Cómo configurar Whitelist en Microsoft
Lo recomendable es utilizar como medio de envío DMI (Direct Message Injection). Para poder configurarlo ver el enlace al Instructivo.
Si bien con el DMI nos aseguramos que los correos de las simulaciones lleguen a la bandeja de entrada de los usuarios correctamente, muchas veces podemos encontrarnos con estadísticas afectadas y falsos positivos con clicks en el enlace o si se trata de una simulación de Ransomware con falsas estadísticas de aperturas de los archivos adjuntos.
Es por ello que recomendamos configurar las 2 reglas del ATP (Advanced Thread Protection), la de ATP Link y ATP Attachment, utilizando el Header que identifica a la instancia de SMARTFENSE utilizada.
Se recomienda implementarla por Header y no por nuestras direcciones IPs, para evitar la situación en la que muchas veces nos encontramos en que las simulaciones no llegan a Microsoft con las IPs de nuestros servidores de envío, sino de tecnologías como las de AntiSpam, que una vez que el correo ha llegado a bandeja de entrada las revisan y las vuelven a enviar. Por lo cual no llegan con nuestras IPs.
Para poder crear las reglas por Header, Microsoft permite alrededor de 100 caracteres por lo que deberá acortar el Header por defecto que se encuentra en la plataforma de SMARTFENSE.
Pasos para acortar el Header en SMARTFENSE:
- Ingrese a su plataforma de SMARTFENSE.
- En la sección Configuración > Seguridad > Whitelist vaya al apartado de "Header de correos de Phishing y Ransomware".
- Haga clic en el botón "Personalizar Header".
- Quítele caracteres desde el final hacia adelante hasta que quede aproximadamente un Header de 100 caracteres. Puede copiar el header en el programa Bloc de notas, para quitar los caracteres necesarios.
- Luego pegar el header modificado en la plataforma de SMARTFENSE.
- Haga clic en "Guardar" al final de la sección.
Reglas para Omitir la protección de Advanced Threat Protection
Esta sección muestra cómo proceder cuando se está utilizando Advanced Threat Protection (ATP) en su entorno de correos electrónicos y está recibiendo falsos clicks o falsas aperturas de archivos adjuntos.
Lo que se debe hacer es configurar reglas de flujo de correo para omitir Safe Link/Attachment Processing de ATP para correos electrónicos de simulaciones de phishing y ransomware desde las direcciones IP de SMARTFENSE.
Nota: Le recomendamos que espere al menos dos horas para que las reglas se propaguen a todos sus usuarios. Además, recomendamos probar la efectividad de las reglas con un pequeño grupo de prueba antes de lanzar las campañas de simulaciones de phishing o ransomware a todos sus usuarios nuevamente.
Regla para Omitir ATP Link
A continuación, se encuentran detallados los pasos para configurar una regla de flujo para omitir el ATP Link Processing (Procesamiento de Enlaces de ATP):
- Ingresar en el siguiente link: https://admin.exchange.microsoft.com/#/
- Ir a Flujo de correo > Reglas.
- Haga clic en (+) Agregar una regla > Crear una nueva regla.
- Asígnele un nombre a la regla, como "Omitir ATP Links".
- En la condición Aplicar esta regla si... Seleccione Los encabezados del mensaje luego haga clic sobre "Seleccionar uno" y seleccione "incluye cualquiera de esta palabras".
- Haga clic en "Escribir texto" o "Enter text" para establecer el encabezado del mensaje en este valor: "X-PHISHINGSIMULATION" luego "Guardar".
- Y en "Enter words" escriba/copie el encabezado que se encuentra en la sección Configuración > Seguridad > Whitelist en el apartado de "Header de correos de Phishing y Ransomware" dentro de su plataforma de SMARTFENSE. Haga clic en "Agregar" y luego en "Guardar".
- Debajo en "Haga lo siguiente", seleccione Modificar propiedades del mensaje y en "Seleccionar uno "seleccione "establecer un encabezado de mensaje".
- Haga clic en "Escribir texto" o "Enter text" para establecer el encabezado del mensaje en este valor: "X-MS-Exchange-Organization-SkipSafeLinksProcessing" luego "Guardar".
- Y en "valor" hacer clic en "Enter text" y escribir "1", luego "Guardar". Así debe quedar la Regla de:
- Hacer clic en "Siguiente".
- En "Establecer la configuración de regla" dejar los valores por defecto y hacer clic en "Siguiente".
- En "Revisar y finalizar" dejar los valores por defecto y hacer clic en "Finalizar".
Regla para Omitir ATP Attachment
A continuación, se encuentran detallados los pasos para configurar una regla de flujo para omitir el ATP Attachment Processing (Procesamiento de Archivos Adjuntos de ATP):
- Haga clic en (+) Agregar una regla > Crear una nueva regla.
- Asígnele un nombre a la regla, como "Omitir ATP Attachments".
- En la condición Aplicar esta regla si... Seleccione Los encabezados del mensaje luego haga clic sobre "Seleccionar uno" y seleccione "incluye cualquiera de esta palabras".
- Haga clic en "Escribir texto" o "Enter text" para establecer el encabezado del mensaje en este valor: "X-PHISHINGSIMULATION" luego "Guardar".
- Y en "Enter words" escriba/copie el encabezado que se encuentra en la sección Configuración > Seguridad > Whitelist en el apartado de "Header de correos de Phishing y Ransomware" dentro de su plataforma de SMARTFENSE. Haga clic en "Agregar" y luego en "Guardar".
- Debajo en "Haga lo siguiente", seleccione Modificar propiedades del mensaje y en "Seleccionar uno "seleccione "establecer un encabezado de mensaje".
- Haga clic en "Escribir texto" o "Enter text" para establecer el encabezado del mensaje en este valor: "X-MS-Exchange-Organization-SkipSafeAttachmentProcessing", luego "Guardar".
- Y en "valor" hacer clic en "Enter text" y escribir "1", luego "Guardar". Así debe quedar la Regla:
- Hacer clic en "Siguiente".
- En "Establecer la configuración de regla" dejar los valores por defecto y hacer clic en "Siguiente".
- En "Revisar y finalizar" dejar los valores por defecto y hacer clic en "Finalizar".
Habilitación y Prioridad de las Reglas
Una vez finalizadas las reglas se las debe habilitar y dar la siguiente prioridad y detener el procesamiento en la última regla de Omitir ATP Attachments.
Esto se hace ingresando a editar cada regla, ir a "Editar configuración de regla".
Tildamos que quede habilitada la regla.
Establecer el orden desde 0 a 1.
Y para la última regla de Omitir ATP Attachments, también tildar "Detener el procesamiento de más reglas". Luego Guardar.
Una vez que haya completado esta configuración, espere a que se apliquen y propaguen las nuevas reglas y luego configure una campaña de simulación de phishing de prueba para usted o para un pequeño grupo de usuarios, para probar su nueva regla de inclusión en la lista blanca.
Nota: Para las mejores prácticas, recomendamos dejar las otras opciones en su configuración predeterminada.