Microsoft Office 365 Advanced Threat Protection: Complete overzicht

Tegenwoordig zijn er talloze bedreigingen die kunnen leiden tot een beveiligingsinbreuk en daaropvolgend gegevensverlies. In 2021 waren spam- en phishing-e-mails de meest voorkomende leveringsmethode die leidde tot ransomware-infecties. Proberen kwaadaardige aanvallen handmatig te detecteren en af te weren is een onmogelijke taak. Voor Office 365-toepassingen en -services biedt Microsoft echter een reeks detectie- en respons tools om de beveiliging te automatiseren en te vereenvoudigen.

Office 365 Advanced Threat Protection (ATP), dat sinds september 2020 Microsoft Defender voor Office 365 is geworden, is een verzameling tools die zijn gewijd aan het voorkomen van online bedreigingen. De verschillende beleidsregels stellen u in staat om on-premises en cloudomgevingen te beschermen door inkomende en uitgaande communicatie te filteren en andere gedeelde inhoud te verifiëren.

Wat Is Advanced Threat Protection?

Office 365 Advanced Threat Protection (ATP) is een op de cloud gebaseerde filteringservice voor cyberdreigingspreventie en detectie. ATP kan uw organisatie beschermen tegen virussen en andere malware, waaronder zero-day aanvallen, die worden verspreid via Office 365-services. ATP kan de nieuwste virussen en onbekende complexe bedreigingen herkennen die nog niet zijn bestudeerd en zelfs niet kunnen worden herkend door de meeste antivirusprogramma’s met de nieuwste virus handtekeningdatabases.

Hoe Werkt Office 365 Advanced Threat Protection

Office 365 Advanced Threat Protection vertrouwt op beleidsregels die geconfigureerd moeten worden door een systeembeheerder. ATP filtert gegevens, verdacht gedrag en andere parameters op het niveau van een organisatie, domein, gebruiker en ontvanger.

Office 365 Advanced Threat Protection kan geïntegreerd worden met Exchange Online Protection (EOP) en Office 365 Threat Intelligence. Het gebruik van ATP in de cloud kan uw mailservers en beschermingssystemen op de mailservers ontlasten, inclusief on-premises servers. Het wordt niet aanbevolen om Office 365 Advanced Threat Protection uit te schakelen, zelfs als u andere tools zoals EOP gebruikt.

Advanced Threat Protection kan e-mailbijlagen, links en bestanden die door gebruikers zijn geüpload naar OneDrive for Business, SharePoint Online en Teams beschermen. Bovendien kan ATP links naar phishingwebsites detecteren, sites met geüploade malwarecode en de aanwezigheid van kwaadaardige code in gedownloade/geüploade bestanden. URL-traceerbaarheid kan helpen bij het blokkeren van potentiële bronnen van bedreigingen en het begrijpen van hun aard en herkomst.

Geavanceerde bedreigingsbeschermingsfuncties

Office 365 Advanced Threat Protection bevat veel handige functies om uw gegevens te beschermen bij het gebruik van Office 365-services. Laten we deze functies in detail bekijken.

Beleidsregels

Policies bepalen het beschermingsniveau en de reactie op vooraf gedefinieerde bedreigingen, die beide op verschillende niveaus kunnen worden ingesteld. Beleidsregels bieden flexibele opties, die een systeembeheerder die Microsoft 365 beheert kan configureren. Als systeembeheerder kunt u instellen wie door de beleidsregels wordt beïnvloed en hoe streng deze beleidsregels zijn.

Veilige bijlagen

Veilige bijlagen zorgen ervoor dat bestanden die aan e-mailberichten zijn gekoppeld, niet schadelijk zijn. Nul-dag bescherming wordt geboden om uw e-mailberichtsysteem te beschermen. Voordat een bericht in de mailbox van een gebruiker wordt ontvangen, wordt het bericht doorgestuurd naar een speciale omgeving, waar bijlagebestanden worden gecontroleerd door middel van virusdefinities, machine learning en geavanceerde analyse technieken om virussen te detecteren. Als er geen virussen worden gedetecteerd in de e-mailbijlage, wordt het e-mailbericht doorgestuurd naar een mailbox. De functie die verantwoordelijk is voor veilige bijlagen wordt attachment sandboxing genoemd.

Veilige koppelingen

Veilige koppelingen gebruiken een werkingsprincipe dat vergelijkbaar is met veilige bijlagen. Deze functie controleert koppelingen in e-mails en andere bestanden die worden geüpload/gedownload in de Microsoft 365-omgeving. Als Microsoft 365 ATP detecteert dat een koppeling niet veilig is, wordt er een waarschuwingsbericht weergegeven (net als bij downloadbare bestanden).

U kunt de functie configureren om gebruikers om te leiden naar een waarschuwingspagina als een gebruiker probeert te klikken op een als schadelijk gedetecteerde koppeling. Het systeem blokkeert dynamisch schadelijke koppelingen. De functie Veilige koppelingen is bijgewerkt en vervangt nu de originele koppeling niet door een gewijzigde koppeling naar een webpagina in de Microsoft-cloud.

ATP voor SharePoint Online

ATP voor SharePoint Online beschermt gebruikers die samenwerken met SharePoint Online sites en gedeelde bestanden binnen uw organisatie. De functie detecteert en blokkeert verdachte bestanden in documentbibliotheken en team sites, waaronder bestanden die zijn opgeslagen op OneDrive. Herkend schadelijk materiaal wordt geblokkeerd. Gebruikers kunnen een als schadelijk geclassificeerd bestand niet openen, kopiëren, verplaatsen, bewerken of delen. Het enige wat met een kwaadaardig bestand mag gebeuren, is het verwijderen ervan. Of het downloaden ervan is afhankelijk van de configuratie.

Anti-phishing bescherming

Na het definiëren van anti-phishingbeleid worden zelflerende systeemmodellen met complexe algoritmen gebruikt om automatisch en snel phishingaanvallen te detecteren. Mailbox-intelligentie analyseert de e-mail- en communicatiegewoonten van gebruikers en aggregeert de gegevens om toekomstige phishingpogingen te detecteren. Deze strenge maatregelen maken een scamaanval erg moeilijk.

Quarantaine

Ongewenste en potentieel gevaarlijke bestanden kunnen in quarantaine worden geplaatst. Als systeembeheerder kunt u de gequarantaineerde gegevens handmatig herstellen of verwijderen. Anders worden deze gegevens verwijderd wanneer de ingestelde retentieperiode verstrijken is. Als u Microsoft 365 Exchange Online Protection heeft gebruikt, bent u wellicht bekend met het werkprincipe van quarantaine.

Spoof Intelligence

Hackers kunnen e-mails namens één of meer accounts verzenden door de naam van de afzender te vervangen. Wanneer een gebruiker zo’n “gespoofde” e-mail ontvangt, kan het veilig lijken als de afzender de naam van een manager in het veld afzender gebruikt. Een gespoofde e-mail, die een oproep tot geldoverdracht, het verzenden van referenties of kwaadaardige scripts kan bevatten, is niet veilig en vormt een bedreiging voor gebruikers en de hele organisatie.

Office 365 Advanced Threat Protection bevat de functie Spoof Intelligence die kan detecteren of een afzender een echte naam of een gespoofde naam gebruikt. U kunt de volledige lijst zien van gebruikers die een bepaald bedrijfsdomein gebruiken en controleren wie het domein van uw organisatie of externe domeinen aan het spoofen is. Als beheerder kunt u de afzender blokkeren die een domeinnaam of gebruikersnaam gebruikt om te doen alsof ze een werknemer zijn bij uw organisatie.

Rapporten

Office 365 Advanced Threat Protection biedt informatieve rapporten zodat u de beschermingsstatus kunt zien en inkomende bedreigingen kunt analyseren. Een rapport is een enkel overzicht dat informatie combineert over gedetecteerde bedreigingen, waaronder kwaadaardige e-mails en andere schadelijke inhoud. Bedreigingen gedetecteerd door Office 365 Advanced Threat Protection en Exchange Online Protection worden getoond in de rapporten. Informatie voor de vorige 90 dagen (de maximale periode die kan worden geconfigureerd) wordt weergegeven in de rapporten. Na het analyseren van de rapporten kunt u de beleidsregels aanpassen.

Bedreigingsonderzoek en -respons

Als je werkt in een groot bedrijf met veel Office 365-gebruikers, kun je overweldigd worden door een groot aantal beveiligingsmeldingen om mee om te gaan. Het sorteren van een groot aantal e-mails op basis van de kenmerken is een tijdrovende taak. Office 365 Threat Investigation and Response kan systeembeheerders en beveiligingsspecialisten helpen om efficiënter te werken. Je kunt gedetecteerde bedreigingen bekijken en geautomatiseerde acties configureren om verschillende soorten bedreigingen te verminderen. Je kunt playbooks samenstellen met de juiste acties voor gedetecteerde bedreigingen, evenals acties of aanbevelingen bekijken en goedkeuren die worden voorgesteld door Office 365 Advanced Threat Protection na een geautomatiseerd onderzoek om bedreigingen te verhelpen.

Microsoft 365 Licensing

Anders dan Exchange Online Protection, dat standaard beschikbaar is voor Microsoft 365-gebruikers, is Advanced Threat Protection beschikbaar voor topabonnementen of kan apart worden aangeschaft. Zo is bijvoorbeeld zelfs Microsoft 365 E3 niet voorzien van geavanceerde dreigingsbescherming.

Microsoft Office 365 Advanced Threat Protection is inbegrepen in de volgende abonnementen:

• Microsoft 365 E5
• Microsoft 365 A5
• Microsoft 365 Business Premium

Je kunt echter de licentie voor Office 365 Advanced Threat Protection kopen bovenop de volgende abonnementen:

• Exchange Online Plan 1
• Exchange Online Plan 2
• Exchange Online Kiosk
• Exchange Online Protection
• Microsoft 365 Business BasicMicrosoft 365 Business Standard
• Microsoft 365 Business Standard
• Microsoft 365 Enterprise E1
• Microsoft 365 Enterprise E3
• Microsoft 365 Enterprise F3
• Microsoft 365 A1
• Microsoft 365 A3

Als Office 365 Advanced Threat Protection niet is opgenomen in uw abonnement, kunt u een van de losse ATP-abonnementen kopen met een per-gebruiker licentiemodel:

• Advanced Threat Protection Plan 1
• Advanced Threat Protection Plan 2

Advanced Threat Protection Configuration

Update: Office 365 Advanced Threat Protection werd Microsoft Defender voor Office 365 in september 2020. Nu, om een van de onderstaande functies in te stellen, moet u toegang krijgen tot de Defender Portal.

Laten we eens kijken hoe u Office 365 Advanced Threat Protection kunt configureren:

1. Open de webinterface van de Microsoft 365 beheercentrum via het linkje https://admin.microsoft.com en ga naar Beheercentra > Beveiliging in de linkerkolom van het venster.

Als alternatief kunt u een directe link openen naar het Microsoft 365 Security & Compliance-beheercentrum: https://protection.office.com

2. Klik in het linkernavigatiedeelvenster op Threat Manager en vervolgens op Dashboard.

Het beveiligingsdashboard, ook wel het bedreigingsdashboard genoemd, toont de huidige status van bedreigingsbeveiliging en links naar configuratiepagina’s.

Anti-malwarebeleid

Klik op Beleid in het linkernavigatiedeelvenster, of het navigatiedeelvenster, en de pagina waar u beleid kunt bekijken, bewerken en maken wordt weergegeven. U kunt anti-phishing-, anti-spam- en anti-malwarebeleid configureren. Laten we eens kijken hoe u een nieuw anti-malwarebeleid kunt maken:

1. Klik op Anti-malware.

2. Op de pagina anti-malware die wordt geopend, klikt u op het plusteken om een nieuw anti-malwarebeleid voor Office 365 Advanced Threat Protection te maken.

3. A new pop-up window opens.

Voer de beleidsnaam en beschrijving in en definieer andere beleidseigenschappen zoals:

• Reactie op malwaredetectie
• Filter voor veelvoorkomende bijlagentypen
• Malware Zero-hour Auto Purge
• Meldingen

Ten slotte, geef aan wie dit beleid van toepassing is, en druk op Opslaan.

Het beleid is nu gemaakt en wordt weergegeven in de lijst met beleid op de Malware-pagina.

Anti-phishingbeleid

Anti-phishingbeleid worden iets anders gemaakt dan anti-malwarebeleid:

1. Ga naar Bedreigingsbeheer > Beleid en klik op Anti-phishing.

De Anti-phishingpagina wordt geopend. Als je deze pagina voor het eerst opent, zal de lijst met anti-phishingbeleid leeg zijn.

2. Klik op de +Aanmaken knop om een nieuw anti-phishingbeleid voor Office 365 Advanced Threat Protection te maken.

3. A new policy wizard opens as a pop-up window. Complete all the steps in the wizard:

• Noem je beleid. Voer een naam in voor een nieuw anti-phishingbeleid. Je kunt ook een beschrijving invoeren.

• Toepassen op. Bepaal de ontvangers of domeinen in je organisatie waarop dit beleid van toepassing is of uitsluit door voorwaarden toe te voegen en ontvangers te selecteren. Bijvoorbeeld, je kunt het beleid toepassen op een volledig domein, groepslidmaatschap, of combinaties van groep en domein. Druk vervolgens op Volgende.

• Bekijk je instellingen. Controleer je instellingen en bewerk ze indien nodig. Als alles correct is, klik op Dit beleid aanmaken.

Quarantaine

E-mailberichten en bestanden die als potentieel gevaarlijk zijn geklasseerd, worden verplaatst naar quarantaine als de juiste instellingen zijn gebruikt voor Office 365 Advanced Threat Protection. Ga naar Bedreigingsbeheer > Controleer > Quarantaine om quarantaine te openen. Je kunt ook deze directe link gebruiken: https://protection.office.com/quarantine

Opmerking: Quarantaine kan worden geopend door de beheerder of een andere gebruiker die machtigingen heeft om quarantaine te beheren. Leden van de Quarantaine-rol in het Office 365 Beveiliging & Compliance Centrum hebben machtigingen om quarantaine te beheren.

Op de Quarantaine-pagina kunt u resultaten sorteren door op de titel van de benodigde kolom te klikken. Klik op Kolommen aanpassen om te selecteren welke kolommen moeten worden weergegeven.

Rapporten

Rapporten zijn handig voor het bekijken van de huidige status en statistieken van uw Microsoft 365-omgeving. In het navigatievenster van het Office 365 Beveiliging & Compliance beheercentrum klikt u op Rapporten > Dashboard om het dashboard met grafieken en diagrammen te zien.

Op deze pagina kunt u het overzicht zien, inclusief:

• Recente rapporten voor downloaden
• Top 5 labels
• Labels trend over de afgelopen 90 dagen
• Hoe labels zijn toegepast
• Labels gecategoriseerd als records
• Exchange Transport Rule
• Threat protection status
• Malware gedetecteerd in e-mail
• Top malware
• Top afzenders en ontvangers
• Spoof detections
• Spam detections
• Compromised users
• Verzonden en ontvangen e-mail
• Supervisie
• Doorstuurrapport
• Connector rapport
• Encryptierapport

Beweeg de muis over de grafiek om meer informatie te zien. Klik op de benodigde grafiek of diagram om deze te openen in volledig schermmodus en de details te bekijken. Na het klikken op Spoof detections wordt een gedetailleerd rapport over nep-e-mail weergegeven.

Standaard wordt een periode van 7 dagen weergegeven op de grafieken en diagrammen, maar deze periode kan worden verlengd tot 90 dagen in de instellingen. Proefgebruikers van Microsoft 365 met Advanced Threat Protection kunnen maximaal 30 dagen aan gegevens in rapporten bekijken.

Conclusie

Office 365 Advanced Threat Protection is geïntegreerd met andere Microsoft 365-services zoals OneDrive, SharePoint Online, Exchange Online, SharePoint Online en andere services. ATP helpt u uw e-mails te beschermen tegen verschillende beveiligingsbedreigingen zoals schadelijke links, virussen en malware.

Echter, om een hoger niveau van gegevensbescherming te bereiken, moet u al uw Microsoft Office 365-gegevens met een gespecialiseerde oplossing zoals NAKIVO Backup & Replication. De NAKIVO-oplossing stelt u in staat om incrementele back-ups van Microsoft 365-gegevens te maken en biedt flexibele point-in-time restores.