Jaa


Microsoft Defender for Office 365:n käytön aloittaminen

Uusissa Microsoft 365 -organisaatioissa, joissa on Microsoft Defender for Office 365 (sisältyy tai lisätilauksena), tässä artikkelissa kuvataan määritysvaiheet, jotka sinun on tehtävä Exchange Online Protectionissa (EOP) ja Defender for Office 365 :ssä organisaatiosi ensimmäisinä päivinä.

Vaikka Microsoft 365 -organisaatiosi sisältää oletusarvoisen suojaustason sen luontihetkestä lähtien (tai lisäät siihen Defender for Office 365:n), tämän artikkelin vaiheissa annetaan käyttökelpoinen suunnitelma EOP:n ja Defender for Office 365:n täydellisten suojausominaisuuksien vapauttamiseksi. Kun olet suorittanut vaiheet, voit myös näyttää tässä artikkelissa hallinnan, että maksimoit microsoft 365 -sijoituksesi.

Vaiheet EOP:n ja Defenderin määrittämiseksi Office 365:lle on kuvattu seuraavassa kaaviossa:

Käsitekaavio, joka näyttää Defender for Office 365:n määritysvaiheet.

Vihje

Tämän artikkelin avustajana suosittelemme Käyttämään Microsoft Defender for Office 365:n automaattista asennusopasta osoitteessa https://admin.microsoft.com/Adminportal/Home?Q=learndocs#/modernonboarding/office365advancedthreatprotectionadvisor. Tämä opas mukauttaa käyttökokemustasi ympäristösi perusteella. Jos haluat tarkastella parhaita käytäntöjä kirjautumatta sisään ja aktivoimatta automaattisia asennusominaisuuksia, siirry Microsoft 365:n asennusportaaliin osoitteessa https://setup.microsoft.com/defender/office-365-setup-guide.

Vaatimukset

Sähköpostiuhkien suojausominaisuudet sisältyvät kaikkiin Microsoft 365 -tilauksiin, joissa on pilvipalvelupostilaatikoita EOP:n kautta. Defender for Office 365 sisältää lisäsuojausominaisuuksia. Yksityiskohtaisia vertailuja EOP:n, Defender for Office 365 for Plan 1:n ja Defender for Office 365:n palvelupaketin 2 ominaisuuksista on Microsoft Defender for Office 365:n yleiskatsauksessa.

Roolit ja käyttöoikeudet

Tarvitset käyttöoikeudet EOP:n ja Defenderin Office 365:lle -ominaisuuksien määrittämiseen. Seuraavassa taulukossa on lueteltu käyttöoikeudet, joita tarvitset tämän artikkelin vaiheiden suorittamiseen (yksi riittää, et tarvitse niitä kaikkia).

Rooli tai rooliryhmä Lisätietoja
Microsoft Entran yleinen järjestelmänvalvoja* Microsoft Entran sisäiset roolit
Organisaation hallinta sähköpostin & yhteistyörooliryhmissä Rooliryhmät Microsoft Defender for Office 365:ssä
Microsoft Entran suojauksen järjestelmänvalvoja Microsoft Entran sisäiset roolit
Suojauksen järjestelmänvalvoja sähköpostin & yhteiskäyttörooliryhmissä Sähköpostin & yhteiskäyttöoikeudet Microsoft Defender for Office 365:ssä
Exchange Onlinen organisaatiohallinta Exchange Onlinen käyttöoikeudet

Tärkeää

* Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Vaihe 1: Sähköpostin todennuksen määrittäminen Microsoft 365 -toimialueille

Yhteenveto: Määritä SPF-, DKIM- ja DMARC-tietueet (tässä järjestyksessä) kaikille mukautetuille Microsoft 365 -toimialueille (mukaan lukien säilytetyt toimialueet ja alitoimialueet). Määritä tarvittaessa luotetut ARC-tiivisteet.

Tiedot:

Sähköpostin todennus (tunnetaan myös sähköpostin vahvistuksena) on joukko standardeja, joiden avulla varmistetaan, että sähköpostiviestit ovat laillisia, muuttumattomia ja peräisin odotetuista lähteistä lähettäjän sähköpostitoimialueelle. Lisätietoja on artikkelissa Sähköpostin todentaminen EOP:ssa.

Oletetaan, että käytät sähköpostia varten yhtä tai useampaa mukautettua toimialuetta Microsoft 365:ssä (esimerkiksi contoso.com), joten sinun on luotava tietyt sähköpostin todentamisen DNS-tietueet kullekin mukautetulle toimialueelle, jota käytät sähköpostissa.

Luo seuraavat sähköpostin todennuksen DNS-tietueet DNS-rekisteröijässä tai DNS-isännöintipalvelussa kullekin mukautetulle toimialueelle, jota käytät sähköpostissa Microsoft 365:ssä:

  • Lähettäjän käytäntökehys (SPF): SPF TXT -tietue tunnistaa kelvolliset sähköpostilähteet toimialueen lähettäjiltä. Katso ohjeet ohjeartikkelista SPF:n määrittäminen, jotta vältät väärentämisen.

  • DomainKeys Identified Mail (DKIM): DKIM allekirjoittaa lähtevät viestit ja tallentaa allekirjoituksen viestin otsikkoon, joka selviää viestin edelleenlähetystä varten. Katso ohjeet artikkelista DKIM:n käyttö mukautetusta toimialueesta lähetetyn lähtevän sähköpostin vahvistamiseksi.

  • Toimialueeseen perustuva viestien todennus, raportointi ja vaatimustenmukaisuus (DMARC): DMARC auttaa kohdesähköpostipalvelimia päättämään, mitä tehdä mukautetun toimialueen viesteille, jotka eivät läpäise SPF- ja DKIM-tarkistuksia. Muista sisällyttää DMARC-käytännöt (p=reject tai p=quarantine) ja DMARC-raporttikohteet (kooste- ja rikostekniset raportit) DMARC-tietueisiin. Katso ohjeet kohdasta Sähköpostin vahvistaminen DMARC:n avulla.

  • Todennettu vastaanotettu ketju (ARC): Jos käytät kolmannen osapuolen palveluita, jotka muokkaavat saapuvia viestejä ennen toimitusta Microsoft 365:een, voit tunnistaa palvelut luotetuiksi ARC-sineteiksi (jos ne tukevat sitä), jotta muokatut viestit eivät automaattisesti epäonnistu sähköpostin todentamisen tarkistuksissa Microsoft 365:ssä. Katso ohjeet kohdasta Luotettujen ARC-tiivisteiden määrittäminen.

Jos käytät sähköpostissa *.onmicrosoft.com-toimialuetta (tunnetaan myös nimellä Microsoft Online -sähköpostin reititysosoite tai MOERA-toimialue), tehtäväsi ei ole läheskään yhtä suuri:

  • SPF: SPF-tietue on jo määritetty toimialueelle *.onmicrosoft.com.
  • DKIM: DKIM-allekirjoitus on jo määritetty lähteville posteille käyttämällä *.onmicrosoft.com toimialuetta, mutta voit myös mukauttaa sitä manuaalisesti.
  • DMARC: Sinun on määritettävä manuaalisesti DMARC-tietue *.onmicrosoft.com-toimialueelle tässä kuvatulla tavalla.

Vaihe 2: Suojauskäytäntöjen määrittäminen

Yhteenveto: Ota käyttöön vakio- ja/tai tiukat ennalta määritetyt suojauskäytännöt kaikille vastaanottajille ja käytä niitä. Jos yrityksen on saneltava, luo ja käytä sen sijaan mukautettuja suojauskäytäntöjä, mutta tarkista ne säännöllisesti määritysanalysaattorin avulla.

Tiedot:

Kuten luultavasti voit kuvitella, EOP:ssa ja Defender for Office 365:ssä on käytettävissä paljon suojauskäytäntöjä. Suojauskäytäntöjä on kolmenlaisia:

  • Oletuskäytännöt: Nämä käytännöt ovat olemassa siitä hetkestä lähtien, kun organisaatio luodaan. Ne koskevat kaikkia organisaation vastaanottajia, et voi poistaa käytäntöjä käytöstä etkä voi muokata sitä, keitä käytännöt koskevat. Voit kuitenkin muokata käytäntöjen suojausasetuksia samalla tavalla kuin mukautettuja käytäntöjä. Oletuskäytäntöjen asetukset on kuvattu taulukoissa kohdassa EOP- ja Microsoft Defender for Office 365 -suojauksen suositellut asetukset.

  • Ennalta määritetyt suojauskäytännöt: Ennalta määritetty suojaus on itse asiassa profiileja , jotka sisältävät suurimman osan EOP:n ja Defender for Office 365:n käytettävissä olevista suojauskäytännöistä asetuksista, jotka on räätälöity tiettyihin suojaustasoihin. Ennalta määritetyt suojauskäytännöt ovat seuraavat:

    • Strict preset security policy.
    • Vakioasetusten suojauskäytäntö.
    • Sisäinen suojaus.

    Vakio- ja Strict-suojauskäytännöt on oletusarvoisesti poistettu käytöstä, kunnes otat ne käyttöön. Määrität EOP-suojausominaisuuksien ja Defender for Office 365:n suojausominaisuuksien vastaanottajan ehdot ja poikkeukset (käyttäjät, ryhmän jäsenet, toimialueet tai kaikki vastaanottajat) Vakio- ja Strict-suojauskäytäntöjen puitteissa.

    Office 365:n Defenderin sisäinen suojaus tarjoaa oletusarvoisesti perustason Turvalliset liitteet- ja Turvalliset linkit -suojauksen kaikille vastaanottajille. Voit määrittää vastaanottajapoikkeukset niiden käyttäjien tunnistamiseksi, jotka eivät saa suojausta.

    Vakio- ja Strict-esiasetusten suojauskäytännöissä Defender for Office 365 -organisaatioissa sinun on määritettävä merkinnät ja valinnaiset poikkeukset käyttäjä- ja toimialue-tekeytymissuojausta varten. Kaikki muut asetukset on lukittu suositeltuihin vakioarvoihin ja tiukkoihin arvoihin (joista monet ovat samoja). Näet Standard- ja Strict-arvot taulukoissa kohdassa Suositellut asetukset EOP: lle ja Microsoft Defender Office 365:lle -suojaus, ja näet Standard- ja Strict-arvojen erot täällä.

    Kun uusia suojausominaisuuksia lisätään EOP:iin ja Defender for Office 365:een ja suojausmaiseman muuttuessa esiasetetut suojauskäytännöt päivitetään automaattisesti suositeltuihin asetuksiin.

  • Mukautetut käytännöt: Useimmissa käytettävissä olevissa suojauskäytännöissa voit luoda minkä tahansa määrän mukautettuja käytäntöjä. Voit ottaa käytännöt käyttöön käyttäjille käyttämällä vastaanottajan ehtoja ja poikkeuksia (käyttäjät, ryhmän jäsenet tai toimialueet) ja voit mukauttaa asetuksia.

Edelliset tiedot ja siihen liittyvät suojauskäytännöt on esitetty seuraavassa taulukossa:

  Oletuskäytännöt Esimääritetyt suojauskäytännöt Mukautetut käytännöt
EOP-suojauskäytännöt:
  Haittaohjelmien torjunta
  Roskapostin torjunta
  Tietojenkalastelun torjunta (huijaussuojaus)
  Lähtevä roskaposti
  Yhteyden suodatus ✔¹
Defender for Office 365 -käytännöt:
  Tietojenkalastelun torjunta (huijaussuoja) ja: ✔² ✔²
  Turvalliset linkit ³
  Turvalliset liitteet ³
Yleinen toiminta
  Suojaus käytössä oletusarvoisesti?
  Määrittää suojauksen ehdot tai poikkeukset. ✔⁵
  Mukautetaanko suojausasetuksia?
  Päivitetäänko suojausasetukset automaattisesti?

¹ Sallittujen IP-osoitteiden luettelossa tai IP-estoluettelossa ei ole oletusmerkintöjä, joten oletusarvoinen yhteyssuodatinkäytäntö ei käytännössä tee mitään, ellet mukauta asetuksia.

² Office 365:n Defenderissä ei ole merkintöjä tai valinnaisia poikkeuksia käyttäjäksi tekeytymisen tai toimialueen tekeytymisen suojaamiseksi, ennen kuin määrität ne.

³ Vaikka Defender for Office 365:ssä ei ole oletusarvoisia Turvallisia liitteitä tai Turvallisia linkkejä -käytäntöjä, sisäinen suojaus tarjoaa perusturvallisten liitteiden ja turvallisten linkkien suojauksen, joka on aina käytössä.

Sisäinen suojaus (Turvalliset liitteet ja Turvalliset linkit -suojaus Defender for Office 365:ssä) on ainoa valmiiksi määritetty suojauskäytäntö, joka on oletusarvoisesti käytössä.

Vakio- ja Strict-esiasetuksille voit määrittää erilliset vastaanottajaehdot ja valinnaiset poikkeukset EOP- ja Defender for Office 365 -suojauksille. Jos kyseessä on Office 365:n Defenderin sisäinen suojaus, voit määrittää vain suojausta koskevat vastaanottajapoikkeukset.

Ainoat mukautettavissa olevat suojausasetukset valmiiksi määritetyissä suojauskäytännöissä ovat merkinnät ja valinnaiset poikkeukset käyttäjäksi tekeytymisen suojaukseen ja toimialueen tekeytymissuojaukseen Vakio- ja Strict-esiasetuksien suojauskäytännöissä Defender for Office 365:ssä.

Suojauskäytäntöjen käsittelyjärjestys

Suojauskäytäntöjen käyttöönotto on tärkeä seikka, kun päätät, miten määrität suojausasetukset käyttäjille. Tärkeät muisteltavat asiat ovat seuraavat:

  • Suojausominaisuuksilla on määrittämätön käsittelyjärjestys. Esimerkiksi saapuvat viestit arvioidaan aina haittaohjelmien osalta ennen roskapostia.
  • Tietyn ominaisuuden (roskapostin torjunta, haittaohjelmien torjunta, tietojenkalastelun torjunta jne.) suojauskäytäntöjä sovelletaan tietyssä tärkeysjärjestyksessä (lisätietoja käsittelyjärjestyksestä myöhemmin).
  • Jos käyttäjä on tarkoituksellisesti tai tahattomasti sisällytetty tietyn ominaisuuden useisiin käytäntöihin, kyseisen ominaisuuden ensimmäinen suojauskäytäntö, jossa käyttäjä on määritetty (käsittelyjärjestyksen perusteella), määrittää, mitä kohteelle (viesti, tiedosto, URL jne.) tapahtuu.
  • Kun ensimmäistä suojauskäytäntöä käytetään tiettyyn käyttäjän kohteeseen, kyseisen ominaisuuden käytännön käsittely pysähtyy. Kyseisen ominaisuuden suojauskäytäntöjä ei enää arvioida kyseiselle käyttäjälle ja kyseiselle kohteelle.

Käsittelyjärjestys selitetään tarkemmin kohdassa Tärkeysjärjestys ennalta määritetyille suojauskäytännöille ja muille käytännöille, mutta se esitetään lyhyesti seuraavassa:

  1. Suojauskäytännöt valmiiksi määritetyissä suojauskäytännöissä:
    1. Strict preset security policy.
    2. Vakioasetusten suojauskäytäntö.
  2. Tietyn ominaisuuden mukautetut suojauskäytännöt (esimerkiksi haittaohjelmien torjuntakäytännöt). Kullakin mukautetulla käytännöllä on prioriteettiarvo, joka määrittää järjestyksen, jossa käytäntöä käytetään suhteessa saman ominaisuuden muihin suojauskäytäntöihin:
    1. Mukautettu käytäntö, jonka prioriteettiarvo on 0.
    2. Mukautettu käytäntö, jonka prioriteettiarvo on 1.
    3. Ja niin edelleen.
  3. Tietyn ominaisuuden oletussuojauskäytäntö (esimerkiksi haittaohjelmien torjunta) tai Sisäinen suojaus Defender for Office 365:ssä (Turvalliset linkit ja Turvalliset liitteet).

Katso edellisestä taulukosta, miten tietty suojauskäytäntö esitetään käsittelyjärjestyksessä. Kullakin tasolla on esimerkiksi haittaohjelmien torjuntakäytäntöjä. Lähtevän postin roskapostikäytännöt ovat käytettävissä mukautetuilla käytäntö- ja oletuskäytäntötasoilla. Yhteyssuodatinkäytäntö on käytettävissä vain oletuskäytäntötasolla.

Voit välttää sekaannusta ja käytäntöjen tahatonta soveltamista seuraavien ohjeiden avulla:

  • Käytä yksiselitteisiä ryhmiä tai vastaanottajaluetteloita kullakin tasolla. Käytä esimerkiksi eri ryhmiä tai vastaanottajaluetteloita vakio- ja tiukka-suojauskäytännöissä.
  • Määritä poikkeuksia kullakin tasolla tarpeen mukaan. Voit esimerkiksi määrittää vastaanottajat, jotka tarvitsevat mukautettuja käytäntöjä poikkeuksina Vakio- ja Strict-suojauskäytäntöihin.
  • Kaikki muut vastaanottajat, joita ei tunnisteta ylemmällä tasolla, saavat office 365:n Defenderin oletuskäytännöt tai sisäänrakennetun suojauksen (Turvalliset linkit ja Turvalliset liitteet).

Näiden tietojen avulla voit päättää parhaan tavan toteuttaa suojauskäytäntöjä organisaatiossa.

Suojauskäytäntöstrategian määrittäminen

Nyt kun tiedät eri suojauskäytäntöjen tyypeistä ja niiden käytöstä, voit päättää, miten haluat suojata organisaatiosi käyttäjiä EOP:n ja Defender for Office 365:n avulla. Päätöksesi kuuluu väistämättä seuraavalle alueelle:

  • Käytä vain vakioasetusten suojauskäytäntöä.
  • Käytä vakio- ja tiukka-suojauskäytäntöjä.
  • Käytä ennalta määritettyjä suojauskäytäntöjä ja mukautettuja käytäntöjä.
  • Käytä vain mukautettuja käytäntöjä.

Muista, että oletuskäytännöt (ja Sisäinen suojaus Defender for Office 365:ssä) suojaavat automaattisesti kaikki vastaanottajat organisaatiossa (kaikki, joita ei ole määritetty vakio- tai strict-suojauskäytännössä tai mukautetuissa käytännöissä). Joten vaikka et tekisi mitään, kaikki organisaation vastaanottajat saavat oletussuojaukset kohdassa Suositellut asetukset EOP: lle ja Microsoft Defender Office 365:lle -suojaus.

On myös tärkeää ymmärtää, että et ole lukittuna alkuperäiseen päätökseesi ikuisesti. Suositeltujen asetustaulukoiden sekä Standard- ja Strict-vertailutaulukon tietojen tulisi antaa sinun tehdä tietoon perustuva päätös. Mutta jos tarpeet, tulokset tai olosuhteet muuttuvat, ei ole vaikea vaihtaa eri strategiaan myöhemmin.

Ilman vakuuttavaa liiketoiminnan tarvetta, joka osoittaa toisin, suosittelemme aloittamaan vakiomuotoisen ennalta määritetyn suojauskäytännön avulla kaikille organisaatiosi käyttäjille. Ennalta määritettyihin suojauskäytäntöihin määritetään asetukset, jotka perustuvat Vuosien havaintoihin Microsoft 365 -palvelinkeskuksissa, ja niiden tulisi olla oikea valinta suurimmalle osalle organisaatioista. Lisäksi käytännöt päivitetään automaattisesti vastaamaan suojausympäristön uhkia.

Ennalta määritetyissä suojauskäytännöissä voit valita Kaikki vastaanottajat -vaihtoehdon, jos haluat käyttää helposti suojausta kaikille organisaation vastaanottajille.

Jos haluat sisällyttää joitakin käyttäjiä Strict preset security policy -käytäntöön ja muut käyttäjät vakiomuotoisen esiasetuskäytännön, muista ottaa tärkeysjärjestys huomioon edellä tässä artikkelissa kuvatulla tavalla seuraavin menetelmin:

  • Käytä yksiselitteisiä ryhmiä tai vastaanottajaluetteloita kussakin valmiiksi määritetyssä suojauskäytännössä.

    TAI

  • Määritä vastaanottajat, joiden pitäisi saada vakiomuotoisen valmiiksi määritetyn suojauskäytännön asetukset poikkeuksina Strict preset security policyssa.

Muista, että esiasetetut suojauskäytännöt eivät vaikuta seuraaviin suojausominaisuuksien määrityksiin (voit käyttää valmiiksi määritettyjä suojauskäytäntöjä ja määrittää nämä suojausasetukset erikseen):

Jos haluat ottaa käyttöön ja määrittää valmiiksi määritettyjä suojauskäytäntöjä, katso Esiaseta suojauskäytännöt EOP:ssa ja Microsoft Defender for Office 365:ssä.

Päätös käyttää mukautettuja käytäntöjä valmiiksi määritettyjen suojauskäytäntöjen sijaan tai niiden lisäksi perustuu lopulta seuraaviin liiketoimintavaatimuksiin:

  • Käyttäjät tarvitsevat suojausasetuksia, jotka poikkeavat esimääritettävien suojauskäytäntöjen muokkaamattomista asetuksista (roskaposti vs. karanteeni tai päinvastoin, ei suojausvinkkejä, ilmoita mukautetuille vastaanottajille jne.).
  • Käyttäjät edellyttävät asetuksia, joita ei ole määritetty valmiiksi määritetyissä suojauskäytännöissä (esimerkiksi tietyistä maista tai tietyillä kielillä lähettämisen estäminen roskapostin vastaisissa käytännöissä).
  • Käyttäjät tarvitsevat karanteenikokemuksen , joka poikkeaa ennalta määritettyjen suojauskäytäntöjen muokkaamattomista asetuksista. Karanteenikäytännöt määrittävät, mitä käyttäjät voivat tehdä karanteeniin asetetuille viesteilleen sen perusteella, miksi viesti asetettiin karanteeniin ja onko vastaanottajille ilmoitettu karanteeniin asetetuista viesteistä. Oletusarvoinen loppukäyttäjän karanteenikokemus on yhteenveto tässä taulukossa, ja vakio- ja tiukat esiasetetut suojauskäytännöt on kuvattu taulukoissa täällä.

Käytä EOP: n ja Microsoft Defender for Office 365:n suojauksen suositeltujen asetusten tietoja vertaillaksesi mukautettujen käytäntöjen tai oletuskäytäntöjen käytettävissä olevia asetuksia verrattuna vakio- ja strict-suojauskäytäntöjen asetuksiin.

Suunnitteluohjeita useille mukautetuille käytännöille tietylle ominaisuudelle (esimerkiksi haittaohjelmien torjuntakäytännöille) ovat seuraavat:

  • Mukautettujen käytäntöjen käyttäjiä ei voi sisällyttää vakio- tai strict-suojauskäytäntöihin käsittelyjärjestyksen vuoksi.
  • Määritä vähemmän käyttäjiä prioriteetin käytännöille ja useammille käyttäjille alemman prioriteetin käytäntöjä.
  • Määritä prioriteetin käytännöt siten, että ne sisältävät tiukempia tai erityisasetuksia kuin alemman prioriteetin käytännöt (oletuskäytännöt mukaan lukien).

Jos päätät käyttää mukautettuja käytäntöjä, vertaa Määritysanalysaattorin avulla säännöllisesti käytäntöjen asetuksia vakio- ja strict-suojauskäytäntöjen suositeltuihin asetuksiin.

Vaihe 3: Käyttöoikeuksien määrittäminen järjestelmänvalvojille

Yhteenveto: Määritä Microsoft Entran suojauksen järjestelmänvalvojan rooli muille järjestelmänvalvojille, asiantuntijoille ja tukihenkilöstölle, jotta he voivat tehdä tehtäviä EOP:ssa ja Defender for Office 365:ssä.

Tiedot:

Käytät luultavasti jo ensimmäistä tiliä, jota käytit rekisteröityessäsi Microsoft 365:een, tehdäksesi kaiken tämän käyttöönotto-oppaan työn. Kyseinen tili on järjestelmänvalvoja kaikkialla Microsoft 365:ssä (erityisesti se on Microsoft Entran yleisen järjestelmänvalvojan roolijäsen), ja sen avulla voit tehdä melkein mitä tahansa. Vaaditut käyttöoikeudet kuvattiin aiemmin tässä artikkelissa kohdassa Roolit ja käyttöoikeudet.

Tämän vaiheen tarkoituksena on kuitenkin määrittää muut järjestelmänvalvojat auttamaan sinua hallitsemaan EOP:n ja Defender for Office 365:n ominaisuuksia tulevaisuudessa. Et halua sellaisia henkilöitä, joilla on yleisen järjestelmänvalvojan oikeudet ja jotka eivät tarvitse niitä. Täytyykö heidän esimerkiksi todella poistaa tai luoda tilejä tai tehdä muista käyttäjistä yleisiä järjestelmänvalvojia? Pienimmän käyttöoikeuden käsite (vain vaadittujen käyttöoikeuksien määrittäminen työn suorittamiseen, ei mitään muuta) on hyvä käytäntö noudattaa.

Mitä tulee tehtävien käyttöoikeuksien määrittämiseen EOP:ssa ja Defender for Office 365:ssä, käytettävissä ovat seuraavat vaihtoehdot:

Yksinkertaisuuden vuoksi suosittelemme, että käytät suojauksen järjestelmänvalvojan roolia Microsoft Entrassa muille, joiden on määritettävä asetukset EOP:ssa ja Defender for Office 365:ssä.

Katso ohjeet kohdasta Microsoft Entra -roolien määrittäminen käyttäjille ja Microsoft Defender XDR:n käyttöoikeuksien hallinta Microsoft Entran yleisillä rooleilla.

Vaihe 4: Prioriteettitilit ja käyttäjätunnisteet

Yhteenveto: Tunnista ja merkitse organisaatiosi soveltuvat käyttäjät prioriteetin tileiksi , jotta tunnistat ne helpommin raporteissa ja tutkimuksissa ja saat ensisijaisen tilin suojauksen Defender for Office 365:ssä. Harkitse mukautettujen käyttäjätunnisteiden luomista ja käyttämistä Defender for Office 365:n palvelupaketissa 2.

Tiedot:

Defender for Office 365:ssä prioriteettitilien avulla voit merkitä jopa 250 korkea-arvoista käyttäjää, mikä helpottaa raporttien ja tutkimusten tunnistamista. Nämä prioriteetin tilit saavat myös lisää heuristiikkoja, jotka eivät hyödytä tavallisia työntekijöitä. Lisätietoja on artikkelissa Prioriteettitilien hallinta ja valvonta sekä Määritä ja tarkista prioriteettitilien suojaus Microsoft Defender for Office 365:ssä.

Defender for Office 365:n palvelupaketti 2:ssa voit myös luoda ja käyttää mukautettuja käyttäjätunnisteita , jotta voit helposti tunnistaa tietyt käyttäjäryhmät raporteissa ja tutkimuksissa. Lisätietoja on artikkelissa Käyttäjätunnisteet Microsoft Defender for Office 365:ssä.

Tunnista soveltuvat käyttäjät, jotka merkitsevät prioriteettitileiksi, ja päätä, onko sinun luotava mukautettuja käyttäjätunnisteita ja käytettävä niitä.

Vaihe 5: Tarkista ja määritä käyttäjän ilmoittamat viestiasetukset

Yhteenveto: Ota käyttöön raporttiviestin tai raportin tietojenkalastelun apuohjelmat tai tuettu kolmannen osapuolen työkalu, jotta käyttäjät voivat ilmoittaa epätosi-positiivisista ja epätosi-negatiivisista Outlookissa. Näin kyseiset ilmoitetut viestit ovat järjestelmänvalvojien käytettävissä Defender-portaalin Lähetetyt-sivun Käyttäjän ilmoittamassa välilehdessä. Määritä organisaatio niin, että ilmoitetut viestit menevät määritettyyn raportointipostilaatikkoon, Microsoftille tai molemmille.

Tiedot:

Käyttäjien mahdollisuus ilmoittaa huonoiksi (false-positiivisiksi) tai virheellisiksi viesteiksi merkityistä hyvistä viesteistä (false-negatiiviset) on tärkeää, jotta voit valvoa ja säätää suojausasetuksia EOP:ssa ja Defender for Office 365:ssä.

Käyttäjän viestien raportoinnin tärkeät osat ovat seuraavat:

  • Miten käyttäjät ilmoittavat viesteistä?: Varmista, että asiakkaat käyttävät jotakin seuraavista tavoista, jotta ilmoitetut viestit näkyvät Lähetetyt-sivun Käyttäjän raportoimat -välilehdellä Defender-portaalissa osoitteessa :https://security.microsoft.com/reportsubmission?viewid=user

  • Outlookin verkkoversion sisäinen Raportti-painike (aiemmalta nimeltään Outlook Web App tai OWA).

  • Microsoftin raporttiviestin tai raportin tietojenkalastelun apuohjelmat Outlookissa ja Outlookin verkkoversiossa.

  • Kolmannen osapuolen raportointityökalut, jotka käyttävät tuettua viestin lähetysmuotoa.

  • Minne käyttäjän ilmoittamat viestit menevät?: Voit valita seuraavat vaihtoehdot:

    • Määritettyyn raportointipostilaatikkoon ja Microsoftille (tämä on oletusarvo).
    • Vain määritettyyn raportointipostilaatikkoon.
    • Vain Microsoftille.

    Oletusarvoinen postilaatikko, jota käytetään käyttäjien raportoimien viestien keräämiseen, on yleisen järjestelmänvalvojan postilaatikko (organisaation alkuperäinen tili). Jos haluat, että käyttäjän ilmoittamat viestit menevät organisaatiosi raportointipostilaatikkoon, sinun tulee luoda ja määrittää yksinomainen postilaatikko käytettäväksi.

    Päätät itse, haluatko, että käyttäjän ilmoittamat viestit lähetetään myös Microsoftille analyysia varten (yksinomaan tai toimituksen yhteydessä määritettyyn raportointipostilaatikkoosi).

    Jos haluat, että käyttäjän ilmoittamat viestit menevät vain määritettyyn raportointipostilaatikkoosi, järjestelmänvalvojien tulee lähettää manuaalisesti käyttäjän ilmoittamat viestit Microsoftille analyysia vartenDefender-portaalin Lähetetyt-sivun Käyttäjän ilmoittama -välilehdestä osoitteessa .https://security.microsoft.com/reportsubmission?viewid=user

    Käyttäjien ilmoittamien viestien lähettäminen Microsoftille on tärkeää, jotta suodattimemme oppivat ja paranevat.

Lisätietoja käyttäjän ilmoittamista viestiasetuksista on kohdassa Käyttäjän raportoidut asetukset.

Vaihe 6: Estä ja salli merkinnät

Yhteenveto: Tutustu menettelyihin, joilla estetään ja sallitaan viestit, tiedostot ja URL-osoitteet Defender for Office 365:ssä.

Tiedot:

Sinun on tutustuttava siihen, miten estetään viestien lähettäjät, tiedostot ja URL-osoitteet seuraavissa Defender-portaalin sijainneissa ja sallitaan ne tilapäisesti:

Yleensä lohkojen luominen on helpompaa kuin sallii, koska tarpeettomat sallitut merkinnät altistavat organisaatiosi haitallisille sähköposteihin, jotka järjestelmä olisi suodattanut.

  • Lohko:

    • Voit luoda lohkomerkintöjä toimialueille ja sähköpostiosoituksille, tiedostoille ja URL-osoitteille vuokraajien sallittujen ja estettyjen luettelon vastaaville välilehdille ja lähettämällä kohteet Microsoftille analyysia varten Lähetysten sivulta. Kun lähetät kohteen Microsoftille, vastaavat lohkomerkinnät luodaan myös vuokraajan sallittujen ja estettyjen luetteloon.

      Vihje

      Organisaation käyttäjät eivät myöskään voi lähettää sähköpostia toimialueisiin tai sähköpostiosoitteisiin, jotka on määritetty palveltavan kohteen salli/estä-luettelon lohkomerkinnöissä.

    • Spoof Intelligencen estämät viestit näytetään Spoof Intelligence -sivulla. Jos muutat sallitun merkinnän lohkomerkinnäksi, lähettäjästä tulee manuaalinen estomerkintä Palveltavan lähettäjän säilön välilehdellä Salli/Estä-luettelossa. Voit myös luoda ennakoivasti estomerkintöjä niille, jotka eivät ole vielä havainneet huijattuja lähettäjiä Huijatut lähettäjät -välilehdellä.

  • Salli:

    • Et voi luoda sallittuja merkintöjä toimialueille ja sähköpostiosoituksille, tiedostoille ja URL-osoitteille suoraan vuokraajan sallittujen ja estettyjen luettelon vastaaville välilehdille. Sen sijaan ilmoitat kohteen Microsoftille Lähetykset-sivun avulla. Kun ilmoitat kohteesta Microsoftille, voit valita sallimaan kohteen, joka luo vastaavan väliaikaisen sallimismerkinnän Vuokraajan salliminen/estä -luetteloon.

    • Spoof Intelligencen sallimat viestit näytetään Spoof Intelligence -sivulla. Jos muutat estämismerkinnän sallivaksi merkinnäksi, lähettäjästä tulee manuaalinen sallimismerkintä Palveltavan lähettäjän säilön välilehdellä Salli/Estä-luettelossa. Voit myös luoda ennakoivasti sallitut merkinnät niille, jotka eivät ole vielä havainneet huijattuja lähettäjiä Huijatut lähettäjät -välilehdellä.

Lisätietoja on seuraavissa artikkeleissa:

Vaihe 7: Tietojenkalastelusimulaatioiden käynnistäminen hyökkäyssimulaatiokoulutuksen avulla

Defender for Office 365:n palvelupaketti 2:ssa hyökkäyssimulaatiokoulutuksen avulla voit lähettää simuloituja tietojenkalasteluviestejä käyttäjille ja määrittää koulutusta sen mukaan, miten he reagoivat. Käytettävissä ovat seuraavat vaihtoehdot:

  • Yksittäisiä simulaatioita käyttämällä sisäisiä tai mukautettuja hyötykuormat.
  • Reaalimaailman tietojenkalasteluhyökkäyksistä otetut simulaatioiden automaatiot käyttäen useita hyötykuormia ja automatisoitua aikataulutusta.
  • Vain koulutus -kampanjat , joissa sinun ei tarvitse käynnistää kampanjaa ja odottaa, että käyttäjät napsauttavat linkkejä tai lataavat liitteitä simuloiduissa tietojenkalasteluviesteissä, ennen kuin koulutus määritetään.

Lisätietoja on kohdassa Hyökkäyssimulaatiokoulutuksen käytön aloittaminen.

Vaihe 8: Tutki ja vastaa

Nyt kun alkuperäinen määrityksesi on valmis, käytä Microsoft Defender for Office 365:n suojaustoimintojen oppaassa olevia tietoja organisaation uhkien tarkkailemiseen ja tutkimiseen.