Raccomandazioni sulla sicurezza per gli account prioritari in Microsoft 365
Consiglio
Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Non tutti gli account utente hanno accesso alle stesse informazioni aziendali. Alcuni account hanno accesso a informazioni sensibili, ad esempio dati finanziari, informazioni sullo sviluppo di prodotti, accesso ai partner a sistemi di compilazione critici e altro ancora. In caso di compromissione, gli account che hanno accesso a informazioni altamente riservate rappresentano una grave minaccia. Questi tipi di account vengono chiamati account con priorità. Gli account con priorità includono (ma non sono limitati a) AMMINISTRATORI DELEGATI, CISO, CFO, account amministratore dell'infrastruttura, account di sistema di compilazione e altro ancora.
Microsoft Defender per Office 365 supporta gli account con priorità come tag che possono essere usati nei filtri in avvisi, report e indagini. Per altre informazioni, vedere Tag utente in Microsoft Defender per Office 365.
Per gli utenti malintenzionati, gli attacchi di phishing ordinari che lanciano una rete casuale per utenti comuni o sconosciuti sono inefficienti. D'altra parte, gli attacchi spear phishing o whaling che puntano agli account con priorità sono molto gratificanti per gli utenti malintenzionati. Pertanto, gli account con priorità richiedono una protezione più avanzata rispetto alla protezione normale per impedire la compromissione dell'account.
Microsoft 365 e Microsoft Defender per Office 365 contengono diverse funzionalità chiave che offrono livelli di sicurezza aggiuntivi per gli account con priorità. Questo articolo descrive queste funzionalità e come usarle.
Attività | Tutti i piani Office 365 Enterprise | Microsoft 365 E3 | Microsoft 365 E5 |
---|---|---|---|
Aumentare la sicurezza di accesso per gli account con priorità | |||
Usare criteri di sicurezza predefiniti rigorosi per gli account con priorità | |||
Applicare tag utente agli account con priorità | |||
Monitorare gli account con priorità in avvisi, report e rilevamenti | |||
Formare gli utenti |
Nota
Per informazioni sulla protezione degli account con privilegi (account amministratore), vedere questo argomento.
Aumentare la sicurezza di accesso per gli account con priorità
Gli account con priorità richiedono una maggiore sicurezza di accesso. È possibile aumentare la sicurezza di accesso richiedendo l'autenticazione a più fattori (MFA) e disabilitando i protocolli di autenticazione legacy.
Per istruzioni, vedere Passaggio 1. Aumentare la sicurezza di accesso per i lavoratori remoti con MFA. Anche se questo articolo riguarda i lavoratori remoti, gli stessi concetti si applicano agli utenti con priorità.
Nota: è consigliabile disabilitare a livello globale i protocolli di autenticazione legacy per tutti gli utenti con priorità, come descritto nell'articolo precedente. Se i requisiti aziendali impediscono di eseguire questa operazione, Exchange Online offre i controlli seguenti per limitare l'ambito dei protocolli di autenticazione legacy:
Fino a ottobre 2023 è possibile usare le regole di accesso client in Exchange Online per bloccare o consentire l'autenticazione di base e i protocolli di autenticazione legacy come POP3, IMAP4 e SMTP autenticato per utenti specifici.
È possibile disabilitare l'accesso POP3 e IMAP4 nelle singole cassette postali. È possibile disabilitare SMTP autenticato a livello aziendale e abilitarlo in cassette postali specifiche che lo richiedono ancora. Per istruzioni, vedere gli articoli seguenti:
Vale anche la pena notare che l'autenticazione di base è in fase di deprecazione in Exchange Online per Exchange Web Services (EWS), Exchange ActiveSync, POP3, IMAP4 e PowerShell remoto. Per informazioni dettagliate, vedere questo post di blog.
Usare criteri di sicurezza predefiniti rigorosi per gli account con priorità
Gli utenti con priorità richiedono azioni più rigorose per le varie protezioni disponibili in Exchange Online Protection (EOP) e Defender per Office 365.
Ad esempio, invece di recapitare messaggi classificati come posta indesiderata nella cartella Posta indesiderata Email, è consigliabile mettere in quarantena gli stessi messaggi se sono destinati ad account con priorità.
È possibile implementare questo approccio rigoroso per gli account con priorità usando il profilo Strict nei criteri di sicurezza predefiniti.
I criteri di sicurezza predefiniti sono una posizione comoda e centrale per applicare le impostazioni dei criteri Strict consigliate per tutte le protezioni in EOP e Defender per Office 365. Per altre informazioni, vedere Preimpostare i criteri di sicurezza in EOP e Microsoft Defender per Office 365.
Per informazioni dettagliate sulle differenze tra le impostazioni dei criteri Strict e le impostazioni dei criteri standard e predefinite, vedere Impostazioni consigliate per EOP e sicurezza Microsoft Defender per Office 365.
Applicare tag utente agli account con priorità
I tag utente in Microsoft Defender per Office 365 Piano 2 (come parte di Microsoft 365 E5 o di una sottoscrizione di componenti aggiuntivi) sono un modo per identificare e classificare rapidamente utenti o gruppi specifici di utenti nei report e nelle indagini sugli eventi imprevisti.
Gli account con priorità sono un tipo di tag utente predefinito (noto come tag di sistema) che è possibile usare per identificare eventi imprevisti e avvisi che coinvolgono account con priorità. Per altre informazioni sugli account con priorità, vedere Gestire e monitorare gli account con priorità.
È anche possibile creare tag personalizzati per identificare e classificare ulteriormente gli account con priorità. Per altre informazioni, vedere Tag utente. È possibile gestire gli account con priorità (tag di sistema) nella stessa interfaccia dei tag utente personalizzati.
Monitorare gli account con priorità in avvisi, report e rilevamenti
Dopo aver protetto e contrassegnato gli utenti con priorità, è possibile usare i report, gli avvisi e le indagini disponibili in EOP e Defender per Office 365 per identificare rapidamente gli eventi imprevisti o i rilevamenti che coinvolgono account prioritari. Le funzionalità che supportano i tag utente sono descritte nella tabella seguente.
Funzionalità | Descrizione |
---|---|
Avvisi | I tag utente degli utenti interessati sono visibili e disponibili come filtri nella pagina Avvisi del portale di Microsoft Defender. Per altre informazioni, vedere Criteri di avviso nel portale di Microsoft Defender. |
Eventi imprevisti | I tag utente per tutti gli avvisi correlati sono visibili nella pagina Eventi imprevisti nel portale di Microsoft Defender. Per altre informazioni, vedere Gestire eventi imprevisti e avvisi. |
Criteri di avviso personalizzati | È possibile creare criteri di avviso in base ai tag utente nel portale di Microsoft Defender. Per altre informazioni, vedere Criteri di avviso nel portale di Microsoft Defender. |
Explorer Rilevamenti in tempo reale |
In Explorer (Defender per Office 365 Piano 2) o rilevamenti in tempo reale (Defender per Office 365 Piano 1), i tag utente sono visibili nella visualizzazione griglia Email e nel riquadro a comparsa Email dettagli. I tag utente sono disponibili anche come proprietà filtrabile. Per altre informazioni, vedere Tag in Esplora minacce. |
Pagina Entità posta elettronica | È possibile filtrare la posta elettronica in base ai tag utente applicati in Microsoft 365 E5 e in Defender per Office 365 Piano 1 e Piano 2. Per altre informazioni, vedere Email pagina dell'entità. |
Visualizzazioni campagna | I tag utente sono una delle molte proprietà filtrabili nelle visualizzazioni campagna in Microsoft Defender per Office 365 piano 2. Per altre informazioni, vedere Visualizzazioni campagna. |
Report dello stato di protezione dalle minacce | In quasi tutte le viste e le tabelle dei dettagli nel report sullo stato di Protezione dalle minacce è possibile filtrare i risultati in base agli account con priorità. Per altre informazioni, vedere Rapporto sullo stato della protezione dalle minacce. |
Report mittenti e destinatari principali | È possibile aggiungere questo tag utente ai primi 20 mittenti dei messaggi nell'organizzazione. Per altre informazioni, vedere Report Mittenti e destinatari principali. |
Report utente compromesso | Gli account utente contrassegnati come sospetti o con restrizioni nelle organizzazioni di Microsoft 365 con Exchange Online cassette postali vengono visualizzati in questo report. Per altre informazioni, vedere Report utente compromesso. |
Amministrazione invii e messaggi segnalati dall'utente | Usare la pagina Invii nel portale di Microsoft Defender per inviare messaggi di posta elettronica, URL e allegati a Microsoft per l'analisi. Per altre informazioni, vedere Amministrazione invii e messaggi segnalati dall'utente. |
Quarantena | La quarantena è disponibile per contenere messaggi potenzialmente pericolosi o indesiderati nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o autonome Exchange Online Protection (EOP) per gli account Priority. Per altre informazioni, vedere Mettere in quarantena i messaggi di posta elettronica. |
Simulazione di attacco | Per testare i criteri e le procedure di sicurezza, eseguire una simulazione di attacco informatico non dannoso per gli utenti di destinazione. Per altre informazioni, vedere Simulazione degli attacchi. |
Email problemi per il report degli account con priorità | Il report Email problemi relativi agli account prioritari nell'interfaccia di amministrazione di Exchange (EAC) contiene informazioni sui messaggi non recapitati e ritardati per gli account con priorità. Per altre informazioni, vedere Email problemi per il report sugli account con priorità. |
Formare gli utenti
La formazione degli utenti con account con priorità può contribuire a risparmiare tempo e frustrazione a tali utenti e al team delle operazioni di sicurezza. Gli utenti esperti hanno meno probabilità di aprire allegati o fare clic su collegamenti in messaggi di posta elettronica discutibili e sono più propensi a evitare siti Web sospetti.
Il manuale della campagna per la cybersecurity della Harvard Kennedy School fornisce indicazioni eccellenti per stabilire una forte cultura della consapevolezza della sicurezza all'interno dell'organizzazione, inclusa la formazione degli utenti per identificare gli attacchi di phishing.
Microsoft 365 fornisce le risorse seguenti per informare gli utenti dell'organizzazione:
Concetti | Risorse | Descrizione |
---|---|---|
Microsoft 365 | Percorsi di apprendimento personalizzabili | Queste risorse consentono di organizzare corsi di formazione per gli utenti dell'organizzazione. |
Sicurezza Microsoft 365 | Modulo di apprendimento: Proteggere l'organizzazione con la sicurezza intelligente predefinita di Microsoft 365 | Questo modulo consente di descrivere il funzionamento delle funzionalità di sicurezza di Microsoft 365 e di articolare i vantaggi di queste funzionalità di sicurezza. |
Autenticazione a più fattori | Scaricare e installare l'app Microsoft Authenticator | Questo articolo consente agli utenti finali di comprendere cos'è l'autenticazione a più fattori e perché viene usata nell'organizzazione. |
Formazione sulla simulazione degli attacchi | Introduzione alla formazione sull’uso di Simulatore di attacchi | Formazione con simulazione degli attacchi in Microsoft Defender per Office 365 Piano 2 consente all'amministratore di configurare, avviare e tenere traccia degli attacchi di phishing simulati contro gruppi specifici di utenti. |
Microsoft consiglia inoltre agli utenti di eseguire le azioni descritte in questo articolo: Proteggere l'account e i dispositivi da hacker e malware. Queste azioni includono:
- Uso di password complesse
- Protezione dei dispositivi
- Abilitazione delle funzionalità di sicurezza nei PC Windows e Mac (per dispositivi non gestiti)