Malware und Phishing-Angriffe in Office 365 abwehren mit Advanced Threat Protection (ATP)


    Tags: , ,

    Warnung vor unsicheren Links durch ATPIn Office 365 ist bereits mit der Exchange Online Protection (EOP) eine mehr­stufige Abwehr gegen Spam und Mal­ware enthalten. Die Advanced Threat Protection (ATP) erweitert diesen Schutz. Sie erhöht die Sicher­heit, indem sie Nach­richten, Anhänge sowie Links auf Malware und mögliche Phishing-Angriffe über­prüft.

    Nach Angaben von Microsoft scannt ATP monatlich 400 Milliarden Mails und blockiert dabei 5 Milliarden Phishing Mails, wobei die Erkennungs­rate bei 99,9% liege. ATP setzt stark auf Machine Learning und künstliche Intelligenz.

    Prüfung vor der Zustellung

    ATP schließt die Lücke gegen Zero-Day Attacken, indem es Malware schon im Vorfeld daran hindert, auf die Rechner der Anwender zu gelangen. Zusätzlich umfasst es erweiterte Analyse­möglich­keiten.

    Die Überprüfung findet in Echtzeit statt, und zwar bevor die Mail im Posteingang des Benutzers erscheint. Daher kann das Empfangen von Nachrichten um einige Minuten verzögert werden.

    Trotzdem sollten sich Unter­nehmen nicht aus­schließlich auf technische Maßnahmen beschränken, sondern die Mitarbeiter auch mit Aufklärung und Informationen für eine sichere Nutzung von E-Mail sensibilisieren.

    Konfiguration

    Die Konfiguration von ATP erfolgt über das Security und Compliance Center, welches über das Microsoft 365 Admin Center oder direkt über https://protection.office.com aufgerufen werden kann. Dort wechselt man zu Bedrohungsmanagement (Threat Management).

    Die Konfiguration von ATP erfolgt im Security & Compliance Center des Microsoft 365 Portals.

    Unter Richtlinie (Policy) finden wir drei Bereiche des ATP, wenn die betreffenden Pläne erworben wurden. Der erweiterte Funktions­umfang ist ebenfalls am zusätzlichen Reiter in der Liste zur Konfi­guration ersichtlich.

    Richtlinien für Advanced Threat Protection

    Wurde kein ATP Plan erworben, stehen lediglich die Grund­funktionen von EOP zur Verfügung.

    Antiphising einrichten

    Die Konfiguration erfolgt dafür über die Kachel mit der Beschriftung ATP-Antiphishing. Eine Reihe von Einstellungen ist über die Standard­richtlinie vorgegeben, sie gilt für alle Benutzer. Sollen für bestimmte Gruppen davon abweichende Einstellungen greifen, dann kann man mit Erstellen eigene Regeln anlegen. Diese haben dann Vorrang gegenüber der Standard­richtlinie.

    Neben der Standardrichtlinie zum Ausfiltern von Phishing-Mails kann man auch eigene Regeln definieren.

    In unserem Beispiel passen wir die Standard­richtlinie an.

    Standardrichtlinie für ATP Antiphishing bearbeiten

    Bei Identitäts­wechsel (Impersonation) gehen wir auf Bearbeiten (Edit) und dann auf das Register Zu schützende Domäne hinzufügen (Add domains to protect).

    Domänen hinzufügen, für die der Phishing-Schutz aktiv sein soll

    Hier kann der Schiebregler Domänen, die ich besitze, automatisch hinzufügen (Automatically include the domains I own) auf Ein stellen. Damit werden alle Domänen, welche man in Office 365 eingerichtet hat, automatisch hingezufügt.

    Auf der Seite Aktionen wählt man aus, was mit Mails passieren soll, die mutmaßlich unter einem gefälschten Domänen- oder Benutzernamen versendet wurden.

    Aktion für Nachrichten auswählen, die ATP als Phishing-Mails einstuft

    Liegt ein Phising-Verdacht vor, dann können Mails beispielsweise in den Junk-Ordner verschoben oder unter Quarantäne gestellt werden.

    Um die Transparenz und Benutzer­akzeptanz zu erhöhen, empfiehlt es sich, die Sicherheitstipps einzuschalten. Diese werden in Outlook und Outlook Webapp als Info angezeigt.

    Sicherheitstipps für Benutzer in Outlook einblenden

    Die Mailbox Intelligence lässt sich separat aktivieren. Dabei analysiert ATP den Nachrichtenfluss der User, um zu erkennen, mit welchen Kontakten sie am häufigsten kommunizieren und welche Adressen ungewöhnlich sind. Auch hier stehen mehrere Aktionen zur Auswahl.

    Einstellungen für die Mailbox Intelligence von ATP bearbeiten

    Bei der Zusammenfassung können die Einstellungen nochmals geprüft und geändert werden.

    Anti-Phishing-Einstellungen vor dem Speichern überprüfen

    Das Speichern muss man zum Abschluss noch bestätigen.

    Sichere Anlagen (safe attachements) einrichten

    Über die Schaltfläche ATP-sichere Anlagen kann die Konfiguration dieses Features erfolgen. Es prüft, ob Mails schädliche Anhänge enthalten. Detaillierte Angaben zu seiner Funktions­weise gibt es auf dieser Seite.

    ATP Sichere Anlagen beschränkt sich nicht auf Exchange Online, sondern kann auch für SharePoint, OneDrive und Microsoft Teams eingeschaltet werden. Um E-Mail Anhänge zu schützen, muss man eine neue Regel erstellen.

    Für die Prüfung von Mail-Anhängen erstellt man eine neue Regel.

    Hier kann man definieren, wie ATP potenziell gefährliche Anhänge behandeln soll.

    Einstellungen für Regeln zur Überprüfung von Anhängen

    Die erkannten Anhänge können an eine Mailadresse zur weiteren Nachverfolgung umgeleitet werden. Abschliessend muss noch der Anwendungs­bereich definiert werden.

    ATP sichere Links (Safe Links)

    Über die Schaltfläche ATP-sichere Links erfolgt die Konfiguration dieser Funktion. Sie soll Benutzer davon abhalten, Links zu folgen, die auf schädliche Web-Seiten führen. Dieser Schutz beschränkt sich nicht auf E-Mails, sondern lässt sich auch Office Apps und Apps auf Mobilgeräten erweitern. Detaillierte Angaben dazu gibt es auf Microsofts Website in diesem Dokument.

    Links in Mails werden anhand der gewählten Einstellungen ersetzt. Bei jedem Aufrufen erfolgt eine erneute Überprüfung, da sich der Inhalt der Webseite inzwischen geändert haben könnte. Der Schutz bleibt so auch nach initialer Prüfung erhalten und es benötigt kein neues Versenden der Mail.

    ATP Safe Links schreibt die Hyperlinks in den Mails auf eine interne Adresse um.

    Auch hier besteht die Möglichkeit, für ausgesuchte Gruppen spezifische Regeln zu definieren. Der Admin legt bei Bedarf eine eigene Blacklist mit URLs an, die gesperrt werden sollen.

    Für ATP Sichere Links gibt es ebenfalls eine Standardrichtlinie für alle User, die um eigene Regeln ergänzt werden kann.

    Es bietet sich an, die Einstellungen erst mit wenigen Benutzern zu testen, bevor man sie das gesamte Unternehmen einsetzt. Die Zustellung von Mails kann sich je nach Konfiguration um mehrere Minuten verzögern.

    Einstellungen in den Richtlinien für Sichere Links

    Lizenzierung

    Die Lizenzierung der ATP erfolgt, wie bei Office 365 üblich, pro User. Es gibt den ATP Plan 1 und einen erweiterten ATP Plan 2. Dieser ist im umfangreichsten Plan "Office 365 Enterprise E5" bereits enthalten.

    FunktionOffice 365 ATP
    (Plan 1)
    Office 365 ATP
    (Plan 2)
    Antiphishing-Richtlinien X X
    Echtzeitberichte X X
    Sichere Anlagen
    (auch in SharePoint, OneDrive und Teams)
    X X
    Sichere Links
    (auch in Teams)
    X X
    Angriffssimulator   X
    Automatisierte Untersuchung und Reaktion   X
    Bedrohungs-Tracker   X
    Explorer (erweiterte Bedrohungs­untersuchung)   X

    Fazit

    Microsoft bietet mit ATP ein mächtiges Werkzeug zur Abwehr von Phishing- und Malware-Attacken, und dies zu überschaubaren Preisen. Bestehende Anti-Spam-Lösungen können so sinnvoll erweitert oder gar ersetzt werden.

    Regeln und Funktionen sollte man sorgfältig prüfen, bevor sie firmenweit eingesetzt werden. Die Benutzer vorab zu informieren ist sehr zu empfehlen.

    Weiterführende Informationen gibt es bei den Microsoft Docs, unter anderem als Übersicht und einem Vergleich der Abonnements.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Benjamin Bürk

    Benjamin Bürk ist Senior Systems Engineer und betreut seit 2002 IT-Infrastrukturen von Unternehmen. Sein Schwerpunkt liegt im Aufbau und Betrieb von Server-Systemen und Microsoft 365-Umgebungen. Er ist ITIL4 Foundation, dreifach als MCSA sowie als MCSE Productivity zertifiziert..
    // E-Mail, LinkedIn, Podcast //

    Verwandte Beiträge

    Weitere Links