Ghidul complet pentru Defender pentru Office 365: Protejați e-mailul și fișierele

Dacă folosești Microsoft 365E-mailul și fișierele tale sunt o țintă preferată pentru atacatori, așa că merită să iei în serios securitatea. Microsoft Defender pentru Office 365 adaugă niveluri cheie de protecție despre Exchange Online Protection, monitorizarea mesajelor, linkurilor, atașamentelor și colaborarea în OneDrive, SharePoint și Echipe.

În acest ghid practic veți găsi o prezentare completă și practică: din autentificarea prin e-mail (SPF, DKIM, DMARC) și politicile standard/stricte prestabilite, la modul de prioritizare a conturilor, de primire a rapoartelor utilizatorilor, de gestionare a listelor de permisiuni/blocări, de lansare a simulărilor de phishing și de răspuns la incidente. Veți analiza, de asemenea, licențierea, confidențialitatea, păstrarea datelor și Trucuri să îmbunătățești rezultatele fără să înnebunești, cum ar fi Împiedicarea blocării fișierelor securizate de către Microsoft Defender.

Cerințe și permise cheie

În mod implicit, Microsoft 365 pune deja în aplicare bariere de bază pentru e-mail cu EOP, dar Defender pentru Office 365 extinde această protecție cu funcții avansatePentru a-l configura fără probleme, veți avea nevoie de permisiunile corespunzătoare.

Cea mai ușoară modalitate de a delega este de a atribui rolul de Administrator de securitate la Microsoft Enter pentru cei care vor folosi Defender pentru Office 365. Dacă preferați permisiuni detaliate, puteți utiliza permisiuni Exchange Online sau permisiuni specifice pentru e-mail și colaborare în portalul Defender, dar evitați să acordați rolul de Administrator Global tuturor și respectă principiul privilegiului minim.

Pasul 1: Configurați autentificarea prin e-mail (SPF, DKIM, DMARC și ARC)

Înainte de a te gândi la spam sau malware, este timpul să protejăm originea. Autentificarea e-mailului confirmă că mesajele sunt legitime și nu au fost modificate.Trebuie să aplicați aceste standarde în această ordine pentru fiecare domeniu personalizat care trimite e-mailuri din Microsoft 365.

• SPF (TXT)Declarați gazdele cărora li se permite să trimită în numele domeniului dvs. Publicați o înregistrare SPF corectă pentru a preveni uzurparea identității și a îmbunătăți livrabilitatea.
• extensia dkim: semnătură de ieșire care călătorește în antet și supraviețuiește retransmisiilor. Activează-l pentru domeniile tale și utilizați cheile CNAME pe care vi le oferă Microsoft 365.
• DMARC: Indică ce trebuie făcut dacă SPF/DKIM eșuează. Include politică p=respingere op=carantină și destinatari pentru rapoarte agregate și forense, astfel încât serverele dvs. de destinație să știe la ce să se aștepte.
• ARCDacă un serviciu intermediar modifică mesajele primite, înregistrează-l ca etanșant ARC de încredere pentru a menține trasabilitatea și a se asigura că autentificarea originii nu este încălcată.

Dacă utilizați domeniul „*.onmicrosoft.com” ca sursă de e-mail, ați făcut deja o parte din muncă. SPF și DKIM sunt configurate în mod implicit, dar va trebui să creați manual înregistrarea DMARC pentru domeniul respectiv dacă o utilizați pentru trimitere.

Pasul 2: Politicile privind amenințările și modul în care sunt aplicate

Există trei straturi conceptuale în Defender pentru Office 365: politici implicite, politici de securitate prestabilite și politici personalizateÎnțelegerea diferenței și a precedenței vă va scuti de multe probleme.

Tipuri de politici disponibile

• Directive implicite: acestea sunt active din momentul în care creezi chiriașul, se aplică întotdeauna tuturor destinatarilor și nu le poți modifica domeniul de aplicare (în unele cazuri le poți modifica setările). Sunt plasa ta de siguranță.
• Politici de securitate prestabiliteProfiluri închise cu cele mai bune practici Microsoft, în două variante: Standard y StrictProtecția integrată pentru linkuri și atașamente este activată în mod implicit; pentru Standard/Strict, trebuie să o activați și să definiți destinatarii și excepțiile.
• Directive personalizatecând aveți nevoie de setări specifice (blocare limbă/țară, carantine personalizate, notificări personalizate), creați câte aveți nevoie și atribuiți condiții după utilizatori, grupuri sau domenii.

Cele presetate evoluează automat: Dacă Microsoft consolidează o recomandare, profilul este actualizat Și beneficiezi fără a atinge nimic. În Standard și Strict, poți edita doar intrările și excepțiile de uzurpare a identității utilizatorilor și domeniilor; toate celelalte sunt setate la nivelul recomandat.

Ordinea de prioritate

Când un mesaj sau un element este evaluat, Prima politică aplicabilă este cea care comandă iar restul nu mai sunt luate în considerare. În general, ordinea este:

1. Politici de securitate prestabilite: mai întâi Strict, apoi Standard.
2. Directive personalizate ale acelei caracteristici, ordonate după prioritate (0, 1, 2…).
3. Politica implicită (sau protecție integrată în cazul Legăturilor/Atașamentelor Sigure).

Pentru a evita suprapunerile ciudate, utilizați diferite grupuri țintă la fiecare nivel și adăugați excepții în Strict/Standard pentru utilizatorii pe care îi veți viza cu politici personalizate. Cei care nu se încadrează în nivelurile superioare vor fi protejați de protecția implicită sau încorporată.

Strategia recomandată

Dacă nu există nicio cerință care să te împingă la personalizare, Începe cu politica standard pentru întreaga organizație și Rezerve stricte pentru grupurile cu risc ridicat. Este simplu, robust și se autoreglează pe măsură ce amenințările se schimbă.

Pasul 3: Atribuiți permisiuni administratorilor fără a exagera

Chiar dacă contul tău inițial are putere pentru orice, Nu este o idee bună să renunți la rolul de Administrator Global. oricui trebuie să lucreze la securitate. De regulă, atribuiți rolul de Administrator de securitate în Microsoft Access administratorilor, specialiștilor și personalului de asistență care vor gestiona Defender pentru Office 365.

Dacă veți gestiona doar e-mailul, puteți alege Permisiuni Exchange Online sau rolurile E-mail și colaborare ale portalului Defender. Privilegiu minim, întotdeauna pentru a reduce suprafața de risc.

Pasul 4: Conturi prioritare și etichete de utilizator

Defender pentru Office 365 permite marcarea până la 250 de utilizatori ca conturi prioritare pentru a le evidenția în rapoarte și cercetări și a aplica euristici suplimentare. Este ideal pentru directori, finanțe sau IT.

Cu Planul 2 aveți și etichete de utilizator personalizate pentru a grupa grupuri (furnizori, VIP-uri, departamente) și a filtra analiza. Identificați cine ar trebui etichetat din prima zi

Pasul 5: Mesaje raportate de utilizatori

Utilizatorii care ridică mâna sunt de aur: Rezultatele fals pozitive/negative raportate vă permit să ajustați politicile și antrenează filtrele Microsoft.

• Cum raporteazăcu butonul Raport integrat în Outlook (web/desktop) sau cu instrumente terțe acceptate care utilizează formatul acceptat; așa vor apărea în fila Raport a utilizatorului Trimiteri.
• Unde se duc?: în mod implicit, către o cutie poștală desemnată deja în Microsoft. Puteți schimba aceasta la doar cutia poștală (și redirecționează manual către Microsoft) sau doar MicrosoftCreați o cutie poștală dedicată pentru aceste rapoarte; nu utilizați contul original.

Trimiterea rapoartelor către Microsoft ajută filtrele învață mai repedeDacă optați pentru trimiterea doar a mesajelor primite, nu uitați să trimiteți e-mailuri relevante pentru analiză din fila Trimitere.

Pasul 6: Blocați și permiteți cu capul

Listele de permisiuni/blocări ale chiriașilor sunt puternice, dar Abuzul de permisiune deschide uși inutilePrevalați prin blocare și folosiți concesii temporare numai după o verificare temeinică.

• blocareadăugați domenii/adrese de e-mail, fișiere și adrese URL în filele corespunzătoare sau trimite articole către Microsoft din Trimiteri pentru ca intrarea să fie creată automat. Spoofing Intelligence afișează expeditorii blocați/permiși; puteți schimbarea deciziilor sau creați intrări proactive.
• permitePuteți permite domeniilor/adreselor de e-mail și adreselor URL să ignore verdictele de spam în masă, spam cu grad ridicat de încredere sau phishing cu grad scăzut de încredere. Programele malware nu pot fi permise direct sau URL-uri/domenii marcate ca fiind de tip phishing cu grad ridicat de încredere; în aceste cazuri, trimiteți din Trimiteri și marcați „Am confirmat că este curat” pentru a crea un excepție temporară.

Atenție la excepții: revizuiți-le și expiră-le când nu mai sunt necesare. Vei preveni ceea ce nu ar trebui să se întâmple din cauza permisivității istorice.

Pasul 7: Simulări și instruire în domeniul phishing-ului

Cu antrenamentul de simulare a atacurilor (Planul 2) puteți lansează campanii realiste de uzurpare a identității și atribuiți instruire pe baza răspunsului utilizatorului. Atingeți acreditările, phishing-ul cu coduri QR, atașamentele periculoase sau BEC pentru a acoperi întregul spectru.

Telemetria acestor campanii dezvăluie comportamente riscante și ajută la planificarea întăririlor. În mod ideal, efectuează simulări trimestriale pentru a menține pulsul.

Pasul 8: Cercetează și răspunde fără a pierde timpul

Când se declanșează o alertă, obiectivul este clar: înțelegeți rapid domeniul de aplicare și remediațiDefender pentru Office 365 vă oferă două avantaje cheie în munca de zi cu zi.

• Explorator de amenințăriFiltrați după programe malware, phishing sau adrese URL detectate, utilizați vizualizare campanie pentru a vedea toate mesajele afectate și a aplica acțiuni în bloc (Ștergere soft/Eliminare) asupra mesajelor compromise.
• Investigație și răspuns automat (AIR) în Planul 2: inițiază investigații, izolează mesajele, analizează linkurile, relaționează cutiile poștale și propune sau execută remediere.

În plus, purjare automată la zero ore (ZAP) poate retrage corespondența după livrare dacă este sortată din nou, ceea ce reducerea ferestrei de expunere dacă ceva este ulterior reevaluat ca fiind rău intenționat.

Protejarea OneDrive, SharePoint și Teams

Poșta este poșta, dar fișierele sunt prada. Extinde protecția la OneDrive, SharePoint și Teams pentru a reduce infecțiile și a filtra conținutul rău intenționat în colaborare.

• Antimalware în fișiereAnaliza atașamentelor în sandbox și detonarea cu Safe Attachments, inclusiv livrarea dinamică pentru a nu opri citirea mesajului în timp ce inspectați fișierul. Aflați și cum să verificați un fișier descărcat.
• Legături sigureRescrierea și analiza URL-urilor în timp real în e-mailuri, documente și Teams; puteți împiedica clicurile pentru a bloca ignorarea avertismentelor.
• Etichete DLP și de sensibilitate (Competență): Previne scurgerile de date sensibile și aplică criptare/controale prin nivelul de sensibilitate, chiar și în afara organizației, sau să învețe să ascunde și protejează e-mailurile confidențiale.

Se completează cu Microsoft Defender for Cloud Aplicații alin Descoperiți Shadow IT, aplicați politici în timp real și detectarea anomaliilor (ransomware, aplicații rău intenționate) în serviciile cloud, atât de la Microsoft, cât și de la terți.

Licențiere și activare rapidă

Defender pentru Office 365 este disponibil în două planuri: P1 (Linkuri sigure, Atașamente sigure și anti-phishing avansat) și P2 (adăugă Threat Explorer, AIR și simulări). E5 include P2; cu E3 puteți adăuga P1 sau P2 după cum este necesar.

funcționalitate	EOP	planul de 1	planul de 2
Antispam/antimalware standard	✔	✔	✔
Legături sigure	-	✔	✔
Atasamente sigure	-	✔	✔
Antiphishing cu IA	-	✔	✔
Explorator de amenințări / AIR	-	-	✔
Simulare de atac	-	-	✔

Pentru a-l activa, accesați Microsoft 365 Defender, accesați E-mail și colaborare > Politici și reguli și activați Standard/Strict. Atribuiți domeniul de aplicare (utilizatori, grupuri, domenii) și să definiți excepții acolo unde este cazul.

Comandă rapidă PowerShell pentru antiphishing

# Conecta al módulo de Exchange Online
Connect-ExchangeOnline

# Crea política y regla de Anti-Phish básicas
New-AntiPhishPolicy -Name 'AntiPhishCorp' \
 -EnableMailboxIntelligence $true \
 -EnableDomainImpSpoofProtection $true \
 -EnableUserImpSpoofProtection $true

New-AntiPhishRule -Name 'AntiPhishCorpRule' \
 -AntiPhishPolicy 'AntiPhishCorp' -RecipientDomainIs 'midominio.com'

Amintește-ți asta cu Livrare dinamică în atașamente sigure Utilizatorul primește instantaneu corpul mesajului, iar atașamentul este eliberat după declanșare; acest lucru îmbunătățește experiența fără a sacrifica securitatea.

Cele mai bune practici, Zero Trust și integrare

Pentru a vă întări postura, aplicați aceste îndrumări. Nu au nevoie de magie, ci doar de perseverență. și judecată practică.

• DMARC cu p=carantină/respingere și DKIM pe toate domeniile pentru a opri falsificarea.
• Revizuiți Scorul Secure semestrial și vizează ≥ 75%. Implementează recomandările relevante.
• Monitorizați falsurile pozitive în carantină și să se adapteze fără a permite prea mult. Mai puțin înseamnă mai mult.
• Simulări trimestriale pentru a crește cu adevărat gradul de conștientizare în rândul utilizatorului final.
• Integrare cu Microsoft Sentinel Dacă aveți SIEM, pentru corelare multi-domeniu și automatizare SOAR.
• Scutiri de documente (de exemplu, terțe părți trimit atașamente neobișnuite) și le revizuiesc trimestrial.

În cadrul unei strategii Încredere zero, Defender pentru Office 365 acoperă e-mailul și colaborarea; adaugă Defender pentru Endpoint pentru a încetini mișcarea laterală și a răspunde pe dispozitiv și a vă sprijini Ecran inteligent pentru a opri site-urile web și download-uri periculos pe terminal, pe lângă configurarea gestionarea dispozitivelor mobile (MDM).

Date și confidențialitate în Defender pentru Office 365

Când procesează e-mailuri și mesaje Teams, Microsoft 365 gestionează metadate precum nume afișate, adrese de e-mail, adrese IP și domeniiSunt utilizate pentru ML offline, reputație și capabilități precum ZAP. Pentru straturi suplimentare, luați în considerare Protejați-vă e-mailul cu ajutorul e-mailului protejat.

Toate rapoartele sunt supuse unor identificatori EUPI (pseudonime) și EUII, cu aceste garanții: datele sunt partajate doar în cadrul organizației dvs., stocate în regiunea dvs. și doar utilizatorii autorizați au accesCriptarea în repaus este aplicată folosind ODL și CDP.

Locația datelor

Defender pentru Office 365 funcționează în centre de date Microsoft Entra. Pentru anumite zone geografice, datele în repaus pentru organizațiile cu acces la date furnizate sunt stocate numai în regiunea lor. Regiuni cu reședință locală Acestea includ:

• Australia
• Brasil
• Canada
• UE
• Franța
• Germania
• India
• Israel
• Italia
• Japonia
• Norvegia
• Polonia
• Qatar
• Singapur
• Africa de Sud
• Coreea de Sud
• Suedia
• Elveția
• Emiratele Arabe Unite
• Regatul Unit
• Statele Unite ale Americii

Printre datele stocate în repaus în regiunea locală (protecții implicite în cutiile poștale din cloud și în Defender pentru Office 365) se numără alerte, atașamente, liste de blocare, metadate de e-mail, analize, spam, carantine, rapoarte, politici, domenii și adrese URL spam.

Păstrare și partajare

Datele Defender pentru Office 365 sunt păstrate 180 de zile în rapoarte și înregistrăriInformațiile personale extrase sunt criptate și șterse automat la 30 de zile după perioada de păstrare. La sfârșitul licențelor și al perioadelor de grație, datele sunt șterse iremediabil în termen de cel mult 190 de zile de la încheierea abonamentului.

Defender pentru Office 365 partajează date cu Microsoft 365 Defender XDR, Microsoft Sentinel și jurnalele de audit (dacă este licențiat de client), cu excepții specifice pentru cloud-urile guvernamentale din GCC.

Recuperare după ransomware în Microsoft 365

Dacă, în ciuda a tot, ceva se strecoară, acționează rapid: Opriți sincronizarea OneDrive și izolați computerele compromise pentru a păstra copii sănătoase. Apoi profitați de opțiunile native.

• Controlul versiuniiSalvați mai multe versiuni în SharePoint, OneDrive și Exchange. Puteți configura până la 50.000, dar aveți grijă: Unele ransomware criptează toate versiunile și depozitare cont suplimentar.
• Reciclați coșulRestaurează elementele șterse în timpul 93 zileDupă acea perioadă și cele două faze de eliminare a coșului de gunoi, puteți solicita Microsoft până la 14 zile suplimentare pentru recuperare.
• Politici de păstrare (E5/A5/G5): definește cât timp se păstrează și ce poate fi șters; automatizează reținerile la sursă pe tipuri de conținut.
• Bibliotecă de păstrareÎn cazul reținerilor active, o copie imuabilă este salvată în OneDrive/SharePoint; vă permite să extrageți fișiere intacte după incident.
• Copii de rezervă de la terțiMicrosoft nu face de rezervă copie de rezervă tradițională a conținutului M365; luați în considerare o soluție de backup SaaS pentru RTO/RPO exigent și recuperare granulară sau să înveți să faceți o copie de rezervă a e-mailurilor dvs..

Pentru a reduce vectorii de intrare, nu uitați să combinați protecții pentru e-mail (EOP + Defender), autentificare multi-factor, reguli de reducere a suprafeței de atac și setări Exchange care reduc riscul de phishing și spoofing.

Cu toate cele de mai sus implementate, mediul dvs. Microsoft 365 este considerabil mai robust: E-mail autentificat, politici consecvente cu prioritate clară, colaborare securizată, raportarea utilizatorilor, simulări educaționale și capacități reale de investigare și răspuns. Completați-le cu revizuiri periodice, Scor Securizat și excepții minime și veți avea un sistem care rezistă campaniilor moderne fără a sacrifica utilitatea.