תחילת העבודה עם Microsoft Defender עבור Office 365

• חל על:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

בארגונים חדשים של Microsoft 365 עם Microsoft Defender עבור Office 365 (כלול או כמנוי הרחבה), מאמר זה מתאר את שלבי התצורה שעליך לבצע ב- Exchange Online Protection (EOP) וב- Defender עבור Office 365 בימים המוקדמים ביותר של הארגון שלך.

למרות שארגון Microsoft 365 שלך כולל רמת הגנה המוגדרת כברירת מחדל מהרגע שבו אתה יוצר אותו (או מוסיף לו Defender עבור Office 365), השלבים המפורטים במאמר זה מספקים לך תוכנית המאפשרת פעולה כדי לשחרר את יכולות ההגנה המלאות של EOP ושל Defender עבור Office 365. לאחר השלמת השלבים, תוכל גם להשתמש במאמר זה כדי להציג ניהול שאתה ממקסים את ההשקעה שלך ב- Microsoft 365.

השלבים להגדרה של EOP Defender עבור Office 365 מתוארים בדיאגרמה הבאה:

עצה

כמלווה למאמר זה, מומלץ להשתמש במדריך ההגדרה Microsoft Defender עבור Office 365 אוטומטי בכתובת https://admin.microsoft.com/Adminportal/Home?Q=learndocs#/modernonboarding/office365advancedthreatprotectionadvisor. מדריך זה מתאים אישית את החוויה שלך בהתבסס על הסביבה שלך. כדי לסקור שיטות עבודה מומלצות מבלי להיכנס והפעלת תכונות הגדרה אוטומטיות, עבור אל פורטל ההגדרה של Microsoft 365 בכתובת https://setup.microsoft.com/defender/office-365-setup-guide.

דרישות

תכונות של הגנה מפני איום בדואר אלקטרוני כלולות בכל מנויי Microsoft 365 עם תיבות דואר בענן דרך EOP. Defender עבור Office 365 כולל תכונות הגנה נוספות. לקבלת השוואות מפורטות אודות התכונות ב- EOP, Defender עבור Office 365 עבור תוכנית 1 ותוכנית Defender עבור Office 365 תוכנית 2, ראה Microsoft Defender עבור Office 365 כללית.

תפקידים והרשאות

כדי לקבוע את תצורת התכונות של EOP Defender עבור Office 365, דרושות לך הרשאות. הטבלה הבאה מפרטת את ההרשאות הדרושות לך כדי לבצע את השלבים המפורטים במאמר זה (אפשרות זו מספיקה; אינך זקוק לכולם).

תפקיד או קבוצת תפקידים	מידע נוסף
מנהל מערכת כללי Microsoft Entra	Microsoft Entra תפקידים מוכללים
ניהול ארגון בקבוצות תפקידי שיתוף & דואר אלקטרוני	קבוצות תפקידים Microsoft Defender עבור Office 365
מנהל אבטחה Microsoft Entra	Microsoft Entra תפקידים מוכללים
מנהל אבטחה בקבוצות תפקידי שיתוף & דואר אלקטרוני	הרשאות שיתוף & דואר אלקטרוני ב- Microsoft Defender עבור Office 365
Exchange Online ארגונים	הרשאות ב- Exchange Online

שלב 1: קביעת תצורה של אימות דואר אלקטרוני עבור התחומים שלך ב- Microsoft 365

סיכום: קביעת התצורה של רשומות SPF, DKIM ו- DMARC (בסדר זה) עבור כל התחומים המותאמים אישית של Microsoft 365 (כולל תחומים ותחום משנה חונים). במידת הצורך, קבע תצורה של כל אטמים מהימנים של ARC.

פרטים נוספים:

אימות דואר אלקטרוני (המכונה גם אימות דואר אלקטרוני) הוא קבוצה של סטנדרטים כדי לוודא שהודעות דואר אלקטרוני הן לגיטימיות, ללא שינויים והן מגיעות ממקורות צפויה עבור תחום הדואר האלקטרוני של השולח. לקבלת מידע נוסף, ראה אימות דואר אלקטרוני ב- EOP.

נמשיך בהנחה שאתה משתמש בתחום מותאם אישית אחד או יותר ב- Microsoft 365 עבור דואר אלקטרוני (לדוגמה, contoso.com), כך שעליך ליצור רשומות DNS ספציפיות של אימות דואר אלקטרוני עבור כל תחום מותאם אישית שבו אתה משתמש עבור דואר אלקטרוני.

Create את רשומות ה- DNS הבאות של אימות דואר אלקטרוני אצל רשם ה- DNS או שירות אירוח ה- DNS שלך עבור כל תחום מותאם אישית שבו אתה משתמש עבור דואר אלקטרוני ב- Microsoft 365:

• מסגרת מדיניות שולח (SPF): רשומת SPF TXT מזהה מקורות חוקיים של דואר אלקטרוני משולחים בתחום. לקבלת הוראות, ראה הגדרת SPF כדי לסייע במניעת התחזות.

• DomainKeys Identified Mail (DKIM): DKIM יוצא הודעות ומאחסן את החתימה בכותרת ההודעה שורדת העברת הודעות. לקבלת הוראות, ראה שימוש ב- DKIM לאימות דואר אלקטרוני יוצא שנשלח מהתחום המותאם אישית שלך.

• אימות הודעות, דיווח ותאימות מבוססי-תחום (DMARC): DMARC עוזר לשרתי הדואר האלקטרוני המהווים יעד להחליט מה לעשות עם הודעות מהתחום המותאם אישית הנכשלות בבדיקת SPF ו- DKIM. הקפד לכלול את יעדי הדוח של DMARC (p=rejectp=quarantineאו ) ו- DMARC (דוחות מצטברים ודוחות משפטיים) לרשומות DMARC. לקבלת הוראות, ראה שימוש ב- DMARC לאימות דואר אלקטרוני.

• שרשרת שהתקבלה מאומתת (ARC): אם אתה משתמש בשירותים של ספקים חיצוניים שמבצעים שינויים בהודעות נכנסות במהלך האספקה לפני המסירה ל- Microsoft 365, באפשרותך לזהות את השירותים כחותמי ARC מהימנים (אם הם תומכים בו) כך שההודעות ששונו לא יכשלו באופן אוטומטי בבדיקת אימות דואר אלקטרוני ב- Microsoft 365. לקבלת הוראות, ראה קביעת תצורה של אטמים מהימנים של ARC.

אם אתה משתמש בתחום *.onmicrosoft.com עבור דואר אלקטרוני (המכונה גם כתובת ניתוב הדואר האלקטרוני של Microsoft Online או התחום MOERA), אין לך הרבה מה לעשות:

• SPF: רשומת SPF כבר נקבעה עבור התחום *.onmicrosoft.com.
• DKIM: חתימת DKIM כבר מוגדרת לדואר יוצא באמצעות התחום *.onmicrosoft.com, אך ניתן גם להתאים אותו אישית באופן ידני.
• DMARC: עליך להגדיר באופן ידני את רשומת DMARC עבור התחום *.onmicrosoft.com כמתואר כאן.

שלב 2: קביעת תצורה של מדיניות הגנה

סיכום: הפעל את מדיניות האבטחה הרגילה ו/או הקפדה מראש והשתמש בה עבור כל הנמענים. לחלופין, אם העסק זקוק להכתבה, צור פריטי מדיניות הגנה מותאמים אישית והשתמש בהם במקום זאת, אך בדוק אותם מעת לעת באמצעות מנתח התצורה.

פרטים נוספים:

כפי שאתה בוודאי יכול לדמיין, פריטי מדיניות הגנה רבים זמינים ב- EOP וב- Defender עבור Office 365. קיימים שלושה סוגים בסיסיים של מדיניות הגנה:

• מדיניות ברירת מחדל: פריטי מדיניות אלה קיימים מהרגע שבו הארגון נוצר. הן חלות על כל הנמענים בארגון, לא ניתן לבטל את המדיניות ולא ניתן לשנות על מי המדיניות חלה. עם זאת, באפשרותך לשנות את הגדרות האבטחה במדיניות, בדיוק כמו פריטי מדיניות מותאמים אישית. ההגדרות במדיניות ברירת המחדל מתוארות בטבלאות תחת הגדרות מומלצות עבור EOP Microsoft Defender עבור Office 365 אבטחה.

• מדיניות אבטחה קבועה מראש: אבטחה קבועה מראש הן למעשה פרופילים המכילים את רוב פריטי מדיניות ההגנה הזמינים ב- EOP ו- Defender עבור Office 365 עם הגדרות המותאמות לרמות הגנה ספציפיות. מדיניות האבטחה הקבועה מראש היא:

  • מדיניות האבטחה הקבועה מראש הקפדה.
  • מדיניות האבטחה הקבועה מראש הרגילה.
  • הגנה מוכללת.

  מדיניות האבטחה הקבועה מראש הרגילה והקפדן מבוטלת כברירת מחדל עד שאתה מפעיל אותם. ציין את התנאים וההתניות של הנמענים (משתמשים, חברי קבוצה, תחומים או כל הנמענים) עבור תכונות הגנת EOP ותכונות הגנה מפני Defender עבור Office 365 בתוך מדיניות האבטחה הקבועה מראש הרגילה והקפדן.

  הגנה מוכללת ב- Defender עבור Office 365 מופעלת כברירת מחדל ומספקת הגנה בסיסית של קבצים מצורפים בטוחים וקישורים בטוחים עבור כל הנמענים. באפשרותך לציין חריגים לנמענים כדי לזהות משתמשים שאינם מקבלים את ההגנה.

  במדיניות אבטחה קבועה מראש רגילה וקפדרת בארגונים Defender עבור Office 365, עליך לקבוע את תצורת הערכים ואת החריגים האופציונליים עבור הגנת התחזות של משתמשים ותחום. כל שאר ההגדרות נעולות בתוך הערכים הסטנדרטיים והקפדן המומלצים שלנו (רבים מהם זהים). באפשרותך לראות את הערכים רגיל וקפדן בטבלאות בהגדרות מומלצות עבור EOP ואבטחה Microsoft Defender עבור Office 365, ובאפשרותך לראות את ההבדלים בין רגיל וקפדן כאן.

  ככל שיכולות הגנה חדשות מתווספות ל- EOP ול- Defender עבור Office 365 ולרוחב האבטחה משתנות, ההגדרות במדיניות אבטחה קבועה מראש מתעדכנות באופן אוטומטי להגדרות המומלצות שלנו.

• פריטי מדיניות מותאמים אישית: עבור רוב פריטי המדיניות הזמינים להגנה, באפשרותך ליצור כל מספר של פריטי מדיניות מותאמים אישית. באפשרותך להחיל את פריטי המדיניות על משתמשים באמצעות תנאים לחריגים של נמענים (משתמשים, חברי קבוצה או תחומים) ובאפשרותך להתאים אישית את ההגדרות.

המידע הקודם ומדיניות ההגנה המעורבים מסוכמים בטבלה הבאה:

	פריטי מדיניות המוגדרים כברירת מחדל	הגדר מראש פריטי מדיניות אבטחה	פריטי מדיניות מותאמים אישית
מדיניות הגנה של EOP:
נגד תוכנות זדוניות	✔	✔	✔
מניעת דואר זבל	✔	✔	✔
מניעת דיוג (הגנה מפני התחזות)	✔	✔	✔
דואר זבל יוצא	✔		✔
סינון חיבורים	✔¹
Defender עבור Office 365 מדיניות:
מניעת דיוג (הגנה מפני התחזות) וכן : הגנת התחזות ערכי סף מתקדמים של דיוג	✔²	✔²	✔
קישורים בטוחים	³	✔	✔
קבצים מצורפים בטוחים	³	✔	✔
אופן פעולה כללי
האם ההגנה מופעלת כברירת מחדל?	✔	⁴
האם לקבוע את תצורת התנאים/החריגים להגנה?		✔⁵	✔
האם להתאים אישית הגדרות אבטחה?	✔	⁶	✔
הגדרות ההגנה מתעדכנות באופן אוטומטי?		✔

¹ אין ערכי ברירת מחדל ברשימת היתרי ה- IP או ברשימת חסימות ה- IP, ולכן מדיניות סינון החיבורים המהווה ברירת מחדל אינה עושה דבר ביעילות, אלא אם אתה מתאים אישית את ההגדרות.

² אין ערכים או חריגים אופציונליים עבור התחזות משתמש או הגנת התחזות לתחום ב- Defender עבור Office 365 עד שתקבע את תצורתם.

³ למרות שאין מדיניות ברירת מחדל של קבצים מצורפים בטוחים או קישורים בטוחים ב- Defender עבור Office 365, הגנה מוכללת מספקת הגנה בסיסית של קבצים מצורפים בטוחים וקישורים בטוחים שמוגנת תמיד.

הגנה מוכללת (הגנה על קבצים מצורפים בטוחים וקישורים בטוחים ב- Defender עבור Office 365) היא מדיניות האבטחה הקבועה מראש היחידה שמוצגת כברירת מחדל.

עבור מדיניות האבטחה הקבועה מראש הרגילה והקפדן, באפשרותך לקבוע את התצורה של תנאי נמענים נפרדים ואת החריגות האופציונליות עבור EOP והגנה Defender עבור Office 365 אישית. לקבלת הגנה מוכללת ב- Defender עבור Office 365, באפשרותך לקבוע תצורה של חריגות נמענים מההגנה בלבד.

הגדרות האבטחה היחידות הניתנות להתאמה אישית במדיניות אבטחה קבועה מראש הן הערכים החריגים האופציונליים עבור הגנת התחזות משתמשים והגנת התחזות לתחום במדיניות האבטחה הקבועה מראש הסטנדרטית והקפדן Defender עבור Office 365.

סדר הקדימות עבור מדיניות הגנה

האופן שבו מדיניות הגנה מוחלת היא שיקול חשוב כאשר אתה מחליט כיצד לקבוע את תצורת הגדרות האבטחה עבור משתמשים. הנקודות החשובות שחשוב לזכור הן:

• לתכונות הגנה יש סדר עיבוד שאינו ניתן לתצורה. לדוגמה, הודעות נכנסות מוערכים תמיד לאיתור תוכנות זדוניות לפני דואר זבל.
• מדיניות ההגנה של תכונה ספציפית (למניעת דואר זבל, למניעת תוכנות זדוניות, למניעת דיוג וכדומה) מוחלת בסדר מסוים של קדימות (מידע נוסף על סדר הקדימות בהמשך).
• אם משתמש נכלל במכוון או שלא במתן מכוון במדיניות מרובה של תכונה ספציפית, מדיניות ההגנה הראשונה עבור תכונה זו שבה מוגדר המשתמש (בהתבסס על סדר הקדימות) קובעת מה קורה לפריט (הודעה, קובץ, כתובת URL וכולי).
• לאחר החלת מדיניות ההגנה הראשונה על פריט ספציפי עבור משתמש, עיבוד המדיניות עבור תכונה זו מופסק. פריטי מדיניות הגנה נוספים של תכונה זו אינם מוערכים עבור משתמש זה ופריט ספציפי זה.

סדר הקדימות מוסבר בפירוט לפי סדר הקדימות עבור מדיניות אבטחה קבועה מראש ומדיניות אחרת, אך מסוכמים כאן בקצרה:

1. מדיניות הגנה במדיניות אבטחה קבועה מראש:
   1. מדיניות האבטחה הקבועה מראש הקפדה.
   2. מדיניות האבטחה הקבועה מראש הרגילה.
2. מדיניות הגנה מותאמת אישית של תכונה ספציפית (לדוגמה, מדיניות למניעת תוכנות זדוניות). לכל מדיניות מותאמת אישית יש ערך עדיפות הקובע את הסדר שבו המדיניות מוחלת ביחס למדיניות הגנה אחרת של אותה תכונה:
   1. מדיניות מותאמת אישית עם ערך העדיפות 0.
   2. מדיניות מותאמת אישית עם ערך העדיפות 1.
   3. וכך הלאה.
3. מדיניות ההגנה המהווה ברירת מחדל של תכונה ספציפית (לדוגמה, נגד תוכנות זדוניות) או הגנה מוכללת ב- Defender עבור Office 365 (קישורים בטוחים וקבצים מצורפים בטוחים).

עיין בטבלה הקודמת כדי לראות כיצד מדיניות הגנה ספציפית מיוצגת בסדר הקדימות. לדוגמה, מדיניות למניעת תוכנות זדוניות קיימת בכל רמה. פריטי מדיניות של דואר זבל יוצא זמינים ברמות המדיניות המותאמות אישית והמדיניות המוגדרות כברירת מחדל. מדיניות מסנן החיבור זמינה רק ברמת המדיניות המוגדרת כברירת מחדל.

כדי למנוע בלבול ויישום לא צפוי של פריטי מדיניות, השתמש בקווים המנחים הבאים:

• השתמש בקבוצות או ברשימות של נמענים שאינם רב-משמעיים בכל רמה. לדוגמה, השתמש בקבוצות שונות או ברשימות נמענים שונות עבור מדיניות האבטחה הקבועה מראש הרגילה והקפדן.
• קבע תצורה של חריגים בכל רמה, לפי הצורך. לדוגמה, קבע תצורה של נמענים הזדרושים פריטי מדיניות מותאמים אישית כ חריגים למדיניות האבטחה הקבועה מראש הרגילה והקפדן.
• כל הנמענים הנותרים שאינם מזוהים ברמות הגבוהות יותר מקבלים את מדיניות ברירת המחדל או הגנה מוכללת ב- Defender עבור Office 365 (קישורים בטוחים וקבצים מצורפים בטוחים).

כאשר מידע זה חמוש, באפשרותך להחליט מהי הדרך הטובה ביותר ליישם מדיניות הגנה בארגון.

קביעת אסטרטגיית מדיניות ההגנה שלך

כעת, לאחר שאתה יודע על הסוגים השונים של פריטי מדיניות הגנה ואופן החלתם, באפשרותך להחליט כיצד ברצונך להשתמש ב- EOP Defender עבור Office 365 כדי להגן על המשתמשים בארגון שלך. ההחלטה שלך באופן בלתי נמנע נופלת במקום כלשהו בספקטרום הבא:

• השתמש במדיניות האבטחה הקבועה מראש הרגילה בלבד.
• השתמש במדיניות האבטחה הקבועה מראש הרגילה והקפדן.
• השתמש במדיניות אבטחה קבועה מראש ובמדיניות מותאמת אישית.
• השתמש במדיניות מותאמת אישית בלבד.

זכור, מדיניות ברירת המחדל (וההגנה המוכללת ב- Defender עבור Office 365) מגנה באופן אוטומטי על כל הנמענים בארגון (כל מי שאינו מוגדר במדיניות האבטחה הקבועה מראש הרגילה או הקפדה או במדיניות מותאמת אישית). לכן, גם אם לא תעשה דבר, כל הנמענים בארגון יקבלו את הגנות ברירת המחדל כמתואר בהגדרות המומלצות עבור EOP Microsoft Defender עבור Office 365 האבטחה.

חשוב גם להבין שאינך נעול בתוך ההחלטה הראשונית שלך לנצח. המידע בטבלאות ההגדרות המומלצות ובטבלתההשוואה עבור Standard ו- Strict אמור לאפשר לך לקבל החלטה מושכלת. אך אם צרכים, תוצאות או נסיבות משתנים, לא קשה לעבור לאסטרטגיה אחרת במועד מאוחר יותר.

ללא צורך עסקי משכנע המציין אחרת, מומלץ להתחיל במדיניות האבטחה הקבועה מראש הרגילה עבור כל המשתמשים בארגון שלך. מדיניות אבטחה קבועה מראש מוגדרת עם הגדרות בהתבסס על שנים של תצפיות במרכזי הנתונים של Microsoft 365, ועליה להיות הבחירה הנכונה עבור רוב הארגונים. כמו כן, פריטי המדיניות מתעדכנים באופן אוטומטי בהתאם לאיום של נוף האבטחה.

במדיניות אבטחה קבועה מראש, באפשרותך לבחור באפשרות כל הנמענים כדי להחיל בקלות הגנה על כל הנמענים בארגון.

אם ברצונך לכלול משתמשים מסוימים במדיניות האבטחה הקבועה מראש הקפדה ומשתמשים הנותרים במדיניות האבטחה הקבועה מראש הרגילה, זכור לכלול את סדר הקדימות כפי שתואר קודם לכן במאמר זה באמצעות השיטות הבאות:

• השתמש בקבוצות או ברשימות נמענים לא חד-משמעיות בכל מדיניות אבטחה קבועה מראש.

  או

• קבע תצורה של נמענים שאמורים לקבל את ההגדרות של מדיניות האבטחה הקבועה מראש הרגילה כ החריגות במדיניות האבטחה הקבועה מראש הקפדה.

זכור שתצורות הבאות של תכונות ההגנה הבאות לא מושפעות ממדיניות אבטחה קבועה מראש (באפשרותך להשתמש במדיניות אבטחה קבועה מראש וגם לקבוע את התצורה של הגדרות הגנה אלה באופן עצמאי):

• מדיניות דואר זבל יוצא (מותאם אישית וברירת מחדל)
• מדיניות מסנן החיבורים המהווה ברירת מחדל (רשימת היתרי IP ורשימת חסימות IP)
• הפעל באופן כללי קבצים מצורפים בטוחים עבור SharePoint, OneDrive ו- Microsoft Teams
• הפעל וקבע תצורה של מסמכים בטוחים באופן כללי (זמין ובעל משמעות רק עם רשיונות שאינם כלולים ב- Defender עבור Office 365 (לדוגמה, Microsoft 365 A5 או אבטחה של Microsoft 365 E5))

כדי להפעיל ולהגדיר מדיניות אבטחה קבועה מראש, ראה מדיניות אבטחה קבועה מראש ב- EOP ו- Microsoft Defender עבור Office 365.

ההחלטה להשתמש במדיניות מותאמת אישית במקום או בנוסף למדיניות אבטחה קבועה מראש מגיעה בסופו של דבר לדרישות העסקיות הבאות:

• המשתמשים דורשים הגדרות אבטחה השונות מההגדרות הלא ניתנות לעריכה במדיניות אבטחה קבועה מראש (דואר זבל לעומת העבר להסגר או להיפך, ללא עצות בטיחות, הודעה לנמענים מותאמים אישית וכולי).
• המשתמשים דורשים הגדרות שאינן מוגדרות במדיניות אבטחה קבועה מראש (לדוגמה, חסימת דואר אלקטרוני ממדינות ספציפיות או בשפות ספציפיות במדיניות למניעת דואר זבל).
• המשתמשים זקוקים לחוויה בהסגר שונה מההגדרות הלא ניתנות להעברה במדיניות אבטחה קבועה מראש. מדיניות הסגר מגדירה את הפעולות שמשתמשים יכולים לבצע בהודעות ההסגר שלהם בהתבסס על הסיבה להסגר של ההודעה, ואם הנמענים יקבלו הודעה על הודעות ההסגר שלהם. חוויית ההסגר המוגדרת כברירת מחדל עבור משתמשי הקצה מסוכמת בטבלה כאן, ומדיניות ההסגר המשמשת במדיניות האבטחה הקבועה מראש הרגילה והקפדן מתוארת בטבלאות כאן.

השתמש במידע תחת הגדרות מומלצות עבור EOP ואבטחה Microsoft Defender עבור Office 365 כדי להשוות בין ההגדרות הזמינות במדיניות מותאמת אישית או במדיניות ברירת מחדל לעומת המדיניות המוגדרת במדיניות האבטחה הקבועה מראש הרגילה והקפדן.

הנחיות עיצוב עבור פריטי מדיניות מותאמים אישית מרובים עבור תכונה ספציפית (לדוגמה, מדיניות למניעת תוכנות זדוניות) כוללות:

• לא ניתן לכלול משתמשים במדיניות מותאמת אישית במדיניות האבטחה הקבועה מראש הרגילה או המחמירה עקב סדר הקדימות.
• הקצה פחות משתמשים למדיניות בעדיפות גבוהה יותר ומשתמשים נוספים למדיניות בעדיפות נמוכה יותר.
• קבע תצורה של פריטי מדיניות בעדיפות גבוהה יותר כדי לקבוע הגדרות קפדניות או מיוחדות יותר ממדיניות בעדיפות נמוכה יותר (כולל פריטי המדיניות המוגדרים כברירת מחדל).

אם תחליט להשתמש במדיניות מותאמת אישית, השתמש במנתח התצורה כדי להשוות מעת לעת את ההגדרות במדיניות שלך להגדרות המומלצות במדיניות האבטחה הקבועה מראש הרגילה והקפדן.

שלב 3: הקצאת הרשאות למנהלי מערכת

סיכום: הקצה את התפקיד 'מנהל אבטחה' ב- Azure Active Directory למנהלי מערכת, מומחים והעובדים של צוותי התמיכה כדי שהם יוכלו לבצע משימות ב- EOP וב- Defender עבור Office 365.

פרטים נוספים:

סביר להניח שאתה כבר משתמש בחשבון הראשוני שבו השתמשת כדי להירשם ל- Microsoft 365 כדי לבצע את כל העבודה במדריך פריסה זה. חשבון זה הוא מנהל מערכת בכל מקום ב- Microsoft 365 (באופן ספציפי, הוא חבר בתפקיד מנהל המערכת הכללי ב- Azure Active Directory (Azure AD)) ומאפשר לך לעשות כמעט כל דבר. ההרשאות הנדרשות תוארו מוקדם יותר במאמר זה במאמר זה בנושא תפקידים והרשאות.

עם זאת, המטרה של שלב זה היא לקבוע תצורה של מנהלי מערכת אחרים שיעזרו לך לנהל את התכונות של EOP Defender עבור Office 365 בעתיד. מה שאינך רוצה זה הרבה אנשים בעלי כוח של מנהל מערכת כללי שאינם זקוקים לו. לדוגמה, האם הם באמת צריכים למחוק/ליצור חשבונות או להפוך משתמשים אחרים למנהלי מערכת כלליים? הרעיון של ההרשאה המעטה ביותר (הקצאת ההרשאות הדרושות לביצוע המשימה בלבד ולא יותר) הוא תרגול מומלץ למעקב.

כשמדובר בהקצאת הרשאות עבור משימות ב- EOP וב- Defender עבור Office 365, האפשרויות הבאות זמינות:

• Microsoft Entra נוספות: הרשאות אלה חלות על כל עומסי העבודה ב- Microsoft 365 (Exchange Online, SharePoint Online, Microsoft Teams וכולי).
• Exchange Online הרשאות: רוב המשימות ב- EOP Defender עבור Office 365 זמינות באמצעות Exchange Online נוספות. הקצאת הרשאות רק ב- Exchange Online מונעת גישה ניהולית ב עומסי עבודה אחרים של Microsoft 365.
• דואר & אלקטרוני והרשאות שיתוף פעולה בפורטל Microsoft Defender: ניהול תכונות אבטחה מסוימות ב- EOP ו- Defender עבור Office 365 זמין עם הרשאות שיתוף & דואר אלקטרוני. לדוגמה:
  • מנתח התצורה
  • מרכז הניהול ניהול ההסגר ומדיניותההסגר
  • מרכז הניהול וסקירה של הודעות שמשתמשים דיווחו עליהן
  • תגיות משתמש

לצורך פשטות, מומלץ להשתמש בתפקיד מנהל האבטחה ב- Azure AD משתמשים אחרים שצריכים לקבוע את תצורת ההגדרות ב- EOP Defender עבור Office 365.

לקבלת הוראות, ראה הקצאת Microsoft Entra למשתמשים וניהול גישה ל- Microsoft Defender XDR עם תפקידים כלליים של Azure Active Directory.

שלב 4: עדיפות חשבונות ותגיות משתמשים

סיכום: זהה את המשתמשים המתאימים בארגון שלך ותייג אותם כחשבונות עדיפות לצורך זיהוי קל יותר בדוחות ובחקירות, ולקבל הגנה על חשבונות בעדיפות Defender עבור Office 365. שקול ליצור ולהחיל תגיות משתמש מותאמות אישית Defender עבור Office 365 תוכנית 2.

פרטים נוספים:

ב Defender עבור Office 365, חשבונות עדיפות מאפשרים לך לתייג עד 250 משתמשים בעלי ערך גבוה עבור נוחות זיהוי בדוחות ובחקירות. חשבון עדיפות זה גם מקבל נתונים הוריסטיים נוספים שאינם יתרונות לעובדים רגילים. לקבלת מידע נוסף, ראה ניהול וניטור של חשבונות עדיפות ולקביעתתצורה וסקירה של הגנה על חשבון עדיפות ב- Microsoft Defender עבור Office 365.

ב Defender עבור Office 365 תוכנית 2, יש לך גם גישה ליצירה והחלה של תגיות משתמש מותאמות אישית כדי לזהות בקלות קבוצות ספציפיות של משתמשים בדוחות ובחקירות. לקבלת מידע נוסף, ראה תגיות משתמש Microsoft Defender עבור Office 365.

זהה משתמשים מתאימים כדי לתייג כחשבונות עדיפות ולהחליט אם עליך ליצור ולהחיל תגיות משתמש מותאמות אישית.

שלב 5: סקירה ותצורה של הגדרות הודעה שדווחו על-ידי המשתמש

סיכום: פרוס את הודעת הדוח או דווח על תוספות דיוג או כלי נתמך של ספק חיצוני כדי שהמשתמשים יוכלו לדווח על תוצאות חיוביות מוטעות ושליליות מוטעות ב- Outlook, כך שהודעות מדווחות אלה יהיו זמינות למנהלי מערכת בכרטיסיה מדווח על-ידי המשתמש בדף 'שליחות' בפורטל Defender. קבע את תצורת הארגון כך שהודעות מדווחות יעברו לתיבת דואר מוגדרת של דיווח, ל- Microsoft או לשניהם.

פרטים נוספים:

היכולת של משתמשים לדווח על הודעות טובות המסומנות כהודעות שגויות (תוצאות חיוביות מוטעות) או כהודעות שגויות המותרת (שליליות מוטעות) חשובה לך לנטר ולהתאים הגדרות הגנה ב- EOP וב- Defender עבור Office 365.

החלקים החשובים של דיווח הודעות המשתמש הם:

• כיצד משתמשים מדווחים על הודעות?: ודא שהלקוחות משתמשים באחת מהשיטות הבאות, כך שהודעות שדווחו מופיעות בכרטיסיה דווח על-ידי המשתמש בדף 'שליחות' בפורטל Defender ב:https://security.microsoft.com/reportsubmission?viewid=user

• לחצן הדוח המוכלל ב- Outlook באינטרנט (נקרא בעבר Outlook Web App או OWA).

• Microsoft Report Message or Report Phishing add-ins for Outlook and Outlook באינטרנט.

• כלי דיווח של ספקים חיצוניים המשתמשים בתבנית הנתמכת לשליחת הודעות.

• לאן מגיעות הודעות שדווחו על-ידי המשתמש?: יש לך את האפשרויות הבאות:

  • לתיבת דואר ייעודית של דיווח ול- Microsoft (זהו ערך ברירת המחדל).
  • לתיבת דואר ייעודית של דיווח בלבד.
  • ל- Microsoft בלבד.

  תיבת הדואר המוגדרת כברירת מחדל המשמשת לאיסוף הודעות שדווחו על-ידי משתמשים היא תיבת הדואר של מנהל המערכת הכללי (החשבון ההתחלתי בארגון). אם ברצונך שמשתמש דיווח על הודעות יעברו לתיבת דואר של דיווח בארגון שלך, עליך ליצור ולהגדיר תיבת דואר בלעדית לשימוש.

  בין אם אתה מעוניין שהודעות המדווחות על-ידי משתמש יעברו גם אל Microsoft לניתוח (באופן בלעדי או יחד עם מסירה לתיבת הדואר הייעודית שלך לדיווח).

  אם ברצונך שהודעות המדווחות על-ידי המשתמש יעברו רק לתיבת הדואר המיועדת לדיווח, מנהלי מערכת צריכים לשלוח באופן ידני הודעות שדווחו על-ידי משתמשים ל- Microsoft לצורך ניתוח מהכרטיסיה 'דווח על-ידי המשתמש' בדף 'שליחה' בפורטל Defender בכתובת .https://security.microsoft.com/reportsubmission?viewid=user

  חשוב לשלוח הודעות שדווחו על-ידי משתמשים ל- Microsoft כדי לאפשר לסננים שלנו ללמוד ולשפר.

לקבלת מידע מלא אודות הגדרות ההודעה שדווחו על-ידי המשתמש, ראה הגדרות המשתמש שדווח.

שלב 6: חסימה ותיר של ערכים

סיכום: הכר את ההליכים כדי לחסום ולאפשר הודעות, קבצים וכתובות URL Defender עבור Office 365.

פרטים נוספים:

עליך להכיר כיצד לחסום ולאפשר (באופן זמני) שולחים, קבצים וכתובות URL של הודעות במיקומים הבאים בפורטל Defender:

• רשימת התרה/חסימה של דייר ב- https://security.microsoft.com/tenantAllowBlockList.
• הדף 'הגשות ' ב- https://security.microsoft.com/reportsubmission.
• דף תובנות בינת התחזות ב- https://security.microsoft.com/spoofintelligence.

באופן כללי, קל יותר ליצור בלוקים מאשר מאפשר, מכיוון שערכים שאינם נחוצים מאפשרים לחשוף את הארגון שלך לדואר אלקטרוני זדוני שמערכת היתה מסננת.

• בלוק :

  • באפשרותך ליצור ערכי חסימה עבור תחומים וכתובות דואר אלקטרוני, קבצים וכתובות URL בכרטיסיות המתאימות ברשימת הדיירים אפשר/חסום ועל-ידי שליחת הפריטים ל- Microsoft לצורך ניתוח מהדף 'שליחות'. בעת שליחת פריט ל- Microsoft, ערכי בלוק תואמים נוצרים גם ברשימת התרה/חסימה של דייר.

    עצה

    משתמשים בארגון גם לא יכולים לשלוח דואר אלקטרוני לתחום או לכתובות דואר אלקטרוני שצוינו ערכי חסימה ברשימת התרה/חסימה של דיירים.

  • הודעות שנחסמו על-ידי בינת התחזות מוצגות בדף בינת התחזות . אם תשנה ערך אפשר לערך חסימה, השולח יהפוך לערך בלוק ידני בכרטיסיה שולחים התחזים ברשימת התרה/חסימה של דייר. באפשרותך גם ליצור באופן יזום ערכי חסימה עבור שולחים התחזים שעדיין לא נתקלו בהם בכרטיסיה שולחים התחזים .

• אפשר:

  • לא ניתן ליצור ערכי התרה עבור תחומים וכתובות דואר אלקטרוני, קבצים וכתובות URL ישירות בכרטיסיות המתאימות ברשימת התרות/חסימות של דיירים. במקום זאת, עליך להשתמש בדף 'שליחות ' כדי לדווח על הפריט ל- Microsoft. בעת הדיווח על הפריט ל- Microsoft, באפשרותך לבחור לאפשר את הפריט, פעולה אשר יוצרת ערך אפשר זמני מתאים ברשימה התרה/חסימה של דייר.

  • הודעות המותרות על-ידי בינת התחזות מוצגות בדף 'בינת התחזות '. אם תשנה ערך חסימה לערך אפשר, השולח יהפוך לערך ידני המאפשר כניסה בכרטיסיה שולחים התחזים ברשימת התרה/חסימה של דייר. באפשרותך גם ליצור באופן יזום ערכי התרה עבור שולחים לא מזוהים עדיין בכרטיסיה שולחים התחזים .

לקבלת פרטים מלאים, עיין במאמרים הבאים:

• התרה או חסימה של דואר אלקטרוני באמצעות רשימת התרה/חסימה של דייר
• התרה או חסימה של קבצים באמצעות רשימת התרה/חסימה של דייר
• התרה או חסימה של כתובות URL באמצעות רשימת התרה/חסימה של דייר
• השתמש בדף 'הגשות' כדי לשלוח הודעות זבל חשודות, דיוג, כתובות URL, דואר אלקטרוני לגיטימי שנחסמו וקבצים מצורפים לדואר אלקטרוני אל Microsoft
• עקוף את גזר הדין של בינת התחזות

שלב 7: הפעל הדמיות דיוג באמצעות הדרכה בהדמיית התקפה

ב Defender עבור Office 365 תוכנית 2, הדרכה בהדמיית התקפה מאפשרת לך לשלוח הודעות דיוג מדומה למשתמשים ולהקצות הדרכה בהתבסס על האופן שבו הם מגיבים. האפשרויות הבאות זמינות:

• הדמיות בודדות המשתמשות במטען מוכלל או מותאם אישית.
• אוטומציות הדמיה נלקחו מתקפות דיוג מהעולם האמיתי באמצעות עומסי מנה מרובים ותזמון אוטומטי.
• קמפיינים להדרכה בלבד שבהם אינך צריך להפעיל קמפיין ולהמתין שהמשתמשים ילחץו על קישורים או להוריד קבצים מצורפים בהודעות דיוג מדומה לפני שיוקצו הדראות.

לקבלת מידע נוסף, ראה תחילת השימוש הדרכה בהדמיית התקפה.

שלב 8: חקירת הנושא ותגובה

כעת, לאחר השלמת ההגדרה הראשונית, השתמש במידע במדריך Microsoft Defender עבור Office 365 האבטחה כדי לנטר ולחקור איומים בארגון.