Tags: Microsoft 365, Malware, Sicherheit
In Office 365 ist bereits mit der Exchange Online Protection (EOP) eine mehrstufige Abwehr gegen Spam und Malware enthalten. Die Advanced Threat Protection (ATP) erweitert diesen Schutz. Sie erhöht die Sicherheit, indem sie Nachrichten, Anhänge sowie Links auf Malware und mögliche Phishing-Angriffe überprüft.
Nach Angaben von Microsoft scannt ATP monatlich 400 Milliarden Mails und blockiert dabei 5 Milliarden Phishing Mails, wobei die Erkennungsrate bei 99,9% liege. ATP setzt stark auf Machine Learning und künstliche Intelligenz.
Prüfung vor der Zustellung
ATP schließt die Lücke gegen Zero-Day Attacken, indem es Malware schon im Vorfeld daran hindert, auf die Rechner der Anwender zu gelangen. Zusätzlich umfasst es erweiterte Analysemöglichkeiten.
Die Überprüfung findet in Echtzeit statt, und zwar bevor die Mail im Posteingang des Benutzers erscheint. Daher kann das Empfangen von Nachrichten um einige Minuten verzögert werden.
Trotzdem sollten sich Unternehmen nicht ausschließlich auf technische Maßnahmen beschränken, sondern die Mitarbeiter auch mit Aufklärung und Informationen für eine sichere Nutzung von E-Mail sensibilisieren.
Konfiguration
Die Konfiguration von ATP erfolgt über das Security und Compliance Center, welches über das Microsoft 365 Admin Center oder direkt über https://protection.office.com aufgerufen werden kann. Dort wechselt man zu Bedrohungsmanagement (Threat Management).
Unter Richtlinie (Policy) finden wir drei Bereiche des ATP, wenn die betreffenden Pläne erworben wurden. Der erweiterte Funktionsumfang ist ebenfalls am zusätzlichen Reiter in der Liste zur Konfiguration ersichtlich.
Wurde kein ATP Plan erworben, stehen lediglich die Grundfunktionen von EOP zur Verfügung.
Antiphising einrichten
Die Konfiguration erfolgt dafür über die Kachel mit der Beschriftung ATP-Antiphishing. Eine Reihe von Einstellungen ist über die Standardrichtlinie vorgegeben, sie gilt für alle Benutzer. Sollen für bestimmte Gruppen davon abweichende Einstellungen greifen, dann kann man mit Erstellen eigene Regeln anlegen. Diese haben dann Vorrang gegenüber der Standardrichtlinie.
In unserem Beispiel passen wir die Standardrichtlinie an.
Bei Identitätswechsel (Impersonation) gehen wir auf Bearbeiten (Edit) und dann auf das Register Zu schützende Domäne hinzufügen (Add domains to protect).
Hier kann der Schiebregler Domänen, die ich besitze, automatisch hinzufügen (Automatically include the domains I own) auf Ein stellen. Damit werden alle Domänen, welche man in Office 365 eingerichtet hat, automatisch hingezufügt.
Auf der Seite Aktionen wählt man aus, was mit Mails passieren soll, die mutmaßlich unter einem gefälschten Domänen- oder Benutzernamen versendet wurden.
Liegt ein Phising-Verdacht vor, dann können Mails beispielsweise in den Junk-Ordner verschoben oder unter Quarantäne gestellt werden.
Um die Transparenz und Benutzerakzeptanz zu erhöhen, empfiehlt es sich, die Sicherheitstipps einzuschalten. Diese werden in Outlook und Outlook Webapp als Info angezeigt.
Die Mailbox Intelligence lässt sich separat aktivieren. Dabei analysiert ATP den Nachrichtenfluss der User, um zu erkennen, mit welchen Kontakten sie am häufigsten kommunizieren und welche Adressen ungewöhnlich sind. Auch hier stehen mehrere Aktionen zur Auswahl.
Bei der Zusammenfassung können die Einstellungen nochmals geprüft und geändert werden.
Das Speichern muss man zum Abschluss noch bestätigen.
Sichere Anlagen (safe attachements) einrichten
Über die Schaltfläche ATP-sichere Anlagen kann die Konfiguration dieses Features erfolgen. Es prüft, ob Mails schädliche Anhänge enthalten. Detaillierte Angaben zu seiner Funktionsweise gibt es auf dieser Seite.
ATP Sichere Anlagen beschränkt sich nicht auf Exchange Online, sondern kann auch für SharePoint, OneDrive und Microsoft Teams eingeschaltet werden. Um E-Mail Anhänge zu schützen, muss man eine neue Regel erstellen.
Hier kann man definieren, wie ATP potenziell gefährliche Anhänge behandeln soll.
Die erkannten Anhänge können an eine Mailadresse zur weiteren Nachverfolgung umgeleitet werden. Abschliessend muss noch der Anwendungsbereich definiert werden.
ATP sichere Links (Safe Links)
Über die Schaltfläche ATP-sichere Links erfolgt die Konfiguration dieser Funktion. Sie soll Benutzer davon abhalten, Links zu folgen, die auf schädliche Web-Seiten führen. Dieser Schutz beschränkt sich nicht auf E-Mails, sondern lässt sich auch Office Apps und Apps auf Mobilgeräten erweitern. Detaillierte Angaben dazu gibt es auf Microsofts Website in diesem Dokument.
Links in Mails werden anhand der gewählten Einstellungen ersetzt. Bei jedem Aufrufen erfolgt eine erneute Überprüfung, da sich der Inhalt der Webseite inzwischen geändert haben könnte. Der Schutz bleibt so auch nach initialer Prüfung erhalten und es benötigt kein neues Versenden der Mail.
Auch hier besteht die Möglichkeit, für ausgesuchte Gruppen spezifische Regeln zu definieren. Der Admin legt bei Bedarf eine eigene Blacklist mit URLs an, die gesperrt werden sollen.
Es bietet sich an, die Einstellungen erst mit wenigen Benutzern zu testen, bevor man sie das gesamte Unternehmen einsetzt. Die Zustellung von Mails kann sich je nach Konfiguration um mehrere Minuten verzögern.
Lizenzierung
Die Lizenzierung der ATP erfolgt, wie bei Office 365 üblich, pro User. Es gibt den ATP Plan 1 und einen erweiterten ATP Plan 2. Dieser ist im umfangreichsten Plan "Office 365 Enterprise E5" bereits enthalten.
| Funktion | Office 365 ATP (Plan 1) | Office 365 ATP (Plan 2) |
|---|---|---|
| Antiphishing-Richtlinien | X | X |
| Echtzeitberichte | X | X |
| Sichere Anlagen (auch in SharePoint, OneDrive und Teams) |
X | X |
| Sichere Links (auch in Teams) |
X | X |
| Angriffssimulator | X | |
| Automatisierte Untersuchung und Reaktion | X | |
| Bedrohungs-Tracker | X | |
| Explorer (erweiterte Bedrohungsuntersuchung) | X |
Fazit
Microsoft bietet mit ATP ein mächtiges Werkzeug zur Abwehr von Phishing- und Malware-Attacken, und dies zu überschaubaren Preisen. Bestehende Anti-Spam-Lösungen können so sinnvoll erweitert oder gar ersetzt werden.
Regeln und Funktionen sollte man sorgfältig prüfen, bevor sie firmenweit eingesetzt werden. Die Benutzer vorab zu informieren ist sehr zu empfehlen.
Weiterführende Informationen gibt es bei den Microsoft Docs, unter anderem als Übersicht und einem Vergleich der Abonnements.
Täglich Know-how für IT-Pros mit unserem Newsletter
Benjamin Bürk ist Senior Systems Engineer und betreut seit 2002 IT-Infrastrukturen von Unternehmen. Sein Schwerpunkt liegt im Aufbau und Betrieb von Server-Systemen und Microsoft 365-Umgebungen. Er ist ITIL4 Foundation, dreifach als MCSA sowie als MCSE Productivity zertifiziert..
// E-Mail, LinkedIn, Podcast //
Verwandte Beiträge
- Benutzer für das Erkennen von Phishing-Mails schulen mit dem Angriffssimulator von Microsoft 365
- SpinSecurity im Test: Microsoft 365 vor Ransomware und Datenverlusten schützen
- Hornetsecurity Plan 4 für 365 Total Protection Suite: Empfänger-Validierung, Phishing-Simulation, Permission Manager
- Neue Funktionen in Defender und Microsoft 365 für Schwachstellen-Management, Security-Analyse und gegen Ransomware
- Übersicht: Die wichtigsten Features von Windows Defender
Weitere Links