AuthorJulian Rasmussen

Automated Investigation & Response

The Automated Investigation & Response feature under Threat management in Security & Compliance admin portal is a pritty new and amazing feature in Office 365.

To use this feature you need to have “Office 365 Advanced Threat Protection Plan 2” licenses witch you can purchase standalone or it`s included in the Office 365 E5 license and yes – you need to be a “Global Administrator” or “Security Administrator” to configure the service. Once configured you can also use “Security Reader” or “Security Operator” to see whats happening.

Have a look here to see all capabilities within “Advanced threat protections”.

So over to Automated Investigation & Response (AIR) – have a look at this screenshot

As we see her we have two detection on-going which waiting on user action. The first one in the picture is automatically found by the system and the second one is a email which I reported through the “Message Report” add-in for Outlook which are deployed to all users (Both Outlook and Outlook Web).

In the overview of the case (the one i reported) we see what`s going on with the message, the Trigger alert, what threats  who where found, how many emails are “infected” and which users that have the infected email in their mailbox (could be a mass-phishing attack)

When we navigate to the Email tab we see what section of the email that are found malicious and in this case the Advanced Threat Protection has matched the URL to a malicious URL

Moving to the Action tab – we are given several a big tool belt meaning that we can do a soft delete from the users mailboxes (in this case only one user, but if this malicious email was delivered to 100 users we can in one click remove the email from the users mailboxes) and block the URL in Safe Links.

So this was very short on how to easily use AIR in your tenant if you have the right license.

Get started with MFA – part one

You problably heard about multifactor authentication by now, but have you enabled it in your environment?  

If not! Please do so at once! I will in this short blogpost give you the direction to get started with MFA in Azure AD. 

So let`s just jump right into it.  

First things first – protect your admin accounts!  

With admin accounts i mean a account who has a additional role assigned other then beeing a regular user and to mitigate these users we will enable a Conditional Access who is requires MFA for all administrator accounts 

So navigate to Azure Active Directory in portal.azure.com 

Dive into “Security” -> “Conditional Access”  

Click the “Baseline policy: Require MFA for Admins (Preview) and choose to use it immidiatly 

So now you have successfully enabled MFA for all your admins! Great work 😊 

To make it easier for yourself you can now change the MFA verification from the default SMS to Authenticator app by visiting https://aka.ms/mfasetup and add the Authenticator app as a preffered method. 

Next up is to enable it for all your users and that i will cover in the next blog post – Stay tuned for “Get started with MFA – Part two” 🙂

Microsoft Intune

Når vi snakker om skyen er «Device management» for mange et “glemt” kapittel, i alle fall for små og mellomstore bedrifter i Norge. Device management i skyen ble tidligere omtalt som MDM (Mobile device management), og mange tenkte nok at det bare gjaldt for Mobiler og nettbrett, – men tiden har endret seg og MDM omfavner nå PC og Mac`er også!

Microsoft sin Intune-løsning har støtte for både Windows, MacOS, Android og iOS pr. dags dato. Dette betyr at de støtter de største operativsystemene som brukes ute i norske bedrifter.

Men hvorfor trenger akkurat du dette? Er det ikke greit at de ansatte selv har kontroll på maskinene? Jo, kanskje, men hvordan håndterer vi da bedriftens data som lagres på de ansattes telefoner eller pc`er?

Med Office 365 er bedriftens data veldig enkel å få tilgang på, det holder at man logger seg inn på “office.com” med brukernavn og passord (+ MFA selvsagt) så har man derfra tilgang til epost, felles dokumenter i SharePoint, hjemmekatalogen i OneDrive for business eller andre sky-tjenester som er tilgjengeliggjort igjennom portalen.

Ok, så hva skal Intune hjelpe til med?

Overordnet i en cloud only konfigurasjon vil det se slikt ut:

blog-image-1

Registrering av enheter som kan få tilgang til bedriftens data

Ved at brukernes enheter registreres i firmaportalen (Intune-app) eller i Azure AD så vil man få kontroll på hvilke enheter brukerne har og får tilgang til bedriftens data med.

Sette krav til enheten

Man kan lage samsvars krav til enhetene, som for eks. krever at maskinen har Antivirus, er oppdatert med siste oppdateringer og har kryptering av harddisken, før den blir markert som en “godkjent enhet”. For Windows 10-maskiner kan man konfigurere opp til 28 sjekker, for MacOS opp til 18 sjekker. Man kan virkelig sette krav til enheten man skal dele alle bedriftshemmelighetene med.

Slippe inn ansatte basert på hvilken enhet de kommer fra

– Ved bruk av Conditional Access sammen med Intune kan man kreve at enheten skal være “Compliant» i henhold til samsvarskravene vi konfigurerte i punktet over, om man skal kunne logge på “Office.com” og starte SharePoint.

blog-image-3

Når man nå har registrert de mobile enhetene, som brukerne også bruker for personlige filer, får man et skille på bedriftsdata og personlige data i applikasjonen. Dette betyr at dersom enhetene blir stjålet, eller at den ansatte slutter i firmaet, kan man ved et par klikk slette bedriftens data (dokumenter, epost osv.)
Man vil kunne blokkere datakopiering mellom den private delen av applikasjonen og den bedrifts-eide delen.

blog-image-4

Reset folder language to match Outlook Web Access language

So in the recent time i have been working with a customer to integrate Exchange Online mailboxes into a customer support application witch are using POP. The application throwed a error message:

02:47:34.513 Trc 21628 [MsgIn-2] <pop-client1> Mailbox account 'yourmailbox@domain.no'[https://outlook.office365.com/EWS/Exchange.asmx:443]: opening mail folder 'INBOX'
02:47:34.748 Std 21627 [MsgIn-2] <pop-client1> No INBOX Folder found on Corporate Email Server

This indicates that the software witch is polling emails need the inbox folder to be “Inbox” and not “innboks” (witch is Inbox in norwegian). So we need to change the default folders to match the language set in OWA.

  1. Logon to your account on outlook.office.com
  2. Head into to the Gear icon next to your profile picture in the top-right corner and in the bottom select: Your app settings-> Mail

3. Select General in the left pane and then click on: Region and timezone.

4. In language, set your language for OWA and check the checkbox witch also renames the default folders to match the selected language and hit the save button.

OneDrive for Business – Known Folder Sync fails

When activating Known Folder Sync in OD4B the sync never starts due to folders that cannot be synced.
These folders are Junction folders on the drive and needs to be deleted.

First do a dir in the users document folder and look for hidden files like this:
C:\Users\USER\Documents>dir /ah
Volume in drive C is Windows
Volume Serial Number is 903B-D31E

Directory of C:\Users\USER\Documents

18.04.2018 10.10 2 230 Default.rdp
26.09.2018 11.59 402 desktop.ini
26.09.2018 11.59 Intern video [C:\Users\USER\Videos]
26.09.2018 11.59 Min musikk [C:\Users\USER\Music]
26.09.2018 11.59 Mine bilder [C:\Users\USER\Pictures]
2 File(s) 2 632 bytes
3 Dir(s) 55 879 593 984 bytes free

Then delete the junctions like this:

C:\Users\ÙSER\Documents>rmdir “Intern video”
C:\Users\ÙSER\Documents>rmdir “Min musikk”
C:\Users\ÙSER\Documents>rmdir “Mine bilder”

Other files in conflict with the sync needs to be removed from the local machine before the cloud sync can start. Backup and move the files in case of future needs.

Happy OneDriving.

Nye sikkerhets tjenester i Microsoft 365 Business

Denne uken ble Microsoft 365 Business-lisensene oppgradert med en rekke nye sikkerhetstjenester som kan bidra til at ditt selskaps enheter og dokumenter blir håndtert på en forsvarlig og sikker måte. Funksjonene som fra og med denne uken er inkludert i Microsoft 365 Business er følgende:

  • Azure Information Protection P1
  • Azure Rights Management
  • Office 365 Advanced Threat Protection
  • Exchange Online Archiving for Exchange Online
  • Intune

Office 365 Advanced Threat Protection

Advanced Threat Protection (ATP) hjelper bedriften din mot sofistikerte og avanserte phishing og ransomware-angrep designet for å kompromittere ansattes eller kunders informasjon. Funksjoner inkludert:

  • Sofistikert skann av vedlegg ved bruk av Microsofts AI-drevne analyse for å oppdage og stoppe mistenkelige eposter.
  • Automatisk sjekk av URL/Web-linker i eposter for å analysere om de benyttes i et phishing- angrep. Hjelper alle ansatte med å stoppe tilgang mot utrygge nettsteder.

Exchange Online Archiving

Exchange Online Archiving-tjenesten muliggjør arkivering av e-poster. All epost blir arkivert ved denne tjenesten, også slettede elementer og sendte eposter. Bevaringsregler satt sentralt fra Exchange admin senteret, håndterer dataene dersom det er behov for å kjøre Litigation holds eller eDiscovery og er gjerne en funksjon som kreves for å møte samsvarskrav i større bedrifter.

Azure Information Protection (AIP)

Information Protection hjelper deg med å kontrollere tilganger til sensitiv informasjon i eposter eller dokumenter med ekstra kontroller som «Do not foward» eller «Do not copy». Du kan altså klassifisere sensitiv informasjon som «konfidensielt» og spesifisere hvordan klassifiseringen kan deles både innad i selskapet eller med eksterne. Azure Rights Management gir Azure Information Protection enterprise gradert kryptering enkelt etablert på dokumenter og eposter for å holde kontroll på klassifisert informasjon. Microsoft 365 Business innehar alle funksjoner som Azure Information Protection Plan 1 har.

Alle funksjoner av Intune

Ved å ta i bruk Intune med Microsoft 365 Business kan man fra nå av ta i bruk funksjoner som kan ta kontroll over MacOS enheter, iPhone og Android telefoner og avanserte enhets kontroll or Windows. Dette er tjenester som ikke har vært tilgjengelig i Microsoft 365 Admin grensesnittet. Funksjonene når man ved å aksessere Intune Admin senteret.

Keep private Teams private in Microsoft Teams

As of 23. of march 2018 all private teams will be searchable for all users.
Users can then apply for group membership.
If you have groups in your organization that you still want to keep completly private then the Office 365 unified group should be hidden from the Global Address List (GAL).

Run this Powershell command to hide it from GAL:

“Set-UnifiedGroup -Id “Groupname”-HiddenFromAddressListsEnabled $True”

RDP Scaling on high resolution screens

I have been running on a Surface book for the last couple of weeks and is very satisfied with the screen resolution on this machine. that said the operatingsystem is running on 175% zoom 🙂 but when using for example “Remote Desktop Connection Manager” to gain access to my servers i`m realy strugling since the resolution is set to 3000 x 2000. therefor i found this small hack to fix it.

  • uncheck this checkbox in compatibilities settings on the shortcut or exe-file

(PS: sorry for the norwegian screenshot:))

Add Azure AD user local Administrator group

Open CMD as administrator and run the command:
net localgroup administrators  AzureAD\UserName /add

Convert from user mailbox to shared mailbox

From time to time i run into a little problem with the Office 365 Admin Center when trying to convert user mailboxes into shared mailboxes.
when this occours i usualy just use Powershell to convert the mailbox into shared mailbox.

To do this you have to connect your Powershell to the Office 365 tenant and run a oneliner for converting the mailbox.

Here is how to connect to Office 365:
Import-Module MSOnline
$O365Cred = Get-Credential “adminuser@YOURTENANT.onmicrosoft.com”
$O365Session = New-PSSession –ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell -Credential $O365Cred -Authentication Basic -AllowRedirection
Import-PSSession $O365Session
Connect-MsolService -Credential $O365Cred

When connected then use this single line to convert the mailbox:
Set-Mailbox “Your@mailbox.no” -Type shared

 

© 2019 IdefixWiki

Theme by Anders NorénUp ↑