Комплетан водич за Defender за Office 365: Заштитите е-пошту и датотеке

Ако користиш Мицрософт КСНУМКСВаша е-пошта и датотеке су омиљена мета нападача, зато је вредно озбиљно схватити безбедност. Microsoft Defender за Office 365 додаје кључне слојеве заштите о заштити Exchange Online-а, праћењу порука, линкова, прилога и сарадњи у OneDrive-у, СхареПоинт и Тимови.

У овом практичном водичу наћи ћете комплетан и практичан водич: од аутентификације е-поште (SPF, DKIM, DMARC) и унапред утврђених стандардних/строгих политика, како да одредите приоритет налога, примате извештаје корисника, управљате листама дозвољених/блокираних налога, покрећете симулације фишинга и реагујете на инциденте. Такође ћете се бавити лиценцирањем, приватношћу, задржавањем података и Трикови да побољшате резултате без претеривања, као што је Спречите Microsoft Defender да блокира безбедне датотеке.

Кључни захтеви и дозволе

Подразумевано, Microsoft 365 већ поставља основне баријере за пошту са EOP-ом, али Дефендер за Office 365 проширује ту заштиту напредним функцијамаДа бисте га подесили без проблема, биће вам потребне одговарајуће дозволе.

Најлакши начин делегирања је додељивање улоге Администратор безбедности у компанији Microsoft Enter онима који ће користити Defender за Office 365. Ако више волите прецизне дозволе, можете користити дозволе за Exchange Online или одређене дозволе за е-пошту и сарадњу на порталу Defender-а, али избегавајте давање улоге глобалног администратора свима и следи принцип најмањих привилегија.

Корак 1: Конфигуришите аутентификацију е-поште (SPF, DKIM, DMARC и ARC)

Пре него што помислите на спам или малваре, време је да се заштити порекло. Аутентификација поште потврђује да су поруке легитимне и да нису измењене.Морате применити ове стандарде овим редоследом за сваки прилагођени домен који шаље е-пошту из услуге Microsoft 365.

• СПФ (ТКСТ)Наведите којим хостовима је дозвољено да шаљу у име вашег домена. Објавите исправан SPF запис како би се спречило лажно представљање и побољшала испорука.
• ДКИМ: одлазни потпис који путује у заглављу и преживљава поновне преносе. Активирајте га за своје домене и користите CNAME кључеве које вам пружа Microsoft 365.
• ДМАРЦ: Означава шта треба урадити ако SPF/DKIM не успе. Укључује политика p=одбијање op=карантин и примаоце за збирне и форензичке извештаје, тако да ваши одредишни сервери знају шта да очекују.
• АРЦАко посредничка услуга мења долазне поруке, евидентирај то као поуздани ARC заптивач како би се одржала могућност праћења и осигурало да аутентификација порекла није нарушена.

Ако користите домен „*.onmicrosoft.com“ као извор е-поште, већ сте обавили део посла. SPF и DKIM су подразумевано конфигурисани, али ћете морати ручно да креирате DMARC запис за тај домен ако га користите за слање.

Корак 2: Политике о претњама и како се оне примењују

Постоје три концептуална слоја у програму Defender за Office 365: подразумеване политике, унапред подешене безбедносне политике и прилагођене политикеРазумевање разлике и приоритета уштедеће вам много муке.

Врсте доступних политика

• Подразумеване директиве: они важе од тренутка када створите станара, увек важи за све примаоце и не можете променити њихов опсег (у неким случајевима можете променити њихова подешавања). Они су ваша сигурносна мрежа.
• Унапред подешене безбедносне политикеЗатворени профили са најбољим праксама компаније Microsoft, у два облика: стандард y СтрогИнтегрисана заштита линкова и прилога је подразумевано омогућена; за Стандардно/Строго, морате је омогућити и дефинисати примаоце и изузетке.
• Прилагођене директивекада су вам потребна одређена подешавања (блокирање језика/земље, прилагођени карантини, прилагођена обавештења), креирајте онолико колико вам је потребно и додељујете услове по корисницима, групама или доменима.

Унапред подешене се аутоматски мењају: Ако Мајкрософт пооштри препоруку, профил се ажурира И имате користи без икаквог додиривања. У Стандардном и Строгом подешавању можете уређивати само уносе и изузетке за лажно представљање корисника и домена; све остало је подешено на препоручени ниво.

Редослед приоритета

Када се порука или елемент процењује, Прва применљива политика је она која наређује а остали се више не узимају у обзир. Генерално, редослед је следећи:

1. Унапред подешене безбедносне политикеПрво Строго, затим Стандардно.
2. Прилагођене директиве те функције, поређане по приоритету (0, 1, 2…).
3. Подразумевана политика (или интегрисана заштита у случају Безбедних веза/прилога).

Да би се избегла чудна преклапања, користите различите циљне групе на сваком нивоу и додајте изузетке у Строгом/Стандардном за кориснике које ћете циљати прилагођеним политикама. Они који не спадају у више нивое биће заштићени подразумеваном или уграђеном заштитом.

Препоручена стратегија

Ако не постоји захтев који вас подстиче на прилагођавање, Почиње са Стандардном политиком за целу организацију и Строге резерве за групе високог ризика. Једноставан је, робустан и самостално се прилагођава како се претње мењају.

Корак 3: Доделите дозволе администраторима без претеривања

Чак и ако ваш почетни налог има моћ за све, Није добра идеја одрећи се улоге глобалног администратора свима који треба да раде на безбедности. По правилу, улогу администратора безбедности у програму Microsoft Access доделите администраторима, стручњацима и служби подршке који ће управљати програмом Defender за Office 365.

Ако ћете управљати само имејлом, можете изабрати Дозволе за Exchange Online или улоге Е-пошта и сарадња на порталу Defender. Минималне привилегије, увек да би се смањила површина ризика.

Корак 4: Приоритетни налози и корисничке ознаке

Дефендер за Office 365 омогућава обележавање до 250 корисника као приоритетни налози да их истакну у извештајима и истраживањима и примене додатне хеуристике. Идеално је за руководиоце, финансије или ИТ.

Са Планом 2 такође имате прилагођене корисничке ознаке да групише групе (добављачи, ВИП особе, одељења) и анализира филтрирање. Идентификујте кога треба означити од првог дана.

Корак 5: Поруке које су пријавили корисници

Корисници који дижу руке имају право да буду срећни: Лажно позитивни/негативни резултати које пријављују вам омогућавају да прилагодите политике и тренирати Мајкрософтове филтере.

• Како извештавајупомоћу дугмета „Пријави“ интегрисаног у Outlook (веб/десктоп) или помоћу подржани алати трећих страна који користе подржани формат; овако ће се појавити на картици Извештај корисника Поднети радови.
• Где иду?: подразумевано се повезује са одређеним поштанским сандучетом који се већ налази у Microsoft-у. Ово можете променити у само поштанско сандуче (и ручно проследити компанији Microsoft) или само МајкрософтНаправите посебно поштанско сандуче за ове извештаје; немојте користити оригинални налог.

Слање извештаја компанији Microsoft помаже филтери уче бржеАко се одлучите само за пријемно сандуче, не заборавите да пошаљете релевантне имејлове на анализу са картице Слање.

Корак 6: Блокирајте и дозволите главом

Листе дозвољених/блокираних станара су моћне, али Злоупотреба дозвољавања отвара непотребна вратаПревладајте блокирањем и користите привремене уступке само након темељне провере.

• Блокирајдодајте домене/имејлове, датотеке и URL-ове у одговарајуће картице или слање ставки компанији Microsoft из Послатих порука да би се унос креирао аутоматски. Интелигенција за лажно представљање приказује блокиране/дозвољене пошиљаоце; можете промене одлука или креирајте проактивне уносе.
• ДозволиМожете дозволити доменима/имејл адресама и URL-овима да пониште пресуде о масовном, непожељном, непожељном спаму високе поузданости или непоузданом фишингу. Злонамерни софтвер не може бити директно дозвољен или URL-ови/домени означени као високо поуздани фишинг; у тим случајевима, пошаљите из Поднесака и означите са „Потврдио/ла сам да је чисто“ да бисте креирали привремени изузетак.

Пазите на изузетке: прегледајте их и истеците им рок када више нису потребни. Спречићете оно што не би требало да се деси због историјске попустљивости.

Корак 7: Симулације и обука за фишинг

Са обуком за симулацију напада (План 2) можете покрените реалистичне кампање за имитацију и доделите обуку на основу одговора корисника. Дотакните се акредитива, QR фишинга, опасних прилога или BEC-а да бисте покрили цео спектар.

Телеметрија ових кампања открива ризична понашања и помаже у планирању појачања. Идеално, спроводи кварталне симулације да одржи пулс.

Корак 8: Истражите и одговорите без губљења времена

Када се упозорење активира, циљ је јасан: брзо разумети обим и пронаћи решењеДефендер за Office 365 вам даје две кључне предности у вашем свакодневном раду.

• Истраживач претњиФилтрирајте по злонамерном софтверу, фишинг претраживачима или откривеним URL-овима, користите приказ кампање да бисте видели све погођене поруке и применили групне акције (меко брисање/чишћење) на угрожене поруке.
• Аутоматска истрага и одговор (AIR) у Плану 2: покреће истраге, изолује поруке, анализира линкове, повезује поштанске сандучиће и предлаже или извршава сандуче.

Плус, аутоматско чишћење у року од једног сата (ЗАП) може повући пошту након испоруке ако је поново сортирана, што смањити прозор експозиције ако се нешто касније поново процени као злонамерно.

Заштита OneDrive-а, SharePoint-а и Teams-а

Пошта је капија, али датотеке су плен. Проширује заштиту на OneDrive, SharePoint и Teams да се смањи број инфекција и филтрира злонамерни садржај у сарадњи.

• Антивирусни програм у датотекамаАнализа прикључака у „пешчанику“ и детонација са безбедним прикључцима, укључујући динамичку испоруку како не бисте престали да читате поруку док прегледате датотеку. Такође сазнајте како да проверите преузету датотеку.
• Сафе ЛинксПреписивање и анализа URL-ова у реалном времену у имејловима, документима и Teams-у; можете спречити кликање да блокира игнорисање упозорења.
• DLP и ознаке осетљивости (Надлежност): Спречава цурење осетљивих података и примењује шифровање/контроле по нивоу осетљивости, чак и ван организације, или научити да сакријте и заштитите поверљиве имејлове.

Допуњује Microsoft Defender за облак апликације пар Откријте Shadow IT, примењујте политике у реалном времену и откривају аномалије (рансомвер, злонамерне апликације) у услугама у облаку, како Мајкрософтовим тако и трећим странама.

Лиценцирање и брза активација

Defender за Office 365 је доступан у два плана: P1 (Безбедни линкови, безбедни прилози и напредна заштита од фишинга) и P2 (додаје Threat Explorer, AIR и симулације). Е5 укључује П2; са Е3 можете додати П1 или П2 по потреби.

Функционалност	ЕОП	plan КСНУМКС	plan КСНУМКС
Стандардна заштита од непожељне поште/малвера	✔	✔	✔
Сафе Линкс	-	✔	✔
Сафе Аттацхментс	-	✔	✔
Антифишинг помоћу IA	-	✔	✔
Истраживач претњи / AIR	-	-	✔
Симулација напада	-	-	✔

Да бисте га активирали, идите на Microsoft 365 Defender, идите на Е-пошта и сарадња > Политике и правила и омогућите Стандардно/Строго. Доделите опсег (корисници, групе, домени) и дефинишите изузетке где је то потребно.

PowerShell пречица за антифишинг

# Conecta al módulo de Exchange Online
Connect-ExchangeOnline

# Crea política y regla de Anti-Phish básicas
New-AntiPhishPolicy -Name 'AntiPhishCorp' \
 -EnableMailboxIntelligence $true \
 -EnableDomainImpSpoofProtection $true \
 -EnableUserImpSpoofProtection $true

New-AntiPhishRule -Name 'AntiPhishCorpRule' \
 -AntiPhishPolicy 'AntiPhishCorp' -RecipientDomainIs 'midominio.com'

Запамтите то са Динамичка испорука у безбедним прилозима Корисник одмах прима тело поруке, а прилог се отпушта након активирања; ово побољшава искуство без жртвовања безбедности.

Најбоље праксе, нулто поверење и интеграција

Да бисте ојачали своје држање, примените ове смернице. Не захтевају магију, само истрајност. и практично расуђивање.

• DMARC са p=карантин/одбијање и DKIM на свим доменима како би се зауставило лажно представљање.
• Прегледајте Secure Score полугодишње и циља на ≥ 75%. Спровести релевантне препоруке.
• Праћење лажно позитивних резултата у карантину и прилагодите се без претеривања. Мање је више.
• Кварталне симулације да заиста подигне свест међу крајњим корисником.
• Интегришите се са Microsoft Sentinel-ом Ако имате SIEM, за корелацију више домена и SOAR аутоматизацију.
• Изузећа од докумената (на пример, треће стране које шаљу необичне прилоге) и прегледајте их квартално.

У оквиру стратегије Зеро Труст, Defender за Office 365 покрива е-пошту и сарадњу; додаје Дефендер за Ендпоинт да успори бочно кретање и реагује на уређају, и ослони се на СмартСцреен да заустави веб странице и преузимања опасно на крајњој тачки, поред конфигурисања управљање мобилним уређајима (MDM).

Подаци и приватност у програму Defender за Office 365

Приликом обраде е-поште и Teams порука, Microsoft 365 обрађује метаподатке као што су приказана имена, имејл адресе, ИП адресе и домениКористе се за машинско учење ван мреже, репутацију и могућности попут ZAP-а. За додатне слојеве, размотрите Заштитите своју е-пошту помоћу заштићене е-поште.

Сви извештаји подлежу идентификаторима EUPI (псеудоними) и EUII, уз ове гаранције: подаци се деле само унутар ваше организације, чувају се у вашем региону и само овлашћени корисници имају приступШифровање у мировању се спроводи помоћу ODL-а и CDP-а.

Локација података

Заштитни знак за Office 365 ради у центрима података компаније Microsoft Entra. За одређена географска подручја, подаци у стању мировања за организације којима су обезбеђени подаци чувају се само у њиховом региону. Региони са локалним пребивалиштем укључују:

• Australija
• брасил
• Kanada
• ЕУ
• Francuska
• Алеманиа
• Индија
• Израел
• италиа
• Јапан
• Норвешка
• Poljska
• Катар
• Сингапур
• Јужна Африка
• Цореа дел Сур
• Шведска
• Швајцарска
• Уједињени Арапски Емирати
• Уједињено Краљевство
• САД

Међу подацима који се чувају у стању мировања у локалном региону (подразумеване заштите у поштанским сандучићима у облаку и у програму Defender за Office 365) су упозорења, прилози, листе блокираних, метаподаци е-поште, аналитика, спам, карантини, извештаји, смернице, домени за спам и URL-ови.

Задржавање и дељење

Подаци Defender-а за Office 365 се задржавају 180 дана у извештајима и евиденцијамаИздвојени лични подаци се шифрују и аутоматски бришу 30 дана након периода чувања. На крају лиценци и грејс периода, подаци се неповратно бришу најкасније 190 дана након завршетка претплате.

Заштитни знак за Office 365 дели податке са Microsoft 365 Defender XDR, Microsoft Sentinel и евиденције ревизије (ако је лиценцирао купац), са посебним изузецима за GCC владине облаке.

Опоравак од рансомвера у Microsoft 365

Ако, упркос свему, нешто промакне, реагујте брзо: Зауставите синхронизацију OneDrive-а и изолујте угрожене рачунаре да бисте сачували здраве копије. Затим искористите предности изворних опција.

• Контрола верзијаСачувајте више верзија у SharePoint-у, OneDrive-у и Exchange-у. Можете подесити до 50.000, али будите опрезни: Неки ransomware шифрују све верзије и складиштење додатни рачун.
• Рециклирајте кантуВраћа ставке обрисане током КСНУМКС данаНакон тог периода и две фазе отпада, можете питати Мајкрософт до 14 додатних дана за опоравак.
• Политике задржавања (E5/A5/G5): дефинише колико дуго треба чувати и шта се може избрисати; аутоматизује задржавања пореза по врстама садржаја.
• Библиотека за чување: Код активних задржавања, непроменљива копија се чува на OneDrive/SharePoint-у; омогућава вам да извучете нетакнуте датотеке након инцидента.
• Резервне копије трећих странаМајкрософт то не ради резерва традиционално прављење резервних копија вашег M365 садржаја; размотрите SaaS решење за прављење резервних копија за Захтеван RTO/RPO и детаљан опоравак, или научите да направите резервну копију својих имејлова.

Да бисте смањили улазне векторе, не заборавите да их комбинујете заштита имејла (EOP + Defender), вишефакторска аутентификација, правила за смањење површине напада и подешавања Exchange-а која смањују ризик од фишинга и лажног представљања.

Са свим горе наведеним наведеним, ваше Microsoft 365 окружење је приметно робусније: Аутентификована е-пошта, доследне политике са јасним приоритетом, безбедна сарадња, пријављивање корисника, образовне симулације и стварне могућности истраживања и реаговања. Уз то додајте периодичне прегледе, безбедну оцену и минималне изузетке, и имаћете систем који се може носити са модерним кампањама без жртвовања употребљивости.