概要
此文章提供 HES 對於勒索病毒威脅的防護加強
詳情
在 HES 中針對勒索病毒威脅的防護功能項目:
- 啟用 IP reputation 功能。相關流程請參考KB: Configuring the IP Reputation settings to block spam on Hosted Email Security (HES)
- 確保 inbound protection 的 policy 中有啟用 Spam 和 Phish 防護。會包含WRS、新生URL處理和TLSH,請參考 Troubleshooting guide for spam mails not filtered by Hosted Email Security (HES)
- 阻擋勒索病毒經常利用的附件檔案類型,針對此部分可參考KB: Blocking attachments using the Attachment True File Type criteria in Hosted Email Security (HES)
- 啟用巨集型檔案掃瞄
現在 HES 已支援 Deep Discovery Analyzer as a Service (DDAaaS),是一款雲端形式的服務,作為分析使用。
啟用此功能有助於巨集型檔案的分析。在初期階段識別出可疑文件,接著送到沙箱分析,採取對應的處理動作。
請參考以下流程將HES與DDAaaS進行整合:
- 登入HES網頁主控台
- 進入Inbound Protection > Policy 並點選主要的 Virus Rule
- 點選左半部的 Scanning Criteria
-
找到 Specify advanced settings 勾選底下項目 Submit files to Virtual Analyzer、Include macro, JSE and VBE scanning
Click image to enlarge.
- 點選 Save 按鈕進行儲存
設定完成後 HES 會在封閉環境下進行樣本的進階分析,識別出一般的掃瞄機制可能無法偵測的可疑文件。啟用此功能直到進階分析完成可能會影響到HES傳遞信件發生延遲,最久需花費30分鐘不等。
