Анализатор конфигурации для политик защиты в EOP и Microsoft Defender для Office 365

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Анализатор конфигурации на портале Microsoft Defender предоставляет централизованное расположение для поиска и исправления политик безопасности, где параметры менее безопасны, чем параметры профиля стандартной защиты и строгой защиты в предустановленных политиках безопасности.

Анализатор конфигурации анализирует следующие типы политик:

• Политики Exchange Online Protection (EOP): включает организации Microsoft 365 с почтовыми ящиками Exchange Online и автономные организации EOP без почтовых ящиков Exchange Online:

  • Политики защиты от нежелательной почты.
  • Политики защиты от вредоносных программ.
  • Политики защиты от фишинга EOP.

• Политики Microsoft Defender для Office 365: включает организации с подписками на надстройки Microsoft 365 E5 или Defender для Office 365:

  • Политики защиты от фишинга в Microsoft Defender для Office 365:
    • Те же подделывание параметров , которые доступны в политиках защиты от фишинга EOP.
    • Параметры олицетворения
    • Расширенные пороговые значения фишинга
  • Политики безопасных ссылок.
  • Политики безопасных вложений.

Значения параметров политики Standard и Strict, используемые в качестве базовых показателей, описаны в разделе Рекомендуемые параметры для EOP и Microsoft Defender для безопасности Office 365.

Анализатор конфигурации также проверяет следующие параметры, не относящиеся к политике:

• DKIM: обнаруживаются ли записи SPF и DKIM для указанного домена в DNS.
• Outlook: включены ли в организации собственные внешние идентификаторы отправителей Outlook.

Что нужно знать перед началом работы

• Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Анализатор конфигурации, используйте .https://security.microsoft.com/configurationAnalyzer

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR (если активны разрешения Microsoft Defender & совместной работы>Defender для Office 365. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

  • Электронная почта & разрешения на совместную работу на портале Microsoft Defender:

    • Используйте анализатор конфигурации и обновите затронутые политики безопасности: Членство в группах ролей "Управление организацией" или "Администратор безопасности ".
    • Доступ только для чтения к анализатору конфигурации: членство в группах ролей "Глобальный читатель" или "Читатель безопасности ".

  • Разрешения Exchange Online. Членство в группе ролей "Управление организацией только для просмотра " предоставляет доступ только для чтения к анализатору конфигурации.

  • Разрешения Microsoft Entra. Членство в ролях "Глобальный администратор^*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

    Важно!

    ^* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

Использование анализатора конфигурации на портале Microsoft Defender

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Электронная почта & политики совместной работы>& Правила>Политики> угрозАнализатор конфигурации в разделе Шаблонные политики. Чтобы перейти непосредственно на страницу Анализатор конфигурации, используйте .https://security.microsoft.com/configurationAnalyzer

На странице Анализатор конфигурации есть три основных вкладки:

• Стандартные рекомендации. Сравните существующие политики безопасности со стандартными рекомендациями. Вы можете настроить значения параметров, чтобы привести их к тому же уровню, что и "Стандартный".
• Строгие рекомендации. Сравните существующие политики безопасности со строгими рекомендациями. Вы можете настроить значения параметров, чтобы привести их к тому же уровню, что и Strict.
• Анализ и журнал смещения конфигурации. Аудит и отслеживание изменений политики с течением времени.

Вкладки Стандартные рекомендации и Строгие рекомендации в анализаторе конфигурации

По умолчанию анализатор конфигурации открывается на вкладке Стандартные рекомендации . Вы можете перейти на вкладку Строгие рекомендации . Параметры, макет и действия одинаковы на обеих вкладках.

В первом разделе вкладки отображается количество параметров в политике каждого типа, которые нуждаются в улучшении по сравнению со стандартной или строгой защитой. Ниже приведены типы политик.

• Защита от нежелательной почты
• Защита от фишинга
• Защита от вредоносных программ
• Безопасные вложения (если ваша подписка включает Microsoft Defender для Office 365)
• Безопасные ссылки (если ваша подписка включает Microsoft Defender для Office 365)
• DKIM
• Встроенная защита (если ваша подписка включает Microsoft Defender для Office 365)
• Outlook

Если тип и номер политики не отображаются, то все политики этого типа соответствуют рекомендуемой настройке стандартной или строгой защиты.

Остальная часть вкладки представляет собой таблицу параметров, которые необходимо довести до уровня "Стандартная" или "Строгая защита". Таблица содержит следующие столбцы^*:

• Рекомендации: значение параметра в профиле стандартной или строгой защиты.
• Политика: имя затрагиваемой политики, содержащей параметр.
• Имя группы политик или параметра: имя параметра, который требует вашего внимания.
• Тип политики: защита от нежелательной почты, защита от фишинга, защита от вредоносных программ, безопасные ссылки или безопасные вложения.
• Текущая конфигурация: текущее значение параметра.
• Последнее изменение: дата последнего изменения политики.
• Состояние. Как правило, это значение не запущено.

^* Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Уменьшение масштаба в веб-браузере.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтры доступны следующие фильтры:

• Защита от нежелательной почты
• Защита от фишинга
• Защита от вредоносных программ
• Безопасные вложения
• Безопасные ссылки
• Встроенное правило защиты ATP
• DKIM
• Outlook

По завершении во всплывающем окне Фильтры нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение для поиска определенных записей.

Просмотр сведений о рекомендуемом параметре политики

На вкладке Стандартная защита или Строгая защита анализатора конфигурации выберите запись, щелкнув в любом месте строки, кроме флажка рядом с именем рекомендации. В открывавшемся всплывающем окне сведений доступны следующие сведения:

• Политика: имя затронутой политики.
• Почему?: сведения о том, почему рекомендуется использовать значение параметра.
• Конкретный параметр для изменения и значение, на которое его нужно изменить.
• Просмотр политики. По ссылке вы перейдете к всплывающему элементу сведений о затронутой политике на портале Microsoft Defender, где можно вручную обновить параметр.
• Ссылка на рекомендуемые параметры для безопасности EOP и Microsoft Defender для Office 365.

Совет

Чтобы просмотреть сведения о других рекомендациях, не выходя из всплывающего меню сведений, используйте предыдущие и следующие в верхней части всплывающего окна.

Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.

Выполнение действий с рекомендуемыми параметрами политики

На вкладке Стандартная защита или Строгая защита анализатора конфигурации выберите запись, установив флажок рядом с именем рекомендации. На странице отображаются следующие действия:

• Применить рекомендацию. Если рекомендация требует нескольких шагов, это действие неактивно.

  При выборе этого действия открывается диалоговое окно подтверждения (с параметром больше не отображать диалоговое окно). При нажатии кнопки ОК происходит следующее:

  • Параметр обновляется до рекомендуемого значения.
  • Рекомендация по-прежнему выбрана, но единственное доступное действие — Обновить.
  • Значение Status для строки изменится на Complete.

• Просмотр политики. Вы перейдете к всплывающему элементу сведений о затронутой политике на портале Microsoft Defender, где можно вручную обновить параметр.

• Экспорт: экспортирует выбранную рекомендацию в файл .csv, выберите Экспорт.

  Вы также можете экспортировать рекомендации после выбора нескольких рекомендаций или после выбора всех рекомендаций, установив флажок рядом с заголовком столбца Рекомендации .

После автоматического или ручного обновления параметра выберите Обновить , чтобы просмотреть меньшее количество рекомендаций и удалить обновленную строку из результатов.

Вкладка журнала и анализа смещения конфигурации в анализаторе конфигурации

Примечание.

Для анализа смещения необходимо включить единый аудит .

На этой вкладке можно отслеживать изменения политик безопасности и то, как эти изменения сравниваются со стандартными или строгими параметрами. По умолчанию отображаются перечисленные ниже сведения.

• Дата последнего изменения
• Изменено
• Имя параметра
• Политика: имя затронутой политики.
• Тип: защита от нежелательной почты, защита от фишинга, защита от вредоносных программ, безопасные ссылки или безопасные вложения.
• Изменение конфигурации: старое и новое значение параметра.
• Смещение конфигурации: значение увеличение или уменьшение , указывающее, что уровень безопасности увеличен или снижен по сравнению с рекомендуемыми параметрами Standard или Strict.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтры доступны следующие фильтры:

• Дата: время начала и время окончания. Вы можете вернуться до 90 дней с сегодняшнего дня.
• Тип: Стандартная защита или Строгая защита.

По завершении во всплывающем окне Фильтры нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле поиска ::image type="icon" source="media/m365-cc-sc-search-icon.png" border="false"::: для фильтрации записей по определенному изменено, имени параметра или значению типа .

Чтобы экспортировать записи, отображаемые на вкладке Анализ смещения конфигурации и журнал , в файл .csv, выберите Экспорт.