Prioriteettitilien suojaussuositukset Microsoft 365:ssa
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Kaikilla käyttäjätileillä ei ole samoja yritystietoja. Joillakin tileillä on pääsy arkaluonteisiin tietoihin, kuten taloustietoihin, tuotekehitystietoihin, kumppanien pääsy tärkeisiin koontijärjestelmiin ja paljon muuta. Jos tilit, joilla on pääsy erittäin luottamuksellisiin tietoihin, ovat vaarantuneet, ne ovat vakava uhka. Kutsumme tällaisia tilien prioriteettitilejä. Prioriteettitileihin kuuluvat (mutta ei rajoittuen) toimitusjohtajat, CISOt, talousjohtimet, infrastruktuurin järjestelmänvalvojatilit, järjestelmätilien luominen ja paljon muuta.
Microsoft Defender for Office 365 tukee prioriteettitilejä tunnisteina, joita voidaan käyttää ilmoitusten, raporttien ja tutkimusten suodattimissa. Lisätietoja on kohdassa käyttäjätunnisteet Microsoft Defender for Office 365.
Hyökkääjien kohdalla tavalliset tietojenkalasteluhyökkäykset, jotka heittävät satunnaisen verkon tavallisille tai tuntemattomille käyttäjille, ovat tehottomia. Toisaalta keihäänkalastelu - tai valaanpyyntihyökkäykset , jotka kohdistuvat prioriteetteihin, ovat erittäin palkitsevia hyökkääjille. Prioriteettitilit edellyttävät siis tavallista vahvempaa suojausta, jotta tilien vaarantuminen voidaan estää.
Microsoft 365 ja Microsoft Defender for Office 365 sisältävät useita tärkeitä ominaisuuksia, jotka tarjoavat lisäsuojauskerroksia prioriteetin tileillesi. Tässä artikkelissa kuvataan nämä ominaisuudet ja niiden käyttö.
Tehtävä | Kaikki Office 365 Enterprise suunnitelmat | Microsoft 365 E3 | Microsoft 365 E5 |
---|---|---|---|
Prioriteetin tilien kirjautumissuojauksen parantaminen | |||
Käytä tiukkoja valmiiksi määritettyjä suojauskäytäntöjä prioriteettitileillä | |||
Käyttäjätunnisteiden käyttäminen prioriteettitileissä | |||
Hälytysten, raporttien ja tunnistusten prioriteettitilien valvonta | |||
Opasta käyttäjiä |
Huomautus
Lisätietoja etuoikeutettujen tilien (järjestelmänvalvojatilien) suojaamisesta on tässä ohjeaiheessa.
Prioriteetin tilien kirjautumissuojauksen parantaminen
Prioriteettitilit edellyttävät kirjautumissuojauksen lisäämistä. Voit parantaa heidän kirjautumissuojaustaan edellyttämällä monimenetelmäistä todentamista (MFA) ja poistamalla käytöstä vanhoja todennusprotokollia.
Katso ohjeet vaiheesta 1. Paranna etätyöntekijöiden kirjautumisturvaa monimenetelmäisen todentamisen avulla. Vaikka tässä artikkelissa käsitellään etätyöntekijöitä, samat käsitteet koskevat myös ensisijaisuuskäyttäjiä.
Huomautus: Suosittelemme vahvasti, että poistat vanhat todennusprotokollat yleisesti käytöstä kaikilta prioriteetin käyttäjiltä edellisessä artikkelissa kuvatulla tavalla. Jos liiketoimintavaatimuksesi estävät sinua tekemästä niin, Exchange Online tarjoaa seuraavat ohjausobjektit vanhojen todennusprotokollien laajuuden rajoittamiseksi:
Voit käyttää client access -sääntöjä (lokakuuhun 2023 asti) Exchange Online perustodennuksen ja vanhojen todennusprotokollien, kuten POP3:n, IMAP4:n ja todennetun SMTP:n, estämiseen tai sallimiseen tietyille käyttäjille.
Voit poistaa POP3- ja IMAP4-käyttöoikeudet käytöstä yksittäisissä postilaatikoissa. Voit poistaa todennetun SMTP:n käytöstä organisaation tasolla ja ottaa sen käyttöön tietyissä postilaatikoissa, jotka edellyttävät sitä edelleen. Katso ohjeet seuraavista artikkeleista:
On myös syytä huomata, että perustodentamista ollaan poistamassa käytöstä Exchange Web Services (EWS) -Exchange Online, Exchange ActiveSync, POP3:ssa, IMAP4:ssä ja powerShellin etäkäytössä. Lisätietoja on tässä blogikirjoituksessa.
Käytä tiukkoja valmiiksi määritettyjä suojauskäytäntöjä prioriteettitileillä
Prioriteetin käyttäjät edellyttävät tiukempia toimia eri suojauksille, jotka ovat saatavilla Exchange Online Protection (EOP) ja Defender for Office 365.
Roskapostiksi luokiteltujen viestien lähettämisen sijaan roskapostikansioon kannattaa asettaa samat viestit karanteeniin, jos ne on tarkoitettu prioriteettitileille.
Voit ottaa tämän tiukan lähestymistavan käyttöön prioriteettitileissä käyttämällä esimääritetyissä suojauskäytännöissä Strict-profiilia.
Valmiiksi määritetyt suojauskäytännöt ovat kätevä ja keskeinen sijainti, kun haluat käyttää suositeltuja Strict-käytäntöasetuksia kaikille EOP- ja Defender for Office 365 suojauksille. Lisätietoja on artikkelissa Esiaseta suojauskäytännöt EOP:ssa ja Microsoft Defender for Office 365.
Lisätietoja siitä, miten Strict-käytäntöasetukset eroavat oletus- ja vakiokäytäntöasetuksista, on artikkelissa EOP:n ja Microsoft Defender for Office 365 suojauksen suositellut asetukset.
Käyttäjätunnisteiden käyttäminen prioriteettitileissä
Microsoft Defender for Office 365 palvelupaketin 2 käyttäjätunnisteet (osana Microsoft 365 E5 tai lisätilausta) ovat tapa tunnistaa ja luokitella tietyt käyttäjät tai käyttäjäryhmät nopeasti raporteissa ja tapaustutkimuksissa.
Prioriteettitili on sisäinen käyttäjätunniste ( järjestelmätunniste), jonka avulla voit tunnistaa tapaukset ja hälytykset, joihin liittyy prioriteettitilejä. Lisätietoja prioriteettitileistä on kohdassa Prioriteettitilien hallinta ja valvonta.
Voit myös luoda mukautettuja tunnisteita, joiden avulla voit tunnistaa ja luokitella prioriteetin tilejä tarkemmin. Lisätietoja on kohdassa Käyttäjätunnisteet. Voit hallita prioriteettitilejä (järjestelmätunnisteita) samassa käyttöliittymässä kuin mukautettuja käyttäjätunnisteita.
Hälytysten, raporttien ja tunnistusten prioriteettitilien valvonta
Kun olet suojannut ja merkinnut ensisijaiset käyttäjäsi, voit käyttää saatavilla olevia raportteja, hälytyksiä ja tutkimuksia EOP:ssa ja Defender for Office 365 tunnistaaksesi nopeasti tapaukset tai tunnistuksia, joihin liittyy prioriteettitilejä. Ominaisuudet, jotka tukevat käyttäjätunnisteita, on kuvattu seuraavassa taulukossa.
Ominaisuus | Kuvaus |
---|---|
Ilmoitukset | Asianomaisten käyttäjien käyttäjätunnisteet ovat näkyvissä ja käytettävissä suodattimina Microsoft Defender portaalin Ilmoitukset-sivulla. Lisätietoja on Microsoft Defender portaalin ilmoituskäytäntöjen kohdassa. |
Tapaukset | Kaikkien korreloitujen hälytysten käyttäjätunnisteet näkyvät Microsoft Defender portaalin Tapahtumat-sivulla. Lisätietoja on artikkelissa Tapausten ja hälytysten hallinta. |
Mukautetut ilmoituskäytännöt | Voit luoda ilmoituskäytäntöjä käyttäjätunnisteiden perusteella Microsoft Defender portaalissa. Lisätietoja on Microsoft Defender portaalin ilmoituskäytäntöjen kohdassa. |
Tutkimusmatkailija Reaaliaikaiset havainnot |
Explorerissa (Defender for Office 365 palvelupaketti 2) tai reaaliaikaisten tunnistusten (Defender for Office 365 palvelupaketti 1) käyttäjätunnisteet näkyvät Sähköposti-ruudukkonäkymässä ja Sähköpostin tiedot -pikaikkunassa. Käyttäjätunnisteet ovat käytettävissä myös suodatettavana ominaisuutena. Lisätietoja on artikkelissa Tunnisteet Threat Explorerissa. |
Sähköposti-entiteettisivu | Voit suodattaa sähköpostia Microsoft 365 E5 ja palvelupakettiin 1 ja 2 Defender for Office 365 käytettyjen käyttäjätunnisteiden perusteella. Lisätietoja on artikkelissa Sähköposti-entiteettisivu. |
Kampanjan näkemykset | Käyttäjätunnisteet ovat yksi monista palvelupaketin Microsoft Defender for Office 365 2 kampanjanäkymien suodatettävista ominaisuuksista. Lisätietoja on kohdassa Kampanjanäkymät. |
Uhkien suojauksen tilaraportti | Voit suodattaa tulokset prioriteettitilien mukaan lähes kaikissa Threat Protection -tilaraportin näkymissä ja yksityiskohtaisissa taulukoissa. Lisätietoja on artikkelissa Uhkien suojauksen tilaraportti. |
Parhaat lähettäjät ja vastaanottajat -raportti | Voit lisätä tämän käyttäjätunnisteen organisaatiosi 20 parhaan viestin lähettäjän joukkoon. Lisätietoja on artikkelissa Parhaat lähettäjät ja vastaanottajat -raportti. |
Vaarantunut käyttäjäraportti | Käyttäjätilit, jotka on merkitty epäilyttäviksi tai rajoitetuiksi Microsoft 365 -organisaatioissa ja joissa on Exchange Online postilaatikoita, näkyvät tässä raportissa. Lisätietoja on artikkelissa Vaarantunut käyttäjäraportti. |
Hallinta lähetykset ja käyttäjän ilmoittamat viestit | Käytä Microsoft Defender portaalin Lähetysten sivua sähköpostiviestien, URL-osoitteiden ja liitteiden lähettämiseen Microsoftille analyysia varten. Lisätietoja on kohdassa Hallinta lähetyksiä ja käyttäjän ilmoittamia viestejä. |
Karanteeni | Karanteeniin voidaan tallentaa mahdollisesti vaarallisia tai ei-toivottuja viestejä Microsoft 365 -organisaatioissa, joissa on postilaatikoita Exchange Online tai erillisissä Exchange Online Protection (EOP) organisaatioissa Prioriteetti-tilejä varten. Lisätietoja on kohdassa Karanteenin sähköpostiviestit. |
Hyökkäyssimulaatio | Voit testata suojauskäytäntöjäsi ja -käytäntöjäsi suorittamalla kohdekäyttäjille hyvänlaatuisen kyberhyökkäyssimulaation. Lisätietoja on kohdassa Hyökkäyssimulaatio. |
Sähköpostiongelmat prioriteettitiliraportille | Prioriteettitilien sähköpostiongelmat -raportti Exchange-hallintakeskuksessa (EAC) sisältää tietoja ensisijaisuustilien toimittamattomista ja viivästyneistä viesteistä. Lisätietoja on artikkelissa Sähköpostiongelmat prioriteettitilien raportissa. |
Opasta käyttäjiä
Kun koulutat käyttäjiä, joilla on prioriteetin tilejä, nämä käyttäjät ja tietoturvatiimi voivat säästää paljon aikaa ja turhautumista. Taitavat käyttäjät avaavat liitteitä tai napsauttavat linkkejä epätodennäköisissä sähköpostiviesteissä, ja he todennäköisemmin välttävät epäilyttäviä verkkosivustoja.
Harvard Kennedy School Cybersecurity Campaign Handbook tarjoaa erinomaisia ohjeita vahvan turvallisuustietoisuuden kulttuurin luomiseen organisaatiossasi, mukaan lukien käyttäjien kouluttaminen tietojenkalasteluhyökkäysten tunnistamiseen.
Microsoft 365 tarjoaa seuraavat resurssit, joiden avulla voit ilmoittaa organisaatiosi käyttäjille:
Käsite | Resurssit | Kuvaus |
---|---|---|
Microsoft 365 | Mukautettavat oppimispolut | Näiden resurssien avulla voit koota koulutusta organisaatiosi käyttäjille. |
Microsoft 365 -tietoturvakeskus | Oppimismoduuli: Suojaa organisaatiosi Microsoft 365:n sisäisellä ja älykkäällä suojauksen avulla | Tämän moduulin avulla voit kuvailla, miten Microsoft 365:n suojausominaisuudet toimivat yhdessä, ja esitellä näiden suojausominaisuuksien edut. |
Vahva tunnistautuminen | Microsoft Authenticator -sovelluksen lataaminen ja asentaminen | Tämä artikkeli auttaa käyttäjiä ymmärtämään, mitä monimenetelmäinen todentaminen on ja miksi sitä käytetään organisaatiossasi. |
Hyökkäyssimulaatiokoulutus | Hyökkäyssimulaatiokoulutuksen käytön aloittaminen | Hyökkäyssimulaatiokoulutus Microsoft Defender for Office 365:n palvelupaketti 2:ssa sallii järjestelmänvalvojan määrittää, käynnistää ja seurata simuloituja tietojenkalasteluhyökkäyksiä tiettyjä käyttäjäryhmiä vastaan. |
Lisäksi Microsoft suosittelee, että käyttäjät ryhtyvät tässä artikkelissa kuvattuihin toimiin: Suojaa tilisi ja laitteesi hakkereilta ja haittaohjelmilta. Näitä toimintoja ovat esimerkiksi seuraavat:
- Vahvojen salasanojen käyttäminen
- Laitteiden suojaaminen
- Suojausominaisuuksien ottaminen käyttöön Windows- ja Mac-tietokoneissa (hallitsemattomille laitteille)