Microsoft Defender for Office 365 tegen phishing

Microsoft Defender for Office 365 zit bij de meeste E5- en Business Premium-tenants ingebakken, maar de standaardconfiguratie laat geld op tafel liggen. Anti-phishing policies, Safe Links en Safe Attachments leveren pas hun volle waarde nadat u ze hebt afgestemd op uw eigen domein, VIP-postbussen en mailstromen.

Anti-phishing policies

Bouw een Strict Preset of een custom policy met spoof intelligence aan, mailbox intelligence aan en first contact safety tip aan. Stel de phishing email threshold in op 3 (More Aggressive) voor de meeste organisaties. Gebruikers met externe correspondentie zoals sales of recruiting kunnen op threshold 2 staan, maar dan zet u impersonation protection extra strak.

Safe Links

Safe Links herschrijft URL's in inkomende mail en checkt ze opnieuw op het moment dat de gebruiker klikt. Activeer Safe Links voor email, Teams en Office 365 apps. Schakel "Track user clicks" aan en zet "Let users click through" uit voor de meeste profielen. Vergeet niet de policy ook toe te passen op interne mail, anders kan een gecompromitteerde mailbox vrij phishing-links rondsturen.

Safe Attachments

Safe Attachments detoneert bijlagen in een sandbox voor ze de mailbox raken. Kies Dynamic Delivery zodat de mail direct binnenkomt en de bijlage achteraf wordt vrijgegeven. Dat houdt de gebruikerservaring soepel. Activeer ook Safe Documents voor Office 365-apps zodat een geopend document tegen Microsoft Defender wordt gecheckt.

Impersonation protection

Hier zit het meeste rendement. Voeg uw eigen domein toe aan de protected domains. Voeg vervolgens VIP-postbussen toe als protected users: CEO, CFO, COO, hoofd HR en finance-controllers. Defender vergelijkt inkomende afzenders op naam-similariteit (CFO@uwdomein.nl versus CF0@uwdomein.nl) en op display-name spoofing. Stel de actie in op Quarantine voor protected users.

Attack Simulator integratie

Defender Plan 2 bevat Microsoft Attack Simulator. Stuur maandelijks een payload uit naar een willekeurige groep van vijftig medewerkers, varieer tussen credential harvest, malware attachment en drive-by URL. De rapportage koppelt klikgedrag aan trainingsmodules en geeft per gebruiker een risk score. Combineer met Compromise Simulation voor red team-achtige tests.

Wat u maandelijks controleert

Open Threat Explorer en filter op phish-detecties van de afgelopen 30 dagen. Check de top-10 gespoofde afzenders en de top-10 ontvangers. Pas op die data uw policies aan: een nieuwe doelgroep, een nieuw protected domain, een nieuwe simulatie-template.

Verwant: Freelance Microsoft 365 consultant, Freelance cybersecurity consultant.