Hoe kan ik weten wat er allemaal op mijn Office 365 tenant gebeurt?

Sinds een aantal maanden is er een nieuw "admin center" beschikbaar op Office 365, namelijk "Security & Compliance". Hier worden alle zaken over veiligheid en compliance samengevat. Je kan hier bijvoorbeeld ook de configuratie van Advanced Threat Protection (ATP) terugvinden. Zie vorige blogs voor meer info over ATP.

Een ander interessant onderdeel is de "Audit log search". Dit kan je terugvinden onder Search & investigation. Standaard staat auditing op Office 365 niet geactiveerd. De eerste keer dat je naar dit onderdeel gaat, krijg je de mogelijkheid om dit te activeren. Vanaf dit moment kan je dit gaan gebruiken. De auditing begint dus maar vanop het moment dat je dit activeert. Je kan dus niet terugkeren in de tijd.

De auditing werkt ook niet enkel in de Exchange omgeving, maar op de volledige Office 365 tenant:

  • Exchange Online
  • SharePoint Online
  • Onedrive
  • Sway
  • Azure Active Directory
  • Power BI
  • ...

Voor sommige onderdelen (bijvoorbeeld Power BI) moet je de auditing nog apart activeren. Een printscreen van de mogelijkheden van audit log search kan je hieronder terugvinden. Maar hiernaast zijn nog veel meer mogelijkheden.

Daarnaast kan je ook alerts gaan toevoegen. Bijvoorbeeld: Als je een interessante query gemaakt hebt, kan een alert ontvangen als iemand een bepaalde actie onderneemt. Zie hieronder:

 *Cliquez ici pour la version française.*

 Kris Deleu, Cloud Expert | www.itcare.be

   

Hoe e-mailadressen white-listen van Advanced Threat Protection?

We merken jammer genoeg bij onze klanten dat Ransomware en Cryptolocker nog steeds heel populair zijn. Daarom implementeren we nu steeds meer en meer Advanced Threat Protection (ATP) op Office 365.  Uit de rapportage kunnen we zien dat dit ook effectief helpt.

Een "nadeel" van ATP is dat de mails met bijlage soms later toekomen. Dit kan ambetant zijn voor interne mails (bv. via scanners of printers). Via het Exchange Admin Center kan je wel een aantal zaken configureren maar het whitelisten van bepaalde e-mailadressen of domeinen is niet mogelijk. Sinds kort bestaat er nu wel een mogelijkheid om dit via een transport-rule te doen. Hieronder kan je terugvinden hoe je dit moet instellen en configureren:

Binnenkort zal men ook gaan werken met placeholder (i.p.v. de echte bijlage). Zo ziet de gebruiker onmiddellijk de mail, maar zal de placeholder maar vervangen worden op het moment dat de bijlage volledig gescand is.

  • Ga naar http://portal.office.com
  • Ga naar het Exchange Admin Center => Mail Flow => Rules
  • Maak een nieuwe rule aan zoals hieronder beschreven:

 

>>> Cliquez ici pour la version française. <<<

Kris Deleu, Cloud Expert | www.itcare.be

Nieuwigheden in Advanced Threat Protection (ATP)

Sinds de laatste blogpost over Advanced Threat Protection (ATP) zijn er ondertussen al heel wat updates gereleased en staan er een paar een paar interessante updates gepland. Hieronder een kleine samenvatting van de nieuwigheden, die ik alleen maar kan toejuichen:

  • Nieuwe rapporten: Er komt een nieuw dashboard waar de beheerder alle details kan zien over de malware die Office 365 Advanced Threat Protection tegengehouden heeft; een mooie extra!

  • Dynamic delivery: Momenteel kan er een korte vertraging optreden als er een mail met bijlage verstuurd wordt. Gemiddeld is dit maar een paar minuten maar dit kan verwarrend overkomen. Daarom zal men de mail direct laten toekomen in de mailbox van de gebruiker maar zal er een "placeholder" getoond worden i.p.v. de echte bijlage.  Na het scannen wordt de "placeholder" dan terug vervangen door de echte bijlage. Deze nieuwe feature is momenteel aan het uitrollen en ziet er veelbelovend uit.

  • URL detonation: Momenteel worden enkel de bijlagen in een "sandboxed" mode uitgevoerd. De links in een mail worden herschreven en er wordt een database met malicious URL's bijgehouden.  Hierdoor kon het wel nog zijn dat de malicious URL nog niet in de database zat op het moment dat je de mail ontvangt. Daarom zullen ze nu ook bij URL's de technologie van de sandboxed mode gebruiken. Dit is een serieuze verbetering van het product. Een preview hiervan zal eind dit jaar beschikbaar worden. Ik hou je op de hoogte van de nieuwe ontwikkelingen hieromtrent.

  • Intelligence sharing met Windows Defender ATP: Windows Defender is de standaard antivirusoplossing van Windows 10.  Dit zal uitgebreid worden met de kennis die Microsoft opgebouwd heeft met Office 365 Advanced Threat Protection.  Een preview hiervan wordt voorzien begin 2017.

  • Uitgebreidere beveiliging: Advanced Threat Protection zal niet enkel werken op Exchange. Dit zal ook uitgebreid worden naar SharePoint Online, OneDrive for Business, Word, Excel, PowerPoint (zie hieronder).  Deze aanpassing wordt verwacht begin 2017.

         

 

<<< Klik hier voor de Franse versie. >>>

 

Kris Deleu, Cloud Expert | www.itcare.be

Hoe kan ik me beter beschermen tergen cryptolocker en andere ransomware: Advanced Threat Protection

Exchange Online Advanced Threat Protection is een aanvulling op de Exchange Online Protection (EOP) van Office 365. De standaard Exchange Online Protection gebruikt al 3 verschillende antivirus engines en diverse filters.  Advanced Threat Protection bouwt hier nog een laag boven.  Het bestaat uit 3 onderdelen:

  • Veilige attachments: ATP beschermt U tegen onbekende malware of virussen. De bijlage passeert dus eerst EOP en daarna wordt de bijlage in een soort "Detonation chamber" getest.  Pas als deze test gedaan is, komt de bijlage in de mailbox van de gebruiker terecht.  Hierdoor kan het zijn dat de bijlage pas later toekomt (max 30 min)
  • Veilige URL's: Een andere manier om virussen binnen te krijgen, is via URL's in een mail.  ATP herschrijft URL's in een mail, zodat die eerst gescand wordt op het moment dat iemand op de URL klikt.
  • Rapportage en tracering

Hieronder een schematische voorstelling:

Het beheer van Advanced Threat Protection gebeurt via het Exchange Admin center van Office 365.  Op het moment dat de licentie geactiveerd wordt, komt er een onderdeel bij aan de rechterkant: "advanced threats".  Dit bestaat uit 2 tabbladen:

  • "Safe attachments": Hier kan men instellen wat er moet gebeuren: afzetten, enkel monitoren, blokkeren of de bijlage vervangen.  Daarnaast kan men nog een redirect van de mail doen.  Eventueel ook op het moment dat er een timeout optreedt. Daarnaast kan je nog kiezen bij wie je dit toepast: op bepaalde domeinen, bepaalde gebruikers of groepen.  Het is ook mogelijk om uitzonderingen toe te voegen.
  • "Safe links":Dit kan je gewoon aan-of afzetten.  Daarnaast kan je nog bepaalde URL's white-listen.  Ook kan je nog bepalen of het klikgedrag van de gebruiker getraceerd moet worden.  Ook hier kan je kiezen op wie dit toegepast moet worden.

Hieronder kan je twee screenshots terugvinden van de mogelijke instellingen:

 

Kris Deleu, Cloud Expert | www.itcare.be