Biztonsági javaslatok a prioritást élvező fiókokhoz a Microsoft 365-ben
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft Defender XDR 2. csomag funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft Defender portál próbaverzióinak központjában. Az Office 365-höz készült Microsoft Defender kipróbálás című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
Nem minden felhasználói fiók rendelkezik hozzáféréssel ugyanahhoz a vállalati információhoz. Egyes fiókok bizalmas információkhoz, például pénzügyi adatokhoz, termékfejlesztési információkhoz, kritikus fontosságú buildrendszerekhez való partnerhozzáféréshez stb. férnek hozzá. Ha illetéktelen kezekbe kerülnek, a szigorúan bizalmas információkhoz hozzáférő fiókok komoly fenyegetést jelentenek. Ezeket a fióktípusokat prioritásos fiókoknak nevezzük. A prioritási fiókok közé tartoznak többek között a vezérigazgatók, a CISO-k, a CFO-k, az infrastruktúra-rendszergazdai fiókok, a buildelési rendszerfiókok és egyebek.
Az Office 365-höz készült Microsoft Defender a kiemelt fiókokat címkékként támogatja, amelyek a riasztások, jelentések és vizsgálatok szűrőiben használhatók. További információ: Felhasználói címkék az Office 365-höz készült Microsoft Defenderben.
A támadók számára nem hatékonyak azok a szokásos adathalász támadások, amelyek véletlenszerű hálót vetnek a hétköznapi vagy ismeretlen felhasználókra. Másrészről a kiemelt fiókokat célzó lándzsás adathalász vagy bálnavadászatos támadások nagyon előnyösek a támadók számára. Ezért a kiemelt fiókoknak erősebbnek kell vennie a normál védelmet, hogy megelőzzék a fiókok feltörését.
A Microsoft 365 és az Office 365-höz készült Microsoft Defender számos fontos funkciót tartalmaz, amelyek további biztonsági rétegeket biztosítanak a prioritási fiókok számára. Ez a cikk ezeket a képességeket és azok használatát ismerteti.
| Feladat | Minden Office 365 Nagyvállalati csomag | Microsoft 365 E3 | Microsoft 365 E5 |
|---|---|---|---|
| A kiemelt fiókok bejelentkezési biztonságának növelése | 
|
|
|
| Szigorú előre beállított biztonsági szabályzatok használata prioritásos fiókokhoz |
|
|
|
| Felhasználói címkék alkalmazása prioritási fiókokra |
|
||
| Prioritási fiókok figyelése riasztásokban, jelentésekben és észlelésekben |
|
||
| Felhasználók betanítása |
|
|
|
Megjegyzés:
Az emelt szintű fiókok (rendszergazdai fiókok) védelméről ebben a témakörben talál további információt.
A kiemelt fiókok bejelentkezési biztonságának növelése
A kiemelt fiókok fokozott bejelentkezési biztonságot igényelnek. A többtényezős hitelesítés (MFA) megkövetelésével és a régi hitelesítési protokollok letiltásával növelheti a bejelentkezési biztonságot.
Útmutatásért lásd: 1. lépés. Növelje az MFA-val rendelkező távoli dolgozók bejelentkezési biztonságát. Bár ez a cikk a távoli dolgozókról szól, ugyanezek a fogalmak vonatkoznak a kiemelt felhasználókra is.
Megjegyzés: Határozottan javasoljuk, hogy globálisan tiltsa le az örökölt hitelesítési protokollokat az összes prioritást élvező felhasználó esetében az előző cikkben leírtak szerint. Ha az üzleti követelmények ezt megakadályozzák, az Exchange Online a következő vezérlőket kínálja a régi hitelesítési protokollok hatókörének korlátozásához:
(2023 októberéig) az Exchange Online ügyfél-hozzáférési szabályaival letilthatja vagy engedélyezheti az alapszintű hitelesítést és az örökölt hitelesítési protokollokat, például a POP3, az IMAP4 és a hitelesített SMTP protokollt adott felhasználók számára.
Letilthatja a POP3- és IMAP4-hozzáférést az egyes postaládákban. Letilthatja a hitelesített SMTP-t a szervezeti szinten, és engedélyezheti bizonyos postaládákban, amelyekhez még szükség van rá. Útmutatásért tekintse meg a következő cikkeket:
Azt is érdemes megjegyezni, hogy az alapszintű hitelesítés elavult az Exchange Web Serviceshez (EWS), az Exchange ActiveSynchez, a POP3-hoz, az IMAP4-hez és a távoli PowerShellhez készült Exchange Online-ban. Részletekért tekintse meg ezt a blogbejegyzést.
Szigorú előre beállított biztonsági szabályzatok használata prioritásos fiókokhoz
A prioritást élvező felhasználók szigorúbb műveleteket igényelnek az Exchange Online Protection (EOP) és az Office 365-höz készült Defender különböző védelmi lehetőségeihez.
A levélszemétként besorolt üzenetek a Levélszemét mappába való kézbesítése helyett például karanténba kell helyeznie ezeket az üzeneteket, ha azok prioritási fiókoknak vannak szánva.
Ezt a szigorú megközelítést a prioritásos fiókok esetében a Szigorú profil előzetes biztonsági szabályzatokban való használatával valósíthatja meg.
Az előre beállított biztonsági szabályzatok kényelmes és központi helyet biztosítanak az ajánlott Szigorú házirend-beállítások alkalmazásához az EOP és az Office 365-höz készült Defender összes védelméhez. További információ: Előre beállított biztonsági szabályzatok az EOP-ban és Az Office 365-höz készült Microsoft Defender.
A Szigorú házirend-beállítások az alapértelmezetttől és a Standard házirend-beállításoktól való eltéréséről az Ajánlott beállítások az EOP-hoz és az Office 365-höz készült Microsoft Defender biztonsági beállításai című témakörben talál további információt.
Felhasználói címkék alkalmazása prioritási fiókokra
Az Office 365-höz készült Microsoft Defender 2. csomagjának felhasználói címkéi (a Microsoft 365 E5 vagy egy bővítmény-előfizetés részeként) lehetővé teszi adott felhasználók vagy felhasználói csoportok gyors azonosítását és besorolását jelentésekben és incidensvizsgálatokban.
A prioritási fiókok a beépített felhasználói címke (más néven rendszercímke) egy típusa, amellyel azonosíthatja a prioritási fiókokat érintő incidenseket és riasztásokat. A prioritási fiókokról további információt a Prioritási fiókok kezelése és figyelése című témakörben talál.
Egyéni címkéket is létrehozhat a prioritási fiókok további azonosításához és besorolásához. További információ: Felhasználói címkék. A prioritási fiókokat (rendszercímkéket) az egyéni felhasználói címkékével megegyező felületen kezelheti.
Prioritási fiókok figyelése riasztásokban, jelentésekben és észlelésekben
A prioritást élvező felhasználók védelme és címkézése után az EOP-ban és az Office 365-höz készült Defenderben elérhető jelentések, riasztások és vizsgálatok segítségével gyorsan azonosíthatja azokat az incidenseket vagy észleléseket, amelyek prioritási fiókokat érintenek. A felhasználói címkéket támogató funkciókat az alábbi táblázat ismerteti.
| Kiemelés | Leírás |
|---|---|
| Riasztások | Az érintett felhasználók felhasználói címkéi szűrőkként láthatók és elérhetők a Microsoft Defender portál Riasztások lapján. További információ: Riasztási szabályzatok a Microsoft Defender portálon. |
| Incidensek | Az összes korrelált riasztás felhasználói címkéi a Microsoft Defender portál Incidensek lapján láthatók. További információ: Incidensek és riasztások kezelése. |
| Egyéni riasztási szabályzatok | A Microsoft Defender portálon felhasználói címkék alapján hozhat létre riasztási szabályzatokat. További információ: Riasztási szabályzatok a Microsoft Defender portálon. |
| Felfedező Valós idejű észlelések |
Az Explorerben (Office 365-höz készült Defender 2. csomag) vagy valós idejű észlelésekben (Az Office 365-höz készült Defender 1. csomag) a felhasználói címkék az E-mail rács nézetben és az E-mail részletei úszó panelen láthatók. A felhasználói címkék szűrhető tulajdonságként is elérhetők. További információ: Címkék a Veszélyforrás-kezelőben. |
| E-mail entitás oldala | Az e-maileket szűrheti az alkalmazott felhasználói címkék alapján a Microsoft 365 E5-ben és az Office 365-höz készült Defender 1. csomagjában és a 2. csomagban. További információ: E-mail entitás oldala. |
| Kampánynézetek | A felhasználói címkék egyike az Office 365-höz készült Microsoft Defender 2. csomag kampánynézeteinek számos szűrhető tulajdonságának. További információ: Kampánynézetek. |
| Veszélyforrások elleni védelem állapotjelentése | A Veszélyforrások elleni védelem állapotjelentés szinte minden nézetében és részlettáblájában szűrheti az eredményeket prioritási fiókok szerint. További információ: Veszélyforrások elleni védelem állapotjelentése. |
| A legjobb feladók és címzettek jelentés | Ezt a felhasználói címkét hozzáadhatja a szervezet 20 legküldőbb üzenetküldőjéhez. További információ: A legjobb feladók és címzettek jelentés. |
| Feltört felhasználói jelentés | Ebben a jelentésben megjelennek azok a felhasználói fiókok, amelyek gyanúsként vagy korlátozottként vannak megjelölve az Exchange Online-postaládákkal rendelkező Microsoft 365-szervezetekben. További információ: Feltört felhasználói jelentés. |
| Rendszergazdai beküldések és felhasználó által jelentett üzenetek | A Microsoft Defender portál Beküldések lapján elküldheti az e-maileket, AZ URL-címeket és a mellékleteket a Microsoftnak elemzés céljából. További információ: Rendszergazdai beküldések és felhasználó által jelentett üzenetek. |
| Karantén | A karantén lehetővé teszi a potenciálisan veszélyes vagy nemkívánatos üzenetek tárolását az Exchange Online-ban postaládákkal rendelkező Microsoft 365-szervezetekben, illetve a prioritásos fiókokhoz tartozó különálló Exchange Online Védelmi (EOP) szervezetekben. További információ: E-mail-üzenetek karanténba helyezése. |
| Támadásszimuláció | A biztonsági szabályzatok és gyakorlatok teszteléséhez futtasson egy jóindulatú kibertámadásszimulációt a célfelhasználók számára. További információ: Támadásszimuláció. |
| A prioritási fiókok jelentésének Email problémái | Az Exchange Felügyeleti központban (EAC) a prioritási fiókok Email problémáiról szóló jelentés információkat tartalmaz a prioritást élvező fiókok kézbesítetlen és késleltetett üzeneteiről. További információ: Email problémák a prioritási fiókokról szóló jelentésben. |
Felhasználók betanítása
A kiemelt fiókokkal rendelkező felhasználók képzése sok időt és frusztrációt takaríthat meg ezeknek a felhasználóknak és a biztonsági üzemeltetési csapatnak. A hozzáértő felhasználók kisebb valószínűséggel nyitnak meg mellékleteket vagy kattintanak a kérdéses e-mail-üzenetek hivatkozásaira, és nagyobb valószínűséggel kerülik el a gyanús webhelyeket.
A Harvard Kennedy School Cybersecurity Campaign Kézikönyve kiváló útmutatást nyújt a szervezeten belüli erős biztonsági tudatosság kialakításához, beleértve a felhasználók adathalász támadások azonosítására való képzését.
A Microsoft 365 a következő forrásanyagokat biztosítja a szervezet felhasználóinak tájékoztatásához:
| Koncepció | Források | Leírás |
|---|---|---|
| Microsoft 365 | Testreszabható tanulási útvonalak | Ezek az erőforrások segíthetnek a szervezet felhasználóinak képzések összeállításában. |
| Microsoft 365 Biztonság | Tanulási modul: A szervezet védelme a Microsoft 365 beépített, intelligens biztonságával | Ez a modul bemutatja, hogyan működnek együtt a Microsoft 365 biztonsági funkciói, és megismerheti ezeknek a biztonsági funkcióknak az előnyeit. |
| Többtényezős hitelesítés | A Microsoft Authenticator alkalmazás letöltése és telepítése | Ez a cikk segít a végfelhasználóknak megérteni, hogy mi a többtényezős hitelesítés, és hogy miért használják azt a szervezetben. |
| Támadásszimulációs betanítás | Ismerkedés a támadásszimulációs képzéssel | Támadási szimulációs tréning Office 365-höz készült Microsoft Defender 2. csomagjában a rendszergazda konfigurálhatja, elindíthatja és nyomon követheti a szimulált adathalász támadásokat bizonyos felhasználói csoportok ellen. |
Emellett a Microsoft azt javasolja a felhasználóknak, hogy a következő cikkben ismertetett műveleteket hajtják végre: A fiók és az eszközök védelme a támadóktól és a kártevőktől. Ezek a műveletek a következők:
- Erős jelszavak használata
- Eszközök védelme
- Biztonsági funkciók engedélyezése Windows és Mac számítógépeken (nem felügyelt eszközökhöz)