Я инженер по безопасности в своей организации и ищу способы автоматизировать процесс отчетности о подозрительных электронных письмах.
Мы используем Terranova Security Awareness для отчетов о фишинговых сообщениях по электронной почте, и я получаю эти сообщения в свой почтовый ящик.Эти отчеты по электронной почте содержат сведения о заголовке сообщения электронной почты, о котором сообщается, и само сообщение электронной почты, о котором сообщается, в виде файла .eml.
У меня также есть доступ к центрам администрирования Microsoft 365 Security and Compliance. Я также могу использовать Microsoft Flow, если это необходимо.
Есть две вещи, которые я хотел бы увидеть, если я могу настроить для оповещения. Мы получаем так много сообщений, что проверять их все утомительно.
Какое-то автоматическое правило, которое проверяет критерии в сообщениях, о которых сообщается. Может домен за пределами нашей организации? Таким образом, я могу быть более осведомленным о деятельности с высоким риском.
Отдельно от этих зарегистрированных электронных писем я хотел бы узнать, есть ли способ получать оповещения, если «x электронных писем доставлено за y период времени из внешнего домена». Это может быть подсказкой о фишинговой атаке. Скажем, 50 писем за 10 минут от одного и того же отправителя.
Я просматриваю политики предупреждений о соответствии, но не вижу критерия «доставлено сообщение» в качестве критерия, по которому я могу сообщить.
Идеи? Что-то еще, что я мог бы попробовать?
