
- MySQL Enterprise Masking and De-identification
- MySQL Enterprise Masking - Alcuni esempi
- MySQL Enterprise Firewall
Per approfondimenti:
- Reportage di ImpresaCity https://bit.ly/3l3Fi0H
- Registrazione dell'evento https://bit.ly/3jLuhPP
C’è sempre più la necessità di implementare una condizione di sicurezza all’interno di realtà in cui non c’è l’effettiva conoscenza dell’importanza di mantenere sicuri i propri dati, questo spesso avviene mettendo in secondo piano la rilevanza di una metodologia di sicurezza efficiente. Infatti, questa breve guida, serve a poter mettere in atto tutte quelle strategie in grado di limitare il possibile attacco. Mario Mancini.
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security
1. 3rd Party Software: how to manage the update of 3rd party software
2. 3rd Party Development: Outsourcing
3. 3rd Party Supplier
4. 3rd Party OF THINGS
HPE SecureMail è una soluzione di email encryption utilizzata nei più grandi progetti si secure messaging del mondo. HPE SecureMail utilizza tecnologie di encryption avanzate già ampiamente testate, basate sui principi delle Next Generation PKI , in grado di fornire un livello di sicurezza eccezionale ed allo stesso tempo una facilità di utilizzo e configurazione che non ha rivali nel panorama di soluzioni mail encryption alternative. Con HPE SecureMail, le informazioni più sensibili e private possono essere trasmesse con sicurezza tramite posta elettronica con la stessa facilità d’uso delle email in chiaro che scambiamo quotidianamente.
Una soluzione unica per Desktop, Web, Mobile, Cloud, Applicazioni ed Automazione.
Il webinar ha l'obiettivo di dare indicazioni pratiche e suggerimenti per un adeguato utilizzo dello IAM di WSO2, fornendo casi d'uso e dettagli di integrazione con i sistemi utilizzati anche nella tua organizzazione.
Verranno inoltre affrontate le tematiche di accesso sia per i propri dipendenti, sia per i clienti finali che accedono a portali e utilizzano in generale i servizi esposti. In entrambi i casi WSO2 IAM garantisce sicurezza, agilità e conformità alle normative vigenti (GDPR; PSD2, ...)
Infine potrai chiedere approfondimenti tecnici al nostro esperto certificato su WSO2
Target
CIO, CISO, IT Manager, Product Manager, Digital Transformation Manager
Un approccio scalabile e robusto per il mail filtering. - Simone MarzonaDaniele Albrizio
Questo intervento presenta un approccio al problema del filtraggio dei contenuti delle email che consente di poter scalare verso alti volumi di traffico, di avere una soluzione altamente affidabile sulla quale puntare per poter sgravare i mailserver da tutte le funzionalità relative al filtraggio delle email, rendendo disponibili tutte le risorse per la gestione vera e propria delle mail.
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...walk2talk srl
Lavorare in un mondo cloud-first / mobile-first richiede un nuovo approccio: i dati devono essere accessibili, utilizzati e condivisi sia on-prem che nel cloud, cancellando i confini tradizionali di sicurezza; c'è bisogno di una tecnologia che protegga dalle minacce in evoluzione.
La tecnologia Microsoft assicura la trasformazione digitale con una piattaforma completa e un'intelligenza unica: con Microsoft Enterprise Mobility + Security, le aziende possono gestire in modo completo l’identità dei propri dipendenti, e collaboratori, oltre che mettere in sicurezza i dispositivi ed i dati aziendali, il tutto in modo centralizzato e connesso.
In questa sessione vedremo come la vostra organizzazione possa raggiungere l'equilibrio della sicurezza e dell'implementazione degli utenti finali, con controlli di sicurezza efficaci per identità, periferiche, dati, applicazioni e infrastrutture.
Scopriremo come proteggere i dati dell'organizzazione dall'accesso non autorizzato, individuare attacchi e violazioni e aiutarti a rispondere e attivare le correzioni per impedire che accada di nuovo.
Vedremo quindi come funzionano alcuni degli strumenti della suite, come Azure Active Directory, Intune e Azure Information Protection.
Per richiedere accesso al canale contenente le registrazioni audio/video delle sessioni tecniche di Cloud Conference Italia 2017 compila il seguente form:
https://goo.gl/Fq6DQE
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...walk2talk srl
Negli ultimi anni la sicurezza informatica è diventata una delle principali componenti delle moderne infrastrutture informatiche.
Per rendere sicura un'infrastruttura informatica occorre un'attenta analisi dell'attuali minacce informatiche e della loro possibile evoluzione e l'applicazione delle best practices per la protezione e il monitoraggio.
Nella sessione verrà anche analizzato come Windows Server 2016 e Microsoft Advanced Threat Analytics può aiutarci nell'hardening dell'infrastruttura.
Per richiedere accesso al canale contenente le registrazioni audio/video delle sessioni tecniche di Cloud Conference Italia 2017 compila il seguente form:
https://goo.gl/Fq6DQE
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Par-Tec S.p.A.
Il nostro DevOps Engineer Gabriele Torregrossa insieme alla Solution Architect Eleonora Peruch di Red Hat, moderati dal giornalista Francesco Pignatelli, hanno mostrato come Red Hat ACS può aiutare a difendersi dalle minacce informatiche, riducendo al minimo i costi ed il rischio operativo delle tue applicazioni.
I temi trattati da Gabriele sono stati:
- RHACS Insights
- Conformità agli standard di settore
- Valutazione dei rischi per la sicurezza
- Gestione delle politiche di rete
- Gestione delle vulnerabilità
- Risposta alle violazioni
- Sistema centralizzato di ricerca
- Integrazione con SSO
- Gestione della salute del cluster
- Integrazione per allarmi e backup
Per saperne di più, scaricate le slide e guardate la registrazione del webinar su https://www.par-tec.it/advanced-cluster-security-come-si-mette-davvero-al-sicuro-il-cloud
Cloud Computing fondamenti di sicurezzaMario Gentili
Cloud Computing fondamenti di sicurezza, la sicurezza nei modelli IaaS, PaaS e SaaS. La virtualizzazione, l'Intrusion Detection Service e la crittografia
More Related Content
Similar to D4_DFO_Configurare Microsoft Defender for Office 365 & Best Practice_Public.pdf
C’è sempre più la necessità di implementare una condizione di sicurezza all’interno di realtà in cui non c’è l’effettiva conoscenza dell’importanza di mantenere sicuri i propri dati, questo spesso avviene mettendo in secondo piano la rilevanza di una metodologia di sicurezza efficiente. Infatti, questa breve guida, serve a poter mettere in atto tutte quelle strategie in grado di limitare il possibile attacco. Mario Mancini.
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security
1. 3rd Party Software: how to manage the update of 3rd party software
2. 3rd Party Development: Outsourcing
3. 3rd Party Supplier
4. 3rd Party OF THINGS
HPE SecureMail è una soluzione di email encryption utilizzata nei più grandi progetti si secure messaging del mondo. HPE SecureMail utilizza tecnologie di encryption avanzate già ampiamente testate, basate sui principi delle Next Generation PKI , in grado di fornire un livello di sicurezza eccezionale ed allo stesso tempo una facilità di utilizzo e configurazione che non ha rivali nel panorama di soluzioni mail encryption alternative. Con HPE SecureMail, le informazioni più sensibili e private possono essere trasmesse con sicurezza tramite posta elettronica con la stessa facilità d’uso delle email in chiaro che scambiamo quotidianamente.
Una soluzione unica per Desktop, Web, Mobile, Cloud, Applicazioni ed Automazione.
Il webinar ha l'obiettivo di dare indicazioni pratiche e suggerimenti per un adeguato utilizzo dello IAM di WSO2, fornendo casi d'uso e dettagli di integrazione con i sistemi utilizzati anche nella tua organizzazione.
Verranno inoltre affrontate le tematiche di accesso sia per i propri dipendenti, sia per i clienti finali che accedono a portali e utilizzano in generale i servizi esposti. In entrambi i casi WSO2 IAM garantisce sicurezza, agilità e conformità alle normative vigenti (GDPR; PSD2, ...)
Infine potrai chiedere approfondimenti tecnici al nostro esperto certificato su WSO2
Target
CIO, CISO, IT Manager, Product Manager, Digital Transformation Manager
Un approccio scalabile e robusto per il mail filtering. - Simone MarzonaDaniele Albrizio
Questo intervento presenta un approccio al problema del filtraggio dei contenuti delle email che consente di poter scalare verso alti volumi di traffico, di avere una soluzione altamente affidabile sulla quale puntare per poter sgravare i mailserver da tutte le funzionalità relative al filtraggio delle email, rendendo disponibili tutte le risorse per la gestione vera e propria delle mail.
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...walk2talk srl
Lavorare in un mondo cloud-first / mobile-first richiede un nuovo approccio: i dati devono essere accessibili, utilizzati e condivisi sia on-prem che nel cloud, cancellando i confini tradizionali di sicurezza; c'è bisogno di una tecnologia che protegga dalle minacce in evoluzione.
La tecnologia Microsoft assicura la trasformazione digitale con una piattaforma completa e un'intelligenza unica: con Microsoft Enterprise Mobility + Security, le aziende possono gestire in modo completo l’identità dei propri dipendenti, e collaboratori, oltre che mettere in sicurezza i dispositivi ed i dati aziendali, il tutto in modo centralizzato e connesso.
In questa sessione vedremo come la vostra organizzazione possa raggiungere l'equilibrio della sicurezza e dell'implementazione degli utenti finali, con controlli di sicurezza efficaci per identità, periferiche, dati, applicazioni e infrastrutture.
Scopriremo come proteggere i dati dell'organizzazione dall'accesso non autorizzato, individuare attacchi e violazioni e aiutarti a rispondere e attivare le correzioni per impedire che accada di nuovo.
Vedremo quindi come funzionano alcuni degli strumenti della suite, come Azure Active Directory, Intune e Azure Information Protection.
Per richiedere accesso al canale contenente le registrazioni audio/video delle sessioni tecniche di Cloud Conference Italia 2017 compila il seguente form:
https://goo.gl/Fq6DQE
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...walk2talk srl
Negli ultimi anni la sicurezza informatica è diventata una delle principali componenti delle moderne infrastrutture informatiche.
Per rendere sicura un'infrastruttura informatica occorre un'attenta analisi dell'attuali minacce informatiche e della loro possibile evoluzione e l'applicazione delle best practices per la protezione e il monitoraggio.
Nella sessione verrà anche analizzato come Windows Server 2016 e Microsoft Advanced Threat Analytics può aiutarci nell'hardening dell'infrastruttura.
Per richiedere accesso al canale contenente le registrazioni audio/video delle sessioni tecniche di Cloud Conference Italia 2017 compila il seguente form:
https://goo.gl/Fq6DQE
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Par-Tec S.p.A.
Il nostro DevOps Engineer Gabriele Torregrossa insieme alla Solution Architect Eleonora Peruch di Red Hat, moderati dal giornalista Francesco Pignatelli, hanno mostrato come Red Hat ACS può aiutare a difendersi dalle minacce informatiche, riducendo al minimo i costi ed il rischio operativo delle tue applicazioni.
I temi trattati da Gabriele sono stati:
- RHACS Insights
- Conformità agli standard di settore
- Valutazione dei rischi per la sicurezza
- Gestione delle politiche di rete
- Gestione delle vulnerabilità
- Risposta alle violazioni
- Sistema centralizzato di ricerca
- Integrazione con SSO
- Gestione della salute del cluster
- Integrazione per allarmi e backup
Per saperne di più, scaricate le slide e guardate la registrazione del webinar su https://www.par-tec.it/advanced-cluster-security-come-si-mette-davvero-al-sicuro-il-cloud
Cloud Computing fondamenti di sicurezzaMario Gentili
Cloud Computing fondamenti di sicurezza, la sicurezza nei modelli IaaS, PaaS e SaaS. La virtualizzazione, l'Intrusion Detection Service e la crittografia
Similar to D4_DFO_Configurare Microsoft Defender for Office 365 & Best Practice_Public.pdf (20)
5. About Me
• Microsoft 365 Certified: Enterprise Administrator Expert
• Microsoft 365 Certified: Security Administrator Associate
• MCITP: Enterprise Messaging Administrator
• HONOR Community member: WindowServer.it
• Consultant and Trainer
• Founder & CEO/CTO at IQUAD
• EX Microsoft MVP Exchange Server
• LinkedIn: https://www.linkedin.com/in/andreagx/
• Blog: https://andreagx.blogspot.com
Andrea Gallazzi
8. • Il protocollo che definisce la comunicazione della posta elettronica è SMTP
• Originariamente rilasciato come standard Internet nel 1982, RFC 821
descriveva i meccanismi che avrebbero rimodellato la comunicazione come la
conosciamo
SIMPLE MAIL TRANSFER PROTOCOL
9. • Spoofing è una frode in cui un mittente sconosciuto finge di essere un mittente
conosciuto, considerato attendibile dal destinatario.
Diverse tipologie: E-mail, DNS, IP e ARP spoofing
• SPF (Sender Policy Framework) consente di proteggere il dominio dallo
spoofing e impedisce che i messaggi in uscita vengano contrassegnati come
spam. Grazie a SPF è possibile specificare i server di posta autorizzati a inviare
email per conto del dominio
MAIL AUTHENTICATION - SPOOFING, SPF, DKIM, DMARC, ARC
10. • DKIM, che sta per DomainKeys Identified Mail, utilizza la crittografia a chiave
pubblica per controllare la posta elettronica e per consentire al destinatario di
verificare se le intestazioni e il contenuto delle email sono stati modificati
durante il transito
• DKIM aggiunge una firma criptata all'intestazione di tutti i messaggi in uscita. I
server email che ricevono messaggi con firma utilizzano DKIM per decriptare
l'intestazione del messaggio e per verificare che non abbia subito modifiche
dopo l'invio, DKIM utilizza una coppia di chiavi, una privata e una pubblica, per
verificare i messaggi (Threat management > Policy > DKIM)
MAIL AUTHENTICATION - SPOOFING, SPF, DKIM, DMARC, ARC
11. • DMARC indica ai server di ricezione della posta che cosa fare quando arriva un
messaggio che sembra provenire dalla tua azienda, ma che non supera i
controlli di autenticazione o non soddisfa i requisiti di autenticazione della
policy di DMARC. I messaggi non autenticati potrebbero aver rubato l'identità
della tua organizzazione o provenire da server non autorizzati. DMARC viene
sempre utilizzato con DKIM e SPF. Non serve fare nulla per configurare DMARC
per la posta ricevuta in Microsoft 365. Sarà necessario configurarlo per la
posta in uscita.
• Valimail Monitor free per i clienti M365. Fa parte del MISA.
According to Gartner®, DMARC is one of the top 1o security projects
_dmarc.domain TTL IN TXT "v=DMARC1; p=policy; pct=100; rua=mailto:dmarc_agg@vali.email"
p= {none, quarantine, reject}
MAIL AUTHENTICATION - SPOOFING, SPF, DKIM, DMARC, ARC
14. • Backscatter (detto anche outscatter o blowback) indica la ricezione di messaggi
di mancata consegna, solitamente aventi origine dall'invio di spam da parte di
altri. Prassi comune tra gli spammer è infatti quella di indicare indirizzi
realmente esistenti
• ARC (Authenticated Received Chain) è uno standard creato nel 2016 per
aiutare a migliorare il modo in cui i risultati DKIM e SPF vengono passati da un
server di posta all'altro durante l'inoltro. Quando i messaggi vengono passati a
intermediari come mailing list o inoltro di account e-mail, DKIM e SPF possono
rompersi. ARC mira a risolvere questo problema
MAIL AUTHENTICATION - ARC
18. • Microsoft Defender per Office 365 (MDO), precedentemente noto come Office
Advanced Threat Protection (ATP), è un insieme di funzionalità progettate per
rispondere agli exploit zero-day o a nuovi metodi creati dagli aggressori per
aggirare e ingannare i sistemi di protezione di base come EOP
• Nell'attuale panorama, tutti gli amministratori dovrebbero considerare
l’acquisto «obbligatorio» di un servizio di protezione zero-day malware e di
protezione dei link (safe link) che operi su e-mail di origine sia interna che
esterna
• Microsoft Defender per Office 365 è incluso in Microsoft 365 E5 e Office 365 E5
ed è disponibile anche come componente aggiuntivo. Può essere attivato in
Evaluation Mode
COS’È MICROSOFT DEFENDER PER OFFICE 365 (MDO)
19. • Threat protection policies: oltre ad un insieme di criteri predefiniti, è possibile
definire criteri di protezione dalle minacce per impostare il livello di protezione
appropriato per il tipo di organizzazione/business
• Reports: consente di visualizzare report in tempo reale per monitorare Defender per
Office 365
• Threat investigation and response capabilities: usa funzionalità all'avanguardia (AI,
ML) per analizzare, comprendere, simulare e prevenire le minacce
• Automated investigation and response capabilities: consente di risparmiare tempo
e fatica nell’investigation & mitigation delle minacce. Le funzionalità di risposta
automatica agli incidenti includono processi di indagine automatizzati in risposta alle
minacce note
COSA INCLUDE MICROSOFT DEFENDER PER OFFICE 365?
20. Piano 1
• Safe Attachments
• Safe Links
• Safe Attachments for SharePoint,
OneDrive, and Teams
• Impersonation protection in anti-
phishing policies
• Real-time detections
PIANI DI MDO
Piano 2
• Threat trackers
• Threat explorer
• Automated investigation and
response
• Attack simulation and training
• Campaign Views
21. • Microsoft Defender per Office 365 Piano 2 è incluso in Office 365 E5, Office 365
A5 e Microsoft 365 E5
• Microsoft Defender per Office 365 Piano 1 è incluso in Microsoft 365 Business
Premium
• Microsoft Defender per Office 365 Piano 1 e Defender per Office 365 Piano 2
sono disponibili come componenti aggiuntivi per determinati abbonamenti
PIANI DI MDO
22. LO STACK DI PROTEZIONE DI MICROSOFT DEFENDER PER OFFICE 365
24. • Network throttling: protegge dagli attacchi DoS limitando il numero di
messaggi che è possibile inviare/ricevere.
Ric: 3600 /h, sngl usr, 33% r.m. | Send: Rcpt 10000/d, 30 e-mail/min
• IP reputation and throttling: bloccano i messaggi inviati da indirizzi IP di
connessione non validi (noti)
• Domain reputation: blocca tutti i messaggi inviati da un dominio non valido
(noto allo stack). Reputazione determinata dagli ISP
PHASE 1 - EDGE PROTECTION
25. • Directory-based edge blocking: DBEB blocca i tentativi di raccogliere le
informazioni dalla directory (GAL) di un'organizzazione tramite SMTP.
• Backscatter detection: impedisce a un'organizzazione di essere attaccata
tramite rapporti di mancato recapito (NDR) non validi
• Enhanced Filtering for Connectors: (noto anche come skip listing) utilizza la
vera origine dei messaggi e-mail, anche quando il traffico passa attraverso un
altro dispositivo prima che raggiunga Office 365
PHASE 1 - EDGE PROTECTION
26. • Spoof intelligence: blocca tutti i messaggi inviati da un dominio non valido
noto. I messaggi oggetto di spoofing sembrano provenire da una persona o una
posizione diversa da quella reale (SpoofMailReportV2)
• Intra-org spoof intelligence: (Self to Self) L'intelligence di spoofing tra organizzazioni
rileva e blocca i tentativi di spoofing da un dominio all'interno dell'organizzazione
(compauth) Authentication-Results: compauth=<fail | pass | softpass | none> reason=<yyy>
SFTY è il livello di sicurezza del messaggio. 9 indica il phishing, .22 indica lo spoofing tra domini
• Cross-domain spoof intelligence: L'intelligence di spoofing tra domini rileva e blocca i
tentativi di spoofing da un dominio esterno all'organizzazione
Da: tony@stark.com A: piru@piru.com
PHASE 2 - SENDER INTELLIGENCE
27. • Account compromise detection: Gli avvisi di rilevamento della compromissione
dell'account vengono generati quando un account ha un comportamento
strano coerente con la compromissione
PHASE 2 - SENDER INTELLIGENCE
• Email Authentication: L'autenticazione delle
e-mail ha lo scopo di garantire che i mittenti
siano autenticati e autorizzati.
Per evitare lo spoofing, è «consigliabile»
utilizzare i metodi di autenticazione
SPF, DKIM, DMARC e ARC
28. • Mailbox intelligence: Consente alla policy di utilizzare Microsoft Graph per
analizzare il mail flow dell'utente. Ciò aiuta a garantire che le persone con cui si
è comunicato in precedenza non vengano trattate come mittenti falsificati
(spoofed senders)
• Mailbox intelligence for impersonation protection: L'intelligence delle
mailbox per la protezione dall’imitazione consente di configurare azioni
specifiche da eseguire sui messaggi se la mailbox intelligence rileva un utente
imitato
PHASE 2 - SENDER INTELLIGENCE
29. • Bulk e-mail filtering: L’invio massivo di e-mail si potrebbe descrivere come
messaggi potenzialmente indesiderati, spesso sotto forma di newsletter che
vengono inviate contemporaneamente a un vasto numero di destinatari (da qui
il riferimento a massa). La differenza tra email di massa e spam è relativamente
sottile.
PHASE 2 - SENDER INTELLIGENCE
Le informazioni BCL sono
incapsulate nell'intestazione
X-Microsoft-Antispam in un
campo chiamato "BCL". Il
campo può avere i valori
descritti nella Tabella
BCL Value Meaning
0 The message is not from a bulk email sender.
1,2,3 The message is from a known bulk sender but is
unlikely to generate many complaints.
4,5,6,7 The message is from a known bulk sender and can
possibly generate many complaints.
8,9 The message is from a known bulk sender and is
likely to generate a high number of complaints.
30. • User impersonation: La configurazione di “imitazione/rappresentazione”
dell'utente consente all'organizzazione di elencare i propri top executive come
CEO, CFO, Direttori, ecc. Tutte le e-mail che arrivano con lo stesso nome
visualizzato (imitato) e che sono indirizzati agli utenti verranno messe in
quarantena / consegnate alla posta indesiderata secondo la configurazione
(Max 350 usr)
• Domain impersonation: La configurazione di imitazione del dominio
protegge dalle e-mail provenienti da domini typosquatted simili ai tuoi. Per
es. il dominio della tua organizzazione è Contoso.com e gli aggressori
possono inviare e-mail dopo aver registrato domini dall'aspetto simile
come Cont0so.com, Contoso-inc.com ecc
PHASE 2 - SENDER INTELLIGENCE
31. • 1 - Standard: questo è il valore predefinito. La gravità dell'azione intrapresa sul messaggio
dipende dal grado di fiducia che il messaggio sia phishing (fiducia bassa, media, alta o molto
alta)
• 2 - Aggressivo: i messaggi identificati come phishing con un elevato grado di fiducia vengono
considerati come se fossero identificati con un livello di fiducia molto elevato
• 3 - Più aggressivo: i messaggi identificati come phishing con un grado di fiducia medio o
elevato vengono considerati come se fossero identificati con un livello di fiducia molto
elevato
• 4 - Massima aggressività: i messaggi identificati come phishing con un livello di fiducia
basso, medio o alto vengono considerati come se fossero identificati con un livello di fiducia
molto elevato
SOGLIE DI PHISHING AVANZATE
33. • Mail flow rules (also known as transport rules): valutano tutti i messaggi che
attraversano l'organizzazione in base alle condizioni, alle eccezioni e alle azioni
delle regole abilitate
• Microsoft Defender Antivirus: Microsoft Defender e altri due motori antivirus
di terze parti vengono utilizzati per rilevare il malware
• Common attachment filtering: blocca allegati specifici
Policies & rules > Threat policies > Anti-malware
PHASE 3 - CONTENT FILTERING
34. • Attachment reputation blocking: Il blocco della reputazione degli allegati
blocca i file dannosi noti in tutto Office 365
PHASE 3 - CONTENT FILTERING
35. • URL reputation blocking: blocca qualsiasi messaggio con un URL dannoso noto.
Microsoft determina la reputazione tramite sandboxing degli URL, nonché dai
feed di terze parti.
• Heuristic clustering: Può determinare se un file è sospetto in base all'euristica
di recapito. Quando viene trovato un allegato sospetto, l'intera campagna viene
messa in pausa e il file viene inserito nella sandbox. Se il file risulta dannoso,
l'intera campagna viene bloccata.
• Machine learning models: I modelli di machine learning agiscono
sull'intestazione, sul contenuto del corpo e sugli URL di un messaggio per
rilevare i tentativi di phishing
PHASE 3 - CONTENT FILTERING
36. • Content heuristics: L'euristica del contenuto può rilevare messaggi sospetti in
base alla struttura e alla frequenza delle parole all'interno del corpo del
messaggio, utilizzando modelli di machine learning
• Safe Attachments: consente di creare sandbox per ogni allegato (per i piani con
Defender for Office 365), usando l'analisi dinamica per rilevare minacce
sconosciute che non hanno una firma AV nota (attacco zero day)
Safe Attachments offre un ulteriore livello di protezione per gli allegati che
sono già stati analizzati dalla protezione antimalware in EOP
PHASE 3 - CONTENT FILTERING
37. • Linked content detonation: La detonazione del contenuto considera ogni URL
che si collega a un file «come allegato» in un messaggio e-mail, creando un
sandboxing del file, in modo asincrono, al momento del recapito
PHASE 3 - CONTENT FILTERING
• URL Detonation: si verifica
quando la tecnologia anti-
phishing a monte rileva un
messaggio o un URL
sospetto. La detonazione
dell'URL esegue il
sandboxing degli URL nel
messaggio al momento del
recapito
How Defender for Office 365 classifies detonated attachments and URLs
39. • Safe Links: Collegamenti sicuri è la protezione time-of-click di Defender per
Office 365. Quando un URL viene selezionato, viene controllato rispetto alla
recente «reputazione» prima di reindirizzare al sito di destinazione
• Campaign Views: Dal portale Microsoft 365 Defender identifica e classifica gli
attacchi di phishing. La sezione campagne consente di visualizzare il quadro
generale di un attacco utilizzando le grandi quantità di dati anti-phishing, anti-
spam e antimalware nell'intero servizio (E5/P2)
PHASE 4 - POST-DELIVERY PROTECTION
41. • Zero-hour auto-purge (ZAP) for phishing: rileva e neutralizza retroattivamente i
messaggi di phishing dannosi già recapitati nelle cassette postali di Exchange
Online. ZAP non funziona in Hybrid con le mailbox on-premises
• ZAP for malware: ZAP per i malware rileva e neutralizza retroattivamente i
messaggi malware dannosi già recapitati nelle mailbox di Exchange Online
ZAP per malware è abilitato per impostazione predefinita nelle policy
antimalware
• ZAP for spam: rileva e neutralizza retroattivamente i messaggi di posta
indesiderata (non letti) dannosi già recapitati nelle cassette postali di Exchange
Online
PHASE 4 - POST-DELIVERY PROTECTION
42. • Report Message add-in and Report phishing add-in:
consente agli utenti di segnalare facilmente falsi positivi
(posta elettronica legittima contrassegnata come illegittima)
o falsi negativi (posta elettronica illegittima consentita) a
Microsoft per ulteriori analisi
PHASE 4 - POST-DELIVERY PROTECTION
• Safe Links for Office apps: offre la stessa protezione time-of-click di safe
links, in modo nativo, all'interno di app Office supportate, come Word,
PowerPoint e Excel
43. • Protection for OneDrive, SharePoint, and Teams: offre la stessa protezione dai
malware di Safe Attachments, in modo nativo, all'interno di OneDrive,
SharePoint e Microsoft Teams
• Linked content detonation: Quando viene selezionato un URL che punta a un
file dopo il recapito, la detonazione del contenuto visualizza una pagina di
avviso fino al completamento del sandboxing del file e l'URL risulta sicuro
PHASE 4 - POST-DELIVERY PROTECTION
45. Come le feature di investigation and response aiutano gli analisti e
amministratori a proteggere le loro organizzazioni:
• Semplificando l'identificazione, il monitoraggio e la comprensione degli
attacchi informatici
• Aiutando a risolvere rapidamente le minacce in Exchange Online, SharePoint
Online, OneDrive for Business e Microsoft Teams
• Fornendo approfondimenti e conoscenze per agevolare le «security
operation» a prevenire attacchi informatici contro la propria organizzazione
• Utilizzo di indagini e risposte automatizzate in Office 365 per le minacce
critiche basate sulla posta elettronica
THREAT INVESTIGATION AND RESPONSE (PLAN 2)
46. Le funzionalità di analisi e risposta delle minacce si presentano nel portale di
Microsoft 365 Defender, come un insieme di strumenti e flussi di lavoro di
risposta, inclusi:
• Explorer
• Incidents
• Attack simulation training
• Automated investigation and response
STRUMENTI DI INDAGINE E RISPOSTA ALLE MINACCE
47. • Utilizzare Explorer (e i rilevamenti in tempo reale) per analizzare le minacce,
vedere il volume degli attacchi nel tempo e analizzare i dati in base alle famiglie
delle minacce (threat), all'infrastruttura degli aggressori e altro ancora
• Explorer (noto anche come Threat Explorer) è il punto di partenza per il lavoro
di indagine di qualsiasi analista o amministratore della sicurezza
• Per analizzare questo report andare su Email & collaboration > Explorer dal
portale di Defender for Office 365
THREAT INVESTIGATION AND RESPONSE: EXPLORER
49. • Utilizzare l'elenco degli Incidenti (chiamato anche Indagini) per visualizzare un
elenco di incidenti di sicurezza attivi. Gli incidenti vengono utilizzati per tenere
traccia di minacce come messaggi e-mail sospetti e per condurre ulteriori
indagini e correzioni (investigation and remediation)
THREAT INVESTIGATION AND RESPONSE: INCIDENTS
50. • Utilizzare la formazione sulla simulazione degli attacchi (benigni) per impostare
ed eseguire attacchi informatici realistici nella tua organizzazione e identificare
le persone vulnerabili prima che un vero attacco informatico colpisca la tua
azienda (P2/E5)
THREAT INVESTIGATION AND RESPONSE: ATTACK SIMULATION
TRAINING
51. • Sono disponibili diversi payload per diverse tecniche
• Sono disponibili le seguenti tecniche di ingegneria sociale:
• Credential harvest: tentativi di raccogliere credenziali indirizzando gli utenti a un sito
Web dall'aspetto noto con caselle di input per inviare un nome utente e una password
• Malware attachment: aggiunge un allegato dannoso a un messaggio. Quando l'utente
apre l'allegato, viene eseguito un codice arbitrario che aiuterà l'attaccante a
compromettere il dispositivo del bersaglio
• Link in attachment: un tipo di raccolta delle credenziali ibrido . Un utente
malintenzionato inserisce un URL in un allegato di posta elettronica. L'URL all'interno
dell'allegato segue la stessa tecnica della raccolta delle credenziali
• Link to malware: esegue del codice arbitrario da un file ospitato su un noto servizio di
condivisione fil. Il messaggio inviato all'utente conterrà un collegamento a questo file
dannoso
• Drive-by URL: L'URL dannoso nel messaggio porta l'utente a un sito Web dall'aspetto
familiare che esegue e/o installa automaticamente il codice sul dispositivo dell'utente
THREAT INVESTIGATION AND RESPONSE: ATTACK SIMULATION
TRAINING
52. • AIR consente al team di security di operare in modo più efficiente ed efficace.
Le funzionalità AIR includono processi di indagine automatizzati in risposta alle
minacce note. Le azioni di correzione appropriate attendono l'approvazione,
consentendo al team delle operazioni di sicurezza di rispondere alle minacce
rilevate
• Con AIR, il team di security può concentrarsi su attività con priorità più elevata
senza perdere di vista gli avvisi importanti che vengono attivati.
THREAT INVESTIGATION AND RESPONSE: AUTOMATED INVESTIGATION
AND RESPONSE
53. Viene attivato un alert e un playbook di sicurezza avvia un'indagine automatizzata, che si
traduce in risultati e azioni consigliate. Ecco il flusso complessivo di AIR, step by step
1. Un'indagine automatizzata viene avviata in uno dei seguenti modi:
• Un avviso viene attivato da qualcosa di sospetto nella posta elettronica (ad esempio un
messaggio, un allegato, un URL o un account utente compromesso). Viene creato un
incidente e inizia un'indagine automatizzata;
• Un amministratore avvia un'indagine automatizzata durante l'utilizzo di Explorer
2. Durante l'esecuzione di un'indagine automatizzata, raccoglie dati sull'e-mail
in questione e sulle entità correlate a tale e-mail. Tali entità possono
includere file, URL e destinatari. L'ambito dell'indagine può aumentare man
mano che vengono attivati avvisi nuovi e correlati
AUTOMATED INVESTIGATION AND RESPONSE (AIR) FLOW
54. 3. Durante e dopo un'indagine automatizzata, i dettagli e i risultati sono
disponibili per la visualizzazione. I risultati includono azioni consigliate che
possono essere intraprese per rispondere e correggere eventuali minacce
rilevate
4. Il team delle operazioni di sicurezza esamina i risultati delle indaginie i
consigli e approva o rifiuta le azioni correttive
5. Quando le azioni correttive in sospeso vengono approvate (o rifiutate),
l'indagine automatizzata viene completata
AUTOMATED INVESTIGATION AND RESPONSE (AIR) FLOW
56. • Configuration analyzer: L'analizzatore di configurazione nel portale di
Microsoft 365 Defender fornisce una posizione centralizzata per trovare e
correggere le security policy in cui le impostazioni sono inferiori alle
impostazioni del profilo di protezione standard e a quello di protezione Strict
(rigorosa) rispetto alle policy di base preimpostate
• Per utilizzare l'analizzatore di configurazione e apportare aggiornamenti ai
criteri di sicurezza, è necessario essere membri dei ruoli Organization
Management o Security Administrator. Per l'accesso in sola lettura
all'analizzatore di configurazione, è necessario essere membri dei gruppi di
ruoli Global Reader o Security Reader.
CONFIGURATION ANALYZER
57. Nella pagina Analizzatore configurazione sono disponibili tre schede principali:
• Standard recommendations: confronta i criteri di sicurezza esistenti con quelli
standard. E’ possibile modificare i valori delle impostazioni per portarli allo
stesso livello di Standard
• Strict recommendations: confronta i criteri di sicurezza esistenti con i
suggerimenti per un assetto più rigoroso. E’ possibile modificare i valori delle
impostazioni per portarli allo stesso livello di Strict
• Configuration drift analysis and history: controlla e tiene traccia delle
modifiche dei criteri nel tempo
USARE IL CONFIGURATION ANALYZER
60. Se esaminano i dettagli dei messaggi in quarantena, si scoprirà perché EOP/DFO
li considera sospetti. A ogni messaggio in quarantena viene assegnato un motivo
per cui EOP/DFO ha interrotto il recapito alle cassette postali di destinazione
• Bulk: EOP suspects that the message is commercial bulk email.
• Policy: The message matched the conditions of a transport rule (also known as a mail
flow rule)
• Phish: EOP suspects the message to be a phishing attempt.
• High Confidence Phish: EOP has extra reasons to suspect the message to be a phishing
attempt.
• Malware: EOP suspects the message to contain malware.
• Spam: EOP considers the message to be plain old spam. Regretfully, EOP sometimes
thinks email from Gumroad.com is spam, which is why some of our subscribers don’t
receive receipts or news about book updates.
REVIEWING QUARANTINED MESSAGES
64. • Il portale di Microsoft 365 Defender è un portale unificato che fornisce
protezione, rilevamento, indagine e risposta in merito alle minacce di posta
elettronica, collaborazione, identità e dispositivi. Il portale di Microsoft 365
Defender consente di accedere rapidamente alle informazioni presentate in un
layout semplice che combina le informazioni correlate per semplificarne
l'utilizzo. Il portale di Microsoft 365 Defender consente di rispondere agli
attacchi, portando le informazioni in un set di esperienze unificate per:
• Incidents & alerts
• Hunting
• Action center
• Threat analytics
IL PORTALE DI MICROSOFT 365 DEFENDER
65. • Il portale di Microsoft 365 Defender combina le risorse di più origini dati per
offrire una visualizzazione completa della sicurezza nell'organizzazione
UNIFIED INVESTIGATIONS
66. • I controlli comuni vengono visualizzati nella stessa posizione o sono condensati
in un unico feed di dati, ad esempio impostazioni unificate
PROCESSI MIGLIORATI
77. Take Away
• Anti-spam message headers - Office 365 | Microsoft Docs
• Enable the Report Message or the Report Phishing add-ins - Office 365 |
Microsoft Docs
• Message Header Analyzer (mha.azurewebsites.net)
• Microsoft Remote Connectivity Analyzer
• Delist IP - Delist IP (office.com)
• Smart Network Data Services (outlook.com)
• How to use DKIM for email in your custom domain - Office 365 | Microsoft
Docs
• Use DMARC to validate email, setup steps - Office 365 | Microsoft Docs
78. Take Away
• Free Valimail DMARC Monitor for Microsoft 365
• Microsoft recommendations for EOP and Defender for Office 365 security
settings - Office 365 | Microsoft Docs
• Simulate a phishing attack with Microsoft Defender for Office 365 - Office 365 |
Microsoft Docs
• https://security.microsoft.com/spoofintelligence