Zalecenia dotyczące zabezpieczeń dla kont priorytetowych na platformie Microsoft 365

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Nie wszystkie konta użytkowników mają dostęp do tych samych informacji firmowych. Niektóre konta mają dostęp do poufnych informacji, takich jak dane finansowe, informacje o rozwoju produktu, dostęp partnera do krytycznych systemów kompilacji i nie tylko. W przypadku naruszenia zabezpieczeń konta, które mają dostęp do wysoce poufnych informacji, stanowią poważne zagrożenie. Nazywamy te typy kont kontami priorytetowymi. Konta priorytetowe obejmują (ale nie są ograniczone do) dyrektorów generalnych, dyrektorów ciso, dyrektorów finansowych, kont administratora infrastruktury, kont systemowych kompilacji i innych.

Ochrona usługi Office 365 w usłudze Microsoft Defender obsługuje konta priorytetowe jako tagi, które mogą być używane w filtrach w alertach, raportach i badaniach. Aby uzyskać więcej informacji, zobacz Tagi użytkowników w Ochrona usługi Office 365 w usłudze Microsoft Defender.

W przypadku osób atakujących zwykłe ataki phishingowe, które rzutują losową sieć dla zwykłych lub nieznanych użytkowników, są nieefektywne. Z drugiej strony ataki polegające na wyłudzaniu informacji lub atakach wielorybniczych , które są celem kont priorytetowych, są bardzo satysfakcjonujące dla osób atakujących. Dlatego konta priorytetów wymagają silniejszej niż zwykła ochrona, aby zapobiec naruszeniu zabezpieczeń konta.

Platformy Microsoft 365 i Ochrona usługi Office 365 w usłudze Microsoft Defender zawierają kilka kluczowych funkcji, które zapewniają dodatkowe warstwy zabezpieczeń dla kont priorytetów. W tym artykule opisano te możliwości i sposób ich używania.

Podsumowanie zaleceń dotyczących zabezpieczeń w formularzu ikony

Zadanie Wszystkie plany Office 365 Enterprise Microsoft 365 E3 Microsoft 365 E5
Zwiększanie zabezpieczeń logowania dla kont priorytetowych
Używanie ścisłych wstępnie ustawionych zasad zabezpieczeń dla kont priorytetów
Stosowanie tagów użytkowników do kont priorytetowych
Monitorowanie kont priorytetów w alertach, raportach i wykrywaniu
Szkolenie użytkowników

Uwaga

Aby uzyskać informacje na temat zabezpieczania kont uprzywilejowanych (kont administratorów), zobacz ten temat.

Zwiększanie zabezpieczeń logowania dla kont priorytetowych

Konta priorytetowe wymagają zwiększonych zabezpieczeń logowania. Możesz zwiększyć ich bezpieczeństwo logowania, wymagając uwierzytelniania wieloskładnikowego (MFA) i wyłączając starsze protokoły uwierzytelniania.

Aby uzyskać instrukcje, zobacz Krok 1. Zwiększ bezpieczeństwo logowania dla pracowników zdalnych za pomocą uwierzytelniania wieloskładnikowego. Chociaż ten artykuł dotyczy pracowników zdalnych, te same pojęcia dotyczą użytkowników o priorytecie.

Uwaga: zdecydowanie zalecamy globalne wyłączenie starszych protokołów uwierzytelniania dla wszystkich użytkowników o priorytecie zgodnie z opisem w poprzednim artykule. Jeśli wymagania biznesowe uniemożliwiają to, Exchange Online oferuje następujące kontrolki ułatwiające ograniczenie zakresu starszych protokołów uwierzytelniania:

Warto również zauważyć, że uwierzytelnianie podstawowe jest w trakcie wycofywania w Exchange Online dla usług Exchange Web Services (EWS), Exchange ActiveSync, POP3, IMAP4 i zdalnego programu PowerShell. Aby uzyskać szczegółowe informacje, zobacz ten wpis w blogu.

Używanie ścisłych wstępnie ustawionych zasad zabezpieczeń dla kont priorytetów

Użytkownicy priorytetowi wymagają bardziej rygorystycznych akcji dla różnych zabezpieczeń dostępnych w Exchange Online Protection (EOP) i Ochrona usługi Office 365 w usłudze Defender.

Na przykład zamiast dostarczać wiadomości sklasyfikowane jako spam do folderu Junk Email, należy poddać te same wiadomości kwarantannie, jeśli są one przeznaczone dla kont priorytetowych.

To rygorystyczne podejście można zaimplementować w przypadku kont priorytetowych przy użyciu profilu Ścisłe w wstępnie ustawionych zasadach zabezpieczeń.

Wstępnie ustawione zasady zabezpieczeń to wygodna i centralna lokalizacja umożliwiająca stosowanie zalecanych przez nas ustawień ścisłych zasad dla wszystkich zabezpieczeń w ramach operacji EOP i Ochrona usługi Office 365 w usłudze Defender. Aby uzyskać więcej informacji, zobacz Preset security policies in EOP and Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia wstępne zasad zabezpieczeń w usłudze EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender).

Aby uzyskać szczegółowe informacje o tym, jak ustawienia zasad ścisłych różnią się od ustawień domyślnych i standardowych zasad, zobacz Zalecane ustawienia dotyczące EOP i zabezpieczeń Ochrona usługi Office 365 w usłudze Microsoft Defender.

Stosowanie tagów użytkowników do kont priorytetowych

Tagi użytkowników w Ochrona usługi Office 365 w usłudze Microsoft Defender planie 2 (w ramach Microsoft 365 E5 lub subskrypcji dodatku) to sposób szybkiego identyfikowania i klasyfikowania określonych użytkowników lub grup użytkowników w raportach i badaniach zdarzeń.

Konta priorytetowe to typ wbudowanego tagu użytkownika (znanego jako tag systemowy), którego można użyć do identyfikowania zdarzeń i alertów obejmujących konta priorytetowe. Aby uzyskać więcej informacji na temat kont priorytetowych, zobacz Zarządzanie kontami priorytetów i monitorowanie ich.

Można również tworzyć tagi niestandardowe w celu dalszego identyfikowania i klasyfikowania kont priorytetów. Aby uzyskać więcej informacji, zobacz Tagi użytkowników. Kontami priorytetów (tagami systemowymi) można zarządzać w tym samym interfejsie co niestandardowe tagi użytkowników.

Monitorowanie kont priorytetów w alertach, raportach i wykrywaniu

Po zabezpieczeniu i otagowaniu priorytetowych użytkowników możesz użyć dostępnych raportów, alertów i badań w ramach EOP i Ochrona usługi Office 365 w usłudze Defender, aby szybko identyfikować zdarzenia lub wykrycia obejmujące konta priorytetowe. Funkcje obsługujące tagi użytkowników zostały opisane w poniższej tabeli.

Funkcja Opis
Alerty Tagi użytkowników, których dotyczy problem, są widoczne i dostępne jako filtry na stronie Alerty w portalu Microsoft Defender. Aby uzyskać więcej informacji, zobacz Zasady alertów w portalu Microsoft Defender.
Zdarzenia Tagi użytkowników dla wszystkich skorelowanych alertów są widoczne na stronie Zdarzenia w portalu Microsoft Defender. Aby uzyskać więcej informacji, zobacz Zarządzanie zdarzeniami i alertami.
Niestandardowe zasady alertów Zasady alertów można tworzyć na podstawie tagów użytkowników w portalu Microsoft Defender. Aby uzyskać więcej informacji, zobacz Zasady alertów w portalu Microsoft Defender.
Explorer

Wykrywanie w czasie rzeczywistym

 W Eksploratorze (Ochrona usługi Office 365 w usłudze Defender planie 2) lub wykrywaniu w czasie rzeczywistym (Ochrona usługi Office 365 w usłudze Defender planie 1) tagi użytkowników są widoczne w widoku siatki Email i wysuwanych szczegółach Email. Tagi użytkowników są również dostępne jako właściwość z możliwością filtrowania. Aby uzyskać więcej informacji, zobacz Tagi w Eksploratorze zagrożeń.
strona jednostki Email Pocztę e-mail można filtrować na podstawie zastosowanych tagów użytkowników w Microsoft 365 E5 i Ochrona usługi Office 365 w usłudze Defender planie 1 i planie 2. Aby uzyskać więcej informacji, zobacz stronę jednostki Email.
Widoki kampanii Tagi użytkowników są jedną z wielu właściwości filtrowalnych w widokach kampanii w Ochrona usługi Office 365 w usłudze Microsoft Defender planie 2. Aby uzyskać więcej informacji, zobacz Widoki kampanii.
Raport o stanie ochrony przed zagrożeniami W praktycznie wszystkich widokach i tabelach szczegółów w raporcie o stanie ochrony przed zagrożeniami można filtrować wyniki według kont priorytetów. Aby uzyskać więcej informacji, zobacz Raport o stanie ochrony przed zagrożeniami.
Raport najpopularniejszych nadawców i adresatów Możesz dodać ten tag użytkownika do 20 pierwszych nadawców wiadomości w organizacji. Aby uzyskać więcej informacji, zobacz Raport najpopularniejszych nadawców i adresatów.
Raport użytkownika z naruszeniem zabezpieczeń Konta użytkowników oznaczone jako Podejrzane lub Ograniczone w organizacjach platformy Microsoft 365 z Exchange Online skrzynkami pocztowymi są wyświetlane w tym raporcie. Aby uzyskać więcej informacji, zobacz Raport użytkownika z naruszeniem zabezpieczeń.
Administracja przesyłania i komunikatów zgłoszonych przez użytkowników Strona Przesyłanie w portalu Microsoft Defender umożliwia przesyłanie wiadomości e-mail, adresów URL i załączników do firmy Microsoft w celu analizy. Aby uzyskać więcej informacji, zobacz Administracja przesyłania i komunikatów zgłoszonych przez użytkowników.
Kwarantanna Kwarantanna jest dostępna do przechowywania potencjalnie niebezpiecznych lub niechcianych wiadomości w organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) dla kont priorytetowych. Aby uzyskać więcej informacji, zobacz Kwarantanna wiadomości e-mail.
Symulacja ataku Aby przetestować zasady i praktyki dotyczące zabezpieczeń, uruchom symulację łagodnego cyberataku dla docelowych użytkowników. Aby uzyskać więcej informacji, zobacz Symulacja ataków.
Email problemy dotyczące raportów kont priorytetowych Raport Email problemów z kontami priorytetowymi w centrum administracyjnym programu Exchange (EAC) zawiera informacje o niedostarczonych i opóźnionych komunikatach dotyczących kont priorytetowych. Aby uzyskać więcej informacji, zobacz Email problemy dotyczące raportów kont priorytetowych.

Szkolenie użytkowników

Szkolenie użytkowników z kontami o priorytecie może pomóc zaoszczędzić tym użytkownikom i zespołowi ds. operacji zabezpieczeń dużo czasu i frustracji. Doświadczeni użytkownicy są mniej skłonni do otwierania załączników lub klikania linków w wątpliwych wiadomościach e-mail i są bardziej skłonni do unikania podejrzanych witryn internetowych.

Podręcznik kampanii cyberbezpieczeństwa Harvard Kennedy School zawiera doskonałe wskazówki dotyczące ustanawiania silnej kultury świadomości bezpieczeństwa w organizacji, w tym szkolenia użytkowników do identyfikowania ataków wyłudzających informacje.

Platforma Microsoft 365 udostępnia następujące zasoby ułatwiające informowanie użytkowników w organizacji:

Koncepcja Zasoby Opis
Microsoft 365 Dostosowywalne ścieżki szkoleniowe Te zasoby mogą pomóc w zebraniu szkoleń dla użytkowników w organizacji.
Centrum zabezpieczeń platformy Microsoft 365 Moduł szkoleniowy: Zabezpieczanie organizacji za pomocą wbudowanych, inteligentnych zabezpieczeń z platformy Microsoft 365 Ten moduł umożliwia opisanie współpracy funkcji zabezpieczeń platformy Microsoft 365 oraz przedstawienie korzyści wynikających z tych funkcji zabezpieczeń.
Uwierzytelnianie wieloskładnikowe Pobieranie i instalowanie aplikacji Microsoft Authenticator Ten artykuł pomaga użytkownikom końcowym zrozumieć, czym jest uwierzytelnianie wieloskładnikowe i dlaczego jest używane w organizacji.
Szkolenie z symulacji ataków Wprowadzenie do szkolenia z symulacji ataku Szkolenie z symulacji ataków w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2 umożliwia administratorowi konfigurowanie, uruchamianie i śledzenie symulowanych ataków phishingowych na określone grupy użytkowników.

Ponadto firma Microsoft zaleca użytkownikom podjęcie działań opisanych w tym artykule: Ochrona konta i urządzeń przed hakerami i złośliwym oprogramowaniem. Te akcje obejmują:

  • Używanie silnych haseł
  • Ochrona urządzeń
  • Włączanie funkcji zabezpieczeń na komputerach z systemem Windows i Mac (dla urządzeń niezarządzanych)

Zobacz też