Az Office 365-höz készült Microsoft Defender használatának első lépései
Az Office 365-höz készült Microsoft Defendert használó új Microsoft 365-szervezetekben (beleértve vagy bővítmény-előfizetésként) ez a cikk ismerteti azOkat a konfigurációs lépéseket, amelyeket a szervezet legkorábbi napjaiban el kell végeznie az Exchange Online Protectionben (EOP) és az Office 365-höz készült Defenderben .
Bár a Microsoft 365-ös szervezet a létrehozásuktól kezdve (vagy az Office 365-höz készült Defender hozzáadása) tartalmaz egy alapértelmezett védelmi szintet, a jelen cikkben ismertetett lépések végrehajtható tervet biztosítanak az EOP és az Office 365-höz készült Defender teljes védelmi képességeinek kihasználásához. A lépések elvégzése után ebből a cikkből azt is megtudhatja, hogy a microsoftos 365-be fektetett befektetése maximálisan kihasználható.
Az EOP és az Office 365-höz készült Defender konfigurálásának lépéseit az alábbi ábra ismerteti:
Tipp
A cikk kiegészítőjeként javasoljuk, hogy használja az Office 365-höz készült Microsoft Defender automatikus beállítási útmutatóját a címen https://admin.microsoft.com/Adminportal/Home?Q=learndocs#/modernonboarding/office365advancedthreatprotectionadvisor. Ez az útmutató a környezet alapján testre szabja a felhasználói élményt. Ha az ajánlott eljárásokat bejelentkezés és automatikus beállítási funkciók aktiválása nélkül szeretné áttekinteni, látogasson el a Microsoft 365 beállítási portáljára a címen https://setup.microsoft.com/defender/office-365-setup-guide.
Követelmények
Az e-mail veszélyforrások elleni védelem funkciói az EOP-on keresztüli felhőalapú postaládákkal rendelkező összes Microsoft 365-előfizetésben megtalálhatók. Az Office 365-höz készült Defender további védelmi funkciókat is tartalmaz. Az EOP, az Office 365-höz készült Defender 1. csomag és az Office 365-höz készült Defender 2. csomag funkcióinak részletes összehasonlításáért lásd: Az Office 365-höz készült Microsoft Defender áttekintése.
Szerepkörök és engedélyek
Az EOP és az Office 365-höz készült Defender funkcióinak konfigurálásához engedélyekre van szükség. Az alábbi táblázat azokat az engedélyeket sorolja fel, amelyekre szüksége van a jelen cikkben ismertetett lépések végrehajtásához (egy elég, nem kell mindegyiket használnia).
Szerepkör vagy szerepkörcsoport | További információ |
---|---|
Globális rendszergazda a Microsoft Entra-ban* | A Microsoft Entra beépített szerepkörei |
Szervezetkezelés e-mailben & együttműködési szerepkörcsoportokban | Szerepkörcsoportok az Office 365-höz készült Microsoft Defenderben |
Biztonsági rendszergazda a Microsoft Entra-ban | A Microsoft Entra beépített szerepkörei |
Biztonsági rendszergazda az e-mail-& együttműködési szerepkörcsoportokban | E-mail & együttműködési engedélyek az Office 365-höz készült Microsoft Defenderben |
Az Exchange Online szervezetkezelése | Engedélyek az Exchange Online-ban |
Fontos
* A Microsoft azt javasolja, hogy a legkevesebb engedélyekkel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
1. lépés: E-mail-hitelesítés konfigurálása a Microsoft 365-tartományokhoz
Összefoglalás: Konfigurálja az SPF, a DKIM és a DMARC rekordokat (ebben a sorrendben) az összes egyéni Microsoft 365-tartományhoz (beleértve a parkolt tartományokat és altartományokat). Ha szükséges, konfigurálja a megbízható ARC-tömítőket.
Részletek:
Az e-mail-hitelesítés (más néven e-mail-ellenőrzés) egy szabványcsoport, amely ellenőrzi, hogy az e-mailek megbízhatóak, változatlanok-e, és hogy a feladó e-mail-tartományának várt forrásaiból származnak-e. További információ: E-mail-hitelesítés az EOP-ban.
Azt feltételezzük, hogy egy vagy több egyéni tartományt használ a Microsoft 365-ben e-mailekhez (például contoso.com), ezért minden e-mail-címhez külön e-mail-hitelesítési DNS-rekordokat kell létrehoznia az e-mailekhez használt egyéni tartományokhoz.
Hozza létre a következő e-mail-hitelesítési DNS-rekordokat a DNS-regisztrálónál vagy a DNS-szolgáltatónál minden olyan egyéni tartományhoz, amelyet a Microsoft 365-ben a levelezéshez használ:
Sender Policy Framework (SPF): Az SPF TXT rekord a tartomány feladóitól származó érvényes e-mail-forrásokat azonosítja. Útmutatásért lásd: Az SPF beállítása a hamisítás megelőzéséhez.
DomainKeys Identified Mail (DKIM): A DKIM kijelentkezteti a kimenő üzeneteket, és az aláírást az üzenetfejlécben tárolja, amely túléli az üzenettovábbítást. Útmutatásért lásd: A DKIM használata az egyéni tartományból küldött kimenő e-mailek ellenőrzéséhez.
Tartományalapú üzenethitelesítés, jelentéskészítés és megfelelőség (DMARC): A DMARC segít a cél levelezőkiszolgálóknak eldönteni, hogy mi a teendő az egyéni tartományból érkező, sikertelen SPF- és DKIM-ellenőrzésekkel. Ügyeljen arra, hogy a DMARC-házirendet (
p=reject
vagyp=quarantine
) és a DMARC-jelentés célhelyeit (összesítő és törvényszéki jelentések) szerepeltesse a DMARC-rekordokban. útmutatásért lásd: E-mailek ellenőrzése DMARC használatával.Hitelesített fogadott lánc (ARC): Ha olyan külső szolgáltatásokat használ, amelyek módosítják az átvitt bejövő üzeneteket a Microsoft 365-be való kézbesítés előtt, a szolgáltatásokat megbízható ARC-lezáróként azonosíthatja (ha támogatják), így a módosított üzenetek nem hiúsulnak meg automatikusan a Microsoft 365-ben végzett e-mail-hitelesítési ellenőrzések során. Útmutatásért lásd: Megbízható ARC-tömítők konfigurálása.
Ha a *.onmicrosoft.com tartományt használja az e-mailekhez (más néven a Microsoft Online e-mail-útválasztási címe vagy MOERA-tartománya), akkor közel sem kell annyit tennie:
- SPF: Az SPF rekord már konfigurálva van a *.onmicrosoft.com tartományhoz.
- DKIM: A DKIM-aláírás már konfigurálva van a kimenő levelekhez a *.onmicrosoft.com tartomány használatával, de manuálisan is testre szabhatja.
- DMARC: Manuálisan kell beállítania a *.onmicrosoft.com tartomány DMARC-rekordját az itt leírtak szerint.
2. lépés: Védelmi szabályzatok konfigurálása
Összefoglalás: Kapcsolja be és használja a Standard és/vagy a Szigorú előre beállított biztonsági szabályzatokat az összes címzett számára. Ha az üzleti igények diktálnak, hozzon létre és használjon inkább egyéni védelmi szabályzatokat, de a konfigurációelemző használatával rendszeresen ellenőrizze őket.
Részletek:
Ahogy azt bizonyára el tudja képzelni, számos védelmi szabályzat érhető el az EOP-ban és az Office 365-höz készült Defenderben. A védelmi szabályzatok három alapvető típust különböztetnek meg:
Alapértelmezett szabályzatok: Ezek a szabályzatok a szervezet létrehozásának pillanatától léteznek. Ezek a szervezet összes címzettje esetében érvényesek, nem kapcsolhatja ki a házirendeket, és nem módosíthatja, hogy kikre vonatkoznak a szabályzatok. A házirendek biztonsági beállításait azonban ugyanúgy módosíthatja, mint az egyéni szabályzatokat. Az alapértelmezett házirendek beállításait az Ajánlott beállítások az EOP-hoz és az Office 365-höz készült Microsoft Defender biztonsági beállításai című témakörben található táblázatok ismertetik.
Előre beállított biztonsági szabályzatok: Az előre beállított biztonsági szabályzatok valójában olyan profilok , amelyek az EOP és az Office 365-höz készült Defender legtöbb elérhető védelmi házirendjét tartalmazzák bizonyos védelmi szintekre szabott beállításokkal. Az előre beállított biztonsági szabályzatok a következők:
- A Szigorú előre beállított biztonsági szabályzat.
- A Standard előre beállított biztonsági szabályzat.
- Beépített védelem.
A Standard és a Szigorú előre beállított biztonsági házirendek alapértelmezés szerint ki vannak kapcsolva, amíg be nem kapcsolja őket. Az EOP védelmi funkciókhoz és az Office 365-höz készült Defender védelmi funkcióihoz a Standard és a Szigorú előzetes biztonsági házirendek között megadhatja a címzettek feltételeit és kivételeit (felhasználók, csoporttagok, tartományok vagy az összes címzett).
Az Office 365-höz készült Defender beépített védelme alapértelmezés szerint be van kapcsolva, hogy minden címzett számára alapvető biztonságos mellékleteket és biztonságos hivatkozásokat biztosítsunk. A címzettek kivételeinek megadásával azonosíthatja azokat a felhasználókat, akik nem kapják meg a védelmet.
Az Office 365-höz készült Defender normál és szigorú előre beállított biztonsági házirendjeiben konfigurálnia kell a felhasználók és a tartományok megszemélyesítésének védelmét biztosító bejegyzéseket és választható kivételeket. Minden más beállítás az ajánlott standard és szigorú értékekbe van zárolva (amelyek közül sok megegyezik). A Standard és a Szigorú értékeket az Ajánlott beállítások az EOP-hoz és az Office 365-höz készült Microsoft Defender biztonsági beállításai között, a Standard és a Szigorú értékek közötti különbségeket itt tekintheti meg.
Ahogy az EOP és az Office 365-höz készült Defender új védelmi képességeket ad hozzá, és a biztonsági környezet megváltozik, az előre beállított biztonsági szabályzatok beállításai automatikusan frissülnek az ajánlott beállításokra.
Egyéni szabályzatok: A legtöbb elérhető védelmi szabályzathoz tetszőleges számú egyéni szabályzatot hozhat létre. A házirendeket a címzettek feltételei és kivételei (felhasználók, csoporttagok vagy tartományok) használatával alkalmazhatja a felhasználókra, és testre szabhatja a beállításokat.
A korábbi információkat és az érintett védelmi szabályzatokat az alábbi táblázat foglalja össze:
Alapértelmezett szabályzatok | Előre beállított biztonsági házirendek | Egyéni szabályzatok | |
---|---|---|---|
EOP védelmi szabályzatok: | |||
Kártevőirtó | ✔ | ✔ | ✔ |
Levélszemét elleni védelem | ✔ | ✔ | ✔ |
Adathalászat elleni védelem (hamisítás elleni védelem) | ✔ | ✔ | ✔ |
Kimenő levélszemét | ✔ | ✔ | |
Kapcsolatszűrés | ✔¹ | ||
Az Office 365-höz készült Defender házirendjei: | |||
Adathalászat elleni védelem (hamisítás elleni védelem) plusz: | ✔² | ✔² | ✔ |
Biztonságos hivatkozások | ³ | ✔ | ✔ |
Biztonságos mellékletek | ³ | ✔ | ✔ |
Általános viselkedés | |||
Alapértelmezés szerint be van kapcsolva a védelem? | ✔ | ⁴ | |
Konfigurálja a védelmi feltételeket/kivételeket? | ✔⁵ | ✔ | |
Testre szabja a biztonsági beállításokat? | ✔ | ⁶ | ✔ |
A védelmi beállítások automatikusan frissülnek? | ✔ |
¹ Nincsenek alapértelmezett bejegyzések az IP-engedélyezési listában vagy az IP-blokklistában, ezért az alapértelmezett kapcsolatszűrő házirend nem tesz semmit, hacsak nem szabja testre a beállításokat.
² Az Office 365-höz készült Defenderben nincsenek bejegyzések vagy választható kivételek a felhasználói megszemélyesítésre vagy a tartományszemélyesítés védelmére, amíg nem konfigurálja őket.
³ Bár az Office 365-höz készült Defenderben nincsenek alapértelmezett biztonságos mellékletek vagy biztonságos hivatkozások házirendek, a beépített védelem alapszintű biztonságos mellékleteket és biztonságos hivatkozásokat biztosít, amelyek mindig be vannak kapcsolva.
⁴ A beépített védelem (Az Office 365-höz készült Defenderben a biztonságos mellékletek és biztonságos hivatkozások védelme) az egyetlen előre beállított biztonsági szabályzat, amely alapértelmezés szerint be van kapcsolva.
⁵ A Standard és a Szigorú előzetes biztonsági szabályzatok esetében külön címzetti feltételeket és választható kivételeket konfigurálhat az EOP és az Office 365-höz készült Defender védelméhez. Az Office 365-höz készült Defender beépített védelme esetén csak a védelem alóli címzettkivételeket konfigurálhatja.
⁶ Az előre beállított biztonsági szabályzatokban csak a felhasználók megszemélyesítése elleni védelem és a tartományszemélyesítés elleni védelem bejegyzései és választható kivételei szabhatók testre az Office 365-höz készült Defender Standard és Szigorú előre beállított biztonsági házirendjeiben.
A védelmi szabályzatok prioritási sorrendje
A védelmi szabályzatok alkalmazása fontos szempont, mivel ön dönti el, hogyan konfigurálja a biztonsági beállításokat a felhasználók számára. A legfontosabb tudnivalók a következők:
- A védelmi funkciók feldolgozási sorrendje nem konfigurálható. A bejövő üzeneteket például mindig a levélszemét előtt értékeli ki a rendszer.
- Egy adott funkció védelmi szabályzatait (levélszemét elleni, kártevőirtó, adathalászat elleni stb.) meghatározott sorrendben alkalmazzák (a későbbi sorrendről bővebben).
- Ha egy felhasználó szándékosan vagy akaratlanul szerepel egy adott szolgáltatás több szabályzatában, az első olyan védelmi szabályzat, amelyben a felhasználó definiálva van (az elsőbbségi sorrend alapján) határozza meg, hogy mi történik az elemlel (üzenet, fájl, URL stb.).
- Miután az első védelmi szabályzatot alkalmazta egy felhasználó egy adott elemére, a szolgáltatás szabályzatfeldolgozása leáll. A rendszer nem értékeli ki a szolgáltatás több védelmi szabályzatát az adott felhasználóra és az adott elemre vonatkozóan.
Az elsőbbségi sorrendet az előre beállított biztonsági szabályzatok és más szabályzatok elsőbbségi sorrendjében ismertetjük részletesen, de röviden összefoglaljuk itt:
- Védelmi szabályzatok az előre beállított biztonsági szabályzatokban:
- A Szigorú előre beállított biztonsági szabályzat.
- A Standard előre beállított biztonsági szabályzat.
- Egy adott szolgáltatás egyéni védelmi szabályzatai (például kártevőirtó házirendek). Minden egyéni szabályzat rendelkezik egy prioritási értékkel, amely meghatározza a szabályzat alkalmazásának sorrendjét az ugyanazon szolgáltatás más védelmi szabályzataihoz képest:
- Egy 0 prioritási értékkel rendelkező egyéni szabályzat.
- Egy egyéni szabályzat, amelynek prioritása 1.
- És így tovább.
- Az office 365-höz készült Defender alapértelmezett védelmi szabályzata (például kártevőirtó) vagy beépített védelem (biztonságos hivatkozások és biztonságos mellékletek).
Az előző táblázatból megtudhatja, hogyan jelenik meg egy adott védelmi szabályzat az elsőbbségi sorrendben. A kártevőirtó házirendek például minden szinten jelen vannak. A kimenő levélszemét-házirendek az egyéni és az alapértelmezett házirendszinten érhetők el. A kapcsolatszűrő házirend csak az alapértelmezett házirendszinten érhető el.
A szabályzatok félreértéseinek és nem szándékos alkalmazásának elkerülése érdekében kövesse az alábbi irányelveket:
- Használjon egyértelmű csoportokat vagy címzettlistákat minden szinten. Használjon például különböző csoportokat vagy címzettlistákat a Standard és a Szigorú előre beállított biztonsági házirendekhez.
- Szükség szerint konfigurálja a kivételeket az egyes szinteken. Konfigurálhatja például azokat a címzetteket, akiknek egyéni szabályzatokra van szükségük a Standard és a Szigorú előre beállított biztonsági szabályzatok alóli kivételként.
- A magasabb szinteken nem azonosított többi címzett megkapja az alapértelmezett házirendeket vagy az Office 365-höz készült Defender beépített védelmét (biztonságos hivatkozások és biztonságos mellékletek).
Ezzel az információval felvértezve eldöntheti, hogy hogyan lehet a legjobban alkalmazni a védelmi szabályzatokat a szervezetben.
A védelmi szabályzat stratégiájának meghatározása
Most, hogy megismerkedett a különböző védelmi szabályzatokkal és azok alkalmazásának módjával, eldöntheti, hogyan szeretné használni az EOP-t és az Office 365-höz készült Defendert a szervezet felhasználóinak védelmére. A döntés elkerülhetetlenül a következő spektrumon belülre esik:
- Csak a Standard előre beállított biztonsági szabályzatot használja.
- Használja a Standard és a Szigorú előre beállított biztonsági szabályzatokat.
- Használjon előre beállított biztonsági szabályzatokat és egyéni szabályzatokat.
- Csak egyéni szabályzatokat használjon.
Ne feledje, hogy az alapértelmezett szabályzatok (és az Office 365-höz készült Defender beépített védelme) automatikusan védik a szervezet összes címzettjét (bárkit, aki nincs meghatározva a Standard vagy a Szigorú előre beállított biztonsági szabályzatban vagy egyéni házirendekben). Így még ha nem is tesz semmit, a szervezet minden címzettje megkapja az alapértelmezett védelmet az Ajánlott beállítások az EOP-hoz és az Office 365-höz készült Microsoft Defender biztonsági beállításai című cikkben leírtak szerint.
Azt is fontos megjegyezni, hogy nem zárják be a kezdeti döntés örökre. Az ajánlott beállítástáblákban található információknak, valamint a Standard és a Strict összehasonlító táblázatának lehetővé kell tennie, hogy tájékozott döntést hozzon. Ha azonban változnak az igények, az eredmények vagy a körülmények, nem nehéz később másik stratégiára váltani.
Ha nincs olyan kényszerítő üzleti igény, amely másként jelez, javasoljuk, hogy kezdje a standard előre beállított biztonsági szabályzattal a szervezet összes felhasználója számára. Az előre beállított biztonsági szabályzatok a Microsoft 365-adatközpontok több éves megfigyelései alapján konfigurálhatók beállításokkal, és a legtöbb szervezet számára megfelelő választásnak kell lenniük. A szabályzatok automatikusan frissülnek a biztonsági környezet fenyegetéseinek megfelelően.
Az előre beállított biztonsági szabályzatokban a Minden címzett lehetőséget választva egyszerűen alkalmazhat védelmet a szervezet összes címzettje számára.
Ha egyes felhasználókat fel szeretne venni a Szigorú előre beállított biztonsági szabályzatba, a többi felhasználót pedig a Standard előre beállított biztonsági szabályzatba, ne felejtse el figyelembe venni az elsőbbségi sorrendet a cikkben korábban ismertetett módon az alábbi módszerekkel:
Minden előre beállított biztonsági házirendben használjon egyértelmű csoportokat vagy címzettlistákat.
vagy
Konfigurálja azokat a címzetteket, akiknek a Standard előre beállított biztonsági szabályzat beállításait kivételként kell megkapnia a Szigorú előre beállított biztonsági szabályzatban.
Ne feledje, hogy a következő védelmi funkciók konfigurációit az előre beállított biztonsági szabályzatok nem érintik (használhat előre beállított biztonsági szabályzatokat, és egymástól függetlenül is konfigurálhatja ezeket a védelmi beállításokat):
- Kimenő levélszemét-házirendek (egyéni és alapértelmezett)
- Az alapértelmezett kapcsolatszűrő házirend (IP-engedélyezési lista és IP-tiltólista)
- A Biztonságos mellékletek globális bekapcsolása a SharePointhoz, a OneDrive-hoz és a Microsoft Teamshez
- Globálisan kapcsolja be és konfigurálja a biztonságos dokumentumokat (csak az Office 365-höz készült Defenderben nem szereplő licencekkel (például Microsoft 365 A5 vagy Microsoft 365 E5 Security) érhető el és konfigurálható)
Az előre beállított biztonsági szabályzatok bekapcsolásáról és konfigurálásáról az Előre beállított biztonsági szabályzatok az EOP-ban és az Office 365-höz készült Microsoft Defenderben című témakörben olvashat.
Az egyéni szabályzatok előre beállított biztonsági szabályzatok helyett vagy mellett történő használata végső soron a következő üzleti követelményekhez tartozik:
- A felhasználóknak olyan biztonsági beállításokra van szükségük, amelyek eltérnek az előre beállított biztonsági szabályzatok nem módosítható beállításaitól (levélszemét vagy karantén, vagy fordítva, nincs biztonsági tipp, egyéni címzettek értesítése stb.).
- A felhasználóknak olyan beállításokat kell megadniuk, amelyek nincsenek konfigurálva előre beállított biztonsági szabályzatokban (például adott országokból érkező e-mailek blokkolása vagy a levélszemét-ellenes házirendekben meghatározott nyelveken).
- A felhasználóknak olyan karanténélményre van szükségük, amely eltér az előre beállított biztonsági szabályzatok nem módosítható beállításaitól. A karanténszabályzatok meghatározzák, hogy a felhasználók mit tehetnek a karanténba helyezett üzenetekkel annak alapján, hogy miért lett karanténba helyezve az üzenet, és hogy a címzettek értesítést kapnak-e a karanténba helyezett üzeneteikről. Az alapértelmezett végfelhasználói karanténélményt az itt található táblázat foglalja össze, a Standard és a Szigorú előzetes biztonsági szabályzatokban használt karanténszabályzatokat pedig az itt található táblázatok ismertetik.
Az Ajánlott beállítások az EOP-hoz és az Office 365-höz készült Microsoft Defender biztonságához című témakörben található információk segítségével összehasonlíthatja az egyéni házirendek vagy alapértelmezett házirendek elérhető beállításait a Standard és a Szigorú előzetes biztonsági házirendekben konfigurált beállításokkal.
Tervezési irányelvek több egyéni szabályzathoz egy adott funkcióhoz (például kártevőirtó házirendekhez) a következők:
- Az egyéni házirendek felhasználói a prioritási sorrend miatt nem vehetők fel a Standard vagy a Szigorú előre beállított biztonsági szabályzatba.
- Kevesebb felhasználót rendelhet magasabb prioritású házirendekhez, és több felhasználót az alacsonyabb prioritású szabályzatokhoz.
- Konfiguráljon magasabb prioritású szabályzatokat úgy, hogy szigorúbb vagy specializáltabb beállításokkal rendelkezzenek, mint az alacsonyabb prioritású szabályzatok (beleértve az alapértelmezett házirendeket is).
Ha egyéni szabályzatok használata mellett dönt, a Konfigurációelemző használatával rendszeres időközönként összehasonlíthatja a házirendek beállításait a Standard és a Szigorú előre beállított biztonsági házirendek ajánlott beállításaival.
3. lépés: Engedélyek hozzárendelése rendszergazdákhoz
Összefoglalás: Rendelje hozzá a Microsoft Entra biztonsági rendszergazdai szerepkörét más rendszergazdákhoz, szakemberekhez és ügyfélszolgálati munkatársakhoz, hogy el tudjanak végezni feladatokat az EOP-ban és az Office 365-höz készült Defenderben.
Részletek:
Valószínűleg már használja azt a kezdeti fiókot, amelyet a Microsoft 365-be való regisztrációhoz használt, hogy elvégezhesse az ebben az üzembe helyezési útmutatóban szereplő összes munkát. Ez a fiók rendszergazda mindenhol a Microsoft 365-ben (pontosabban a Microsoft Entra globális rendszergazdai szerepkörének tagja), és szinte bármit elvégezhet. A szükséges engedélyekről a cikk korábbi, Szerepkörök és engedélyek című szakaszában olvashat.
Ennek a lépésnek azonban az a célja, hogy más rendszergazdákat konfiguráljon az EOP és az Office 365-höz készült Defender funkcióinak jövőbeni kezeléséhez. Amire nincs szüksége, az az, hogy sok globális rendszergazdai jogosultsággal rendelkező személynek nincs szüksége rá. Valóban szükség van például fiókok törlésére/létrehozására, vagy más felhasználók globális rendszergazdává alakítására? A minimális jogosultság fogalma (csak a feladat elvégzéséhez szükséges engedélyek hozzárendelése és semmi több) jó gyakorlat.
Az EOP-ban és az Office 365-höz készült Defenderben a tevékenységek engedélyeinek hozzárendelésekor a következő lehetőségek érhetők el:
- Microsoft Entra-engedélyek: Ezek az engedélyek a Microsoft 365 összes számítási feladatára érvényesek (Exchange Online, SharePoint Online, Microsoft Teams stb.).
- Exchange Online-engedélyek: Az EOP és az Office 365-höz készült Defender legtöbb feladata exchange online engedélyekkel érhető el. Az engedélyek csak az Exchange Online-ban való hozzárendelése megakadályozza a rendszergazdai hozzáférést más Microsoft 365 számítási feladatokban.
- E-mail & együttműködési engedélyek a Microsoft Defender portálon: Az EOP és az Office 365-höz készült Defender egyes biztonsági funkcióinak felügyelete e-mail & együttműködési engedélyekkel érhető el. Például:
Az egyszerűség kedvéért javasoljuk, hogy használja a Biztonsági rendszergazda szerepkört a Microsoft Entra-ban azok számára, akiknek beállításokat kell konfigurálnia az EOP-ban és az Office 365-höz készült Defenderben.
Útmutatásért lásd: Microsoft Entra-szerepkörök hozzárendelése felhasználókhoz és A Microsoft Defender XDR-hez való hozzáférés kezelése a Microsoft Entra globális szerepköreivel.
4. lépés: Prioritási fiókok és felhasználói címkék
Összefoglalás: Azonosíthatja és megjelölheti a szervezet megfelelő felhasználóit prioritási fiókként a jelentések és vizsgálatok egyszerűbb azonosítása, valamint a kiemelt fiókvédelem biztosítása érdekében az Office 365-höz készült Defenderben. Fontolja meg egyéni felhasználói címkék létrehozását és alkalmazását az Office 365-höz készült Defender 2. csomagjában.
Részletek:
Az Office 365-höz készült Defenderben a kiemelt fiókok akár 250 nagy értékű felhasználó címkézését is lehetővé teszik a jelentések és vizsgálatok könnyebb azonosítása érdekében. Ezek a prioritási fiókok további heurisztikai lehetőségeket is kapnak, amelyek nem járnak a normál alkalmazottak előnyére. További információt a Prioritási fiókok kezelése és figyelése , valamint A kiemelt fiókok védelmének konfigurálása és áttekintése az Office 365-höz készült Microsoft Defenderben című témakörben talál.
Az Office 365-höz készült Defender 2. csomagjában egyéni felhasználói címkék létrehozására és alkalmazására is lehetősége van, hogy egyszerűen azonosítsa a jelentésekben és vizsgálatokban szereplő felhasználók adott csoportjait. További információ: Felhasználói címkék az Office 365-höz készült Microsoft Defenderben.
Azonosítsa a megfelelő felhasználókat, hogy prioritási fiókként címkézhessenek, és döntse el, hogy egyéni felhasználói címkéket kell-e létrehoznia és alkalmaznia.
5. lépés: A felhasználók által jelentett üzenetbeállítások áttekintése és konfigurálása
Összefoglalás: Telepítse a Jelentésüzenet vagy jelentés adathalászat bővítményt vagy egy támogatott külső eszközt, hogy a felhasználók hamis pozitív és hamis negatív üzeneteket jelentsenek az Outlookban, így ezek a jelentett üzenetek elérhetők a rendszergazdák számára a Defender portál Beküldések lapjának Felhasználó által jelentett lapján. Konfigurálja úgy a szervezetet, hogy a jelentett üzenetek egy adott jelentési postaládába, a Microsofthoz vagy mindkettőhöz menjenek.
Részletek:
Az EOP és az Office 365-höz készült Defender védelmi beállításainak figyeléséhez és módosításához fontos, hogy a felhasználók jelezhessenek rosszként (hamis pozitívként) vagy rosszként (hamis negatívként) megjelölt jó üzeneteket.
A felhasználói üzenetek jelentésének fontos részei a következők:
Hogyan jelentik a felhasználók az üzeneteket?: Győződjön meg arról, hogy az ügyfelek az alábbi módszerek egyikét használják, hogy a jelentett üzenetek a Defender portál https://security.microsoft.com/reportsubmission?viewid=userBeküldések lapjának Felhasználó által jelentett lapján jelenjenek meg:
A Webes Outlook beépített Jelentés gombja (korábbi nevén Outlook Web App vagy OWA).
A Microsoft Report Message vagy Report Phishing bővítmények az Outlookhoz és a Webes Outlookhoz.
A támogatott üzenetküldési formátumot használó külső jelentéskészítő eszközök.
Hová kerülnek a felhasználók által jelentett üzenetek?: A következő lehetőségek közül választhat:
- Egy kijelölt jelentési postaládába és a Microsoftnak (ez az alapértelmezett érték).
- Csak egy kijelölt jelentési postaládába.
- Csak a Microsoftnak.
A felhasználók által jelentett üzenetek gyűjtésére használt alapértelmezett postaláda a globális rendszergazda postaládája (a szervezet kezdeti fiókja). Ha azt szeretné, hogy a felhasználók által jelentett üzenetek a szervezet egyik jelentési postaládájába kerüljenek, létre kell hoznia és konfigurálnia kell egy kizárólagos postaládát.
Ön dönti el, hogy szeretné-e, hogy a felhasználók által jelentett üzenetek elemzés céljából is a Microsofthoz menjenek (kizárólag vagy a kijelölt jelentési postaládába való kézbesítéssel együtt).
Ha azt szeretné, hogy a felhasználók által jelentett üzenetek csak a kijelölt jelentési postaládába kerüljenek, a rendszergazdáknak manuálisan kell elküldenie a felhasználók által jelentett üzeneteket a Microsoftnak elemzés céljából a Defender portál Beküldések lapjának Felhasználó által jelentett lapjáról a címenhttps://security.microsoft.com/reportsubmission?viewid=user.
Fontos, hogy a felhasználók által jelentett üzeneteket elküldjük a Microsoftnak, hogy a szűrők tanulhassanak és fejlődhessenek.
A felhasználók által jelentett üzenetbeállításokról a Felhasználó által jelentett beállítások című témakörben olvashat.
6. lépés: Bejegyzések letiltása és engedélyezése
Összefoglalás: Ismerkedjen meg az office 365-höz készült Defender üzeneteinek, fájljainak és URL-címeinek letiltására és engedélyezésére szolgáló eljárásokkal.
Részletek:
Ismernie kell, hogyan tilthatja le és (ideiglenesen) engedélyezheti az üzenetküldőket, fájlokat és URL-címeket a Következő helyeken a Defender portálon:
- A bérlő engedélyezési/blokkolási listája itt: https://security.microsoft.com/tenantAllowBlockList.
- A Beküldések lap a következő címen: https://security.microsoft.com/reportsubmission.
- A Hamis intelligencia elemzési oldala a következő helyen: https://security.microsoft.com/spoofintelligence.
Általában egyszerűbb blokkokat létrehozni, mint megengedni, mert a szükségtelen engedélyezési bejegyzések kártékony e-maileknek teszik ki a szervezetet, amelyeket a rendszer szűrt volna.
Blokk:
Blokkbejegyzéseket hozhat létre a tartományokhoz és e-mail-címekhez, fájlokhoz és URL-címekhez a bérlői engedélyezési/letiltási lista megfelelő lapjaiban, és elküldheti az elemeket a Microsoftnak elemzésre a Beküldések lapon. Amikor elküld egy elemet a Microsoftnak, a megfelelő blokkbejegyzések is létrejönnek a bérlői engedélyezési/letiltási listában.
Tipp
A szervezet felhasználói nem küldhetnek e-mailt olyan tartományokba vagy e-mail-címekre, amelyek a bérlői engedélyezési/tiltólista blokkbejegyzéseiben vannak megadva.
A hamis felderítés által blokkolt üzenetek a Hamis felderítés oldalon jelennek meg. Ha egy engedélyezési bejegyzést blokkbejegyzésre módosít, a feladó manuális blokkbejegyzéssé válik a Bérlői engedélyezési/tiltólista Hamisított feladók lapján. Proaktív módon is létrehozhat blokkbejegyzéseket a hamisított feladók lap még nem észlelt hamis feladóihoz .
Engedélyezés:
Nem hozhat létre engedélyezési bejegyzéseket a tartományokhoz és e-mail-címekhez, fájlokhoz és URL-címekhez közvetlenül a bérlői engedélyezési/tiltólista megfelelő lapjaihoz. Ehelyett a Beküldések lapon jelenti az elemet a Microsoftnak. Amikor jelentést készít az elemről a Microsoftnak, kiválaszthatja, hogy engedélyezi-e az elemet, amely létrehoz egy megfelelő ideiglenes engedélyezési bejegyzést a Bérlői engedélyezés/letiltás listában.
A hamis felderítés által engedélyezett üzenetek a Hamis felderítés oldalon jelennek meg. Ha egy blokkbejegyzést engedélyező bejegyzésre módosít, a feladó manuális engedélyezési bejegyzéssé válik a Bérlői engedélyezési/tiltólista Hamisított feladók lapján. A Hamisított feladók lapon proaktív módon is létrehozhat engedélyezési bejegyzéseket a még nem észlelt hamisított feladókhoz .
A részletekért tekintse meg a következő cikkeket:
- E-mailek engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
- Fájlok engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
- URL-címek engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
- A Beküldések lapon elküldhet gyanús levélszeméteket, adathalászatot, URL-címeket, letiltott megbízható e-maileket és e-mail-mellékleteket a Microsoftnak
- A hamisintelligencia-ítélet felülbírálása
7. lépés: Adathalász szimulációk indítása támadásszimulációs betanítással
Az Office 365-höz készült Defender 2. csomagjában a támadásszimulációs képzés lehetővé teszi, hogy szimulált adathalász üzeneteket küldjön a felhasználóknak, és a válaszuk alapján rendeljen hozzá képzést. A következő lehetőségek érhetők el:
- Beépített vagy egyéni hasznos adatokat használó egyedi szimulációk.
- A valós adathalász támadásokból származó szimulációautomatizálások több hasznos adattal és automatizált ütemezéssel.
- Csak betanítási kampányok , ahol nem kell kampányt indítania, és várnia kell, amíg a felhasználók a szimulált adathalász üzenetekben hivatkozásra kattintanak, vagy letöltik a mellékleteket a betanítások hozzárendelése előtt.
További információ: Ismerkedés a támadásszimulációs betanítással.
8. lépés: Vizsgálat és reagálás
Most, hogy a kezdeti beállítás befejeződött, használja az Office 365-höz készült Microsoft Defender biztonsági üzemeltetési útmutatójában található információkat a szervezet fenyegetéseinek monitorozásához és kivizsgálásához.