Ang Kumpletong Gabay sa Defender para sa Office 365: Protektahan ang Email at Mga File

Kung gumagamit ka Microsoft 365Ang iyong email at mga file ay isang paboritong target para sa mga umaatake, kaya sulit na maging seryoso tungkol sa seguridad. Ang Microsoft Defender para sa Office 365 ay nagdaragdag ng mga pangunahing layer ng proteksyon tungkol sa Exchange Online Protection, pagsubaybay sa mga mensahe, link, attachment, at pakikipagtulungan sa OneDrive, SharePoint at Mga Koponan.

Sa praktikal na gabay na ito makakahanap ka ng kumpleto at naaaksyunan na walkthrough: mula sa pag-authenticate ng email (SPF, DKIM, DMARC) at mga paunang itinatag na Pamantayan/Mahigpit na mga patakaran, sa kung paano bigyang-priyoridad ang mga account, tumanggap ng mga ulat ng user, pamahalaan ang mga listahan ng payagan/i-block, maglunsad ng mga simulation ng phishing, at tumugon sa mga insidente. Titingnan mo rin ang paglilisensya, privacy, pagpapanatili ng data, at Trick upang mapabuti ang mga resulta nang hindi nababaliw, tulad ng Pigilan ang Microsoft Defender sa pagharang ng mga ligtas na file.

Mga pangunahing kinakailangan at permit

Bilang default, inilalagay na ng Microsoft 365 ang mga pangunahing hadlang sa mail sa EOP, ngunit Pinapalawak ng Defender para sa Office 365 ang proteksyong iyon gamit ang mga advanced na feature. Para maayos itong i-set up, kakailanganin mo ang mga wastong pahintulot.

Ang pinakamadaling paraan upang magtalaga ay ang magtalaga ng tungkulin ng Security Administrator sa Microsoft Enter sa mga hihipo sa Defender para sa Office 365. Kung mas gusto mo ang mga pinong pahintulot, maaari mong gamitin ang mga pahintulot ng Exchange Online o mga partikular na pahintulot sa Email at Pakikipagtulungan sa portal ng Defender, ngunit iwasang ibigay ang tungkulin ng Global Administrator sa lahat at sumusunod sa prinsipyo ng pinakamaliit na pribilehiyo.

Hakbang 1: I-configure ang pagpapatunay ng email (SPF, DKIM, DMARC, at ARC)

Bago mag-isip tungkol sa spam o malware, oras na para protektahan ang pinagmulan. Ang Kinukumpirma ng pagpapatotoo sa mail na ang mga mensahe ay lehitimo at hindi pa pinakialaman.Dapat mong ilapat ang mga pamantayang ito sa pagkakasunud-sunod na ito para sa bawat custom na domain na nagpapadala ng email mula sa Microsoft 365.

• SPF (TXT): Ipahayag kung aling mga host ang pinapayagang ipadala sa ngalan ng iyong domain. Mag-publish ng tamang SPF record upang maiwasan ang mga pagpapanggap at pagbutihin ang paghahatid.
• dkim extension: papalabas na lagda na naglalakbay sa header at nakaligtas sa muling pagpapadala. I-activate ito para sa iyong mga domain at gamitin ang mga CNAME key na ibinibigay sa iyo ng Microsoft 365.
• dMarc: Isinasaad kung ano ang gagawin kung nabigo ang SPF/DKIM. Kasama ang patakaran p=reject op=quarantine at mga tatanggap para sa pinagsama-samang at forensic na ulat, upang malaman ng iyong mga patutunguhang server kung ano ang aasahan.
• ARC: Kung binago ng isang intermediate na serbisyo ang mga papasok na mensahe, i-log ito bilang pinagkakatiwalaang ARC sealant upang mapanatili ang traceability at matiyak na hindi nasira ang pag-authenticate ng pinanggalingan.

Kung gagamitin mo ang '*.onmicrosoft.com' na domain bilang iyong email source, nagawa mo na ang ilan sa mga gawain. Ang SPF at DKIM ay na-configure bilang default, ngunit kakailanganin mong manual na gawin ang DMARC record para sa domain na iyon kung gagamitin mo ito para sa pagpapadala.

Hakbang 2: Mga patakaran sa pagbabanta at kung paano inilalapat ang mga ito

May tatlong konseptong layer sa Defender para sa Office 365: mga default na patakaran, mga nakatakdang patakaran sa seguridad, at mga custom na patakaranAng pag-unawa sa pagkakaiba at pag-uuna ay magliligtas sa iyo ng maraming problema.

Mga uri ng magagamit na mga patakaran

• Default na mga direktiba: nabubuhay sila mula sa sandaling nilikha mo ang nangungupahan, palaging nalalapat sa lahat ng tatanggap at hindi mo mababago ang kanilang saklaw (maaari mong baguhin ang kanilang mga setting sa ilang mga kaso). Sila ang iyong safety net.
• Preset na mga patakaran sa seguridad: Mga saradong profile na may pinakamahuhusay na kagawian ng Microsoft, sa dalawang lasa: pamantayan y MahigpitPinagana ang pinagsamang link at proteksyon ng attachment bilang default; para sa Standard/Strict, dapat mo itong paganahin at tukuyin ang mga tatanggap at exception.
• Mga custom na direktiba: kapag kailangan mo ng mga partikular na setting (pag-block sa wika/bansa, custom na quarantine, custom na notification), lumikha ng marami hangga't kailangan mo at magtatalaga ka ng mga kundisyon ng mga user, grupo o domain.

Awtomatikong nag-evolve ang mga preset: Kung pinalakas ng Microsoft ang isang rekomendasyon, ina-update ang profile At nakikinabang ka nang hindi humipo ng anuman. Sa Standard at Strict, maaari mo lamang i-edit ang mga entry at exception ng pagpapanggap ng user at domain; lahat ng iba pa ay nakatakda sa inirerekomendang antas.

Pagkakasunod-sunod ng pangunguna

Kapag nasuri ang isang mensahe o elemento, Ang unang naaangkop na patakaran ay ang nag-uutos at ang natitira ay hindi na isinasaalang-alang. Sa pangkalahatan, ang pagkakasunud-sunod ay:

1. Preset na mga patakaran sa seguridad: una Strict, then Standard.
2. Mga custom na direktiba ng feature na iyon, inayos ayon sa priyoridad (0, 1, 2…).
3. Default na patakaran (o pinagsamang proteksyon sa kaso ng Safe Links/Attachment).

Upang maiwasan ang mga kakaibang overlap, gumamit ng iba't ibang target na grupo sa bawat antas at magdagdag ng mga pagbubukod sa Strict/Standard para sa mga user na iyong ita-target gamit ang mga custom na patakaran. Ang mga hindi nahuhulog sa mas mataas na antas ay mapoprotektahan ng default o built-in na proteksyon.

Inirerekomendang diskarte

Kung walang kinakailangan na nagtutulak sa iyo na i-customize, Nagsisimula ito sa Pamantayang patakaran para sa buong organisasyon at Mahigpit na reserba para sa mga grupong may mataas na panganib. Ito ay simple, matatag, at nagsasaayos sa sarili habang nagbabago ang mga pagbabanta.

Hakbang 3: Magtalaga ng mga pahintulot sa mga administrator nang hindi ito lumalampas

Kahit na ang iyong unang account ay may kapangyarihan para sa lahat, Hindi magandang ideya na ibigay ang tungkulin ng Global Admin sa sinumang kailangang magtrabaho sa seguridad. Bilang panuntunan, italaga ang tungkulin ng Security Administrator sa Microsoft Access sa mga administrator, espesyalista, at suporta na mamamahala sa Defender para sa Office 365.

Kung pamamahalaan mo lang ang email, maaari kang pumili Mga pahintulot sa Exchange Online o ang mga tungkulin sa Email at Pakikipagtulungan ng portal ng Defender. Minimum na pribilehiyo, palagi upang mabawasan ang panganib sa ibabaw.

Hakbang 4: Mga Priyoridad na Account at Mga Tag ng User

Pinapayagan ng Defender para sa Office 365 ang pagmamarka hanggang 250 user bilang priority account upang i-highlight ang mga ito sa mga ulat at pananaliksik at maglapat ng karagdagang heuristics. Ito ay perpekto para sa mga executive, pananalapi, o IT.

Sa Plano 2 mayroon ka rin mga custom na tag ng user sa mga pangkat ng pangkat (mga supplier, VIP, departamento) at pagsusuri ng filter. Kilalanin kung sino ang dapat i-tag mula noong unang araw.

Hakbang 5: Mga mensaheng iniulat ng mga user

Ang mga gumagamit na nagtataas ng kanilang mga kamay ay ginto: Nagbibigay-daan sa iyo ang mga maling positibo/negatibong iniulat nila na ayusin ang mga patakaran at sanayin ang mga filter ng Microsoft.

• Paano sila nag-uulat: gamit ang button na Iulat na isinama sa Outlook (web/desktop) o kasama suportadong mga tool ng third-party na gumagamit ng suportadong format; ganito ang lalabas ng mga ito sa tab na Ulat ng user ng Mga Pagsusumite.
• Saan sila pupunta?: bilang default sa isang itinalagang mailbox na nasa Microsoft na. Maaari mong baguhin ito sa mailbox lang (at manu-manong ipasa sa Microsoft) o Microsoft lang. Gumawa ng nakalaang mailbox para sa mga ulat na ito; huwag gamitin ang orihinal na account.

Nakakatulong ang pagpapadala ng mga ulat sa Microsoft mas mabilis na natututo ang mga filterKung pipiliin mo para sa inbox-only, tandaan na magpadala ng mga nauugnay na email para sa pagsusuri mula sa tab na Pagpapadala.

Hakbang 6: I-block at payagan gamit ang isang ulo

Makapangyarihan ang mga listahan ng allow/block ng nangungupahan, ngunit Ang pag-abuso sa pagpapahintulot ay nagbubukas ng mga hindi kinakailangang pinto. Mangibabaw sa pagharang at gumamit ng mga pansamantalang konsesyon lamang pagkatapos ng masusing pag-verify.

• I-block: magdagdag ng mga domain/email, file at URL sa kanilang mga kaukulang tab o magpadala ng mga item sa Microsoft mula sa Sendings upang awtomatikong magawa ang entry. Ipinapakita ng Spoofing Intelligence ang mga naka-block/pinahihintulutang nagpadala; kaya mo baguhin ang mga desisyon o lumikha ng mga aktibong entry.
• Payagan: Maaari mong payagan ang mga domain/email at URL na i-override ang mga hatol ng maramihan, spam, spam na may mataas na kumpiyansa, o phishing na hindi mataas ang kumpiyansa. Hindi direktang pinapayagan ang malware o mga URL/domain na minarkahan bilang high confidence phishing; sa mga kasong iyon, isumite mula sa Mga Pagsusumite at markahan ang 'Nakumpirma kong malinis ito' upang lumikha ng a pansamantalang pagbubukod.

Mag-ingat para sa mga pagbubukod: suriin ang mga ito at mag-expire ang mga ito kapag hindi na sila kailangan. Pipigilan mo ang hindi dapat mangyari dahil sa makasaysayang pagpapahintulot.

Hakbang 7: Mga Simulation at Pagsasanay sa Phishing

Sa Attack Simulation Training (Plano 2) magagawa mo maglunsad ng mga makatotohanang kampanya ng pagpapanggap at magtalaga ng pagsasanay batay sa tugon ng gumagamit. Pindutin ang mga kredensyal, QR phishing, mga mapanganib na attachment, o BEC upang masakop ang spectrum.

Ang telemetry ng mga kampanyang ito nagpapakita ng mga mapanganib na pag-uugali at tumutulong sa pagpaplano ng mga pagpapatibay. Sa isip, nagpapatakbo ng quarterly simulation para mapanatili ang pulso.

Hakbang 8: Magsaliksik at tumugon nang hindi nag-aaksaya ng oras

Kapag na-trigger ang isang alerto, malinaw ang layunin: maunawaan ang saklaw at lunas nang mabilisAng Defender para sa Office 365 ay nagbibigay sa iyo ng dalawang pangunahing bentahe sa iyong pang-araw-araw na trabaho.

• Pananakot Explorer: I-filter ayon sa malware, phish o mga nakitang URL, gamitin ang view ng kampanya upang makita ang lahat ng apektadong mensahe at maglapat ng maramihang pagkilos (Soft delete/Purge) sa mga nakompromisong mensahe.
• Awtomatikong Pagsisiyasat at Pagtugon (AIR) sa Plano 2: nagpapasimula ng mga pagsisiyasat, ibinubukod ang mga mensahe, sinusuri ang mga link, nag-uugnay ng mga mailbox at nagmumungkahi o nagsasagawa ng remediation.

Dagdag pa, Zero-hour Auto Purge (ZAP) ay maaaring mag-withdraw ng mail pagkatapos ng paghahatid kung ito ay muling inayos, na bawasan ang exposure window kung ang isang bagay ay muling susuriin bilang malisyoso.

Pinoprotektahan ang OneDrive, SharePoint, at Mga Koponan

Ang mail ay ang gateway, ngunit ang mga file ay ang pagnakawan. Pinapalawak ang proteksyon sa OneDrive, SharePoint, at Mga Koponan upang i-cut ang mga impeksyon at i-filter ang nakakahamak na nilalaman sa pakikipagtulungan.

• Antimalware sa mga file: Pagsusuri at pagpapasabog ng sandbox attachment gamit ang Safe Attachment, kabilang ang Dynamic na Paghahatid upang hindi tumigil sa pagbabasa ng mensahe habang sinisiyasat ang file. Alamin din kung paano suriin ang isang na-download na file.
• Mga Ligtas na Link: Real-time na muling pagsulat at pagsusuri ng URL sa mga email, dokumento, at Mga Koponan; maaari mong pigilan ang click-through upang harangan ang huwag pansinin ang mga babala.
• DLP at mga label ng sensitivity (Purview): Pinipigilan ang mga sensitibong pagtagas ng data at nalalapat ang pag-encrypt/kontrol ayon sa antas ng pagiging sensitibo, kahit sa labas ng organisasyon, o matutong itago at protektahan ang mga kumpidensyal na email.

Kumpleto sa Microsoft Defender para sa Cloud Apps para Tuklasin ang Shadow IT, ilapat ang mga patakaran sa real time at makakita ng mga anomalya (ransomware, malisyosong app) sa mga serbisyo ng cloud, parehong Microsoft at third-party.

Paglilisensya at mabilis na pag-activate

Available ang Defender para sa Office 365 sa dalawang plano: P1 (Mga Ligtas na Link, Mga Ligtas na Attachment at advanced na anti-phishing) at P2 (nagdaragdag ng Threat Explorer, AIR at mga simulation). Kasama sa E5 ang P2; sa E3 maaari kang magdagdag ng P1 o P2 kung kinakailangan.

Pag-andar	EOP	plan 1	plan 2
Karaniwang antispam/antimalware	✔	✔	✔
Mga Ligtas na Link	-	✔	✔
Mga Ligtas na Attachment	-	✔	✔
Antiphishing gamit ang IA	-	✔	✔
Pananakot Explorer / AIR	-	-	✔
Simulation ng Pag-atake	-	-	✔

Upang i-activate ito, pumunta sa Microsoft 365 Defender, pumunta sa Email at Pakikipagtulungan > Mga Patakaran at Panuntunan at paganahin ang Standard/Strict. Italaga ang saklaw (mga user, grupo, domain) at tukuyin ang mga pagbubukod kung saan naaangkop.

PowerShell shortcut para sa antiphishing

# Conecta al módulo de Exchange Online
Connect-ExchangeOnline

# Crea política y regla de Anti-Phish básicas
New-AntiPhishPolicy -Name 'AntiPhishCorp' \
 -EnableMailboxIntelligence $true \
 -EnableDomainImpSpoofProtection $true \
 -EnableUserImpSpoofProtection $true

New-AntiPhishRule -Name 'AntiPhishCorpRule' \
 -AntiPhishPolicy 'AntiPhishCorp' -RecipientDomainIs 'midominio.com'

Tandaan mo yan kasama Dynamic na Paghahatid sa Mga Ligtas na Attachment Agad na natatanggap ng user ang katawan ng mensahe, at ang attachment ay inilabas pagkatapos ng trigger; pinapabuti nito ang karanasan nang hindi isinasakripisyo ang seguridad.

Pinakamahuhusay na kagawian, Zero Trust at integration

Upang palakasin ang iyong postura, ilapat ang mga alituntuning ito. Hindi nila kailangan ng magic, tiyaga lang. at praktikal na paghatol.

• DMARC na may p=quarantine/reject at DKIM sa lahat ng domain upang ihinto ang panggagaya.
• Suriin ang Secure Score kada kalahating taon at naglalayong ≥ 75%. Ipatupad ang mga kaugnay na rekomendasyon.
• Subaybayan ang mga maling positibo nasa quarantine at mag-adjust nang walang labis na pagpapahintulot. Mas kaunti ay higit pa.
• Quarterly simulation upang tunay na itaas ang kamalayan sa mga end user.
• Isama sa Microsoft Sentinel Kung mayroon kang SIEM, para sa multi-domain correlation at SOAR automation.
• Mga pagbubukod sa dokumento (halimbawa, ang mga third party ay nagpapadala ng mga hindi pangkaraniwang attachment) at suriin ang mga ito kada quarter.

Sa loob ng isang diskarte ZeroTrust, Sinasaklaw ng Defender para sa Office 365 ang email at pakikipagtulungan; nagdadagdag Defender para sa Endpoint upang pabagalin ang paggalaw sa gilid at tumugon sa device, at sumandal SmartScreen upang ihinto ang mga website at descargas mapanganib sa endpoint, bilang karagdagan sa pag-configure pamamahala ng mobile device (MDM).

Data at privacy sa Defender para sa Office 365

Kapag nagpoproseso ng email at mga mensahe ng Teams, pinangangasiwaan ng Microsoft 365 ang metadata gaya ng mga display name, email address, IP address at domain. Ginagamit ang mga ito para sa offline na ML, reputasyon, at mga kakayahan tulad ng ZAP. Para sa karagdagang mga layer, isaalang-alang Protektahan ang iyong email gamit ang Shielded Email.

Ang lahat ng mga ulat ay napapailalim sa mga pagkakakilanlan EUPI (pseudonyms) at EUII, kasama ang mga garantiyang ito: ang data ay ibinabahagi lamang sa loob ng iyong organisasyon, na nakaimbak sa iyong rehiyon at ang mga awtorisadong user lamang ang may accessAng pag-encrypt sa rest ay ipinapatupad gamit ang ODL at CDP.

Lokasyon ng data

Ang Defender para sa Office 365 ay tumatakbo sa mga datacenter ng Microsoft Entra. Para sa ilang partikular na heograpiya, ang data sa natitirang bahagi para sa mga naka-provision na organisasyon ay iniimbak lamang sa kanilang rehiyon. Mga rehiyon na may lokal na tirahan isama ang:

• Australia
• Brasil
• Canada
• European Union
• Pransiya
• Alemanya
• India
• Israel
• Italiya
• Hapon
• Norwega
• Polonia
• Qatar
• Singgapur
• South Africa
• Timog Korea
• Sweden
• Suiza
• United Arab Emirates
• Reyno Unido
• Estados Unidos

Kabilang sa mga data na nakaimbak sa pahinga sa lokal na rehiyon (mga default na proteksyon sa cloud mailbox at sa Defender para sa Office 365) ay mga alerto, mga attachment, mga listahan ng block, metadata ng email, analytics, spam, quarantine, ulat, patakaran, spam domain at URL.

Pagpapanatili at pagbabahagi

Ang data ng Defender para sa Office 365 ay pinananatili 180 araw sa mga ulat at talaan. Ang kinuhang personal na impormasyon ay naka-encrypt at awtomatikong tatanggalin 30 araw pagkatapos ng panahon ng pagpapanatili. Sa pagtatapos ng mga lisensya at palugit na panahon, hindi na mababawi ang data hindi lalampas sa 190 araw pagkatapos ng pagtatapos ng subscription.

Nagbabahagi ng data ang Defender para sa Office 365 Microsoft 365 Defender XDR, Microsoft Sentinel, at mga audit log (kung lisensyado ng customer), na may mga partikular na pagbubukod para sa mga cloud ng gobyerno ng GCC.

Pagbawi ng Ransomware sa Microsoft 365

Kung, sa kabila ng lahat, may dumaan, kumilos kaagad: Ihinto ang pag-sync ng OneDrive at ihiwalay ang mga nakompromisong computer upang mapanatili ang malusog na mga kopya. Pagkatapos ay samantalahin ang mga katutubong opsyon.

• Kontrol ng bersyon: Mag-save ng maraming bersyon sa SharePoint, OneDrive, at Exchange. Maaari kang mag-set up ng hanggang 50.000, ngunit mag-ingat: Ini-encrypt ng ilang ransomware ang lahat ng bersyon at imbakan dagdag na account.
• Recycle bin: Ibinabalik ang mga item na tinanggal habang 93 arawPagkatapos ng panahong iyon at ang dalawang yugto ng basura, maaari mong tanungin ang Microsoft hanggang 14 na karagdagang araw para sa pagbawi.
• Mga patakaran sa pagpapanatili (E5/A5/G5): tumutukoy kung gaano katagal itago at kung ano ang maaaring tanggalin; automates withholdings ayon sa mga uri ng nilalaman.
• Preservation Hold Library: Sa mga aktibong hold, ang isang hindi nababagong kopya ay nai-save sa OneDrive/SharePoint; nagbibigay-daan sa iyo na kunin ang mga buo na file pagkatapos ng insidente.
• Mga backup ng third-party: Hindi ginagawa ng Microsoft backup tradisyonal na backup ng iyong M365 na nilalaman; isaalang-alang ang isang SaaS backup na solusyon para sa Hinihingi ang RTO/RPO at butil-butil na pagbawi, o matutong i-back up ang iyong mga email.

Upang bawasan ang mga vector ng input tandaan na pagsamahin mga proteksyon sa email (EOP + Defender), multi-factor authentication, mga panuntunan sa pagbabawas sa ibabaw ng pag-atake, at mga setting ng Exchange na nagbabawas sa panganib ng phish at spoof.

Sa lahat ng nasa itaas sa lugar, ang iyong Microsoft 365 environment ay kapansin-pansing mas matatag: Authenticated email, pare-parehong mga patakaran na may malinaw na prioridad, secure na collaboration, pag-uulat ng mga user, pang-edukasyon na simulation, at tunay na imbestigasyon at mga kakayahan sa pagtugon. Higitan ito ng mga pana-panahong pagsusuri, Secure na Marka, at kaunting mga exemption, at magkakaroon ka ng system na sumasang-ayon sa mga modernong kampanya nang hindi isinasakripisyo ang kakayahang magamit.