Hoe e-mailadressen white-listen van Advanced Threat Protection?

We merken jammer genoeg bij onze klanten dat Ransomware en Cryptolocker nog steeds heel populair zijn. Daarom implementeren we nu steeds meer en meer Advanced Threat Protection (ATP) op Office 365.  Uit de rapportage kunnen we zien dat dit ook effectief helpt.

Een "nadeel" van ATP is dat de mails met bijlage soms later toekomen. Dit kan ambetant zijn voor interne mails (bv. via scanners of printers). Via het Exchange Admin Center kan je wel een aantal zaken configureren maar het whitelisten van bepaalde e-mailadressen of domeinen is niet mogelijk. Sinds kort bestaat er nu wel een mogelijkheid om dit via een transport-rule te doen. Hieronder kan je terugvinden hoe je dit moet instellen en configureren:

Binnenkort zal men ook gaan werken met placeholder (i.p.v. de echte bijlage). Zo ziet de gebruiker onmiddellijk de mail, maar zal de placeholder maar vervangen worden op het moment dat de bijlage volledig gescand is.

  • Ga naar http://portal.office.com
  • Ga naar het Exchange Admin Center => Mail Flow => Rules
  • Maak een nieuwe rule aan zoals hieronder beschreven:

 

>>> Cliquez ici pour la version française. <<<

Kris Deleu, Cloud Expert | www.itcare.be

Nieuwigheden in Advanced Threat Protection (ATP)

Sinds de laatste blogpost over Advanced Threat Protection (ATP) zijn er ondertussen al heel wat updates gereleased en staan er een paar een paar interessante updates gepland. Hieronder een kleine samenvatting van de nieuwigheden, die ik alleen maar kan toejuichen:

  • Nieuwe rapporten: Er komt een nieuw dashboard waar de beheerder alle details kan zien over de malware die Office 365 Advanced Threat Protection tegengehouden heeft; een mooie extra!

  • Dynamic delivery: Momenteel kan er een korte vertraging optreden als er een mail met bijlage verstuurd wordt. Gemiddeld is dit maar een paar minuten maar dit kan verwarrend overkomen. Daarom zal men de mail direct laten toekomen in de mailbox van de gebruiker maar zal er een "placeholder" getoond worden i.p.v. de echte bijlage.  Na het scannen wordt de "placeholder" dan terug vervangen door de echte bijlage. Deze nieuwe feature is momenteel aan het uitrollen en ziet er veelbelovend uit.

  • URL detonation: Momenteel worden enkel de bijlagen in een "sandboxed" mode uitgevoerd. De links in een mail worden herschreven en er wordt een database met malicious URL's bijgehouden.  Hierdoor kon het wel nog zijn dat de malicious URL nog niet in de database zat op het moment dat je de mail ontvangt. Daarom zullen ze nu ook bij URL's de technologie van de sandboxed mode gebruiken. Dit is een serieuze verbetering van het product. Een preview hiervan zal eind dit jaar beschikbaar worden. Ik hou je op de hoogte van de nieuwe ontwikkelingen hieromtrent.

  • Intelligence sharing met Windows Defender ATP: Windows Defender is de standaard antivirusoplossing van Windows 10.  Dit zal uitgebreid worden met de kennis die Microsoft opgebouwd heeft met Office 365 Advanced Threat Protection.  Een preview hiervan wordt voorzien begin 2017.

  • Uitgebreidere beveiliging: Advanced Threat Protection zal niet enkel werken op Exchange. Dit zal ook uitgebreid worden naar SharePoint Online, OneDrive for Business, Word, Excel, PowerPoint (zie hieronder).  Deze aanpassing wordt verwacht begin 2017.

         

 

<<< Klik hier voor de Franse versie. >>>

 

Kris Deleu, Cloud Expert | www.itcare.be

Office 365 groups - de sleutel voor eenvoudig beheer van uw projecten binnen Office 365

Office 365 groups oftewel groepen bestaan al een hele tijd in een Office 365 omgeving maar nu Microsoft de ontwikkeling van nieuwe features sterk richt op het gebruik van deze groepen, zijn ze functioneler dan ooit.

Office 365 groups zijn op vandaag immers al geïntegreerd in Microsoft CRM, Microsoft Exchange Online, Outlook 2016, OneDrive, Planner, ….. en laten toe om op een intuïtieve en gebruiksvriendelijke manier informatie toe te voegen in éénzelfde omgeving.

Om een e-mail in een project of klantensite te archiveren, volstaat het bijvoorbeeld om in Outlook de juiste correspondentie door te sturen naar het groepsadres:

 

Bijkomend zal ieder lid van de groep automatisch een bericht krijgt dat er nieuwe informatie beschikbaar is.

 

 

Naast archiveren van mails is er automatisch een groepsagenda, gedeelde opslagruimte voor bestanden en een notitieblok aanwezig. Kortom, alles om informatie op een eenduidige manier samen te houden en naadloos samen te werken met andere mensen binnen uw team.

Voor meer info rond Office 365 groepen kan je ook onderstaande sites raadplegen:

 

Benny Depuydt, Business Consultant | www.itcare.be

Hoe kan ik me beter beschermen tergen cryptolocker en andere ransomware: Advanced Threat Protection

Exchange Online Advanced Threat Protection is een aanvulling op de Exchange Online Protection (EOP) van Office 365. De standaard Exchange Online Protection gebruikt al 3 verschillende antivirus engines en diverse filters.  Advanced Threat Protection bouwt hier nog een laag boven.  Het bestaat uit 3 onderdelen:

  • Veilige attachments: ATP beschermt U tegen onbekende malware of virussen. De bijlage passeert dus eerst EOP en daarna wordt de bijlage in een soort "Detonation chamber" getest.  Pas als deze test gedaan is, komt de bijlage in de mailbox van de gebruiker terecht.  Hierdoor kan het zijn dat de bijlage pas later toekomt (max 30 min)
  • Veilige URL's: Een andere manier om virussen binnen te krijgen, is via URL's in een mail.  ATP herschrijft URL's in een mail, zodat die eerst gescand wordt op het moment dat iemand op de URL klikt.
  • Rapportage en tracering

Hieronder een schematische voorstelling:

Het beheer van Advanced Threat Protection gebeurt via het Exchange Admin center van Office 365.  Op het moment dat de licentie geactiveerd wordt, komt er een onderdeel bij aan de rechterkant: "advanced threats".  Dit bestaat uit 2 tabbladen:

  • "Safe attachments": Hier kan men instellen wat er moet gebeuren: afzetten, enkel monitoren, blokkeren of de bijlage vervangen.  Daarnaast kan men nog een redirect van de mail doen.  Eventueel ook op het moment dat er een timeout optreedt. Daarnaast kan je nog kiezen bij wie je dit toepast: op bepaalde domeinen, bepaalde gebruikers of groepen.  Het is ook mogelijk om uitzonderingen toe te voegen.
  • "Safe links":Dit kan je gewoon aan-of afzetten.  Daarnaast kan je nog bepaalde URL's white-listen.  Ook kan je nog bepalen of het klikgedrag van de gebruiker getraceerd moet worden.  Ook hier kan je kiezen op wie dit toegepast moet worden.

Hieronder kan je twee screenshots terugvinden van de mogelijke instellingen:

 

Kris Deleu, Cloud Expert | www.itcare.be

Hoe kan ik mijn inbox beter organiseren: Clutter - Onbelangrijke mail

Naast "Ongewenste email" (SPAM) heeft Office 365 nu ook "Onbelangrijke email".  Dit is een extra map die kan geactiveerd worden via de Outlook Web Access (zie hieronder).  Onbelangrijke email maakt gebruikt van de kracht van Office Graph en analyseert de berichten in Postvak in.  De onbelangrijke berichten worden verplaatst naar de map "Onbelangrijke email".  Het systeem leert ook van jouw acties. Als je bijvoorbeeld een bericht wist zonder het te lezen.  Ook kan je er zelf voor zorgen dat het systeem beter werkt, door zelf berichten te verslepen van Postvak in naar Onbelangrijk email of omgekeerd (of via de rechtermuisknop: "Verplaatsen naar onbelangrijke email").  Het is ook een gepersonaliseerd systeem en werkt voor iedereen anders.

  • Ga naar https://outlook.office365.com en log in
  • Daarna ga je naar Instellingen => Email => Automatische verwerking => Onbelangrijke email
  • Hier kan je "Onbelangrijke email" in-of uitschakelen en de instellingen wijzigen.
  • Daarna verschijnt de map onder "Postvak in":

Via Powershell kan een administrator de "Onbelangrijke email" ook zelf gaan beheren:

  • Eerst moet je verbinding maken met Exchange Online:
    $UserCredential = Get-Credential 
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
    Import-PSSession $Session
  • Opvragen wie "Onbelangrijke email" geactiveerd heeft:
    $hash=$null;$hash=@{};$mailboxes=get-mailbox;foreach($mailbox in $mailboxes) {$hash.add($mailbox.alias,(get-clutter -identity $mailbox.alias.tostring()).isenabled)};$hash | ft
  • "Onbelangrijke email" voor iedereen uitschakelen:
    Get-Mailbox -ResultSize Unlimited | Set-Clutter -Enable $False

 

Kris Deleu, Cloud Expert | www.itcare.be