Exchange Online Protection (EOP) sørger for et solid forsvar mot ondsinnet e-post, med filtre som fanger opp kjente virus, søppelpost og generell nettfiske. Office 365 Advanced Threat Protection (ATP) legger til flere sikkerhetslag. De skjermer mot nulldagstrusler i form av skadelige vedlegg og farlige koblinger. ATP har i tillegg avanserte funksjoner for å avverge målrettede phishing-angrep fra forfalskede og etterlignede avsenderadresser. Utfordringen består i å sette opp tjenestene så de gir maksimal uttelling og ikke en falsk trygghet.
Microsoft anbefaler to sikkerhetsnivåer for EOP og Office 365 ATP som passer for de fleste situasjoner: standard og streng. Du kan konfigurere nivåene manuelt. Men bruk heller de nye beskyttelsesmalene som nettopp er lansert. Det gir deg forhåndsdefinerte sikkerhetspolicyer som holdes oppdatert og er tilpasset det aktuelle trusselbildet. Beskyttelsen blir optimal. Du får den raskere på plass. Et integrert verktøy for å analysere konfigurasjonen, er under utvikling. For øyeblikket bør du benytte Office 365 ATP Recommended Configuration Analyzer (ORCA).
Malbaserte policyer
Du finner de nye malbaserte policyene i Sikkerhets- og samsvarssentret for Office 365. Velg Trusselhåndtering, Policy. Retningslinjene er basert på Microsofts anbefalinger og nåværende angrepstrender. Etter hvert som trussellandskapet endres, oppdateres disse sikkerhetspolicyene automatisk av Microsoft. Du kan umiddelbart implementere dem, og de vil alltid forholde seg til Microsofts seneste råd. Du konfigurerer beskyttelsen ganske enkelt ved å bruke beskyttelsesmalen på alle policyer samtidig. Klikk på boksen Tilbakestill sikkerhetspolicyer.
Da får du opp siden for Forhåndsinnstilte sikkerhetspolicyer, som er en samling innstillinger for alle policyer: innkommende og utgående søppelpostfilter, beskyttelse mot skadelig programvare, beskyttelse mot phishing, ATP-svindel og ATP-vedlegg. Du kan velge mellom to beskyttelsesprofiler. Standard passer best for brukere flest. Streng er en mer aggressiv profil for folk med spesielle behov. Det er ikke mye du kan eller trenger gjøre her. For hver beskyttelsesprofil har du disse alternativene: Du kan aktivere eller deaktivere den. Du definerer hvem EOP- og ATP-beskyttelsen skal gjelde for ved bruk av betingelser.
Innstillingene i disse policyene lar seg ikke endre. Det tar Microsoft seg av. De er basert på deres observasjoner, erfaringer og maskinlæring. Men du kan ha andre policyer i tillegg der alternativene kan redigeres. Når flere benyttes på samme bruker, er rangordningen: (1) streng forhåndsinnstilt sikkerhetspolicy, (2) standard forhåndsinnstilt sikkerhetspolicy, (3) egendefinerte policyer og (4) standardpolicyer. Fra øverst til nederst overstyrer de hverandre.
Klikk på Rediger for policyen du ønsker å ta i bruk, og legg til betingelsene hvem den skal gjelde for. Du kan skjelne mellom EOP- og ATP-beskyttelse. Om du velger mottakerdomener, ta også med subdomenene under onmicrosoft.com.
De to beskyttelsesmalene Strict Preset Security Policy og Standard Preset Security Policy er lagt til for modulene ATP-anti-phishing, klarerte ATP-vedlegg, ATP-klarerte koblinger og beskyttelse mot søppelpost og skadelig programvare. Det er ikke til hinder for at innstillingene i Standardpolicy fortsatt er gyldige, så sant de ikke er i strid med Microsofts profiler, som har høyere prioritet.
Her har vi redigert Policy for utgående søppelpostfilter, som alltid er slått på. Vi ønsker å begrense sending til eksterne og interne mottakere, sette en maksimal mottakergrense per dag og hindre brukere i å sende e-post om de går over grensene. Disse retningslinjene inngår ikke i Microsofts beskyttelsesmaler og skaper dermed ingen konflikt. De forhåndsinnstilte sikkerhetspolicyene danner fundamentet, og vi kan skrittvis forfine innstillingene med andre policyer. Men da trenger vi gode analyseredskaper for å bekrefte at våre konfigurasjoner har noe for seg. Vi må ha mer synlighet.
Konfigurasjonsanalyse
Microsoft er i ferd med å rulle ut en forhåndsversjon av Konfigurasjonsanalyse (Configuration Analyzer). Den skal bli et sentralt sted for å undersøke og rette på policyer som ikke er på høyde med nivåene i de i forhåndsinnstilte sikkerhetspolicyene. Konfigurasjonsanalyse har to faner:
- Innstilling og anbefalinger: Du velger Standard eller Streng og sammenligner disse innstillingene med de eksisterende sikkerhetsreglene. I resultatene kan du justere verdiene dine for å bringe dem opp på samme nivå som Microsofts forslag.
- Analyse og logg for konfigurasjonsdrift: Visningen gjør det mulig å spore endringer du har gjort i policyene dine basert på resultatene fra konfigurasjonsanalysen over tid.
Skjermbildet er fra Microsofts presentasjon Configuration analyzer for protection policies in EOP and Office 365 ATP. Funksjonen er ikke kommet til vår leier (tenant) ennå. Grønt angir at alle innstillinger er minst like sikre som beskyttelsesprofilen du sammenligner med. Gult betyr at et mindre antall faller utenfor. For rødt er det et betydelig antall, som kan være noen få innstillinger i mange policyer eller mange innstillinger i én policy. For å endre verdien på innstillingen i policyen din, så den samsvarer med den anbefalte beskyttelsesprofilen, vil du kunne klikke på Adopt (ta i bruk).
Office 365 ATP Recommended Configuration Analyzer
Office 365 ATP Recommended Configuration Analyzer (ORCA) er en PowerShell-modul utviklet av ansatte i Microsoft. Den analyserer hele miljøet i Exchange Online Protection (EOP) og Office 365 Advanced Threat Protection (ATP). Rapporten vises på en lokal nettside. Øverst får du en samlet vurdering. Her er det tre anbefalinger og 56 innstillinger som er ok. Endringsforslagene er knyttet til policyene for ATP.
Policyer for søppelpost, Advanced Threat Protection og skadevare burde ikke trenge en forklaring. DKIM er en sertifikat-basert autentiseringsprotokoll for e-post og bør aktiveres for alle domener du eier.
Transportregler kontrollerer om du har hvitelistet domener på en utrygg måte. Zero-hour Auto Purge (ZAP) fjerner skadelige meldinger fra postbokser (falske negativer) og fører falske positiver tilbake fra karantene. Innstillinger for leieren (tenant) sjekker om du har aktivert fellesloggen som samler alle logger fra de fleste Microsoft 365-tjenester. Koblinger og domener (ikke vist her) undersøker om MX-posten peker direkte på EOP eller om det benyttes forbedret filtrering.
Én av manglene som er flagget, er at policyen for Klarerte dokumenter for Office-klienter ikke er aktivert. For en leier med Microsoft Business Premium har det ingen betydning. Det er en Microsoft 365 E5-mekanisme for å skanne dokumenter og filer som åpnes i Beskyttet visning. Den krever Microsoft Defender ATP. Her ser vi hvordan ORCA opererer. Meldingen er markert med mørkegult og tommel ned, med en oppfordring om forbedring. Du får en rask forklaring og koblinger som gir flere opplysninger. Du ser hvilken policy som er berørt.
Her vises vurderingen av Policy for utgående søppelpostfilter som vi redigerte ovenfor. Det er tommel opp og ok. Igjen får du en kortfattet forklaring og en henvisning for mer informasjon på eksterne nettsider. Det gjør det enkelt å arbeide med ORCA.
Installere og kjøre ORCA
Du installerer ORCA via Windows PowerShell (Admin): Install-Module -Name ORCA. Her er GitHub ikke angitt som klarert kodelager. Derfor blir du spurt om du stoler på det. Eventuelt får du beskjed om at du trenger NuGet Provider 2.8.5.201 eller nyere for å laste ned modulen hvis det er første gang du installerer på denne måten via PowerShell.
Du starter analysen med PowerShell-kommandoen: Get-ORCAReport. Du trenger Exchange Online PowerShell V2-modulen (EXO V2) fordi ORCA benytter seg av kommandoen Connect-EXOPSSession. Om du ikke har EXO V2-modulen, kan du velge å installere den første gang du kjører rapporten. ORCA henter ut innstillingene, undersøker policyer og konfigurasjoner for så til slutt å generere en rapport – noe som går forbløffende kjapt.
Avsluttende ord
E-post er fortsatt den mest utbredte metoden for å angripe en organisasjon. Sammen med Office 365 Advanced Threat Protection legger Exchange Online Protection lag på lag og bygger opp et effektivt dybdeforsvar som klarer å absorbere selv de mest sofistikerte former for e-postangrep. Forsvaret skjermer virksomheten mot skadelig programvare og søppelpost. Det beskytter brukere mot phishing-angrep og konfigurerer sikkerhetstips angående mistenkelige meldinger. Det fanger opp skadelig innhold i e-postvedlegg og filer i SharePoint, OneDrive og Teams. Det hindrer ansatte i å åpne og dele farlige koblinger i e-postmeldinger og Office-skrivebordsapper.
Utfordringen består i å konfigurere lagene best muig. Dette krever vanligvis gode kunnskaper og er en tidkrevende prosess. Med Microsofts nye forhåndsinnstilte sikkerhetspolicyer forenkles arbeidet i betydelig grad. Det tar mindre tid å sette opp beskyttelsen. Du er alltid i samsvar med Microsofts anbefalinger. Men du trenger antakelig også innstillinger du legger til i egendefinerte policyer og standardpolicyer. Det gjør det nødvendig med gode rapporteringsverktøy. Microsoft er i ferd med å rulle ut en forhåndversjon av Konfigurasjonsanalyse (Configuration Analyzer), som skal bli et sentralt sted for å undersøke og rette på policyer og avdekke avdrift. Office 365 ATP Recommended Configuration Analyzer (ORCA) er allerede på plass og hjelper deg med å analysere hele miljøet.
Koblinger for videre lesning
Koblingene refererer til Microsoft Docs, som er hjemstedet for Microsoft-dokumentasjon for sluttbrukere, utviklere og IT-fagfolk.
Preset security policies in EOP and Office 365 ATP
Recommended settings for EOP and Office 365 ATP security
Configuration analyzer for protection policies in EOP and Office 365 ATP
