Udhëzuesi i plotë për Defender për Office 365: Mbroni email-in dhe skedarët

Nëse e përdorni Microsoft 365Email-i dhe skedarët tuaj janë një objektiv i preferuar për sulmuesit, prandaj ia vlen të merreni seriozisht me sigurinë. Microsoft Defender për Office 365 shton shtresa kryesore mbrojtjeje rreth Mbrojtjes Online të Exchange, monitorimit të mesazheve, lidhjeve, bashkëngjitjeve dhe bashkëpunimit në OneDrive, SharePoint dhe Ekipet.

Në këtë udhëzues praktik do të gjeni një udhëzues të plotë dhe të zbatueshëm: nga vërtetimi i email-it (SPF, DKIM, DMARC) dhe politikat Standarde/Strict të paracaktuara, për mënyrën e përcaktimit të përparësive të llogarive, marrjes së raporteve të përdoruesve, menaxhimit të listave të lejimit/bllokimit, nisjes së simulimeve të phishing-ut dhe reagimit ndaj incidenteve. Gjithashtu do të shqyrtoni licencimin, privatësinë, ruajtjen e të dhënave dhe Tricks për të përmirësuar rezultatet pa u çmendur, si p.sh. Parandaloni bllokimin e skedarëve të sigurt nga Microsoft Defender.

Kërkesat dhe lejet kryesore

Si parazgjedhje, Microsoft 365 tashmë vendos barriera themelore të postës me EOP, por Defender për Office 365 e zgjeron atë mbrojtje me veçori të përparuaraPër ta konfiguruar pa probleme, do t'ju duhen lejet e duhura.

Mënyra më e lehtë për të deleguar është të caktoni rolin e Administrator Sigurie në Microsoft Enter për ata që do të prekin Defender për Office 365. Nëse preferoni leje të detajuara, mund të përdorni lejet e Exchange Online ose leje specifike të Email & Collaboration në portalin Defender, por shmangni dhënien e rolit të Administratorit Global të gjithëve dhe ndjek parimin e privilegjit më të vogël.

Hapi 1: Konfiguroni vërtetimin e email-it (SPF, DKIM, DMARC dhe ARC)

Para se të mendoni për spam ose malware, është koha për të mbrojtur origjinën. Autentifikimi i postës konfirmon që mesazhet janë të ligjshme dhe nuk janë manipuluar.Ju duhet t'i zbatoni këto standarde në këtë renditje për çdo domen të personalizuar që dërgon email nga Microsoft 365.

• SPF (TXT)Deklaroni se cilët hostë lejohen të dërgojnë në emër të domenit tuaj. Publikoni një regjistrim të saktë SPF për të parandaluar imitimet dhe për të përmirësuar shpërndarjen.
• DKIM: nënshkrim dalës që udhëton në kokë dhe i mbijeton ritransmetimeve. Aktivizojeni atë për domenet tuaja dhe përdorni çelësat CNAME që ju ofron Microsoft 365.
• Zgjerimi DMARCTregon se çfarë duhet bërë nëse SPF/DKIM dështon. Përfshin politika p=refuzoj op=karantinën dhe marrësit për raportet agregate dhe mjeko-ligjore, në mënyrë që serverët tuaj të destinacionit të dinë se çfarë të presin.
• BOWNëse një shërbim i ndërmjetëm modifikon mesazhet hyrëse, regjistroje atë si izolues i besueshëm ARC për të ruajtur gjurmueshmërinë dhe për të siguruar që vërtetimi i origjinës të mos prishet.

Nëse përdorni domenin '*.onmicrosoft.com' si burim email-i, e keni bërë tashmë një pjesë të punës. SPF dhe DKIM konfigurohen si parazgjedhje, por do të duhet ta krijoni manualisht regjistrimin DMARC për atë domen nëse e përdorni për dërgim.

Hapi 2: Politikat e kërcënimeve dhe si zbatohen ato

Ekzistojnë tre shtresa konceptuale në Defender për Office 365: politikat e parazgjedhura, politikat e paracaktuara të sigurisë dhe politikat e personalizuaraTë kuptuarit e ndryshimit dhe përparësisë do t'ju kursejë shumë telashe.

Llojet e politikave të disponueshme

• Direktivat e parazgjedhura: ata jetojnë që nga momenti që ju krijoni qiramarrësin, zbatohet gjithmonë për të gjithë marrësit dhe nuk mund ta ndryshoni fushëveprimin e tyre (mund të ndryshoni cilësimet e tyre në disa raste). Ato janë rrjeta juaj e sigurisë.
• Politikat e sigurisë të paracaktuaraProfile të mbyllura me praktikat më të mira të Microsoft-it, në dy versione: standard y I rreptëMbrojtja e integruar e lidhjeve dhe bashkëngjitjeve është e aktivizuar si parazgjedhje; për Standard/Strict, duhet ta aktivizoni dhe të përcaktoni marrësit dhe përjashtimet.
• Direktivat e personalizuara: kur keni nevojë për cilësime specifike (bllokim gjuhe/vendi, karantina të personalizuara, njoftime të personalizuara), krijoni aq sa ju nevojiten dhe ju caktoni kushte sipas përdoruesve, grupeve ose domeneve.

Ato të paracaktuara evoluojnë automatikisht: Nëse Microsoft forcon një rekomandim, profili përditësohet. Dhe përfitoni pa prekur asgjë. Në Standard dhe Strict, mund të modifikoni vetëm hyrjet dhe përjashtimet e imitimit të përdoruesit dhe domenit; çdo gjë tjetër është vendosur në nivelin e rekomanduar.

Renditja e përparësisë

Kur vlerësohet një mesazh ose element, Politika e parë e zbatueshme është ajo që urdhëron dhe pjesa tjetër nuk merret më në konsideratë. Në përgjithësi, rendi është:

1. Politikat e sigurisë të paracaktuara: së pari Strict, pastaj Standard.
2. Direktivat e personalizuara të asaj veçorie, të renditura sipas përparësisë (0, 1, 2…).
3. Politika e parazgjedhur (ose mbrojtje e integruar në rastin e Lidhjeve/Shtojcave të Sigurta).

Për të shmangur mbivendosjet e çuditshme, përdorni grupe të ndryshme të synuara në çdo nivel dhe shtoni përjashtime në Strict/Standard për përdoruesit që do t'i synoni me politika të personalizuara. Ata që nuk bien në nivele më të larta do të mbrohen nga mbrojtja e parazgjedhur ose e integruar.

Strategji e rekomanduar

Nëse nuk ka ndonjë kërkesë që ju shtyn të personalizoni, Fillon me politikën standarde për të gjithë organizatën. dhe Rezerva të rrepta për grupet me risk të lartë. Është e thjeshtë, e fuqishme dhe vetëpërshtatet me ndryshimin e kërcënimeve.

Hapi 3: Caktoni lejet për administratorët pa e tepruar

Edhe nëse llogaria juaj fillestare ka fuqi për gjithçka, Nuk është ide e mirë të heqësh dorë nga roli i Administratorit Global. për këdo që duhet të punojë me sigurinë. Si rregull, caktoni rolin e Administratorit të Sigurisë në Microsoft Access administratorëve, specialistëve dhe mbështetjes që do të menaxhojnë Defender për Office 365.

Nëse do të menaxhoni vetëm email-in, mund të zgjidhni Lejet e Exchange Online ose rolet e Email-it dhe Bashkëpunimit të portalit Defender. Privilegj minimal, gjithmonë për të zvogëluar sipërfaqen e rrezikut.

Hapi 4: Llogaritë me Prioritet dhe Etiketat e Përdoruesit

Defender për Office 365 lejon shënimin deri në 250 përdorues si llogari prioritare për t'i nxjerrë në pah ato në raporte dhe kërkime dhe për të aplikuar heuristika shtesë. Është ideale për drejtuesit, financat ose IT-në.

Me Planin 2 keni edhe etiketat e personalizuara të përdoruesit për të grupuar grupet (furnizuesit, personat VIP, departamentet) dhe për të filtruar analizën. Identifikoni se kush duhet të etiketohet nga dita e parë

Hapi 5: Mesazhet e raportuara nga përdoruesit

Ngritja e duarve nga përdoruesit është e artë: Rezultatet pozitive/negative të rreme që raportojnë ju lejojnë të përshtatni politikat dhe trajnoni filtrat e Microsoft-it.

• Si raportojnë atame butonin Raporto të integruar në Outlook (web/desktop) ose me mjete të palëve të treta të mbështetura që përdorin formatin e mbështetur; kështu do të shfaqen ato në skedën Raporti të përdoruesit të Dorëzimeve.
• Ku shkojnë ata?: si parazgjedhje në një kuti postare të caktuar që është tashmë në Microsoft. Mund ta ndryshoni këtë në vetëm posta elektronike (dhe përcilleni manualisht te Microsoft) ose vetëm MicrosoftKrijo një kuti postare të dedikuar për këto raporte; mos e përdor llogarinë origjinale.

Dërgimi i raporteve te Microsoft ndihmon filtrat mësojnë më shpejtNëse zgjidhni vetëm mesazhet në kutinë hyrëse, mos harroni të dërgoni email-e përkatëse për analizë nga skeda Dërgimi.

Hapi 6: Blloko dhe lejo me kokë

Listat e lejimit/bllokimit të qiramarrësve janë të fuqishme, por Abuzimi i lejimit hap dyer të panevojshmeMbizotëroni me bllokim dhe përdorni koncesione të përkohshme vetëm pas verifikimit të plotë.

• bllokohet: shtoni domene/email-e, skedarë dhe URL në skedat përkatëse ose dërgo artikuj te Microsoft nga Dërgimet për të krijuar automatikisht hyrjen. Inteligjenca e Spoofing shfaq dërguesit e bllokuar/të lejuar; ju mundeni ndryshim vendimesh ose krijoni hyrje proaktive.
• lejojMund të lejoni që domenet/email-et dhe URL-të të anashkalojnë vlerësimet për mesazhe masive, spam, spam me besim të lartë ose phishing me besim jo të lartë. Programet keqdashëse nuk mund të lejohen drejtpërdrejt ose URL/domene të shënuara si phishing me besim të lartë; në këto raste, dorëzoni nga Dorëzimet dhe shënoni 'Kam konfirmuar që është i pastër' për të krijuar një përjashtim i përkohshëm.

Kujdes nga përjashtimet: rishikojini ato dhe skadoni ato kur ato nuk do të nevojiten më. Do të parandaloni atë që nuk duhet të ndodhë për shkak të lejueshmërisë historike.

Hapi 7: Simulime dhe Trajnim për Phishing

Me Trajnimin e Simulimit të Sulmit (Plani 2) ju mundeni nis fushata realiste të imitimit dhe caktoni trajnimin bazuar në përgjigjen e përdoruesit. Prekni kredencialet, phishing-un QR, bashkëngjitjet e rrezikshme ose BEC për të mbuluar spektrin.

Telemetria e këtyre fushatave zbulon sjellje të rrezikshme dhe ndihmon në planifikimin e përforcimeve. Idealisht, kryen simulime tremujore për të mbajtur pulsin.

Hapi 8: Bëni kërkime dhe përgjigjuni pa humbur kohë

Kur aktivizohet një alarm, qëllimi është i qartë: kuptoni fushëveprimin dhe zgjidheni shpejtDefender për Office 365 ju jep dy avantazhe kryesore në punën tuaj të përditshme.

• Eksploruesi i KërcënimeveFiltro sipas programeve keqdashëse, phishing ose URL-ve të zbuluara, përdor pamje e fushatës për të parë të gjitha mesazhet e prekura dhe për të aplikuar veprime në masë (fshirje/pastrim i butë) në mesazhet e kompromentuara.
• Hetim dhe Përgjigje Automatike (AIR) në Planin 2: fillon hetimet, izolon mesazhet, analizon lidhjet, lidh kutitë postare dhe propozon ose ekzekuton masa korrigjuese.

Plus, Pastrim Automatik Zero-orësh (ZAP) mund të tërheqë postën pas dorëzimit nëse ajo rirenditet, gjë që zvogëloni dritaren e ekspozimit nëse diçka më vonë rivlerësohet si dashakeqe.

Mbrojtja e OneDrive, SharePoint dhe Teams

Posta është porta hyrëse, por skedarët janë plaçka. Zgjeron mbrojtjen në OneDrive, SharePoint dhe Teams për të prerë infeksionet dhe për të filtruar përmbajtjen dashakeqe në bashkëpunim.

• Antimalware në skedarëAnaliza dhe shpërthimi i bashkëngjitjes në sandbox me bashkëngjitje të sigurta, duke përfshirë Dorëzimin Dinamik në mënyrë që të mos ndaloni së lexuari mesazhin gjatë inspektimit të skedarit. Gjithashtu mësoni se si të kontrolloni një skedar të shkarkuar.
• Lidhje të SigurtaRishkrimi dhe analiza e URL-ve në kohë reale në email-e, dokumente dhe Teams; mund të parandaloni klikimin për të bllokuar paralajmërimet e injorimit.
• DLP dhe etiketat e ndjeshmërisë (Qëllimi): Parandalon rrjedhjet e të dhënave të ndjeshme dhe zbaton enkriptimin/kontrollet sipas nivelit të ndjeshmërisë, madje edhe jashtë organizatës, ose të mësojnë të fshihni dhe mbroni emailet konfidenciale.

Plotëson me Microsoft Defender për Cloud Apps para Zbuloni Shadow IT, zbatoni politikat në kohë reale dhe zbulojnë anomali (ransomware, aplikacione keqdashëse) në shërbimet cloud, si të Microsoft ashtu edhe të palëve të treta.

Licencimi dhe aktivizimi i shpejtë

Defender për Office 365 është i disponueshëm në dy plane: P1 (Lidhje të Sigurta, Bashkëngjitje të Sigurta dhe anti-phishing të avancuar) dhe P2 (shton Threat Explorer, AIR dhe simulimet). E5 përfshin P2; me E3 mund të shtoni P1 ose P2 sipas nevojës.

funksionalitetin	EOP	Plani 1	Plani 2
Antispam/anti-malware standard	✔	✔	✔
Lidhje të Sigurta	-	✔	✔
Shtojca të sigurta	-	✔	✔
Anti-phishing me IA	-	✔	✔
Eksploruesi i Kërcënimeve / AJËR	-	-	✔
Simulimi i sulmit	-	-	✔

Për ta aktivizuar, shkoni te Microsoft 365 Defender, shkoni te Email dhe Bashkëpunim > Politika dhe Rregulla dhe aktivizoni Standard/Strict. Cakto fushëveprimin (përdoruesit, grupet, domenet) dhe përcaktoni përjashtimet aty ku është e përshtatshme.

Shkurtore PowerShell për antiphishing

# Conecta al módulo de Exchange Online
Connect-ExchangeOnline

# Crea política y regla de Anti-Phish básicas
New-AntiPhishPolicy -Name 'AntiPhishCorp' \
 -EnableMailboxIntelligence $true \
 -EnableDomainImpSpoofProtection $true \
 -EnableUserImpSpoofProtection $true

New-AntiPhishRule -Name 'AntiPhishCorpRule' \
 -AntiPhishPolicy 'AntiPhishCorp' -RecipientDomainIs 'midominio.com'

Mos harroni se me Dorëzim Dinamik në Shtojca të Sigurta Përdoruesi e merr menjëherë trupin e mesazhit dhe bashkëngjitja lirohet pas aktivizimit; kjo përmirëson përvojën pa sakrifikuar sigurinë.

Praktikat më të mira, Besim Zero dhe integrim

Për të forcuar qëndrimin tuaj, zbatoni këto udhëzime. Ata nuk kërkojnë magji, vetëm këmbëngulje. dhe gjykim praktik.

• DMARC me p=karantinë/refuzim dhe DKIM në të gjitha domenet për të ndaluar mashtrimin.
• Rishikoni Rezultatin e Sigurt çdo gjashtë muaj dhe synon ≥ 75%. Zbatoni rekomandimet përkatëse.
• Monitoroni pozitivët e rremë në karantinë dhe përshtatu pa lejuar shumë. Më pak është më shumë.
• Simulime tremujore për të rritur vërtet ndërgjegjësimin tek përdoruesi përfundimtar.
• Integro me Microsoft Sentinel Nëse keni SIEM, për korrelacion shumë-domenesh dhe automatizim SOAR.
• Përjashtimet e dokumenteve (për shembull, palët e treta që dërgojnë bashkëngjitje të pazakonta) dhe i shqyrtojnë ato çdo tremujor.

Brenda një strategjie Zero besim, Defender për Office 365 mbulon email-in dhe bashkëpunimin; shton Mbrojtësi për pikën përfundimtare për të ngadalësuar lëvizjen anësore dhe për t'iu përgjigjur pajisjes, si dhe për t'u mbështetur në SmartScreen për të ndaluar faqet e internetit dhe Descargas e rrezikshme në pikën fundore, përveç konfigurimit menaxhimi i pajisjeve mobile (MDM).

Të dhënat dhe privatësia në Defender për Office 365

Gjatë përpunimit të email-eve dhe mesazheve të Teams, Microsoft 365 trajton meta të dhëna të tilla si emrat e shfaqur, adresat e email-it, adresat IP dhe domenetAto përdoren për ML jashtë linje, reputacion dhe aftësi si ZAP. Për shtresa shtesë, merrni në konsideratë Mbroni email-in tuaj me Email të Mbrojtur.

Të gjitha raportet i nënshtrohen identifikuesve EUPI (pseudonime) dhe EUII, me këto garanci: të dhënat ndahen vetëm brenda organizatës suaj, ruhen në rajonin tuaj dhe vetëm përdoruesit e autorizuar kanë qasjeEnkriptimi në qetësi zbatohet duke përdorur ODL dhe CDP.

Vendndodhja e të dhënave

Defender për Office 365 operon në qendrat e të dhënave të Microsoft Entra. Për zona të caktuara gjeografike, të dhënat në pritje për organizatat e ofruara ruhen vetëm në rajonin e tyre. Rajonet me vendbanim lokal Ato përfshijnë:

• Australi
• Brasil
• Kanadë
• BE
• Francë
• Alemania
• Indi
• Izrael
• Itali
• Japoni
• Norvegji
• Polonia
• Qatar
• Singapore
• Afrika e Jugut
• Corea del Sur
• Suedi
• Zvicra
• Emiratet e Bashkuara Arabe
• Angli
• Shtetet e Bashkuara

Ndër të dhënat e ruajtura në qetësi në rajonin lokal (mbrojtjet e parazgjedhura në kutitë postare në cloud dhe në Defender për Office 365) janë alarme, bashkëngjitje, lista bllokimi, meta të dhënash të email-it, analiza, spam, karantina, raporte, politika, domene dhe URL të spamit.

Ruajtja dhe ndarja

Të dhënat e Defender për Office 365 ruhen 180 ditë në raporte dhe të dhënaInformacioni personal i nxjerrë enkriptohet dhe fshihet automatikisht 30 ditë pas periudhës së ruajtjes. Në fund të licencave dhe periudhave të hirit, të dhënat fshihen në mënyrë të pakthyeshme jo më vonë se 190 ditë pas përfundimit të abonimit.

Defender për Office 365 ndan të dhëna me Microsoft 365 Defender XDR, Microsoft Sentinel dhe regjistrat e auditimit (nëse licencohet nga klienti), me përjashtime specifike për cloud-et qeveritare të GCC-së.

Rimëkëmbja nga Ransomware në Microsoft 365

Nëse, pavarësisht gjithçkaje, diçka nuk i shpëton, veproni shpejt: Ndërpritni sinkronizimin e OneDrive dhe izoloni kompjuterët e kompromentuar për të ruajtur kopje të shëndetshme. Pastaj përfitoni nga opsionet origjinale.

• Kontrolli i versionitRuani versione të shumta në SharePoint, OneDrive dhe Exchange. Mund të konfiguroni deri në 50.000, por kini kujdes: Disa ransomware i enkriptojnë të gjitha versionet dhe ruajtje llogari shtesë.
• Kosh riciklimiRikthen artikujt e fshirë gjatë Ditë 93Pas asaj periudhe dhe dy fazave të hedhjes së mbeturinave, mund t'i kërkoni Microsoft-it deri në 14 ditë shtesë për shërim.
• Politikat e mbajtjes (E5/A5/G5): përcakton se sa kohë duhet të ruhet dhe çfarë mund të fshihet; automatizon mbajtjet në burim sipas llojeve të përmbajtjes.
• Biblioteka e Ruajtjes së RuajtjesMe mbajtje aktive, një kopje e pandryshueshme ruhet në OneDrive/SharePoint; ju lejon të nxirrni skedarë të paprekur pas incidentit.
• Kopje rezervë të palëve të tretaMicrosoft nuk e bën backup kopje rezervë tradicionale të përmbajtjes suaj M365; merrni në konsideratë një zgjidhje rezervë SaaS për Kërkesë për RTO/RPO dhe rimëkëmbje të detajuar, ose mësoni të bëni kopje rezervë të email-eve tuaja.

Për të zvogëluar vektorët e hyrjes, mos harroni të kombinoni mbrojtje të email-it (EOP + Defender), vërtetim me shumë faktorë, rregulla për reduktimin e sipërfaqes së sulmit dhe cilësime të Exchange që zvogëlojnë rrezikun e phishing-ut dhe spoof-it.

Me të gjitha sa më sipër në vend, mjedisi juaj i Microsoft 365 është dukshëm më i fuqishëm: Email i autentifikuar, politika të qëndrueshme me përparësi të qartë, bashkëpunim i sigurt, raportimin e përdoruesve, simulimet edukative dhe aftësitë reale të hetimit dhe reagimit. Përfundojeni këtë me rishikime periodike, Score të Sigurt dhe përjashtime minimale, dhe do të keni një sistem që i reziston fushatave moderne pa sakrifikuar përdorshmërinë.