Sikkerhetsanbefalinger for prioriterte kontoer i Microsoft 365
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk 90-dagers prøveversjonen av Defender for Office 365 på prøveversjonen av Microsoft Defender-portalen. Finn ut hvem som kan registrere deg og prøve ut vilkårene på Prøv Microsoft Defender for Office 365.
Ikke alle brukerkontoer har tilgang til samme firmainformasjon. Noen kontoer har tilgang til sensitiv informasjon, for eksempel økonomiske data, informasjon om produktutvikling, partnertilgang til kritiske byggesystemer og mer. Hvis kompromittert, kontoer som har tilgang til svært konfidensiell informasjon utgjør en alvorlig trussel. Vi kaller disse kontotypene prioriterte kontoer. Prioriterte kontoer inkluderer (men er ikke begrenset til) administrerende direktører, CISOer, KFOer, administratorkontoer for infrastruktur, bygg systemkontoer og mer.
Microsoft Defender for Office 365 støtter prioriterte kontoer som koder som kan brukes i filtre i varsler, rapporter og undersøkelser. Hvis du vil ha mer informasjon, kan du se Brukerkoder i Microsoft Defender for Office 365.
For angripere er vanlige phishing-angrep som kaster et tilfeldig nett for vanlige eller ukjente brukere ineffektive. På den annen side, spyd phishing eller hvalfangst angrep som mål prioritet kontoer er svært givende for angripere. Så prioriterte kontoer krever sterkere enn vanlig beskyttelse for å forhindre kontokompromisse.
Microsoft 365 og Microsoft Defender for Office 365 inneholder flere viktige funksjoner som gir flere lag med sikkerhet for dine prioriterte kontoer. Denne artikkelen beskriver disse funksjonene og hvordan du bruker dem.
Oppgave | Alle Office 365 Enterprise-abonnementer | Microsoft 365 E3 | Microsoft 365 E5 |
---|---|---|---|
Øk påloggingssikkerheten for prioriterte kontoer | |||
Bruk strenge forhåndsinnstilte sikkerhetspolicyer for prioriterte kontoer | |||
Bruke brukerkoder på prioriterte kontoer | |||
Overvåk prioritetskontoer i varsler, rapporter og gjenkjenninger | |||
Lær opp brukere |
Obs!
Hvis du vil ha informasjon om hvordan du sikrer privilegerte kontoer (administratorkontoer), kan du se dette emnet.
Øk påloggingssikkerheten for prioriterte kontoer
Prioritetskontoer krever økt påloggingssikkerhet. Du kan øke påloggingssikkerheten ved å kreve godkjenning med flere faktorer (MFA) og deaktivere eldre godkjenningsprotokoller.
Hvis du vil ha instruksjoner, kan du se trinn 1. Øk påloggingssikkerheten for eksterne arbeidere med MFA. Selv om denne artikkelen handler om eksterne arbeidere, gjelder de samme konseptene for prioriterte brukere.
Obs! Vi anbefaler på det sterkeste at du globalt deaktiverer eldre godkjenningsprotokoller for alle prioriterte brukere, som beskrevet i forrige artikkel. Hvis forretningskravene hindrer deg i å gjøre det, tilbyr Exchange Online følgende kontroller for å begrense omfanget av eldre godkjenningsprotokoller:
Du kan (frem til oktober 2023) bruke klienttilgangsregler i Exchange Online til å blokkere eller tillate enkel godkjenning og eldre godkjenningsprotokoller som POP3, IMAP4 og godkjent SMTP for bestemte brukere.
Du kan deaktivere POP3- og IMAP4-tilgang på individuelle postbokser. Du kan deaktivere godkjent SMTP på organisasjonsnivå og aktivere den på bestemte postbokser som fremdeles krever det. Hvis du vil ha instruksjoner, kan du se følgende artikler:
Det er også verdt å merke seg at enkel godkjenning er i ferd med å bli avskrevet i Exchange Online for Exchange Web Services (EWS), Exchange ActiveSync, POP3, IMAP4 og ekstern PowerShell. Hvis du vil ha mer informasjon, kan du se dette blogginnlegget.
Bruk strenge forhåndsinnstilte sikkerhetspolicyer for prioriterte kontoer
Prioriterte brukere krever strengere handlinger for de ulike beskyttelsene som er tilgjengelige i Exchange Online Protection (EOP) og Defender for Office 365.
I stedet for å levere meldinger som ble klassifisert som søppelpost til Søppelpost-mappen, bør du for eksempel sette de samme meldingene i karantene hvis de er ment for prioriterte kontoer.
Du kan implementere denne strenge tilnærmingen for prioriterte kontoer ved å bruke Strict-profilen i forhåndsinnstilte sikkerhetspolicyer.
Forhåndsinnstilte sikkerhetspolicyer er en praktisk og sentral plassering for å bruke våre anbefalte strenge policyinnstillinger for alle beskyttelsene i EOP og Defender for Office 365. Hvis du vil ha mer informasjon, kan du se Forhåndsinnstilte sikkerhetspolicyer i EOP og Microsoft Defender for Office 365.
Hvis du vil ha mer informasjon om hvordan innstillingene for strenge policyer er forskjellige fra standardinnstillingene og standardpolicyinnstillingene, kan du se Anbefalte innstillinger for EOP og Microsoft Defender for Office 365-sikkerhet.
Bruke brukerkoder på prioriterte kontoer
Brukerkoder i Microsoft Defender for Office 365 Plan 2 (som en del av Microsoft 365 E5 eller et tilleggsabonnement) er en måte å raskt identifisere og klassifisere bestemte brukere eller grupper av brukere i rapporter og hendelsesundersøkelser på.
Prioritetskontoer er en type innebygd brukerkode (kjent som en systemkode) som du kan bruke til å identifisere hendelser og varsler som involverer prioriterte kontoer. Hvis du vil ha mer informasjon om prioriterte kontoer, kan du se Administrere og overvåke prioritetskontoer.
Du kan også opprette egendefinerte koder for å identifisere og klassifisere prioritetskontoene dine ytterligere. Hvis du vil ha mer informasjon, kan du se Brukerkoder. Du kan administrere prioriterte kontoer (systemkoder) i samme grensesnitt som egendefinerte brukerkoder.
Overvåk prioritetskontoer i varsler, rapporter og gjenkjenninger
Når du har sikret og merket de prioriterte brukerne, kan du bruke de tilgjengelige rapportene, varslene og undersøkelsene i EOP og Defender for Office 365 til raskt å identifisere hendelser eller oppdagelser som involverer prioriterte kontoer. Funksjonene som støtter brukerkoder, er beskrevet i tabellen nedenfor.
Funksjon | Beskrivelse |
---|---|
Varsler | Brukerkodene til berørte brukere er synlige og tilgjengelige som filtre på Varsler-siden i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se Varselpolicyer i Microsoft Defender-portalen. |
Hendelser | Brukerkodene for alle korrelerte varsler er synlige på Hendelser-siden i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se Administrere hendelser og varsler. |
Egendefinerte varselpolicyer | Du kan opprette varselpolicyer basert på brukerkoder i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se Varselpolicyer i Microsoft Defender-portalen. |
Utforsker Oppdagelser i sanntid |
I Explorer (Defender for Office 365 Plan 2) eller sanntidsgjenkjenninger (Defender for Office 365 Plan 1) er brukerkoder synlige i e-postrutenettvisningen og undermenyen for e-postdetaljer. Brukerkoder er også tilgjengelige som en filtrerbar egenskap. Hvis du vil ha mer informasjon, kan du se Koder i Trusselutforsker. |
Enhetsside for e-post | Du kan filtrere e-post basert på brukte brukerkoder i Microsoft 365 E5 og i Defender for Office 365 Plan 1 og Plan 2. Hvis du vil ha mer informasjon, kan du se siden for e-postenhet. |
Kampanjevisninger | Brukerkoder er én av mange filtrerbare egenskaper i kampanjevisninger i Microsoft Defender for Office 365 Plan 2. Hvis du vil ha mer informasjon, kan du se Kampanjevisninger. |
Statusrapport for trusselbeskyttelse | I nesten alle visninger og detaljtabeller i statusrapporten trusselbeskyttelse kan du filtrere resultatene etter prioriterte kontoer. Hvis du vil ha mer informasjon, kan du se statusrapporten trusselbeskyttelse. |
Rapporten Over avsendere og mottakere | Du kan legge til denne brukerkoden i de 20 mest populære meldingsavsenderne i organisasjonen. Hvis du vil ha mer informasjon, kan du se rapporten Oversendere og mottakere. |
Kompromittert brukerrapport | Brukerkontoer som er merket som mistenkelige eller begrensede i Microsoft 365-organisasjoner med Exchange Online-postbokser, vises i denne rapporten. Hvis du vil ha mer informasjon, kan du se kompromittert brukerrapport. |
Administratorinnsendinger og brukerrapporterte meldinger | Bruk innsendingssiden i Microsoft Defender-portalen til å sende inn e-postmeldinger, nettadresser og vedlegg til Microsoft for analyse. Hvis du vil ha mer informasjon, kan du se administratorinnsendinger og rapporterte meldinger fra brukeren. |
Karantene | Karantene er tilgjengelig for å inneholde potensielt farlige eller uønskede meldinger i Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner for Priority-kontoer. Hvis du vil ha mer informasjon, kan du se Karantene-e-postmeldinger. |
Angrepssimulering | Hvis du vil teste sikkerhetspolicyer og fremgangsmåter, kjører du en godartet cyberangrepssimulering for målbrukerne. Hvis du vil ha mer informasjon, kan du se Angrepssimulering. |
Rapport om e-postproblemer for prioriterte kontoer | Rapporten E-postproblemer for prioriterte kontoer i administrasjonssenteret for Exchange (EAC) inneholder informasjon om meldinger som ikke leveres og forsinkede meldinger for prioriterte kontoer. Hvis du vil ha mer informasjon, kan du se E-postproblemer for rapporten over prioriterte kontoer. |
Lær opp brukere
Opplæringsbrukere med prioriterte kontoer kan bidra til å spare disse brukerne og sikkerhetsoperasjonsteamet mye tid og frustrasjon. Det er mindre sannsynlig at kunnskapsrike brukere åpner vedlegg eller klikker koblinger i tvilsomme e-postmeldinger, og det er mer sannsynlig at de unngår mistenkelige nettsteder.
Harvard Kennedy School Cybersecurity Campaign Handbook gir utmerket veiledning for å etablere en sterk kultur for sikkerhetsbevissthet i organisasjonen, inkludert opplæring av brukere for å identifisere phishing-angrep.
Microsoft 365 tilbyr følgende ressurser for å informere brukerne i organisasjonen:
Begrep | Ressurser | Beskrivelse |
---|---|---|
Microsoft 365 | Tilpassbare læringsveier | Disse ressursene kan hjelpe deg med å sette sammen opplæring for brukere i organisasjonen. |
Microsoft 365-sikkerhet | Læringsmodul: Sikre organisasjonen med innebygd, intelligent sikkerhet fra Microsoft 365 | Denne modulen gir deg mulighet til å beskrive hvordan sikkerhetsfunksjoner i Microsoft 365 fungerer sammen og til å artikulere fordelene med disse sikkerhetsfunksjonene. |
Godkjenning med flere faktorer | Last ned og installer Microsoft Authenticator-appen | Denne artikkelen hjelper sluttbrukere med å forstå hva godkjenning med flere faktorer er, og hvorfor den brukes i organisasjonen. |
Opplæring i angrepssimulering | Kom i gang med angrepssimuleringstrening | Angrepssimuleringsopplæring i Microsoft Defender for Office 365 Plan 2 gjør det mulig for administratorer å konfigurere, starte og spore simulerte phishing-angrep mot bestemte brukergrupper. |
Microsoft anbefaler i tillegg at brukere utfører handlingene som er beskrevet i denne artikkelen: Beskytt kontoen og enhetene dine mot hackere og skadelig programvare. Disse handlingene omfatter:
- Bruke sterke passord
- Beskytte enheter
- Aktivering av sikkerhetsfunksjoner på Pc-er med Windows og Mac (for uadministrerte enheter)