La guida completa a Defender per Office 365: protezione di e-mail e file

Se usi Microsoft 365La tua posta elettronica e i tuoi file sono uno dei bersagli preferiti degli aggressori, quindi vale la pena prendere sul serio la sicurezza. Microsoft Defender per Office 365 aggiunge livelli chiave di protezione su Exchange Online Protection, monitoraggio di messaggi, collegamenti, allegati e collaborazione in OneDrive, SharePoint e squadre.

In questa guida pratica troverai una guida completa e pratica: dall'autenticazione e-mail (SPF, DKIM, DMARC) e dalle policy standard/rigorose prestabilite, su come dare priorità agli account, ricevere segnalazioni degli utenti, gestire elenchi di autorizzazioni/blocchi, avviare simulazioni di phishing e rispondere agli incidenti. Esaminerai anche licenze, privacy, conservazione dei dati e Tricks per migliorare i risultati senza impazzire, come Impedisci a Microsoft Defender di bloccare i file sicuri.

Requisiti e permessi chiave

Per impostazione predefinita, Microsoft 365 imposta già barriere di posta di base con EOP, ma Defender per Office 365 estende tale protezione con funzionalità avanzatePer configurarlo senza problemi, avrai bisogno delle autorizzazioni appropriate.

Il modo più semplice per delegare è assegnare il ruolo di Amministratore della sicurezza presso Microsoft Enter per coloro che utilizzeranno Defender per Office 365. Se preferisci autorizzazioni dettagliate, puoi utilizzare le autorizzazioni di Exchange Online o autorizzazioni specifiche di posta elettronica e collaborazione nel portale Defender, ma evita di dare il ruolo di Amministratore Globale a tutti e segue il principio del privilegio minimo.

Passaggio 1: configurare l'autenticazione e-mail (SPF, DKIM, DMARC e ARC)

Prima di pensare allo spam o il malware, è tempo di proteggere l'origine. Il L'autenticazione della posta conferma che i messaggi sono legittimi e non sono stati manomessi.È necessario applicare questi standard in questo ordine per ogni dominio personalizzato che invia e-mail da Microsoft 365.

• SPF (testo in inglese): dichiara quali host sono autorizzati a inviare per conto del tuo dominio. Pubblica un record SPF corretto per prevenire le impersonificazioni e migliorare la recapitabilità.
• DKIM: firma in uscita che viaggia nell'intestazione e sopravvive alle ritrasmissioni. Attivalo per i tuoi domini e utilizzare le chiavi CNAME fornite da Microsoft 365.
• DMARC: Indica cosa fare se SPF/DKIM fallisce. Include politica p=rifiuta op=quarantena e destinatari per report aggregati e forensi, in modo che i server di destinazione sappiano cosa aspettarsi.
• ARC: Se un servizio intermedio modifica i messaggi in arrivo, registralo come sigillante ARC affidabile per mantenere la tracciabilità e garantire che l'autenticazione dell'origine non venga violata.

Se utilizzi il dominio '*.onmicrosoft.com' come origine della posta elettronica, hai già svolto parte del lavoro. SPF e DKIM sono configurati di default, ma dovrai creare manualmente il record DMARC per quel dominio se lo utilizzi per l'invio.

Fase 2: Criteri di minaccia e come vengono applicati

Defender per Office 365 presenta tre livelli concettuali: criteri predefiniti, criteri di sicurezza preimpostati e criteri personalizzatiComprendere la differenza e la precedenza ti risparmierà un sacco di problemi.

Tipi di polizze disponibili

• Direttive predefinite: vivono dal momento in cui crei l'inquilino, si applicano sempre a tutti i destinatari e non puoi modificarne l'ambito (in alcuni casi puoi modificarne le impostazioni). Sono la tua rete di sicurezza.
• Criteri di sicurezza preimpostati: Profili chiusi con le best practice di Microsoft, in due varianti: Standard y StrictLa protezione integrata dei link e degli allegati è abilitata per impostazione predefinita; per Standard/Rigorosa, è necessario abilitarla e definire destinatari ed eccezioni.
• Direttive personalizzate: quando hai bisogno di impostazioni specifiche (blocco lingua/paese, quarantene personalizzate, notifiche personalizzate), creane quanti ne vuoi e si assegnano condizioni in base agli utenti, ai gruppi o ai domini.

Quelli preimpostati si evolvono automaticamente: Se Microsoft rafforza una raccomandazione, il profilo viene aggiornato E ne trarrai beneficio senza dover toccare nulla. In Standard e Strict, puoi modificare solo le voci di impersonificazione di utenti e domini e le eccezioni; tutto il resto è impostato sul livello consigliato.

Ordine di precedenza

Quando un messaggio o un elemento viene valutato, La prima politica applicabile è quella che comanda e il resto non viene più considerato. In generale, l'ordine è:

1. Criteri di sicurezza preimpostati: prima Rigoroso, poi Standard.
2. Direttive personalizzate di quella caratteristica, ordinati per priorità (0, 1, 2…).
3. Politica predefinita (o protezione integrata nel caso di collegamenti/allegati sicuri).

Per evitare strane sovrapposizioni, utilizzare diversi gruppi target a ogni livello e aggiungi eccezioni in Rigoroso/Standard per gli utenti a cui intendi applicare policy personalizzate. Chi non rientra nei livelli superiori sarà protetto dalla protezione predefinita o integrata.

Strategia consigliata

Se non c'è alcun requisito che ti spinge a personalizzare, Inizia con la politica standard per l'intera organizzazione e Riserve rigorose per i gruppi ad alto rischio. È semplice, robusto e si autoregola in base all'evoluzione delle minacce.

Passaggio 3: assegnare le autorizzazioni agli amministratori senza esagerare

Anche se il tuo account iniziale ha potere per tutto, Non è una buona idea cedere il ruolo di amministratore globale a chiunque abbia bisogno di lavorare sulla sicurezza. Di norma, assegnare il ruolo di Amministratore della Sicurezza in Microsoft Access ad amministratori, specialisti e personale di supporto che gestiranno Defender per Office 365.

Se gestirai solo la posta elettronica, puoi scegliere Autorizzazioni di Exchange Online o i ruoli Email e Collaborazione del portale Defender. Privilegio minimo, sempre per ridurre la superficie di rischio.

Fase 4: Account prioritari e tag utente

Defender per Office 365 consente la marcatura fino a 250 utenti come account prioritari per evidenziarli in report e ricerche e applicare ulteriori euristiche. È ideale per dirigenti, addetti alla finanza o all'IT.

Con il Piano 2 hai anche tag utente personalizzati per raggruppare gruppi (fornitori, VIP, reparti) e filtrare l'analisi. Identifica chi dovrebbe essere taggato dal primo giorno

Fase 5: Messaggi segnalati dagli utenti

Gli utenti che alzano la mano sono fortunati: I falsi positivi/negativi che segnalano consentono di adattare le politiche e addestrare i filtri Microsoft.

• Come segnalano: con il pulsante Segnala integrato in Outlook (web/desktop) o con strumenti di terze parti supportati che utilizzano il formato supportato; ecco come appariranno nella scheda Report dell'utente Invii.
• Dove vanno?: per impostazione predefinita a una cassetta postale designata già in Microsoft. È possibile modificarlo in solo casella di posta (e inoltrare manualmente a Microsoft) o solo MicrosoftCrea una casella di posta dedicata per questi report; non utilizzare l'account originale.

L'invio di report a Microsoft è utile i filtri imparano più velocementeSe si opta per la sola posta in arrivo, ricordarsi di inviare le email rilevanti per l'analisi dalla scheda Invio.

Fase 6: Bloccare e consentire con una testa

Gli elenchi di autorizzazione/blocco degli inquilini sono potenti, ma L'abuso del permesso apre porte inutiliPrevalere con il blocco e utilizzare concessioni temporanee solo dopo un'accurata verifica.

• bloccare: aggiungi domini/email, file e URL nelle schede corrispondenti o inviare elementi a Microsoft da Invii per creare automaticamente la voce. Spoofing Intelligence visualizza i mittenti bloccati/consentiti; puoi cambiare le decisioni oppure creare voci proattive.
• Consentire: È possibile consentire a domini/email e URL di ignorare i verdetti di spam in blocco, spam ad alta affidabilità o phishing non ad alta affidabilità. Il malware non può essere autorizzato direttamente o URL/domini contrassegnati come phishing ad alta affidabilità; in questi casi, invia da Invii e contrassegna "Ho confermato che è pulito" per creare un eccezione temporanea.

Attenzione alle eccezioni: rivederli e farli scadere quando non saranno più necessari. Eviterai ciò che non dovrebbe accadere a causa della permissività storica.

Fase 7: Simulazioni e formazione sul phishing

Con l'addestramento alla simulazione di attacco (Piano 2) puoi lanciare campagne di impersonificazione realistiche e assegna la formazione in base alla risposta dell'utente. Puoi trattare argomenti come credenziali, phishing tramite QR code, allegati pericolosi o BEC per coprire l'intero spettro.

La telemetria di queste campagne rivela comportamenti rischiosi e aiuta a pianificare i rinforzi. Idealmente, esegue simulazioni trimestrali per tenere il polso.

Fase 8: Ricerca e rispondi senza perdere tempo

Quando viene attivato un avviso, l'obiettivo è chiaro: comprendere la portata e porre rimedio rapidamenteDefender per Office 365 ti offre due vantaggi fondamentali nel tuo lavoro quotidiano.

• Esploratore di minacce: Filtra per malware, phishing o URL rilevati, usa vista della campagna per visualizzare tutti i messaggi interessati e applicare azioni in blocco (eliminazione temporanea/eliminazione definitiva) sui messaggi compromessi.
• Indagine e risposta automatica (AIR) nel Piano 2: avvia le indagini, isola i messaggi, analizza i link, collega le caselle di posta e propone o esegue la correzione.

Inoltre, Zero-hour Auto Purge (ZAP) può ritirare la posta dopo la consegna se viene riordinata, il che ridurre la finestra di esposizione se qualcosa viene in seguito rivalutato come dannoso.

Protezione di OneDrive, SharePoint e Teams

La posta è la porta d'accesso, ma i file sono il bottino. Estende la protezione a OneDrive, SharePoint e Teams per ridurre le infezioni e filtrare i contenuti dannosi in collaborazione.

• Antimalware nei file: Analisi degli attacchi sandbox e detonazione con attacchi sicuri, inclusa la consegna dinamica per non interrompere la lettura del messaggio durante l'ispezione del file. Scopri anche come controllare un file scaricato.
• Collegamenti sicuri: Riscrittura e analisi degli URL in tempo reale in e-mail, documenti e Teams; puoi impedire il click-through per bloccare gli avvisi ignorati.
• Etichette DLP e di sensibilità (Competenza): Previene perdite di dati sensibili e applica crittografia/controlli per livello di sensibilità, anche al di fuori dell'organizzazione, o imparare a nascondere e proteggere le email riservate.

Si integra con Microsoft Defender per Cloud Apps per Scopri Shadow IT, applica le policy in tempo reale e rilevare anomalie (ransomware, app dannose) nei servizi cloud, sia Microsoft che di terze parti.

Licenza e attivazione rapida

Defender per Office 365 è disponibile in due piani: P1 (Link sicuri, allegati sicuri e anti-phishing avanzato) e P2 (aggiunge Threat Explorer, AIR e simulazioni). E5 include P2; con E3 puoi aggiungere P1 o P2 a seconda delle necessità.

Funzionalità	EOP	piano 1	piano 2
Antispam/antimalware standard	✔	✔	✔
Collegamenti sicuri	-	✔	✔
Allegati sicuri	-	✔	✔
Antiphishing con IA	-	✔	✔
Esploratore di minacce / AIR	-	-	✔
Simulazione di attacco	-	-	✔

Per attivarlo, vai su Microsoft 365 Defender, vai su E-mail e collaborazione > Criteri e regole e abilitare Standard/Rigoroso. Assegnare l'ambito (utenti, gruppi, domini) e definire eccezioni ove opportuno.

Scorciatoia di PowerShell per l'antiphishing

# Conecta al módulo de Exchange Online
Connect-ExchangeOnline

# Crea política y regla de Anti-Phish básicas
New-AntiPhishPolicy -Name 'AntiPhishCorp' \
 -EnableMailboxIntelligence $true \
 -EnableDomainImpSpoofProtection $true \
 -EnableUserImpSpoofProtection $true

New-AntiPhishRule -Name 'AntiPhishCorpRule' \
 -AntiPhishPolicy 'AntiPhishCorp' -RecipientDomainIs 'midominio.com'

Ricordalo con Consegna dinamica in allegati sicuri L'utente riceve immediatamente il corpo del messaggio e l'allegato viene rilasciato dopo l'attivazione; ciò migliora l'esperienza senza compromettere la sicurezza.

Best practice, Zero Trust e integrazione

Per rafforzare la tua postura, applica queste linee guida. Non richiedono magia, solo perseveranza. e giudizio pratico.

• DMARC con p=quarantena/rifiuto e DKIM su tutti i domini per bloccare lo spoofing.
• Revisionare Secure Score semestralmente e punta a ≥ 75%. Attuare le raccomandazioni pertinenti.
• Monitorare i falsi positivi in quarantena e adattatevi senza esagerare. Meno è meglio.
• Simulazioni trimestrali per sensibilizzare realmente l'utente finale.
• Integrazione con Microsoft Sentinel Se si dispone di SIEM, per la correlazione multidominio e l'automazione SOAR.
• Esenzioni dai documenti (ad esempio, terze parti che inviano allegati insoliti) e rivederli trimestralmente.

All'interno di una strategia Zero Trust, Defender per Office 365 copre la posta elettronica e la collaborazione; aggiunge Difensore per Endpoint per rallentare il movimento laterale e rispondere sul dispositivo e appoggiarsi Schermo intelligente per bloccare i siti web e Download pericoloso sull'endpoint, oltre alla configurazione gestione dei dispositivi mobili (MDM).

Dati e privacy in Defender per Office 365

Durante l'elaborazione di messaggi di posta elettronica e di Teams, Microsoft 365 gestisce metadati come nomi visualizzati, indirizzi email, indirizzi IP e dominiVengono utilizzati per ML offline, reputazione e funzionalità come ZAP. Per livelli aggiuntivi, considerare Proteggi la tua posta elettronica con Shielded Email.

Tutti i report sono soggetti a identificatori EUPI (pseudonimi) e EUII, con queste garanzie: i dati vengono condivisi solo all'interno della tua organizzazione, archiviati nella tua regione e solo gli utenti autorizzati hanno accessoLa crittografia a riposo viene applicata tramite ODL e CDP.

Posizione dei dati

Defender per Office 365 opera nei data center Microsoft Entra. In alcune aree geografiche, i dati inattivi delle organizzazioni con provisioning vengono archiviati solo nella loro area geografica. Regioni con residenza locale includere:

• Australia
• Brasile
• Canada
• Unione Europea
• Francia
• Germania
• India
• Israele
• Italia
• Giappone
• Norvegia
• polonia
• Qatar
• Singapore
• Sudafrica
• Corea del Sud
• Svezia
• Svizzera
• Emirati Arabi Uniti
• Regno Unito
• Stati Uniti

Tra i dati archiviati a riposo nella regione locale (protezioni predefinite nelle cassette postali cloud e in Defender per Office 365) ci sono avvisi, allegati, elenchi di blocco, metadati di posta elettronica, analisi, spam, quarantene, report, policy, domini spam e URL.

Conservazione e condivisione

I dati di Defender per Office 365 vengono conservati 180 giorni in resoconti e registrazioniLe informazioni personali estratte vengono crittografate e cancellate automaticamente 30 giorni dopo il periodo di conservazione. Al termine delle licenze e dei periodi di grazia, i dati vengono cancellati irrimediabilmente entro e non oltre 190 giorni dalla scadenza dell'abbonamento.

Defender per Office 365 condivide i dati con Microsoft 365 Defender XDR, Microsoft Sentinel e registri di controllo (se concesso in licenza dal cliente), con eccezioni specifiche per i cloud governativi GCC.

Recupero da ransomware in Microsoft 365

Se nonostante tutto qualcosa dovesse sfuggirvi, agite rapidamente: Interrompere la sincronizzazione di OneDrive e isolare i computer compromessi per preservare copie sane. Quindi sfrutta le opzioni native.

• Controllo della versione: Salva più versioni su SharePoint, OneDrive ed Exchange. Puoi impostarne fino a 50.000, ma fai attenzione: Alcuni ransomware crittografano tutte le versioni e il immagazzinamento conto extra.
• Cestino: Ripristina gli elementi eliminati durante giorni 93Dopo quel periodo e le due fasi di spazzatura, puoi chiedere a Microsoft fino a 14 giorni aggiuntivi per il recupero.
• Politiche di conservazione (E5/A5/G5): definisce per quanto tempo conservare e cosa può essere eliminato; automatizza le ritenute alla fonte per tipi di contenuto.
• Biblioteca di conservazione: Con i blocchi attivi, una copia immutabile viene salvata su OneDrive/SharePoint; consente di estrarre file intatti dopo l'incidente.
• Backup di terze parti: Microsoft non lo fa di riserva backup tradizionale dei contenuti M365; prendi in considerazione una soluzione di backup SaaS per RTO/RPO esigente e recupero granulare, oppure imparare a esegui il backup delle tue email.

Per ridurre i vettori di input ricordarsi di combinare protezioni e-mail (EOP + Defender), autenticazione a più fattori, regole di riduzione della superficie di attacco e impostazioni di Exchange che riducono il rischio di phishing e spoofing.

Con tutto quanto sopra, il tuo ambiente Microsoft 365 sarà notevolmente più robusto: Email autenticata, policy coerenti con chiara precedenza, collaborazione sicura, utenti che segnalano, simulazioni didattiche e reali capacità di indagine e risposta. Completate il tutto con revisioni periodiche, Secure Score ed esenzioni minime, e otterrete un sistema in grado di resistere alle campagne moderne senza sacrificare l'usabilità.