Пълното ръководство за Defender за Office 365: Защита на имейли и файлове

Ако използвате Microsoft 365Вашият имейл и файлове са любима цел за нападателите, така че си струва да се заемете сериозно със сигурността. Microsoft Defender за Office 365 добавя ключови слоеве на защита относно защитата на Exchange Online, наблюдение на съобщения, връзки, прикачени файлове и сътрудничество в OneDrive, SharePoint и екипи.

В това практическо ръководство ще намерите пълно и практично ръководство: от удостоверяване на имейл (SPF, DKIM, DMARC) и предварително установени стандартни/строги политики, как да приоритизирате акаунти, да получавате потребителски отчети, да управлявате списъци с разрешени/блокирани, да стартирате симулации на фишинг и да реагирате на инциденти. Ще разгледате също лицензирането, поверителността, запазването на данни и Трикове да подобриш резултатите, без да полудееш, например Предотвратяване на блокирането на безопасни файлове от Microsoft Defender.

Ключови изисквания и разрешителни

По подразбиране Microsoft 365 вече поставя основни бариери за поща с EOP, но Defender за Office 365 разширява тази защита с разширени функцииЗа да го настроите гладко, ще ви трябват съответните разрешения.

Най-лесният начин за делегиране е да се възложи ролята на Администратор по сигурността в Microsoft Enter за тези, които ще използват Defender за Office 365. Ако предпочитате по-детайлни разрешения, можете да използвате разрешения за Exchange Online или специфични разрешения за имейл и сътрудничество в портала на Defender, но избягвайте да давате ролята на глобален администратор на всички и следва принципа на най-малките привилегии.

Стъпка 1: Конфигуриране на удостоверяване по имейл (SPF, DKIM, DMARC и ARC)

Преди да помислите за спам или зловреден софтуер, време е да защитим произхода. Удостоверяването на пощата потвърждава, че съобщенията са легитимни и не са били подправени.Трябва да приложите тези стандарти в този ред за всеки персонализиран домейн, който изпраща имейл от Microsoft 365.

• SPF (TXT)Декларирайте кои хостове имат право да изпращат от името на вашия домейн. Публикувайте правилния SPF запис за предотвратяване на имитации и подобряване на доставяемостта.
• DKIM: изходящ подпис, който пътува в заглавната част и оцелява при повторни предавания. Активирайте го за вашите домейни и използвайте CNAME ключовете, които Microsoft 365 ви предоставя.
• DMARC: Показва какво да се направи, ако SPF/DKIM се провали. Включва политика p=отхвърляне op=карантина и получатели за обобщени и криминалистични отчети, така че вашите целеви сървъри да знаят какво да очакват.
• ARCАко междинна услуга променя входящите съобщения, регистрирайте това като надежден уплътнител ARC за да се поддържа проследимостта и да се гарантира, че удостоверяването на произхода не е нарушено.

Ако използвате домейна „*.onmicrosoft.com“ като източник на имейли, вече сте свършили част от работата. SPF и DKIM са конфигурирани по подразбиране, но ще трябва ръчно да създадете DMARC записа за този домейн, ако го използвате за изпращане.

Стъпка 2: Политики за заплахи и как се прилагат

В Defender за Office 365 има три концептуални слоя: политики по подразбиране, предварително зададени политики за сигурност и персонализирани политикиРазбирането на разликата и приоритета ще ви спести много проблеми.

Видове налични политики

• Директиви по подразбиранете са валидни от момента, в който създадете наемателя, винаги се прилага за всички получатели и не можете да промените обхвата им (в някои случаи можете да промените настройките им). Те са вашата предпазна мрежа.
• Предварително зададени правила за сигурностЗатворени профили с най-добрите практики на Microsoft, в два варианта: Standard y СтрогИнтегрираната защита на връзки и прикачени файлове е активирана по подразбиране; за Standard/Strict трябва да я активирате и да дефинирате получатели и изключения.
• Персонализирани директивикогато имате нужда от специфични настройки (блокиране по език/държава, персонализирани карантини, персонализирани известия), създайте толкова, колкото ви е необходимо и вие задавате условия по потребители, групи или домейни.

Предварително зададените се развиват автоматично: Ако Microsoft засили препоръката, профилът се актуализира И вие се възползвате, без да докосвате нищо. В Standard и Strict можете да редактирате само записи и изключения за персонифициране на потребители и домейни; всичко останало е настроено на препоръчителното ниво.

Ред на приоритет

Когато се оценява съобщение или елемент, Първата приложима политика е тази, която заповядва и останалите вече не се разглеждат. Като цяло, редът е:

1. Предварително зададени правила за сигурностпърво Строг, след това Стандартен.
2. Персонализирани директиви на тази функция, подредени по приоритет (0, 1, 2…).
3. Политика по подразбиране (или интегрирана защита в случай на безопасни връзки/прикачени файлове).

За да се избегнат странни припокривания, използвайте различни целеви групи на всяко ниво и добавете изключения в Strict/Standard за потребителите, към които ще се насочите с персонализирани правила. Тези, които не попадат в по-високи нива, ще бъдат защитени от защитата по подразбиране или вградената защита.

Препоръчителна стратегия

Ако няма изискване, което да ви подтиква към персонализиране, Започва със Стандартната политика за цялата организация и Строги резерви за групи с висок риск. Той е прост, надежден и се самонастройва при промяна на заплахите.

Стъпка 3: Присвойте разрешения на администраторите, без да прекалявате

Дори ако първоначалният ви акаунт има право на всичко, Не е добра идея да се отказва ролята на глобален администратор. на всеки, който трябва да работи по сигурността. Като правило, ролята на администратор по сигурността в Microsoft Access се присвоява на администратори, специалисти и екипи за поддръжка, които ще управляват Defender за Office 365.

Ако ще управлявате само имейли, можете да изберете Разрешения за Exchange Online или ролите „Имейл и сътрудничество“ на портала Defender. Минимални привилегии, винаги за намаляване на рисковата повърхност.

Стъпка 4: Приоритетни акаунти и потребителски тагове

Defender за Office 365 позволява маркиране до 250 потребители като приоритетни акаунти да ги откроите в доклади и изследвания и да приложите допълнителни евристики. Идеално е за ръководители, финанси или ИТ специалисти.

С План 2 също имате персонализирани потребителски тагове да групирате групи (доставчици, VIP персони, отдели) и да филтрирате анализа. Определете кой трябва да бъде маркиран от първия ден.

Стъпка 5: Съобщения, докладвани от потребители

Потребителите, които вдигат ръце, са златни: Фалшиво положителните/отрицателните резултати, които докладват, ви позволяват да коригирате политиките и да обучава филтри на Microsoft.

• Как те докладватс бутона „Докладване“, интегриран в Outlook (уеб/настолна версия), или с поддържани инструменти на трети страни които използват поддържания формат; така ще се показват в раздела „Отчет“ на потребителя „Подавания“.
• Къде отиват?: по подразбиране към определена пощенска кутия, която вече е в Microsoft. Можете да промените това на само пощенска кутия (и ръчно да препратите към Microsoft) или само MicrosoftСъздайте специална пощенска кутия за тези отчети; не използвайте оригиналния акаунт.

Изпращането на отчети до Microsoft помага филтрите се учат по-бързоАко изберете само входяща поща, не забравяйте да изпращате подходящи имейли за анализ от раздела „Изпращане“.

Стъпка 6: Блокирайте и позволете с глава

Списъците с разрешени/блокирани наематели са мощни, но Злоупотребата с допускане отваря ненужни вратиПреобладавайте с блокиране и използвайте временни отстъпки само след щателна проверка.

• заключвамдобавете домейни/имейли, файлове и URL адреси в съответните им раздели или изпращане на елементи до Microsoft от „Изпращания“, за да се създаде записът автоматично. „Разузнаване за подправяне“ показва блокирани/разрешени податели; можете промени в решенията или създавайте проактивни записи.
• позволиМожете да разрешите на домейни/имейли и URL адреси да отменят заключенията за масов спам, спам с висока степен на доверие или фишинг с невисока степен на доверие. Зловредният софтуер не може да бъде директно разрешен или URL адреси/домейни, маркирани като високодостоверни фишинг; в тези случаи изпратете от „Изпращания“ и маркирайте „Потвърдих, че е чисто“, за да създадете временно изключение.

Внимавайте за изключения: прегледайте ги и ги изтеглете когато вече не са необходими. Ще предотвратите това, което не би трябвало да се случва поради историческата вседозволеност.

Стъпка 7: Симулации и обучение за фишинг

С обучение за симулация на атака (План 2) можете стартирайте реалистични кампании за представяне за себе си и да зададете обучение въз основа на отговора на потребителя. Докоснете идентификационни данни, фишинг с QR кодове, опасни прикачени файлове или BEC, за да покриете целия спектър.

Телеметрията на тези кампании разкрива рисково поведение и помага за планирането на подкрепленията. В идеалния случай, провежда тримесечни симулации за да се запази пулсът.

Стъпка 8: Проучете и отговорете, без да губите време

Когато се задейства предупреждение, целта е ясна: бързо разбиране на обхвата и отстраняване на проблемаDefender за Office 365 ви дава две ключови предимства в ежедневната ви работа.

• Изследовател на заплахиФилтрирайте по злонамерен софтуер, фишинг или открити URL адреси, използвайте изглед на кампанията за да видите всички засегнати съобщения и да приложите групови действия (замено изтриване/изчистване) върху компрометираните съобщения.
• Автоматично разследване и реагиране (AIR) в План 2: започва разследвания, изолира съобщения, анализира връзки, свързва пощенски кутии и предлага или изпълнява отстраняване на проблеми.

Плюс това, автоматично прочистване за нула време (ZAP) може да изтегли пощата след доставката ѝ, ако тя бъде пресортирана, което намаляване на прозореца на експозиция ако нещо по-късно бъде преоценено като злонамерено.

Защита на OneDrive, SharePoint и Teams

Пощата е порталът, но файловете са плячката. Разширява защитата до OneDrive, SharePoint и Teams за намаляване на инфекциите и филтриране на злонамерено съдържание в сътрудничество.

• Антивирусен софтуер във файловеАнализ на прикачени файлове в пясъчна кутия и детонация с безопасни прикачени файлове, включително динамична доставка за да не спирате да четете съобщението, докато проверявате файла. Научете също как да проверете изтегления файл.
• Безопасни връзкиПренаписване и анализ на URL адреси в реално време в имейли, документи и Teams; можете да предотвратите кликванията за блокиране на игнориране на предупреждения.
• DLP и етикети за чувствителност (Обхват): Предотвратява изтичане на чувствителни данни и прилага криптиране/контроли по ниво на чувствителност, дори извън организацията, или да се научат да скриване и защита на поверителни имейли.

Допълва Microsoft Defender за облак Приложения: за Открийте Shadow IT, прилагайте политики в реално време и откриване на аномалии (рансъмуер, злонамерени приложения) в облачни услуги, както на Microsoft, така и на трети страни.

Лицензиране и бързо активиране

Defender за Office 365 се предлага в два плана: P1 (Безопасни връзки, безопасни прикачени файлове и усъвършенствана защита от фишинг) и P2 (добавя Threat Explorer, AIR и симулации). E5 включва P2; с E3 можете да добавите P1 или P2, ако е необходимо.

функционалност	EOP	план 1	план 2
Стандартна защита от спам/зловреден софтуер	✔	✔	✔
Безопасни връзки	-	✔	✔
Безопасни прикачени файлове	-	✔	✔
Антифишинг с IA	-	✔	✔
Изследовател на заплахи / AIR	-	-	✔
Симулация на атака	-	-	✔

За да го активирате, отидете на Microsoft 365 Defender, отидете на Имейл и сътрудничество > Правила и политики и активирайте Стандартен/Строг. Задайте обхват (потребители, групи, домейни) и дефинирайте изключения, където е уместно.

PowerShell пряк път за антифишинг

# Conecta al módulo de Exchange Online
Connect-ExchangeOnline

# Crea política y regla de Anti-Phish básicas
New-AntiPhishPolicy -Name 'AntiPhishCorp' \
 -EnableMailboxIntelligence $true \
 -EnableDomainImpSpoofProtection $true \
 -EnableUserImpSpoofProtection $true

New-AntiPhishRule -Name 'AntiPhishCorpRule' \
 -AntiPhishPolicy 'AntiPhishCorp' -RecipientDomainIs 'midominio.com'

Запомнете, че с Динамична доставка в безопасни прикачени файлове Потребителят получава тялото на съобщението мигновено, а прикаченият файл се освобождава след задействането; това подобрява потребителското изживяване, без да се жертва сигурността.

Най-добри практики, нулево доверие и интеграция

За да укрепите стойката си, приложете тези насоки. Те не изискват магия, а само постоянство. и практическа преценка.

• DMARC с p=карантина/отхвърляне и DKIM на всички домейни, за да се спре спуфингът.
• Прегледайте Secure Score на всеки шест месеца и цели ≥ 75%. Приложете съответните препоръки.
• Следете фалшиво положителните резултати в карантина и се приспособявайте, без да си позволявате прекалено много. По-малкото е повече.
• Тримесечни симулации наистина да повиши осведомеността сред крайния потребител.
• Интегрирайте се с Microsoft Sentinel Ако имате SIEM, за многодоменна корелация и SOAR автоматизация.
• Изключения за документи (например, трети страни, изпращащи необичайни прикачени файлове) и ги преглеждайте на тримесечие.

В рамките на стратегия Нулево доверие, Defender за Office 365 обхваща имейл и сътрудничество; добавя Защитник за крайна точка да забавите страничното движение и да реагирате на устройството, и да се облегнете на Умен екран да се спрат уебсайтове и descargas опасно на крайната точка, в допълнение към конфигурирането управление на мобилни устройства (MDM).

Данни и поверителност в Defender за Office 365

При обработката на имейли и съобщения в Teams, Microsoft 365 обработва метаданни, като например показвани имена, имейл адреси, IP адреси и домейниТе се използват за офлайн машинно обучение, репутация и възможности като ZAP. За допълнителни слоеве, помислете Защитете имейла си със защитен имейл.

Всички отчети са обект на идентификатори EUPI (псевдоними) и EUII, с тези гаранции: данните се споделят само в рамките на вашата организация, съхраняват се във вашия регион и само оторизирани потребители имат достъпКриптирането в покой се прилага чрез ODL и CDP.

Местоположение на данните

Defender за Office 365 работи в центрове за данни на Microsoft Entra. За определени географски региони данните в покой за обезпечени организации се съхраняват само в техния регион. Региони с местно пребиваване Те включват:

• Австралия
• Бразилия
• Канада
• Европейския съюз
• Франция
• Германия
• Индия
• Израел
• Италия
• Япония
• Noruega
• Polonia
• Катар
• Сингапур
• Южна Африка
• Южна Корея
• Швеция
• Швейцария
• Обединените арабски емирства
• Обединеното кралство
• САЩ

Сред данните, съхранявани в покой в ​​локалния регион (защити по подразбиране в облачните пощенски кутии и в Defender за Office 365), са известия, прикачени файлове, списъци с блокирани файлове, метаданни за имейли, анализи, спам, карантини, отчети, политики, спам домейни и URL адреси.

Запазване и споделяне

Данните от Defender за Office 365 се запазват 180 дни в отчети и записиИзвлечената лична информация се криптира и автоматично изтрива 30 дни след периода на съхранение. В края на лицензите и гратисните периоди, данните са безвъзвратно изтрити не по-късно от 190 дни след края на абонамента.

Defender за Office 365 споделя данни с Microsoft 365 Defender XDR, Microsoft Sentinel и регистрационни файлове за одит (ако е лицензиран от клиента), със специфични изключения за правителствените облаци на GCC.

Възстановяване от рансъмуер в Microsoft 365

Ако въпреки всичко нещо се промъкне, действайте бързо: Спиране на синхронизирането на OneDrive и изолиране на компрометирани компютри за да запазите здрави копия. След това се възползвайте от нативните опции.

• Контрол на версиитеЗапазете няколко версии в SharePoint, OneDrive и Exchange. Можете да настроите до 50 000, но бъдете внимателни: Някои рансъмуер програми криптират всички версии и съхранение допълнителна сметка.
• Рециклирайте кошчетоВъзстановява елементи, изтрити по време на 93 дниСлед този период и двете фази на изхвърляне на боклука, можете да попитате Microsoft до 14 допълнителни дни за възстановяване.
• Политики за задържане (E5/A5/G5): определя колко дълго да се съхраняват данни и какво може да се изтрие; автоматизира удръжките по типове съдържание.
• Библиотека за съхранениеПри активни задържания, непроменяемо копие се запазва в OneDrive/SharePoint; позволява ви да извлечете непокътнати файлове след инцидента.
• Резервни копия от трети страниMicrosoft не го прави резервно копие традиционно архивиране на вашето M365 съдържание; помислете за SaaS решение за архивиране за Взискателни RTO/RPO и гранулирано възстановяване или да се научите да архивирайте имейлите си.

За да намалите входните вектори, не забравяйте да комбинирате защита на имейли (EOP + Defender), многофакторно удостоверяване, правила за намаляване на повърхността на атаката и настройки на Exchange, които намаляват риска от фишинг и спуфинг.

С всички горепосочени елементи, вашата среда на Microsoft 365 е забележимо по-стабилна: Удостоверен имейл, последователни политики с ясен приоритет, сигурно сътрудничество, докладване на потребители, образователни симулации и реални възможности за разследване и реагиране. Допълнете това с периодични прегледи, Secure Score и минимални изключения и ще имате система, която издържа на съвременните кампании, без да жертва използваемостта.