הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
הערה
מידע במאמר זה נוגע לתכונות שהם חלק מה- Ecosystem של ספק ICES. עם זאת, ייתכן שפונקציונליות מסוימת עדיין לא תהיה נגישה לכל המשתמשים. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס לציר הזמן של הזמינות.
המערכת האקולוגית של ספק אבטחת דואר אלקטרוני בענן משולב (ICES) מאפשרת Microsoft Defender עבור Office 365 משולבת עם ספקי אבטחה מהימנים שאינם של Microsoft. השילוב תומך באסטרטגיית הגנה רב-שכבתית. הוא מאפשר ללקוחות ליהנות מיכולות נישה משותפות חיצוניות ולתחזק חוויה מאוחדת בתוך Microsoft Defender הפורטל.
היתרונות של המערכת האקולוגית של ספק ICES כוללים:
- הסגר מאוחד: הצג ונהל דואר אלקטרוני בהסגר הן Defender עבור Office 365 ספקים של ספקים שאינם של Microsoft בממשק יחיד.
- לוחות מחוונים מאוחדים: Access Effectiveness metrics בכל הפתרונות המשולבים כדי להבין את כיסוי הזיהוי ואת התוצאות.
- הגנה לעומק: שפר את ההגנה על-ידי יצירת שכבות של יכולות שאינן של Microsoft לצד הגנות מקוריות Defender עבור Office 365.
- פעולות יעילות יותר: שילוב חלק עם ספקי אבטחת דואר אלקטרוני מקוריים בענן המותאמים ל- API באמצעות זרימות עבודה ותובנות מאוחדות בפורטל Defender.
שאר המאמר מתאר את שיקולי הפעולה, היעדים והפריסה עבור המערכת האקולוגית של ספק ICES.
עצה
בשלב זה, פרטי API ספציפיים אינם זמינים.
תחילת העבודה
בדוק את זכאות הרשיון: ודא שלארגון שלך יש Defender עבור Office 365 תוכנית 2 או Microsoft 365 E5 שלך. לקבלת מידע נוסף Defender עבור Office 365 תוכנית 2, ראה Defender עבור Office 365 תוכנית 2.
בחר ספק אבטחה מאושר של ספק חיצוני:
- סמיך כהה/דואר אלקטרוני
- פלטפורמה של הגנה של KnowBe4
הפוך שילוב לזמין: לאחר הצירוף לספק האבטחה של הספק החיצוני, הפתרון שלו משולב בצורה חלקה ותשלב באופן אוטומטי את ארכיטקטורת האבטחה שלך.
ניטור וניהול: השתמש בלוחות המחוונים המאוחדים והסגר Defender עבור Office 365 כדי לנטר פעילות איומים ולבצע פעולה.
אופן הפעולה של שילוב
שילוב מאפשר לספק החיצוני להעביר פרטים על הודעה ספציפית באמצעות API פרטי של Microsoft Graph. לדוגמה:
- פסק דין.
- רמת ביטחון.
- כל פרטי האיום שהם רוצים לשתף.
Defender עבור Office 365 משתמש במידע זה בשלבים הבאים:
- מאשר את גזר הדין.
- קובע את גזר הדין הגבוה ביותר (הרציני ביותר) בהודעה.
- עדכונים את ההודעה ו/או יומני הרישום עם פרטי גזר הדין.
- העברת ההודעה שזוהתה למיקום שצוין במדיניות.
באפשרותך לראות את התוצאות של שילוב זה בחוויות מאוחדות מרובות כמתואר בהמשך מאמר זה. לדוגמה:
קביעת התצורה של פריטי המדיניות שלך
כדי להבטיח הגנה מיטבית והתפקוד העקבי בפתרונות משולבים, חשוב לקבוע את תצורת מדיניות האבטחה כראוי הן בפלטפורמות ספקים של Defender עבור Office 365 והן בפלטפורמות ספקים חיצוניים משתתפות.
Defender עבור Office 365 מדיניות
Microsoft ממליצה להפוך את מדיניות Standard ו/או מדיניות אבטחה קבועה מראש קפדנית עבור כל המשתמשים בארגון שלך. הגדרות קבועות מראש אלה נועדו לספק בסיס הגנה תואם לבינה האיומים הנוכחית ולשיטות העבודה המומלצות הנוכחיות.
עצה
לקבלת מידע נוסף אודות מדיניות אבטחה קבועה מראש לעומת מדיניות מותאמת אישית, ראה קביעת אסטרטגיית מדיניות ההגנה שלך.
אם בכוונתך להשתמש במדיניות הגנה מותאמת אישית במקום במדיניות אבטחה קבועה מראש, עליך להשתמש מדי פעם במנתח התצורה כדי לזהות ולתקן סטיות מתוכנית בסיסית מומלצת של מדיניות.
יישור מדיניות עם ספקים חיצוניים
כדי לשמור על טיפול עקבי בהודעות ותגובה לאיומים ברחבי המערכת האקולוגית, חיוני ליישר תצורות מדיניות בין Defender עבור Office 365 לבין הספק החיצוני המשולב. יישור זה מבטיח שהודעות מציגות התנהגות צפויה ויתגלו כראוי בלוחות מחוונים מאוחדים ותצוגות הסגר.
לאחר שתגדיר את יישור המדיניות, תוכל לנהל את שארית מחזור החיים של השילוב ישירות בתוך פורטל Defender. לדוגמה:
- ניטור
- דיווח
- תגובה
חוויות פורטל
פורטל Defender מספק חוויה מקיפה ומשילוב לניהול פתרונות אבטחה של דואר אלקטרוני מקוריים ופתרונות שאינם של Microsoft. יכולות משופרות באמצעות השתתפות המערכת האקולוגית של ספק ICES, כמתואר בסעיףי המשנה הבאים.
הסגר
הודעות שהועברו להסגר על-ידי ספקים חיצוניים מוצגות במסגרת חוויית ההסגר . צוותי אבטחה יכולים לחפש, להציג בתצוגה מקדימה, לשחרר, לדווח ולבצע פעולות תיקון בהודעות אלה באמצעות זרימות עבודה זהות לאותם זרימות עבודה Defender עבור Office 365 זיהוי. תצוגה מאוחדת זו מפחיתה את המורכבות התפעולית ומבטיחה טיפול עקבי באיומים בכל ערימת אבטחת הדואר האלקטרוני.
סייר האיומים
סייר האיומים (Explorer) מספק ניראות בזמן אמת לאיומי דואר אלקטרוני ברחבי הארגון. הודעות שעובדו על-ידי ספקים חיצוניים ועברו דרך המערכת האקולוגית נכללות בתצוגות של הסייר. שילוב זה מאפשר לאנליסטים של אבטחה לחקור קמפיינים, לעקוב אחר נתיבי מסירת הודעות ולתאם אותות איומים בין מקורות זיהוי.
דף הישות 'דואר אלקטרוני'
הדף ישות דואר אלקטרוני מאחד את כל המטה-נתונים ומדידת השימוש הזמינים עבור הודעה נתונה. לדוגמה:
- כותרות
- אירועי מסירה
- זיהוי גזרי דין
- פעולות משתמש
עבור הודעות שעובדו על-ידי שותפים של המערכת האקולוגית, הדף כולל טכנולוגיית זיהוי ספציפית לספק. שילוב זה מציע תצוגה משפטית מלאה בחלונית זכוכית אחת.
ציד מתקדם
צוותי אבטחה יכולים להשתמש ביכולות ציד מתקדמות ב- Defender עבור Office 365 כדי לבצע שאילתות ולתאם נתונים בזיהוי ספקים מקוריים וספקים חיצוניים. הודעות שנשלחות על-ידי ספק מיוצגים בטבלאות EmailEvents ו - EmailPostDeliveryEvents . תמיכה מורחבת בסכימה זמינה עבור תכונות ספציפיות לשותף, כולל פרטי איום ספציפיים לספק.
השתמש בשאילתה לדוגמה זו כדי לראות זיהויי ספקים חיצוניים בה ציד מתקדם:
EmailEvents
| where Timestamp > ago(7d)
//List email detected by a third-party vendor
| where DetectionMethods contains "Thirdparty"
| project NetworkMessageId, RecipientEmailAddress, ThreatTypes, DetectionMethods, AdditionalFields, LatestDeliveryLocation
דוחות
פורטל Microsoft 365 Defender מספק חוויית דיווח מרוכזת שמרכיבה מידע הן Defender עבור Office 365 ספקים חיצוניים משולבים. תצוגה מאוחדת זו מאפשרת לצוותי אבטחה להעריך את היעילות של כל ערימת אבטחת הדואר האלקטרוני שלהם במקום אחד.
לוחות המחוונים הבאים מציגים מידע זה:
זיהוי דואר אלקטרוני:
- זיהוי זרימת דואר של Defender: הודעות Defender עבור Office 365 במהלך זרימת דואר. הודעות ייחודיות אלה לא זוהו על-ידי הספק החיצוני.
- זיהויים לאחר מסירה של Defender: הודעות Defender עבור Office 365 לאחר מסירה באמצעות מחיקה אוטומטית של אפס שעות (ZAP). הודעות ייחודיות אלה לא זוהו על-ידי הספק החיצוני.
- זיהוי לאחר מסירה שאינו של Microsoft: הודעות שהספק החיצוני זיהה.
- זיהויים כפולים: Defender עבור Office 365 הודעות שזוהו במהלך זרימת דואר שבה הספק החיצוני גם מסר קביעת דין.
- זיהויים כפולים לאחר מסירה: הודעות Defender עבור Office 365 לאחר מסירה באמצעות ZAP, כאשר הספק החיצוני גם מסר פסק דין.
זיהויים שאינם של Microsoft:
- זיהויים לאחר מסירה: מציג את סוגי ההפסקה בהודעות שסופקו על-ידי הספק החיצוני. דוח זה הוא פירוט של השדה זיהוי לאחר מסירה שאינו של Microsoft בדוח זיהוי דואר אלקטרוני.
- יעילות: מחשבת את הזיהויים הייחודיים של לאחר מסירה שאינם של Microsoft לאורך סך כל הזיהויים של Defender עבור Office. פעולה זו מציגה את הערך המוסף מהפתרון של ספק חיצוני.
שאלות נפוצות
ש: יש לי פתרונות ICES/CAPES מרובים. איך זה עובד ?איך זה עובד?
ת: שילוב עם ספקי ICES/CAPES מרובים זמין כל עוד הם חלק מהשותפות של ספק ICES Ecosystem.
השילוב פועל באופן זהה: כל ספק חיצוני יכול לספק גזרי דין לגבי הודעות בארגון שלך. באפשרותך לראות את הזיהויים של ספקים חיצוניים ולזהות את הספק החיצוני האחראי על הזיהוי בתוך חוויות הפורטל של Defender.
אם ספקים חיצוניים מרובים שולחים גזרי דין על אותה הודעה, גזרי הדין וההסברים נרשמים. גזר הדין הגבוה ביותר (הרציני ביותר) בין הספקים החיצוניים קובע את הפעולה שבוצעה בהודעה.
ש: איזה גזר דין מקבל עדיפות?
ת: גזר הדין הגבוה ביותר מקבל עדיפות לפי הסדר הבא (מהרציני ביותר לפחות חמור):
- תוכנות זדוניות
- דיוג ברמת מהימנות גבוהה
- דיוג
- דואר זבל עם רמת מהימנות גבוהה
- דואר זבל
- Deleted
- זבל
- הודעות זבל נקיות או לא זבלות
ש: מה קורה אם אני משתמש בספק חיצוני אחר?
ת: בשלב זה, שילוב Ecosystem של ספק ICES זמין רק עבור Darktrace ו- KnowBe4. אם אתה משתמש בספק ICES/CAPES אחר, לא תוכל לנצל שילוב זה.
ש: האם קיים חיוב עבור נתוני קשוב הנתונים והפעולות של ספקים חיצוניים לפי Defender עבור Office 365 שלך?
ת: לא, אין חיוב עבור השילוב. השילוב ותמיכה ב- Graph API כלולים כחלק מרישיונות Defender עבור Office 365 תוכנית 2 שלך.
ש: מדוע איני רואה את הסכומים הכוללים והפעילויות לאחר המסירה על-ידי דוחות פתרון שאינם של Microsoft?**
ת: הדוחות מוצגים רק אם יש לך פעילות באחד מהספקים החיצוניים המורשים ב- 90 הימים האחרונים.
משוב ותמיכה
כדי לספק משוב או לבקש תמיכה, פנה לצוות חשבון Microsoft שלך או השתמש בקישור המשוב בפורטל Defender.