Новые политики оповещений в Microsoft Defender для Office 365
В Microsoft Defender для Office 365 появятся новые улучшенные политики оповещений, связанные с обнаружениями после доставки. К ним относятся улучшения сборников схем автоматического & исследования (AIR), связанных с ними. Кроме того, будет изменена классификация уровней серьезности для шести политик оповещений по умолчанию, чтобы обеспечить более полное соответствие оповещений, создаваемых этими политиками, их влиянию на вашу организацию.
Совет
Если вы не являетесь клиентом E5, вы можете бесплатно опробовать все функции уровня "Премиум" в Microsoft Purview. Используйте 90-дневную пробную версию решений Purview, чтобы узнать, как надежные возможности Purview могут помочь вашей организации управлять требованиями к безопасности данных и соответствию требованиям. Начните с центра Портал соответствия требованиям Microsoft Purview пробных версий. Сведения о регистрации и условиях пробной версии.
Обнаружения после доставки
После того, как автоматическая очистка Microsoft Defender для Office 365 удалит сообщения из папки "Входящие", будут внедрены четыре новые политики оповещений по умолчанию, связанные с обнаружениями после доставки. Эти четыре новые политики оповещений заменят две действующие политики оповещений по умолчанию, охватывающие сценарии автоматической очистки. Они предоставят организациям расширенные сведения о базовом обнаружении и связанных с ним показателях. Эти оповещения (включая сценарии Автоматического исследования и реагирования, которые запускаются из этих оповещений) точно отслеживают угрозы электронных сообщений и сущностей, в том числе, если URL-адрес указывает на вредоносный файл или если файл содержит вредоносный URL-адрес.
В следующей таблице указаны новые политики оповещений и действующие политики оповещений, которые будут удалены. Дополнительные сведения о развертывании см. в разделе Как это повлияет на вашу организацию.
| Новая или действующая политика оповещения | Имя политики оповещения | Идентификатор политики оповещения |
|---|---|---|
| Новая | Сообщения электронной почты, содержащие вредоносный URL-адрес, удалены после доставки | 8e6ba277-ef39-404e-aaf1-294f6d9a2b88 |
| Новая | Сообщения электронной почты, содержащие вредоносный файл, удалены после доставки | 4b1820ec-39dc-45f3-abf6-5ee80df51fd2 |
| Новая | Сообщения электронной почты из кампании доставлены и затем удалены | c8522cbb-9368-4e25-4ee9-08d8d899dfab |
| Новое | Сообщения электронной почты удаляются после доставки | b8f6b088-5487-4c70-037c-08d8d71a43fe |
| Действует (будет удалена) | Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки | EA8169FA-0678-4751-8854-AEBEA7ADECEB |
| Действует (будет удалена) | Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки | 0179B3F7-3FDA-40C3-8F24-278563978DBB |
Улучшения уровней серьезности оповещений
В следующей таблице указаны политики оповещений по умолчанию, для которых изменена классификация уровней серьезности. Мы изменили классификацию уровней серьезности для этих политик оповещений, чтобы обеспечить их более полное соответствие потенциальному риску и влиянию на вашу организацию, а также помочь вашим группам безопасности определить наиболее важные оповещения, создаваемые этими политиками.
| Оповещение | Идентификатор политики оповещения | Старый уровень серьезности | Новый уровень серьезности |
|---|---|---|---|
| Подозрительные действия по пересылке сообщений электронной почты | BFD48F06-0865-41A6-85FF-ADB746423EBF | Средняя | Высокая |
| Сообщение электронной почты, указанное пользователем как вредоносная программа или фишинг | B26A5770-0C38-434A-9380-3A3C2C27BBB3 | Информационный | Низкий |
| Необычное увеличение количества сообщений электронной почты, указанных как фишинг | A00D8C62-9320-4EEA-A7E5-966B9AC09558 | Высокий | Средний |
| Выполнен результат отправки администратором | AE9B83DD-6039-4EA9-B675-6B0AC3BF4A41 | Низкий | Информационный |
| Создание правила пересылки или перенаправления | D59A8FD4-1272-41EE-9408-86F7BCF72479 | Низкий | Информационный |
| Запущен поиск для обнаружения электронных данных или экспортированы его результаты | 6FDC5710-3998-47F0-AFBB-57CEFD7378A | Средний | Информационный |
Дата вступления этих изменений в силу
В следующей таблице указано, когда новые политики оповещений начнут инициировать оповещения после доставки. В таблице также указана дата удаления двух действующих политик оповещений.
| Политика оповещения | Дата |
|---|---|
| Сообщения электронной почты, содержащие вредоносный URL-адрес, удалены после доставки (новая) | Эти оповещения будут активированы 11 апреля 2021 г. |
| Сообщения электронной почты, содержащие вредоносный файл, удалены после доставки (новая) | Эти оповещения будут активированы 11 апреля 2021 г. |
| Сообщения электронной почты из кампании доставлены и затем удалены (новая) | Эти оповещения будут активированы 28 мая 2021 г. |
| Вредоносные сообщения доставлены и затем удалены (новая) | Эти оповещения будут активированы 28 мая 2021 г. |
| Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки (действует, будет удалена) | Политика оповещений была удалена в июне 2021 г. См. раздел Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям. |
| Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки (действует, будет удалена) | Политика оповещений была удалена в июне 2021 г. См. раздел Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям. |
Изменения уровня серьезности оповещений вступят в силу для всех организаций 14 мая 2021 г.
Как это повлияет на вашу организацию
Новые оповещения начнут срабатывать и запускать Автоматическое исследование и реагирование в вашей организации в указанные выше даты. Чтобы смягчить последствия для организаций в сфере безопасности, использующих две политики оповещений, которые предстоит удалить, в период с 5 апреля 2021 г. по 28 мая 2021 г. вы будете видеть оповещения и от действующих политик, и от новых. Это делается для того, чтобы предоставить группам безопасности время для обработки необходимых изменений. Чтобы помочь группам безопасности справиться с возросшим объемом оповещений в течение этого короткого периода времени, как действующие, так и новые оповещения будут сопоставлены в одном и том же Автоматическом исследовании и реагировании и одном и том же инциденте. Если говорить более конкретно, это включает следующее поведение для Автоматического исследования и реагирования, оповещений и инцидентов:
Оповещения. Согласно замыслу, будут отображаться следующие пары действующих и новых оповещений:
Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки И Сообщения электронной почты, содержащие вредоносные URL-адреса, удалены после доставки
Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки И Сообщения электронной почты, содержащие вредоносные файлы, удалены после доставки
Дополнительные сведения об управлении этими парами оповещений см. в разделе Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям.
Автоматическое исследование и реагирование. Оповещения будут сопоставлены в едином Автоматическом исследовании и реагировании, причем одно из оповещений будет классифицировано как "инициирующее", а другое как "повторяющееся".
Инциденты. Оба оповещения будут сопоставлены в одном инциденте
Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям
То, как ваша организация использует эти оповещения, определит действия, которые нужно выполнить для подготовки к изменениям. Если вы введите оповещения в эксплуатацию и используете их через API, уведомление по электронной почте или на портале Портал соответствия требованиям Microsoft Purview или Microsoft 365 Defender, вам потребуется изменить рабочие процессы.
Если вы еще не активировали эти оповещения, вы можете выполнить одно из следующих действий:
Отключите следующие политики оповещений (которые будут удалены), чтобы уменьшить количество оповещений в вашей организации:
Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки
Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки
Ничего не предпринимать. Существующие политики оповещений будут отключены 28 мая 2021 г.
Если эти оповещения активированы:
Начните использовать новые оповещения как часть рабочих процессов в связи с предстоящим удалением действующей политики оповещения 28 мая 2021 г. При наличии пользовательской логики в вашей системе отправки запросов, почтового ящика безопасности, в который приходят электронные уведомления с оповещениями, или решения управления информационной безопасностью и событиями безопасности, которое зависит от имени оповещения или идентификатора политики оповещения (CorrelationId), вам потребуется изменить логику, чтобы применить это изменение.
Примечание.
Сведения в оповещениях, исследованиях и инцидентах не изменились. Более того, эти сведения были дополнены подробностями о связанных угрозах.
После внесения изменений вы можете отключить действующие политики оповещений, чтобы уменьшить количество оповещений в вашей организации:
Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки
Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки
Можно также оставить эти политики оповещений включенными до тех пор, пока они не будут удалены 28 мая 2021 г.