Microsoft Cloud App Security umí kromě dohledu i aktivně zasahovat do komunikace. Prostřednictvím integrace Microsoft Cloud App...
Ochrana institucí před kybernetickými útoky dle doporučení NÚKIB
Národní úřad pro kybernetickou a informační bezpečnost vydal varování před kybernetickými hrozbami cílenými zejména na české státní instituce a nemocnice. NÚKIB tuto hrozbu hodnotí jako vysokou, tedy hrozba je pravděpodobná až velmi pravděpodobná.
Součástí varování je i dokument, který blíže popisuje hrozby s doporučeními, jak se proti nim bránit.
Aktivace phishing protection v Office 365
Office 365 nabízí pokročilou ochranu proti phishingu v rámci Office 365 Advanced Threat Protection.
V Security & Compliance portálu je možné upravit výchozí anti-phishing politiku nebo vytvořit novou. V části Threat Management – Policy zvolte Anti-phishing a upravte výchozí politiku nebo vytvořte novou.
V Users to protect zvolte uživatele, které chcete explicitně chránit proti impersonifikaci. Zde byste měli zvolit uživatele, kteří jsou pro organizaci nějakým způsobem významní a mohli by se tedy s velkou pravděpodobností stát terčem útoků pro útočníky, kteří by se za tyto uživatele vydávali. Jedná se tedy typicky o vedení organizace nebo IT oddělení – CEO, CFO, CTO, CISO apod.
V části Domains to protect povolte ochranu všech domén, které vlastníte. Volitelně můžete ochranu explicitně nastavit i pro externí domény, které jsou pro organizaci nějakým způsobem významné, například klíčoví dodavatelé nebo partneři.
V části Actions byste měli zvolit uložení do karantény pro všechny emaily, které byly detekované jako zosobnění domény nebo uživatele.
V dalším kroku povolte mailbox intelligence.
V posledním kroku můžete volitelně přidat důvěryhodné odesílatele.
Dále povolte antispoofing protection a politiku nastavte jako agresivní.
Tlačítko Report Message v Outlooku
Tlačítko Report Message umožňuje uživatelům nahlásit podezřelé zprávy, které následně administrátoři mohou analyzovat v Security & Compliance Center v části Submissions.
V Services & add-ins klikněte na Deploy add-in a v Store najděte add-in Report Message. V Assigned users vyberte Everyone a Deployment method vyberte Fixed. Zbytek průvodce jen proklikejte.
Safe Attachments pro pokročilou ochranu příloh
Safe Attachments je pokročilá ochrana příloh v Office 365 ATP. Na pozadí služby se dělá tzv. detonace, kdy přílohy v emailech se spouští a sleduje se, co přílohy dělají. Jestli se nepokouší měnit nějaké soubory, spouštět služby, zastavovat služby, připojovat se někam do internetu a stahovat další soubory, zneužívat nějaké známé chyby apod. Je to velmi účinná metoda ochrany proti zero-day zranitelnostem.
V Security & Compliance Center běžte do Threat Management – Policy a vyberte Safe attachments. V horní části zatrhněte Turn on ATP for SharePoint, OneDrive, and Microsoft Teams, abyste chránili uživatele před škodlivými soubory v cloudových službách.
Vytvořte novou politiku pro bezpečné přílohy, která bude blokovat přílohy obsahující malware a bude aplikovaná na všechny vaše domény.
Safe Links pro pokročilou ochranu odkazů
Office 365 Safe Links je služba pro pokročilou ochranu odkazů. Odkazy v emailech jsou nahrazeny proxy adresou služby, která při kliknutí na odkaz v reálném čase oskenuje cílovou stránku, jestli se na ní nenachází škodlivý kód.
V Security & Compliance Center běžte do Threat Management – Policy a zvolte Safe Links. Ve výchozí politice pro celou organizaci zatrhněte používání safe links v Office 365 aplikacích a zakažte uživatelům proklik na původní URL.
Dále vytvořte novou uživatelskou politiku pro Safe Links, kde povolte funkci Safe Links. Dále povolte integraci s Teams, povolte skenování v reálném čase a nedovolte prokliknutí uživatelů na původní URL. Politiku aplikujte na všechny domény organizace.
Pokročilá ochrana proti malware v Office 365
V rámci Security & Compliance Center jděte do Threat Management – Policy a zvolte Anti-malware. Upravte politiku tak, aby povolovala Common attachment types filter a Malware zero-hour auto purge. V Common attachment types filter ponechte výchozí typy blokovaných souborů a ověřte a případně přidejte minimálně následující – .exe, .msi, .bat, .cmd, .jar, .vbs, .ps1, .ps2.
Microsoft Defender Advanced Threat Protection
Microsoft Defender Advanced Protection je velmi pokročilý firemní bezpečnostní produkt vycházející ze zdarma dostupného Windows Defender.
Před nasazením Defender ATP je potřeba vytvořit workspace. Následně je možné začít počítače a servery onboardovat do Defender ATP. Onboarding je možný přes Intune, Group Policy, System Center Configuration Manager nebo PowerShell skript.
V rámci doporučené konfigurace ochrany je vhodné aktivovat/vynutit následující:
- SmartScreen for Edge
- SmartScreen for apps and files
- Malicious site access
- Unverified file download
- Real-Time monitoring
- Behavior monitoring
- Network Inspection System
- Cloud-delivered Protection
- Attack Surface Reduction Rules (ASR) a blokovat následující:
- Office apps/macros creating executable content
- Office apps launching child processes
- Win32 imports from Office macro code
- Obfuscated js/vbs/ps/macro code
- js/vbs executing payload downloaded from Internet (no exceptions)
- Executables that don’t meet a prevalence, age, or trusted list criteria
- Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
- Advanced Ransomware Protection v rámci ASR
- Network Protection
- Tamper Protection
Povolení blokování souborů v Microsoft Defender ATP
Nejprve aktivujte Allow or block file vlastnost v Defender ATP. Jděte do Defender Security Center a následně do Settings – Advanced features. Zde aktivujte Allow or block file.
Vytvoření indikátorů pro blokující hash souborů poskytnutých od NÚKIB
NÚKIB ve svém dokumentu zveřejnil hash sedmi souborů, které je vhodné blokovat. Jedná se o tyto soubory
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 | File type: Win32 EXE MD5 28e1786bd652942f0be31080a9452389 SHA-1 44cb931ee16f1f6e3b408035efcd795d8aa0c9be SHA-256 7aa996ff7551362f42ba31d4cd92d255a49735518b3f4dc33283fdd5c5a61b42 File type: Win32 EXE MD5 e20ee9bbbd1ebe131f973fe3706ca799 SHA-1 4e92e5cbe9092f94b4f4951893b5d9ca304d292c SHA-256 f632b6e822d69fb54b41f83a357ff65d8bfc67bc3e304e88bf4d9f0c4aedc224 File type: Win32 EXE MD5 9dbbfa81fe433b24b3f3b7809be2cc7f SHA-1 b87405ff26a1ab2a03f3803518f306cf906ab47f SHA-256 dfbcce38214fdde0b8c80771cfdec499fc086735c8e7e25293e7292fc7993b4c File type: Win32 EXE MD5 7def1c942eea4c2024164cd5b7970ec8 SHA-1 b2f4288577bf8f8f06a487b17163d74ebe46ab43 SHA-256 c3f11936fe43d62982160a876cc000f906cb34bb589f4e76e54d0a5589b2fdb9 File type: Win32 EXE MD5 e6ccc960ae38768664e8cf40c74a9902 SHA-1 d29cbc92744db7dc5bb8b7a8de6e3fa2c75b9dcd SHA-256 b780e24e14885c6ab836aae84747aa0d975017f5fc5b7f031d51c7469793eabe File type: Win32 EXE MD5 b1349ca048b6b09f2b8224367fda4950 SHA-1 44fac7dd4b9b1ccc61af4859c8104dd507e82e2d SHA-256 c46c3d2bea1e42b628d6988063d247918f3f8b69b5a1c376028a2a0cadd53986 File type: Win32 EXE MD5 0d7dbda706e0048aca27f133d4fc7c51 SHA-1 1ed9dc8be0f925a5c23e6b516062744931697c78 SHA-256 ac6b3f9e0848590e1b933182f1b206c00f24c3aa0aa6c62ca57682eff044d079 |
Výše uvedené hash přidejte do tzv. Indikátorů v Defender Security Center – Settings – Indicators. CSV, které lze přímo importovat do Indikátorů v Defender Security Center, je ke stažení zde.