Попробуйте Microsoft Defender для Office 365

Как существующий клиент Microsoft 365, страницы пробных версий и оценки на портале https://security.microsoft.com Microsoft 365 Defender позволяют вам опробовать функции Microsoft Defender для Office 365 план 2 перед покупкой.

Прежде чем приступить к Defender для Office 365 план 2, необходимо задать себе несколько ключевых вопросов:

• Хочу ли я пассивно наблюдать за тем, что Defender для Office 365 план 2 может сделать для меня (аудит), или я хочу, чтобы Defender для Office 365 план 2 принял прямые меры по обнаруженным проблемам (блокировка)?
• В любом случае, как я могу сказать, что Defender для Office 365 план 2 делает для меня?
• Сколько времени у меня есть, прежде чем я должен принять решение о сохранении Defender для Office 365 план 2?

Эта статья поможет вам ответить на эти вопросы, чтобы вы могли попробовать Defender для Office 365 план 2 в соответствии с потребностями вашей организации.

Дополнительные инструкции по использованию пробной версии см. в статье Руководство пользователя пробной версии: Microsoft Defender для Office 365.

Обзор Defender для Office 365

Defender для Office 365 помогает организациям защитить свое предприятие, предлагая комплексный набор возможностей. Дополнительные сведения см. в разделе Microsoft Defender для Office 365.

Дополнительные сведения о Defender для Office 365 также см. в этом интерактивном руководстве.

Просмотрите это короткое видео, чтобы узнать больше о том, как можно сделать больше за меньшее время с помощью Microsoft Defender для Office 365.

Как работают пробные версии и оценки для Defender для Office 365

Политики

Defender для Office 365 включает функции Exchange Online Protection (EOP), которые присутствуют во всех организациях Microsoft 365 с почтовыми ящиками Exchange Online, а также функции, которые являются эксклюзивными для Defender для Office 365.

Функции защиты EOP и Defender для Office 365 реализуются с помощью политик. Политики, которые являются эксклюзивными для Defender для Office 365, создаются по мере необходимости:

• Защита от олицетворения в политиках защиты от фишинга
• Безопасные вложения для сообщений электронной почты
• Безопасные ссылки для сообщений электронной почты и Microsoft Teams
  • Безопасные ссылки детонирует URL-адреса во время потока обработки почты. Чтобы предотвратить детонирование определенных URL-адресов, используйте записи разрешения для URL-адресов в списке разрешенных и заблокированных клиентов. Дополнительные сведения см. в разделе Управление списком разрешенных и заблокированных клиентов.
  • Безопасные ссылки не обтекают URL-адреса в телах сообщений электронной почты.

Ваше право на оценку или пробную версию означает, что у вас уже есть EOP. Для оценки или пробной версии Defender для Office 365 план 2 не создаются новые или специальные политики EOP. Существующие политики EOP в организации Microsoft 365 могут действовать с сообщениями (например, отправлять сообщения в папку "Нежелательная Email" или в карантин).

• Политики защиты от вредоносных программ
• Защита от входящего спама
• Защита от спуфингов в политиках защиты от фишинга

Политики по умолчанию для этих функций EOP всегда включены, применяются ко всем получателям и всегда применяются последним после любых пользовательских политик.

Режим аудита и режим блокировки для Defender для Office 365

Вы хотите, чтобы ваш Defender для Office 365 опыт был активным или пассивным? Ниже приведены два режима, которые можно выбрать:

• Режим аудита. Специальные политики оценки создаются для защиты от фишинга (включая защиту от олицетворения), безопасных вложений и безопасных ссылок. Эти политики оценки настроены только для обнаружения угроз. Defender для Office 365 обнаруживает вредоносные сообщения для отчетов, но сообщения не выполняются (например, обнаруженные сообщения не помещаются в карантин). Параметры этих политик оценки описаны в разделе Политики в режиме аудита далее в этой статье.

  Режим аудита предоставляет доступ к настраиваемым отчетам об угрозах, обнаруженных Defender для Office 365 на странице Режим оценки по адресу https://security.microsoft.com/atpEvaluation.

• Режим блокировки. Стандартный шаблон для предустановленных политик безопасности включен и используется для пробной версии, а пользователи, которые вы указали для включения в пробную версию, добавляются в стандартную предустановленную политику безопасности. Defender для Office 365 обнаруживает и принимает меры для вредоносных сообщений (например, обнаруженные сообщения помещаются в карантин).

  По умолчанию и рекомендуется использовать эти политики Defender для Office 365 для всех пользователей в организации. Но во время или после настройки пробной версии вы можете изменить назначение политики для определенных пользователей, групп или доменов электронной почты на портале Microsoft 365 Defender или в Exchange Online PowerShell.

  Режим блокировки не предоставляет настраиваемые отчеты об угрозах, обнаруженных Defender для Office 365. Вместо этого эта информация доступна в регулярных отчетах и функциях исследования Defender для Office 365 план 2.

Ключевым фактором в режиме аудита и режиме блокировки является доставка электронной почты в организацию Microsoft 365:

• Почта из Интернета передается напрямую в Microsoft 365, но текущая подписка имеет только Exchange Online Protection (EOP) или Defender для Office 365 план 1.

  

  В этих средах можно выбрать режим аудита или режим блокировки.

• В настоящее время вы используете стороннюю службу или устройство для защиты электронной почты почтовых ящиков Microsoft 365. Почта из Интернета проходит через службу защиты перед доставкой в организацию Microsoft 365. Защита Microsoft 365 максимально низка (она никогда не выключается полностью; например, защита от вредоносных программ всегда применяется).

  

  В этих средах можно выбрать только режим аудита . Вам не нужно изменять поток обработки почты (записи MX).

Оценка и пробная версия для Defender для Office 365

В чем разница между оценкой и пробной версией Defender для Office 365 план 2? Разве это не одно и то же? Ну, да и нет. Вот что вам нужно знать:

• Если у вас еще нет лицензий Defender для Office 365 плана 2 (например, автономный EOP, Microsoft 365 E3, Microsoft 365 бизнес премиум или Defender для Office 365 план 1), вы можете запустить пробную версию из Страница пробных версий Microsoft 365 по адресу https://security.microsoft.com/trialHorizontalHub или страница режима оценки на https://security.microsoft.com/atpEvaluation портале Microsoft 365 Defender. В любом месте можно выбрать режим разрешения (стандартная предустановленная политика безопасности) или режим блокировки (политики оценки), как описано ранее.

  Независимо от того, какое расположение вы используете, мы автоматически подготовим для вас необходимые пробные лицензии Defender для Office 365 плана 2 при регистрации. Инструкции по получению и назначению лицензий плана 2 в Центр администрирования Microsoft 365 больше не требуются. Пробные лицензии доступны в течение 90 дней:

  • Для организаций без Defender для Office 365 (например, автономного EOP или Microsoft 365 E3) функции (в частности, политики) Defender для Office 365 доступны в течение пробного периода.

  • Организации с планом 1 Defender для Office 365 (например, подписки на Microsoft 365 бизнес премиум или надстройки) имеют те же политики, что и организации с Defender для Office 365 План 2 (защита от олицетворения в политиках защиты от фишинга, политиках безопасных вложений и политиках безопасных ссылок). Срок действия политик безопасности из разрешенного режима (стандартная предустановленная политика безопасности) или режима блокировки (политики оценки) не истекает или перестает работать через 90 дней. Через 90 дней для этих организаций заканчивается автоматизация, исследование, исправление и обучение в плане 2, которые отсутствуют в плане 1.

• Если у вас уже есть Defender для Office 365 план 2 (например, в рамках подписки на Microsoft 365 E5), вы никогда не увидите Defender для Office 365 на странице пробных версий Microsoft 365 по адресу https://security.microsoft.com/trialHorizontalHub. Вместо этого вы начинаете оценку Defender для Office 365 Планирование на странице https://security.microsoft.com/atpEvaluationРежим оценки в в режиме разрешения (стандартная предустановленная политика безопасности) или в режиме блокировки (политики оценки).

  По определению, этим организациям не требуются пробные лицензии на Defender для Office 365 план 2, поэтому их оценки являются неограниченными по длительности.

Сведения из предыдущего списка приведены в следующей таблице:

Организация	Доступные режимы	Регистрация из Страница оценки?	Регистрация из Страница пробных версий?	Evaluation period
Автономный EOP (нет Exchange Online почтовых ящиков) Microsoft 365 E3	Режим аудита Режим блокировки	Да	Да	90 дней
Defender для Office 365 (план 1) Подписка на Microsoft 365 бизнес премиум	Режим аудита Режим блокировки	Да	Да	Без ограничений*
Microsoft 365 E5	Режим аудита Режим блокировки	Да	Нет	Без ограничений

^* Срок действия политик безопасности из разрешенного режима (стандартная предустановленная политика безопасности) или режима блокировки (политики оценки) не истекает или перестает работать через 90 дней. Через 90 дней перестают работать только возможности автоматизации, исследования, исправления и образования, которые являются эксклюзивными для Defender для Office 365 плана 2.

Настройка оценки или пробной версии в режиме аудита

Помните, что при оценке Defender для Office 365 в режиме аудита создаются специальные политики оценки, чтобы Defender для Office 365 могли обнаруживать угрозы. Параметры этих политик оценки описаны в разделе Политики в режиме аудита далее в этой статье.

1. Запустите оценку в любом из доступных расположений на портале Microsoft 365 Defender по адресу https://security.microsoft.com. Например:

   • На баннере в верхней части любой Defender для Office 365 страницы функций нажмите кнопку Начать бесплатную пробную версию.
   • На странице пробных версий Microsoft 365 найдите https://security.microsoft.com/trialHorizontalHubи выберите Defender для Office 365.
   • На странице Режим оценки в https://security.microsoft.com/atpEvaluationщелкните Начать оценку.

2. В диалоговом окне Включение защиты выберите Нет, мне нужны только отчеты, а затем нажмите кнопку Продолжить.

3. В диалоговом окне Выбор пользователей, которых вы хотите включить , настройте следующие параметры:

   • Все пользователи. Это рекомендуемый параметр по умолчанию.

   • Выберите пользователей. Если выбран этот параметр, необходимо выбрать внутренних получателей, к которым применяется оценка:

     • Пользователи. Указывает один или несколько почтовых ящиков, пользователей почты или почтовых контактов.
     • Группы.
       • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
       • Указанные Группы Microsoft 365.
       • Домены: все получатели в указанных обслуживаемых доменах в вашей организации.

     Щелкните соответствующее поле, начните вводить значение и выберите нужное значение в результатах. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните Рядом со значением.

     Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Если вы являетесь пользователем, введите звездочку (*) без добавлений, чтобы увидеть все доступные значения.

   Примечание.

   Эти параметры можно изменить после завершения настройки пробной версии, как описано в разделе Управление пробной версией .

   Несколько различных типов условий или исключений не являются аддитивными; они являются инклюзивными. Оценка или пробная версия применяется только к тем получателям, которые соответствуют всем указанным фильтрам получателей. Например, вы настраиваете условие со следующими значениями:

   • Пользователи: romain@contoso.com
   • Группы: руководители

   Оценка или судебное разбирательство применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. Если он не является членом группы, то оценка или судебный процесс к нему не применяется.

   Аналогичным образом, если вы используете тот же фильтр получателей, что и исключение, оценка или пробная версия не применяются только в romain@contoso.com том случае, если он также является членом группы руководителей. Если он не является членом группы, то оценка или судебное разбирательство по-прежнему относится к нему.

   По завершении нажмите кнопку Продолжить.

4. В диалоговом окне Помогите нам разобраться в потоке обработки почты настройте следующие параметры:

   • Один из следующих параметров автоматически выбирается в зависимости от обнаружения записи MX для вашего домена:

     • Я использую стороннего или локального поставщика услуг: запись MX для точек домена, отличных от Microsoft 365. После нажатия кнопки Далее для этого выбора требуются следующие дополнительные параметры:

       1. В диалоговом окне Сторонние или локальные параметры настройте следующие параметры:

          • Выберите стороннего поставщика услуг. Выберите одно из следующих значений:

            • Барракуда
            • IronPort
            • Mimecast
            • Proofpoint
            • Sophos
            • Symantec
            • Trend Micro
            • Other

          • Соединитель для применения этой оценки: выберите соединитель, используемый для потока почты в Microsoft 365.

            Расширенная фильтрация для соединителей (также известная как пропустить список) автоматически настраивается для указанного соединителя.

            Когда сторонняя служба или устройство находится перед электронной почтой, которая отправляется в Microsoft 365, расширенная фильтрация для соединителей правильно определяет источник интернет-сообщений и значительно повышает точность стека фильтрации Майкрософт (особенно спуфинга аналитики, а также возможности после нарушения безопасности в обозревателе угроз и автоматическом реагировании на расследование & (AIR).

          • Вывод списка IP-адресов шлюза, через которые проходят сообщения. Этот параметр доступен только в том случае, если для параметра Выберите стороннего поставщика услуг выбрано значение Другое. Введите разделенный запятыми список IP-адресов, используемых сторонней службой защиты или устройством для отправки почты в Microsoft 365.

          По завершении нажмите кнопку Далее.

       2. В диалоговом окне Правила потока обработки почты Exchange определите, требуется ли Exchange Online правило потока обработки почты (также известное как правило транспорта), которое пропускает фильтрацию нежелательной почты для входящих сообщений из сторонней службы или устройства защиты.

          Скорее всего, у вас уже есть правило потока обработки почты SCL=-1 в Exchange Online, которое позволяет всем входящим письмам из службы защиты обходить (большинство) фильтрации Microsoft 365. Многие службы защиты поощряют этот метод правила потока обработки почты (SCL) для клиентов Microsoft 365, которые используют их службы.

          Как описано на предыдущем шаге, расширенная фильтрация для соединителей автоматически настраивается на соединителе, который вы указали в качестве источника почты от службы защиты.

          Включение расширенной фильтрации для соединителей без правила SCL=-1 для входящих сообщений из службы защиты значительно улучшит возможности обнаружения функций защиты EOP, таких как спуфинга аналитики, и может повлиять на доставку этих новых обнаруженных сообщений (например, перемещение в папку "Нежелательная Email" или в карантин). Это влияние ограничивается политиками EOP; как уже говорилось ранее, Defender для Office 365 политики создаются в режиме аудита.

          Чтобы создать правило потока обработки почты SCL=-1 или просмотреть существующие правила, нажмите кнопку Перейти в Центр администрирования Exchange на странице. Дополнительные сведения см. в статье Использование правил потока обработки почты для задания уровня достоверности нежелательной почты (SCL) в сообщениях в Exchange Online.

          Закончив, нажмите кнопку Готово.

     • Я использую только Microsoft Exchange Online: записи MX для вашего домена указывают на Microsoft 365. Ничего не нужно настраивать, поэтому нажмите кнопку Готово.

   • Совместное использование данных с корпорацией Майкрософт. Этот параметр не выбран по умолчанию, но при желании вы можете установить этот флажок.

5. По мере настройки оценки появится диалоговое окно хода выполнения. После завершения настройки нажмите кнопку Готово.

Настройка оценки или пробной версии в режиме блокировки

Помните, что при попытке Defender для Office 365 в режиме блокировки включается стандартная предустановленная безопасность и указанные пользователи (некоторые или все) включаются в стандартную предустановленную политику безопасности. Дополнительные сведения о стандартной предустановленной политике безопасности см. в разделе Предустановленные политики безопасности.

1. Запустите пробную версию в любом из доступных расположений на портале Microsoft 365 Defender по адресу https://security.microsoft.com. Например:

   • На баннере в верхней части любой Defender для Office 365 страницы функций нажмите кнопку Начать бесплатную пробную версию.
   • На странице пробных версий Microsoft 365 найдите https://security.microsoft.com/trialHorizontalHubи выберите Defender для Office 365.
   • На странице Режим оценки в https://security.microsoft.com/atpEvaluationщелкните Начать оценку.

2. В диалоговом окне Включение защиты выберите Да, защитите организацию, блокируя угрозы, а затем нажмите кнопку Продолжить.

3. В диалоговом окне Выбор пользователей, которых вы хотите включить , настройте следующие параметры:

   • Все пользователи. Это рекомендуемый параметр по умолчанию.

   • Выбор пользователей. Если выбран этот параметр, необходимо выбрать внутренних получателей, к которым применяется пробная версия:

     • Пользователи. Указывает один или несколько почтовых ящиков, пользователей почты или почтовых контактов.
     • Группы.
       • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
       • Указанные Группы Microsoft 365.
     • Домены: все получатели в указанных обслуживаемых доменах в вашей организации.

     Щелкните соответствующее поле, начните вводить значение и выберите нужное значение в результатах. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните Рядом со значением.

     Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Если вы являетесь пользователем, введите звездочку (*) без добавлений, чтобы увидеть все доступные значения.

   Примечание.

   Эти параметры можно изменить после завершения настройки пробной версии, как описано в разделе Управление пробной версией .

   Несколько различных типов условий или исключений не являются аддитивными; они являются инклюзивными. Оценка или пробная версия применяется только к тем получателям, которые соответствуют всем указанным фильтрам получателей. Например, вы настраиваете условие со следующими значениями:

   • Пользователи: romain@contoso.com
   • Группы: руководители

   Оценка или судебное разбирательство применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. Если он не является членом группы, то оценка или судебный процесс к нему не применяется.

   Аналогичным образом, если вы используете тот же фильтр получателей, что и исключение, оценка или пробная версия не применяются только в romain@contoso.com том случае, если он также является членом группы руководителей. Если он не является членом группы, то оценка или судебное разбирательство по-прежнему относится к нему.

   По завершении нажмите кнопку Продолжить.

4. По мере настройки оценки появится диалоговое окно хода выполнения. После завершения настройки нажмите кнопку Готово.

Управление оценкой или пробной версией Defender для Office 365

После настройки оценки или пробной версии в режиме аудита или в режиме блокировки страница режима оценки по адресу https://security.microsoft.com/atpEvaluation является вашим центральным расположением для получения сведений о попытке Defender для Office 365 план 2.

1. На портале Microsoft 365 Defender по адресу https://security.microsoft.comперейдите к Email &правила >политик &совместной работы >Политики Политики> угроз выберите Режим оценки в разделе Другие. Или, чтобы перейти непосредственно на страницу оценки Microsoft Defender для Office 365, используйте https://security.microsoft.com/atpEvaluation.

2. На странице оценки Microsoft Defender для Office 365 можно выполнить следующие задачи:

   • Щелкните Купить платную подписку, чтобы приобрести Defender для Office 365 план 2.

   • Нажмите кнопку Управление. В появившемся всплывающем элементе оценки Microsoft Defender для Office 365 можно выполнить следующие задачи:

     • Измените пользователей, к которым применяется оценка или пробная версия, как описано выше в разделах Настройка оценки или пробной версии в режиме аудита и Настройка оценки или пробной версии в режиме блокировки.

     • Чтобы переключиться из режима аудита (политики оценки) в режим блокировки (стандартная предустановленная политика безопасности), нажмите кнопку Преобразовать в стандартную защиту, а затем нажмите кнопку Продолжить в диалоговом окне, которое отображается в мастере Применения стандартной защиты на странице Предустановленные политики безопасности . Существующие включенные и исключенные получатели копируются. Дополнительные сведения см. в статье Назначение стандартных и строгих предустановленных политик безопасности пользователям с помощью портала Microsoft 365 Defender.

       Примечания.

       • Политики в стандартной предустановленной политике безопасности имеют более высокий приоритет, чем политики оценки. Это означает, что политики в стандартной предустановленной безопасности всегда применяются перед политиками оценки, даже если они присутствуют и включены. Чтобы отключить политики оценки, используйте кнопку Отключить .
       • Нет автоматического способа перехода из режима блокировки в режим аудита. Ниже приведены действия, выполняемые вручную.
         1. Отключите стандартную предустановленную политику безопасности на странице Предустановленные политики безопасности .
         2. После нажатия кнопки Управление на странице оценки Microsoft Defender для Office 365 проверьте наличие кнопки Отключить, которая указывает, что политики оценки включены. Если отображается кнопка Включить , щелкните ее, чтобы включить политики оценки.
         3. Проверьте пользователей, к которым применяется оценка.

     • Чтобы отключить политики оценки, нажмите кнопку Отключить. Чтобы снова включить их, нажмите кнопку Включить.

     Завершив работу с всплывающий элемент, нажмите кнопку Сохранить.

Отчеты об оценке или пробной версии Defender для Office 365

В этом разделе описываются отчеты, доступные в режиме аудита и в режиме блокировки.

Отчеты о режиме блокировки

В режиме блокировки в следующих отчетах отображаются обнаружения по Defender для Office 365:

• Представление "Поток почты" для отчета о состоянии потока почты:

  • Сообщения, обнаруженные как олицетворение пользователя или олицетворение домена политиками защиты от фишинга, отображаются в блоке олицетворения.
  • Сообщения, обнаруженные во время детонации файла или URL-адреса политиками безопасных вложений или политиками безопасных ссылок, отображаются в блоке детонации.

• Отчет о состоянии защиты от угроз:

  • Просмотр данных по обзору:

    Вы можете отфильтровать большинство представлений по MDOProtected by value , чтобы увидеть эффекты Defender для Office 365.

  • Просмотр данных по Email > фишинга и разбивка диаграмм по технологии обнаружения

    • Сообщения, обнаруженные кампаниями, отображаются в разделе Кампания.
    • Сообщения, обнаруженные безопасными вложениями, отображаются в разделе Детонация файла и репутация детонации файлов.
    • Сообщения, обнаруженные защитой олицетворения пользователя в политиках защиты от фишинга, отображаются в домене олицетворения, пользователем олицетворения и олицетворением аналитики почтовых ящиков.
    • Сообщения, обнаруженные безопасными ссылками, отображаются в поле Детонация URL-адреса и репутация детонации URL-адреса.

  • Просмотр данных по Email > вредоносных программ и разбивка диаграмм по технологии обнаружения

    • Сообщения, обнаруженные кампаниями, отображаются в разделе Кампания.
    • Сообщения, обнаруженные безопасными вложениями, отображаются в разделе Детонация файла и репутация детонации файлов.
    • Сообщения, обнаруженные безопасными ссылками, отображаются в поле Детонация URL-адреса и репутация детонации URL-адреса.

  • Просмотр данных по Email > спаму и разбивке диаграмм по технологии обнаружения

    Сообщения, обнаруженные безопасными ссылками, отображаются в URL-адресе вредоносной репутации.

  • Разбивка диаграммы по типу политики

    Сообщения, обнаруженные безопасными вложениями, отображаются в разделе Безопасные вложения

  • Просмотр данных по содержимому > вредоносных программ

    Вредоносные файлы , обнаруженные безопасными вложениями для SharePoint, OneDrive и Microsoft Teams, отображаются в детонации MDO.

  • Отчет "Основные отправители и получатели"

    Отображение данных для основных получателей вредоносных программ (MDO) и показать данные для основных получателей фишинга (MDO).

  • Отчет о защите URL-адресов

Отчеты для режима аудита

В режиме аудита в следующих отчетах отображаются обнаружения по Defender для Office 365:

• Отчет о состоянии защиты от угроз содержит свойство Evaluation: Yes/No в качестве фильтруемого свойства в следующих представлениях:

  • Просмотр данных по Email > фишинга и разбивка диаграмм по технологии обнаружения
  • Просмотр данных по Email > вредоносных программ и разбивка диаграмм по технологии обнаружения
  • Просмотр данных по Email > спаму и разбивке диаграмм по технологии обнаружения

• Обозреватель угроз отображает следующий баннер в сведениях об обнаружении сообщений на вкладке Анализ для неправильного вложения, URL-адрес нежелательной почты + вредоносная программа, URL-адрес фишинга и сообщения олицетворения, обнаруженные Defender для Office 365 оценки, отображают следующий баннер в сведениях о записи:

  

Страница оценки Microsoft Defender для Office 365 в консолидирует https://security.microsoft.com/atpEvaluation отчеты для политик в оценке:

• Безопасные ссылки
• Безопасные вложения
• Защита от олицетворения в политиках защиты от фишинга

По умолчанию на диаграммах отображаются данные за последние 30 дней, но вы можете отфильтровать диапазон дат, щелкнув 30 дней и выбор из следующих дополнительных значений, которые меньше 30 дней:

• 24 часа
• 7 дней
• 14 дней
• Пользовательский диапазон дат

Можно щелкнуть Скачайте, чтобы скачать данные диаграммы в файл .csv.

Необходимые разрешения

Для настройки оценки или пробной версии Defender для Microsoft 365 в Azure AD требуются следующие разрешения:

• Создание, изменение или удаление оценки или пробной версии: администратор безопасности или глобальный администратор.
• Просмотр политик и отчетов оценки в режиме аудита: администратор безопасности или читатель безопасности.

Дополнительные сведения о разрешениях Azure AD на портале Microsoft 365 Defender см. в разделе Azure AD роли на портале Microsoft 365 Defender.

Вопросы и ответы

Вопрос. Нужно ли вручную получать или активировать пробные лицензии?

О: Нет. Пробная версия автоматически подготавливает лицензии Defender для Office 365 плана 2, если они вам нужны, как описано ранее.

Вопрос: Разделы справки продлить пробную версию?

О. См. статью Продление пробной версии.

Вопрос. Что происходит с моими данными после истечения срока действия пробной версии?

О. После истечения срока действия пробной версии вы получите доступ к данным пробной версии (данным из функций в Defender для Office 365, которых у вас не было ранее) в течение 30 дней. По истечении этого 30-дневного периода все политики и данные, связанные с Defender для Office 365 пробной версии, будут удалены.

Вопрос. Сколько раз можно использовать пробную версию Defender для Office 365 в организации?

О. Максимум 2 раза. Если срок действия первой пробной версии истек, необходимо подождать по крайней мере 30 дней после окончания срока действия, прежде чем снова зарегистрироваться в Defender для Office 365 пробной версии. После второй пробной версии вы не сможете зарегистрироваться в другой пробной версии.

Вопрос. В режиме аудита существуют ли сценарии, в которых Defender для Office 365 будет действовать с сообщениями?

Ответ: Да. Никто из программы или номера SKU не может отключить или обойти действия с сообщениями, которые классифицируются службой как вредоносные программы или фишинг с высокой достоверностью.

В режиме аудита защита от спуфингов в EOP также принимает меры с сообщениями. Чтобы предотвратить действия защиты от спуфингом с сообщениями, создайте правило потока обработки почты Exchange (также известное как правило транспорта), в котором входящая почта обходит все типы фильтрации, которые можно обойти (включая защиту от спуфингов). Инструкции см. в статье Использование правил потока обработки почты для задания уровня достоверности нежелательной почты (SCL) в сообщениях в Exchange Online.

Вопрос. В каком порядке оцениваются политики?

О. Сведения о предустановленных политиках безопасности и других политиках см. в разделе Порядок приоритета.

Ссылка

Параметры политики, связанные с Defender для Office 365 пробными версиями

Политики в режиме аудита

Предупреждение

Не пытайтесь создать, изменить или удалить отдельные политики безопасности, связанные с оценкой Defender для Office 365. Единственным поддерживаемым способом создания отдельных политик безопасности для оценки является первый запуск оценки или пробной версии в режиме аудита на портале Microsoft 365 Defender.

Как описано ранее, при выборе режима аудита для оценки или пробной версии автоматически создаются политики оценки с необходимыми параметрами для наблюдения за сообщениями, но не для выполнения действий.

Чтобы просмотреть эти политики и их параметры, выполните следующую команду в Exchange Online PowerShell:

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

Параметры также описаны в следующих таблицах.

Параметры политики оценки защиты от фишинга

Параметр	Значение
Name	Политика оценки
AdminDisplayName	Политика оценки
AuthenticationFailAction	MoveToJmf
Включен	Верно
EnableFirstContactSafetyTips	Неверно
EnableMailboxIntelligence	Верно
EnableMailboxIntelligenceProtection	Верно
EnableOrganizationDomainsProtection	Неверно
EnableSimilarDomainsSafetyTips	Неверно
EnableSimilarUsersSafetyTips	Неверно
EnableSpoofIntelligence	Верно
EnableSuspiciousSafetyTip	Неверно
EnableTargetedDomainsProtection	Неверно
EnableTargetedUserProtection	Неверно
EnableUnauthenticatedSender	Верно
EnableUnusualCharactersSafetyTips	Неверно
EnableViaTag	Верно
Исключенные домены	{}
ИсключенныеSenders	{}
ImpersonationProtectionState	Manual
IsDefault	Неверно
MailboxIntelligenceProtectionAction	NoAction
MailboxIntelligenceProtectionActionRecipients	{}
MailboxIntelligenceQuarantineTag	DefaultFullAccessPolicy
PhishThresholdLevel	1
PolicyTag	Пустой
RecommendedPolicyType	Evaluation
SpoofQuarantineTag	DefaultFullAccessPolicy
TargetedDomainActionRecipients	{}
TargetedDomainProtectionAction	NoAction
TargetedDomainQuarantineTag	DefaultFullAccessPolicy
TargetedDomainsToProtect	{}
TargetedUserActionRecipients	{}
TargetedUserProtectionAction	NoAction
TargetedUserQuarantineTag	DefaultFullAccessPolicy
TargetedUsersToProtect	{}

Параметры политики оценки безопасных вложений

Параметр	Значение
Name	Политика оценки
Действие	Разрешить
ActionOnError	Верно
AdminDisplayName	Политика оценки
ConfidenceLevelThreshold	80
Включение	Верно
EnableOrganizationBranding	Неверно
IsBuiltInProtection	Неверно
IsDefault	Неверно
OperationMode	Delay
QuarantineTag	AdminOnlyAccessPolicy
RecommendedPolicyType	Evaluation
Redirect	Неверно
RedirectAddress	Пустой
ScanTimeout	30

Параметры политики оценки безопасных связей

Параметр	Значение
Name	Политика оценки
AdminDisplayName	Политика оценки
AllowClickThrough	Верно
CustomNotificationText	Пустой
DeliverMessageAfterScan	Верно
DisableUrlRewrite	Верно
DoNotRewriteUrls	{}
EnableForInternalSenders	Неверно
EnableOrganizationBranding	Неверно
EnableSafeLinksForEmail	Верно
EnableSafeLinksForOffice	Неверно
EnableSafeLinksForTeams	Неверно
IsBuiltInProtection	Неверно
LocalizedNotificationTextList	{}
RecommendedPolicyType	Evaluation
ScanUrls	Верно
TrackClicks	Верно

Использование PowerShell для настройки условий и исключений получателей для оценки в режиме аудита

Правило, связанное с политиками оценки Defender для Office 365, управляет условиями и исключениями получателей в оценке.

Чтобы просмотреть правило, связанное с оценкой, выполните следующую команду в Exchange Online PowerShell:

Get-ATPEvaluationRule

Чтобы использовать Exchange Online PowerShell для изменения того, к кому относится оценка, используйте следующий синтаксис:

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

В этом примере настраиваются исключения из оценки для указанных почтовых ящиков операций безопасности (SecOps).

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

Включение или отключение оценки в режиме аудита с помощью PowerShell

Чтобы включить или отключить оценку в режиме аудита, необходимо включить или отключить правило, связанное с оценкой. Значение свойства State правила оценки показывает, включено ли правило или отключено.

Выполните следующую команду, чтобы определить, включена или отключена оценка:

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

Выполните следующую команду, чтобы отключить оценку, если она включена:

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

Выполните следующую команду, чтобы включить оценку, если она отключена:

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

Политики и правила в блочном режиме

Как описано ранее, при выборе режима блокировки для пробной версии политики создаются с помощью стандартного шаблона для предустановленных политик безопасности.

Сведения об использовании Exchange Online PowerShell для просмотра отдельных политик безопасности, связанных со стандартной предустановленной политикой безопасности, а также для просмотра и настройки условий и исключений получателей для предустановленной политики безопасности с помощью Exchange Online PowerShell, см. в статье Предустановленные политики безопасности в Exchange Online PowerShell.