Malware und Phishing-Angriffe in Office 365 abwehren mit Advanced Threat Protection (ATP)

ATP schließt die Lücke gegen Zero-Day Attacken, indem es Malware schon im Vorfeld daran hindert, auf die Rechner der Anwender zu gelangen. Zusätzlich umfasst es erweiterte Analyse­möglich­keiten.

Die Überprüfung findet in Echtzeit statt, und zwar bevor die Mail im Posteingang des Benutzers erscheint. Daher kann das Empfangen von Nachrichten um einige Minuten verzögert werden.

Trotzdem sollten sich Unter­nehmen nicht aus­schließlich auf technische Maßnahmen beschränken, sondern die Mitarbeiter auch mit Aufklärung und Informationen für eine sichere Nutzung von E-Mail sensibilisieren.

Konfiguration

Die Konfiguration von ATP erfolgt über das Security und Compliance Center, welches über das Microsoft 365 Admin Center oder direkt über https://protection.office.com aufgerufen werden kann. Dort wechselt man zu Bedrohungsmanagement (Threat Management).

Unter Richtlinie (Policy) finden wir drei Bereiche des ATP, wenn die betreffenden Pläne erworben wurden. Der erweiterte Funktions­umfang ist ebenfalls am zusätzlichen Reiter in der Liste zur Konfi­guration ersichtlich.

Wurde kein ATP Plan erworben, stehen lediglich die Grund­funktionen von EOP zur Verfügung.

Antiphising einrichten

Die Konfiguration erfolgt dafür über die Kachel mit der Beschriftung ATP-Antiphishing. Eine Reihe von Einstellungen ist über die Standard­richtlinie vorgegeben, sie gilt für alle Benutzer. Sollen für bestimmte Gruppen davon abweichende Einstellungen greifen, dann kann man mit Erstellen eigene Regeln anlegen. Diese haben dann Vorrang gegenüber der Standard­richtlinie.

In unserem Beispiel passen wir die Standard­richtlinie an.

Bei Identitäts­wechsel (Impersonation) gehen wir auf Bearbeiten (Edit) und dann auf das Register Zu schützende Domäne hinzufügen (Add domains to protect).

Hier kann der Schiebregler Domänen, die ich besitze, automatisch hinzufügen (Automatically include the domains I own) auf Ein stellen. Damit werden alle Domänen, welche man in Office 365 eingerichtet hat, automatisch hingezufügt.

Auf der Seite Aktionen wählt man aus, was mit Mails passieren soll, die mutmaßlich unter einem gefälschten Domänen- oder Benutzernamen versendet wurden.

Liegt ein Phising-Verdacht vor, dann können Mails beispielsweise in den Junk-Ordner verschoben oder unter Quarantäne gestellt werden.

Um die Transparenz und Benutzer­akzeptanz zu erhöhen, empfiehlt es sich, die Sicherheitstipps einzuschalten. Diese werden in Outlook und Outlook Webapp als Info angezeigt.

Die Mailbox Intelligence lässt sich separat aktivieren. Dabei analysiert ATP den Nachrichtenfluss der User, um zu erkennen, mit welchen Kontakten sie am häufigsten kommunizieren und welche Adressen ungewöhnlich sind. Auch hier stehen mehrere Aktionen zur Auswahl.

Bei der Zusammenfassung können die Einstellungen nochmals geprüft und geändert werden.

Das Speichern muss man zum Abschluss noch bestätigen.

Sichere Anlagen (safe attachements) einrichten

Über die Schaltfläche ATP-sichere Anlagen kann die Konfiguration dieses Features erfolgen. Es prüft, ob Mails schädliche Anhänge enthalten. Detaillierte Angaben zu seiner Funktions­weise gibt es auf dieser Seite.

ATP Sichere Anlagen beschränkt sich nicht auf Exchange Online, sondern kann auch für SharePoint, OneDrive und Microsoft Teams eingeschaltet werden. Um E-Mail Anhänge zu schützen, muss man eine neue Regel erstellen.

Hier kann man definieren, wie ATP potenziell gefährliche Anhänge behandeln soll.

Die erkannten Anhänge können an eine Mailadresse zur weiteren Nachverfolgung umgeleitet werden. Abschliessend muss noch der Anwendungs­bereich definiert werden.

ATP sichere Links (Safe Links)

Über die Schaltfläche ATP-sichere Links erfolgt die Konfiguration dieser Funktion. Sie soll Benutzer davon abhalten, Links zu folgen, die auf schädliche Web-Seiten führen. Dieser Schutz beschränkt sich nicht auf E-Mails, sondern lässt sich auch Office Apps und Apps auf Mobilgeräten erweitern. Detaillierte Angaben dazu gibt es auf Microsofts Website in diesem Dokument.

Links in Mails werden anhand der gewählten Einstellungen ersetzt. Bei jedem Aufrufen erfolgt eine erneute Überprüfung, da sich der Inhalt der Webseite inzwischen geändert haben könnte. Der Schutz bleibt so auch nach initialer Prüfung erhalten und es benötigt kein neues Versenden der Mail.

Auch hier besteht die Möglichkeit, für ausgesuchte Gruppen spezifische Regeln zu definieren. Der Admin legt bei Bedarf eine eigene Blacklist mit URLs an, die gesperrt werden sollen.

Es bietet sich an, die Einstellungen erst mit wenigen Benutzern zu testen, bevor man sie das gesamte Unternehmen einsetzt. Die Zustellung von Mails kann sich je nach Konfiguration um mehrere Minuten verzögern.

Lizenzierung

Die Lizenzierung der ATP erfolgt, wie bei Office 365 üblich, pro User. Es gibt den ATP Plan 1 und einen erweiterten ATP Plan 2. Dieser ist im umfangreichsten Plan "Office 365 Enterprise E5" bereits enthalten.

Funktion	Office 365 ATP (Plan 1)	Office 365 ATP (Plan 2)
Antiphishing-Richtlinien	X	X
Echtzeitberichte	X	X
Sichere Anlagen (auch in SharePoint, OneDrive und Teams)	X	X
Sichere Links (auch in Teams)	X	X
Angriffssimulator		X
Automatisierte Untersuchung und Reaktion		X
Bedrohungs-Tracker		X
Explorer (erweiterte Bedrohungs­untersuchung)		X

Fazit

Microsoft bietet mit ATP ein mächtiges Werkzeug zur Abwehr von Phishing- und Malware-Attacken, und dies zu überschaubaren Preisen. Bestehende Anti-Spam-Lösungen können so sinnvoll erweitert oder gar ersetzt werden.

Regeln und Funktionen sollte man sorgfältig prüfen, bevor sie firmenweit eingesetzt werden. Die Benutzer vorab zu informieren ist sehr zu empfehlen.

Weiterführende Informationen gibt es bei den Microsoft Docs, unter anderem als Übersicht und einem Vergleich der Abonnements.