L1 BIO 13.02.01 ISO A.13.2.1 CIS 2.1.3

Anti-Phishing Beleid Geconfigureerd In Microsoft 365 Defender

πŸ“… 2025-10-30
β€’
⏱️ 9 minuten lezen
β€’
πŸ”΄ Must-Have

πŸ’Ό Management Samenvatting

Anti-phishing beleidsregels in Microsoft Defender voor Office 365 beschermen tegen geavanceerde phishing-aanvallen door impersonation detectie, spoof intelligence, mailbox intelligence en veiligheidstips voor gebruikers te combineren in een gelaagde verdedigingsstrategie.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
11u (tech: 3u)
Van toepassing op:
βœ“ M365
βœ“ Exchange Online
βœ“ Defender voor Office 365

Phishing is de nummer één aanvalsvector voor M365 compromises met 90%+ van security breaches die beginnen met een phishing email. Aanvallers gebruiken steeds geavanceerdere technieken: CEO fraud/executive impersonation waarbij nep-emails van directie wire transfers aanvragen (Business Email Compromise - gemiddeld €50.000+ per incident), domain spoofing met fake sender domains die lijken op de echte (microsft.com ipv microsoft.com), lookalike domains die visueel identiek zijn (micros0ft.com met cijfer 0), compromised legitimate accounts die phishing versturen (moeilijk te detecteren), en credential harvesting via fake login pages. Zonder anti-phishing bescherming slagen deze aanvallen regelmatig met catastrofale gevolgen: wire fraud verliezen, Diefstal van inloggegevens leidend tot account takeovers, malware distribution via phishing links, en reputatieschade. Anti-phishing beleidsregels gebruiken machine learning, spoof intelligence en impersonation detectie om deze threats te blokkeren voordat ze gebruikers bereiken.

PowerShell Modules Vereist
Primary API: Exchange Online PowerShell
Connection: Connect-ExchangeOnline
Required Modules: ExchangeOnlineManagement

Implementatie

Anti-phishing beleid configuratie omvat vijf lagen van bescherming: (1) User impersonation bescherming - specificeer te beschermen users zoals executives, finance team, IT admins waarbij emails die deze users proberen te impersoneren worden geblokkeerd of gemarkeerd, (2) Domain impersonation bescherming - specificeer te beschermen domains zoals company domains en vertrouwde partner domains, (3) Mailbox intelligence - ML-based detectie van unusual sender patterns gebaseerd op email history per gebruiker, (4) Spoof intelligence - detecteer gespoofde internal senders waarbij aanvallers proberen te doen alsof ze van binnen de organisatie komen, en (5) Safety tips - toon visual warnings bij suspicious emails zodat users alert zijn. Actions bij detected phishing: Quarantine (aanbevolen voor high confidence), Move to Junk folder, Deliver met warning banner, of Deliver normally (alleen voor low confidence). beleidsregels worden geconfigureerd via Microsoft 365 Defender portal of PowerShell met ExchangeOnlineManagement module.

Vereisten

Voor het configureren van anti-phishing beleidsregels zijn de volgende voorwaarden vereist:

  1. Microsoft Defender voor Office 365 Plan 1 of Plan 2 (onderdeel van M365 E5 of standalone)
  2. Exchange Administrator of Security Administrator rol
  3. PowerShell 5.1+ met ExchangeOnlineManagement module voor automation
  4. Lijst van te beschermen users (beschermde users): Executives (C-level), Finance team members, Payroll administrators, IT administrators, HR directors
  5. Lijst van te beschermen domains (beschermde domains): Company domain(s), vertrouwde partner domains, Subsidiary domains
  6. User awareness training program voor phishing recognition
  7. incidentrespons procedure voor phishing attempts
  8. Email security baseline: SPF, DKIM, DMARC geconfigureerd (complementary controls)

Implementatie

Anti-phishing beleid implementatie via Microsoft 365 Defender portal:

Gebruik PowerShell-script anti-phishing-beleid.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische creatie van anti-phishing beleid met aanbevolen settings.

Stappen voor configuratie via portal:

  1. Ga naar security.microsoft.com β†’ Email & collaboration β†’ beleidsregels & rules
  2. Select 'Threat beleidsregels' β†’ Anti-phishing
  3. Click 'Create' β†’ Name: 'Anti-Phishing - Company Wide'
  4. Users to bescherm (impersonation):
  5. Add users: CEO, CFO, Finance team members (10-50 users typical)
  6. Domains to bescherm:
  7. schakel in: bescherm organization domains automatically
  8. Add aangepaste domains: Partner domains, subsidiaries
  9. Mailbox intelligence:
  10. Schakel in mailbox intelligence: Yes
  11. Schakel in intelligence voor impersonation bescherming: Yes
  12. Spoof intelligence:
  13. Schakel in spoof intelligence: Yes
  14. Schakel in niet-geauthenticeerde sender indicator: Yes (? in van adres)
  15. Actions bij detected impersonation/spoof:
  16. User impersonation detected: Quarantine message (aanbevolen)
  17. Domain impersonation detected: Quarantine message
  18. Mailbox intelligence detected: Move to Junk folder
  19. Spoof detected: Quarantine if high confidence, Junk if medium
  20. Safety tips:
  21. Show first contact safety tip: Yes (waarschuwt bij eerste email van sender)
  22. Show user impersonation safety tip: Yes
  23. Show domain impersonation safety tip: Yes
  24. Show unusual characters tip: Yes
  25. Applied to: alle recipient domains (of specific groeps)
  26. Priority: 0 (hoogste, past toe voor Standaard beleid)
  27. Save beleid

Testing en validatie:

  1. Test impersonation bescherming: Verzend Test email met display name van CEO
  2. Test domain spoof: Verzend email met spoofed van adres @companydomain.com
  3. Test lookalike domain: Register Test domain micros0ft.com β†’ Verifieer detectie
  4. Controleer quarantine: Verifieer phishing emails in quarantine, niet in inbox
  5. gebruikerservaring: Verifieer safety tips worden getoond bij suspicious emails
  6. False positives: monitoren voor legitimate emails incorrectly blocked

monitoring

Gebruik PowerShell-script anti-phishing-policy.ps1 (functie Invoke-Monitoring) – Controleren.

Continue monitoring van anti-phishing effectiveness:

  1. Microsoft 365 Defender portal β†’ Email & collaboration β†’ bedreigingsbescherming status
  2. Phishing detections dashboard: Hoeveel phishing emails geblokkeerd per dag/week/maand
  3. Impersonation attempts: Volg CEO fraud attempts en domain spoofing
  4. Top targeted users: Wie wordt het meest targeted (extra training)?
  5. Spoof intelligence: Review spoofed senders report, add to blocklist
  6. User reported messages: Analyze user-reported phishing (false negatives?)
  7. Threat Explorer: geavanceerd hunting voor phishing campaigns
  8. beleid effectiveness metrics: Blokkeer rate, false positive rate, gebruiker klikt op safety tips
  9. Quarterly review: Update beschermde users/domains list (org changes)

Remediatie

Gebruik PowerShell-script anti-phishing-policy.ps1 (functie Invoke-Remediation) – Herstellen.

Voor phishing emails die beleid omzeilen (false negatives):

  1. Analyze email headers: Waarom werd phishing niet gedetecteerd?
  2. Tune beleid:
  3. - Add sender to impersonation bescherming list
  4. - Add domain to beschermde domains
  5. - lager impersonation threshold (geavanceerd settings)
  6. - Schakel in aanvullend safety tips
  7. Submit to Microsoft: Report false negative via 'Report message' add-in
  8. Temporary: handmatige quarantine van phishing campaign emails
  9. Long-term: Improve user training (phishing simulation results)

Compliance en Auditing

Anti-phishing beleidsregels zijn essentieel voor email security compliance: CIS Microsoft 365 Foundations Benchmark - control 2.1.3 (Zorg ervoor dat anti-phishing beleidsregels zijn ingeschakeld), BIO Thema 13.02.01 (Overdracht van informatie - Email beveiligingscontroles), ISO 27001:2022 A.13.2.1 (Information transfer beleidsregels - Email bescherming), NIS2 Artikel 21 (Cybersecurity risicobeheer - Phishing prevention measures), en NIST CSF PR.AT-1 (Security awareness training - Phishing awareness). Anti-phishing is baseline requirement voor M365 security.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Anti-Phishing Policy Configuration .DESCRIPTION Ensures anti-phishing policies are configured in Microsoft Defender for Office 365. Protects against phishing, spoofing, and impersonation attacks. .NOTES Filename: anti-phishing-policy.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 2.0 Related JSON: content/m365/defender-email/anti-phishing-policy.json #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param([switch]$Monitoring, [switch]$Remediation, [switch]$Revert, [switch]$WhatIf) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Anti-Phishing Policy Configuration" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Invoke-Monitoring { try { Write-Host "Monitoring:" -ForegroundColor Yellow Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop $policies = Get-AntiPhishPolicy -ErrorAction Stop $result = @{ isCompliant = ($policies.Count -gt 0) totalPolicies = $policies.Count enabledPolicies = 0 policyDetails = @() } if ($policies.Count -eq 0) { Write-Host " No anti-phishing policies found" -ForegroundColor Red } else { Write-Host "`n Anti-Phishing Policies:" -ForegroundColor Cyan foreach ($policy in $policies) { $details = @{ Name = $policy.Identity Enabled = $policy.Enabled MailboxIntelligence = $policy.EnableMailboxIntelligenceProtection SpoofIntelligence = $policy.EnableSpoofIntelligence TargetedUserProtection = $policy.EnableTargetedUserProtection TargetedDomainProtection = $policy.EnableTargetedDomainsProtection } if ($policy.Enabled) { $result.enabledPolicies++ Write-Host " ENABLED: $($policy.Identity)" -ForegroundColor Green Write-Host " Mailbox Intelligence: $($policy.EnableMailboxIntelligenceProtection)" -ForegroundColor Gray Write-Host " Spoof Intelligence: $($policy.EnableSpoofIntelligence)" -ForegroundColor Gray Write-Host " User Protection: $($policy.EnableTargetedUserProtection)" -ForegroundColor Gray } else { Write-Host " DISABLED: $($policy.Identity)" -ForegroundColor Yellow } $result.policyDetails += $details } } Write-Host "`n Summary: $($result.totalPolicies) policies | $($result.enabledPolicies) enabled" -ForegroundColor Cyan if ($result.isCompliant) { Write-Host "`nCOMPLIANT" -ForegroundColor Green exit 0 } else { Write-Host "`nNON-COMPLIANT: No anti-phishing policies" -ForegroundColor Red exit 1 } } catch { Write-Host "`nERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Remediation { try { Write-Host "Remediation:" -ForegroundColor Yellow Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop $existingPolicies = Get-AntiPhishPolicy -ErrorAction Stop if ($existingPolicies.Count -gt 0) { Write-Host " Anti-phishing policies already exist" -ForegroundColor Green exit 0 } Write-Host " Creating anti-phishing policy..." -ForegroundColor Gray $policy = New-AntiPhishPolicy ` -Name "Default Anti-Phishing Policy" ` -EnableMailboxIntelligence $true ` -EnableMailboxIntelligenceProtection $true ` -EnableSpoofIntelligence $true ` -EnableTargetedUserProtection $true ` -EnableTargetedDomainsProtection $true ` -EnableOrganizationDomainsProtection $true ` -EnableSimilarUsersSafetyTips $true ` -EnableSimilarDomainsSafetyTips $true ` -EnableUnusualCharactersSafetyTips $true ` -ErrorAction Stop Write-Host " Policy created successfully" -ForegroundColor Green # Create corresponding rule Write-Host " Creating anti-phishing rule..." -ForegroundColor Gray $rule = New-AntiPhishRule ` -Name "Default Anti-Phishing Rule" ` -AntiPhishPolicy "Default Anti-Phishing Policy" ` -RecipientDomainIs (Get-AcceptedDomain | Select-Object -ExpandProperty Name) ` -Priority 0 ` -ErrorAction Stop Write-Host " Rule created successfully" -ForegroundColor Green exit 0 } catch { Write-Host "`nERROR: $_" -ForegroundColor Red Write-Host " Manual creation: Security Admin Center > Policies > Anti-phishing" -ForegroundColor Yellow exit 2 } } function Invoke-Revert { try { Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop $policyName = "Default Anti-Phishing Policy" $policy = Get-AntiPhishPolicy -Identity $policyName -ErrorAction SilentlyContinue if ($policy) { Write-Host " Removing anti-phishing policy..." -ForegroundColor Gray Remove-AntiPhishPolicy -Identity $policyName -Confirm:$false -ErrorAction Stop Write-Host " Policy removed" -ForegroundColor Yellow } exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "Use: -Monitoring | -Remediation | -Revert" -ForegroundColor Yellow } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Critical: KRITIEK PHISHING RISICO: Zonder anti-phishing bescherming slagen phishing attacks regelmatig met ernstige gevolgen: Business Email Compromise (BEC) wire fraud met gemiddeld €50.000+ verlies per incident, Diefstal van inloggegevens via phishing links leidend tot account takeovers en lateral movement, malware infections via phishing emails (ransomware delivery), executive impersonation attacks die finance team misleiden, en reputatieschade bij succesvolle phishing campaigns. 90% van security breaches begint met Phishing aanvallen. Anti-phishing beleidsregels reduceren phishing success rate met 90%+. Voor organisaties zonder Defender voor Office 365: upgrade is strongly aanbevolen.

Management Samenvatting

Configureer anti-phishing beleidsregels met user/domain impersonation bescherming, mailbox intelligence, spoof detectie en safety tips. Bescherm executives en kritieke users. Quarantine high-confidence Phishing aanvallen. Vereist Defender voor Office 365 P1/P2. Voldoet aan CIS 2.1.3 (L1), BIO 13.02, ISO 27001 A.13.2.1, NIS2. Implementatie: 3 uur technisch + 8 uur voor user list, domain list, testing, en training. KRITIEKE EMAIL beveiligingscontrole.