August 7, 2020
  • 11:10 pm Microsoft 365 – Salasanan resetointi itsepalveluna (SSPR)
  • 9:12 pm Exchange Online – Roskapostin estäminen top-level domainin (TLD) perusteella
  • 11:26 pm Windows 10 – Fiddler Web Debugger Proxyn asennus ja käyttöönotto
  • 3:00 am Microsoft 365 -käyttäjätilin kaappaamiseen reagointi – Tilanteen normalisointi
  • 12:40 am Microsoft 365 -käyttäjätilin kaappaamiseen reagointi – Tilin turvaaminen

Johdanto

Office 365 Security & Compliance Center mahdollistaa eritasoisten ja laajuisten varoitusilmoitusten konfiguroimisen. Tämä tapahtuu luomalla varoituskäytäntöjä (alert policies), jotka ovat jaettavissa kuuteen kategoriaan:

  • Tiedonmenetyksen ennaltaehkäisy
  • Uhkien hallinta
  • Tiedon hallinta
  • Käyttöoikeudet
  • Sähköpostin kulku
  • Muut

Kukin kategoria pitää sisällään erilaisia aktiviteetteja. Varoitusilmoitukset konfiguroidaankin määrittämällä pääasiassa seuraavat asiat:

1) Uhan vakavuus (matala, keskitaso, korkea)
2) Uhan kategoria
3) Tunnistettava aktiviteetti
4) Ehdot, joiden perusteella tunnistettuun aktiviteettiin reagoidaan
5) Varoitusilmoitusten vastaanottaja


Auditoinnin käyttöönotto

Varoituskäytäntöjen toiminta edellyttää auditoinnin käyttöönottoa Office 365 Security & Compliance Centerissä. Jos auditointi ei ole päällä (oletuksena ei ole), siitä varoitetaan tarkastellessa jotain luotua varoituskäytäntöä.

Otin auditoinnin käyttöön navigoimalla Office 365 Security & Compliance Centeristä Search > Audit log search. Painoin sieltä “Turn on auditing“.

Muutoksen täytäntöönpanossa meni pari tuntia.


Varoituskäytännön luominen

Varoituskäytäntöjä luodaan ja hallitaan Office 365 Security & Compliance Centeristä navigoimalla Alerts > Alert policies: https://protection.office.com/alertpolicies

Siellä on oletuksena luotuna noin yhdeksän käytäntöä, joita voi muuttaa vain osittain. Ne luodaan automaattisesti kaikkiin Office 365 -tenantteihin.

Uuden varoituskäytännön voi luoda painamalla “New alert policy” -painiketta.

Ensiksi uudelle käytännölle määritetään nimi, kuvaus, uhan vakavuus ja uhan kategoria. Vakavuusasteita on matala, keskitaso ja korkea. Ne eivät vaikuta siihen, miten käytäntöjä priorisoidaan automaattisesti Officen toimesta, vaan auttavat lähinnä ylläpitäjiä priorisoimaan ja suodattamaan käytäntöjä.

Esimerkiksi tein käytännön, joka varoittaa aina, jos käyttäjän sähköpostiin luodaan edelleenohjaussääntöjä organisaation ulkoisesta IP-osoitteesta:

Name: Creation of forwarding/redirect rule outside organization

Description: This policy alerts when a forwarding or redirect rule is created to user mailbox outside of the organizations IP address scope.

Severity: Medium

Category: Mail flow

Seuraavaksi määritellään tunnistettava aktiviteetti ja ehdot, joiden perusteella tunnistettuun aktiviteettiin reagoidaan. Aktivitetteja voi olla vain yksi per varoituskäytäntö, mutta ehtoja useita. Itse määrittelin seuraavasti:

Activity is: Created mail forward/redirect rule

IP address is: Equals none of: <organisaation julkinen IP-osoite>

Käytännössä siis varoitus lähtee aina, jos sähköpostiin luodaan uudelleen- tai edelleenlähetyssääntö IP-osoitteesta, joka ei ole tuo määritelty IP-osoite.

Seuraavaksi määritellään, mihin sähköpostiosoitteeseen varoitusilmoitukset lähetetään. Voidaan myös määritellä lähetettävien varoitusten maksimimäärän per päivä. Itse määrittelin, että sähköposti-ilmoituksia lähetetään valitsemaani osoitteeseen, ja että ilmoitusten maksimimäärää ei ole rajoitettu.

Lopuksi pystyy arvioimaan kaikki käytännön asetukset, aktiviteetit, ehdot jne. Lisäksi voi määritellä laitetaanko käytäntö heti käyttöön vai ei.

Varoituskäytäntö luotiin ja se näkyi nyt käytäntölistassa:

Status-sarakkeesta nähdään, että käytäntö on päällä. Office 365:n automaattisesti oletuksena luomat käytännöt näkyvät lihavoituna, eikä niiden status-sarakkeessa näy, ovatko ne päällä vai eivät. Ne kuitenkin ovat aina oletuksena päällä.

Testasin säännön toimivuuden luomalla Outlookista edelleenohjaussäännön toiseen tenantin ulkopuoliseen sähköpostiosoitteeseeni.

Muutaman minuutin viivellä hallintatilini postilaatikkoon saapui varoitusilmoitus:

Sääntö siis toimi. Office 365 Security & Compliance Centeristä voidaan luoda vastaavasti hyvin erilaisia ja monipuolisia sääntöjä erilaisia uhkia vastaan.


TÄTÄ DOKUMENTTIA SAA KOPIOIDA JA MUOKATA GNU GENERAL PUBLIC LICENSE (VERSIO 3 TAI UUDEMPI) MUKAISESTI. HTTP://WWW.GNU.ORG/LICENSES/GPL.HTML
MARKUS PYHÄRANTA

 

 

Markus Pyhäranta

RELATED ARTICLES
LEAVE A COMMENT