Поделиться через

Новые возможности Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В этой статье перечислены новые функции в последнем выпуске Microsoft Defender для Office 365. Функции, которые в настоящее время находятся в предварительной версии, обозначаются с помощью (предварительная версия).

Узнайте больше, посмотрев это видео.

Чтобы найти в стратегии Развития Microsoft 365 функции Defender для Office 365, используйте эту ссылку.

Для получения дополнительных сведений о новых возможностях других средств обеспечения безопасности Microsoft Defender см.:

Июль 2024 г.

  • 45 дней после последней даты использования. Теперь значение Remove allow entry after 45 days after last used date ( Удалить допустимую запись через>45 дней после последней использованной даты ) теперь используется по умолчанию для новых записей разрешения из отправки и существующих записей разрешений в списке разрешений и блокировок клиента. Активируется запись разрешения, а свойство LastUsedDate обновляется при обнаружении сущности и обнаружении как вредоносной во время потока обработки почты или во время щелчка. После того как система фильтрации определит, что сущность чиста, запись разрешения автоматически удаляется через 45 дней. По умолчанию срок действия записей для подделанных отправителей не истечет.

  • (общедоступная версия) Ресурсы центра обучения перемещены с портала Microsoft Defender на learn.microsoft.com. Получите доступ к обучению XDR Ninja в Microsoft Defender, схемам обучения, модулям обучения и многому другому. Просмотрите список схем обучения и отфильтруйте их по продукту, роли, уровню и предмету.

  • (общедоступная версия) Теперь сотрудники SecOps могут освобождать сообщения электронной почты из карантина или перемещать сообщения из карантина обратно в папки "Входящие" пользователей непосредственно из раздела "Действия " в обозревателе угроз, "Расширенная охота", "Настраиваемое обнаружение", на странице сущностей "Электронная почта" и на панели "Сводка по электронной почте". Эта возможность позволяет операторам безопасности более эффективно управлять ложными срабатываниями без потери контекста. Дополнительные сведения см. в разделе Охота на угрозы: исправление электронной почты.

Май 2024

  • Блокировка доменов и поддоменов верхнего уровня в списке разрешенных и заблокированных клиентов. Вы сможете создавать записи блока в доменах & адреса электронной почты, используя формат *.TLD, где TLD может быть любой домен верхнего уровня или *.SD1.TLD, *.SD2.SD1.TLD, *.SD3.SD2.SD1.TLDи аналогичные шаблоны для блокировки поддомена. Записи блокируют все сообщения электронной почты, полученные или отправленные на любые адреса электронной почты в домене или поддомене во время потока обработки почты.

  • Автоматическая обратная связь конечных пользователей. Возможность автоматической отправки отзывов пользователей в Microsoft Defender для Office 365 позволяет организациям автоматически реагировать на отправки фишинга конечными пользователями на основе вердикта автоматического расследования. Подробнее.

  • Мы представляем функции очистки копирования отправителя в обозревателе угроз, сущности электронной почты, панели сводки и расширенной охоты. Эти новые функции упрощают процесс управления отправленными элементами, особенно для администраторов, которые используют действия Переместить в папку почтового ящика>Обратимое удаление и Переместить в папку>"Входящие". Дополнительные сведения см. в разделе Охота на угрозы: мастер принятия действий. Ключевые моменты:

  • Интеграция с обратимым удалением. Очистка копии отправителя будет включена в действие Обратимое удаление.

    • Широкая поддержка. Это действие будет поддерживаться на различных платформах XDR Defender, включая обозреватель угроз, мастер принятия действий из сущности электронной почты, панель сводки, расширенная охота и через API Microsoft Graph.
    • Возможность отмены. Будет доступно действие отмены, позволяющее отменить очистку, переместив элементы обратно в папку Отправленные.

Апрель 2024 г.

  • Дата последнего использования добавлена в записи списка разрешенных и заблокированных клиентов для доменов и адресов электронной почты, файлов и URL-адресов.

  • Улучшенная ясность результатов отправки. Теперь администраторы и операторы безопасности видят улучшенные результаты в отправке сообщений электронной почты, сообщений Microsoft Teams, вложений, URL-адресов и сообщений, сообщаемых пользователями. Эти обновления направлены на устранение неоднозначности, связанной с текущими результатами отправки. Результаты уточняются, чтобы обеспечить ясность, согласованность и краткость, что делает результаты отправки более практическими. Подробнее.

  • Действие действие заменяет раскрывающийся список Действия сообщения на вкладке Электронная почта (представление) области сведений представлений Все сообщения электронной почты, вредоносных программ или фишинга в обозревателе угроз (обозреватель):

    • Сотрудники SecOps теперь могут создавать блоки на уровне клиента в URL-адресах и файлах с помощью списка разрешенных и заблокированных клиентов непосредственно из обозревателя угроз.
    • Для 100 или менее сообщений, выбранных в обозревателе угроз, сотрудники SecOps могут выполнять несколько действий с выбранными сообщениями с одной и той же страницы. Например:
      • Очистка сообщений электронной почты или предложение по исправлению электронной почты.
      • Отправка сообщений в корпорацию Майкрософт.
      • Запуск исследований.
      • Блокировать записи в списке разрешенных и заблокированных клиентов.
    • Действия являются контекстными на основе последнего расположения доставки сообщения, но сотрудники SecOps могут использовать переключатель Показать все действия ответа , чтобы разрешить все доступные действия.
    • Для 101 или более выбранных сообщений доступны только варианты очистки электронной почты и предложения по исправлению.

    Совет

    Новая панель позволяет сотрудникам SecOps искать индикаторы компрометации на уровне клиента, и действие блока легко доступно.

    Дополнительные сведения см. в разделе Охота на угрозы: исправление электронной почты.

Март 2024 г.

  • Функции имитации копирования в обучении моделированию атак. Теперь администраторы могут дублировать существующие имитации и настраивать их в соответствии с конкретными требованиями. Эта функция экономит время и усилия, используя ранее запущенные имитации в качестве шаблонов при создании новых. Подробнее.
  • Обучение имитации атак теперь доступно в Microsoft 365 DoD. Подробнее.

Февраль 2024 г.

  • Охота на атаки на основе QR-кода и реагирование на них. Команды безопасности теперь могут видеть URL-адреса, извлеченные из QR-кодов с QR-кодом в качестве источника URL-адреса, на вкладке URL-адресастраницы сущности электронной почты, а QRCode — в столбце UrlLocation таблицы EmailUrlInfo в расширенной охоте. Вы также можете фильтровать сообщения электронной почты по URL-адресам, внедренным в QR-коды, используя QR-код для фильтра URL-адреса источника в представлениях Все сообщения электронной почты, вредоносные программы и фишинга в обозревателе угроз (проводник).

Январь 2024 г.

  • Новые учебные модули, доступные в обучении по имитации атак. Научите пользователей распознавать и защищать себя от фишинговых атак с ПОМОЩЬЮ QR-кода. Дополнительные сведения см. в этой записи блога.
  • Предоставление намерения во время отправки теперь общедоступно. Администраторы могут определить, отправляют ли они элемент в Корпорацию Майкрософт для получения второго мнения или они отправляют сообщение, так как оно является вредоносным и было пропущено корпорацией Майкрософт. Благодаря этому изменению анализ отправленных администратором сообщений (электронная почта и Microsoft Teams), URL-адресов и вложений в сообщениях электронной почты майкрософт еще больше упрощается и приводит к более точному анализу. Подробнее.

Декабрь 2023 г.

  • Защита от фишинга с QR-кодом в Exchange Online Protection и Microsoft Defender для Office 365. Новые возможности обнаружения с помощью обнаружения изображений, сигналов угроз, анализ URL-адресов теперь извлекает QR-коды из URL-адресов и блокирует фишинговые атаки на основе QR-кода из текста сообщения электронной почты. Дополнительные сведения см. в нашем блоге.

  • Унифицированный RBAC В Microsoft Defender XDR теперь общедоступен. Единый RBAC В Defender XDR поддерживает все сценарии Defender для Office 365, которые ранее контролировались разрешениями на совместную работу по электронной почте & и разрешениями Exchange Online. Дополнительные сведения о поддерживаемых рабочих нагрузках и ресурсах данных см. в статье Единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR.

    Совет

    Единый RBAC defender XDR недоступен в Microsoft 365 для государственных организаций в облаке высокого уровня (GCC High) или Министерстве обороны (DoD).

Ноябрь 2023 г.

  • Расширенный интерфейс действий с помощью сущности электронной почты или панели сводки. В рамках изменения администраторы безопасности могут выполнять несколько действий в рамках потоков FP/FN. Подробнее.
  • Список разрешенных и заблокированных клиентов поддерживает дополнительные записи в каждой категории (домены & адреса электронной почты, файлы и URL-адреса:
    • Microsoft Defender для Office 365 (план 2) поддерживает 10 000 блок-записей и 5000 разрешенных записей (с помощью отправки администратора) в каждой категории.
    • Microsoft Defender для Office 365 (план 1) поддерживает 1000 блокировок и 1000 разрешенных записей (с помощью отправки администратором) в каждой категории.
    • Exchange Online Protection остается на уровне 500 блок-записей и 500 разрешенных записей (через отправки администратора) в каждой категории.

Октябрь 2023

Сентябрь 2023 г.

  • Блокировка домена верхнего уровня по URL-адресу доступна в списке разрешенных блокировок клиента. Подробнее.
  • Обучение имитации атак теперь доступно в Microsoft 365 GCC High. Подробнее.

Август 2023 г.

  • Если пользователь сообщил параметры в организации отправлять сообщения пользователя (электронная почта и Microsoft Teams) в корпорацию Майкрософт (исключительно или в дополнение к почтовому ящику отчетов), мы теперь делаем те же проверки, что и при отправке администраторами сообщений в Корпорацию Майкрософт для анализа со страницы Отправки .
  • Защита внутри организации по умолчанию. По умолчанию сообщения, отправляемые между внутренними пользователями, идентифицируемые как фишинг с высокой степенью достоверности, помещаются в карантин. Администраторы изменяют этот параметр в политике защиты от нежелательной почты по умолчанию или в пользовательских политиках (отказ от защиты внутри организации или включение других решений фильтрации нежелательной почты). Сведения о конфигурации см . в разделе Настройка политик защиты от нежелательной почты в EOP.

Июль 2023

Май 2023

  • Встроенные отчеты в Outlook в Интернете поддерживают передачу сообщений из общих почтовых ящиков или других почтовых ящиков делегатом.
    • Для общих почтовых ящиков требуется разрешение "Отправить как" или "Отправить от имени" для пользователя.
    • Для других почтовых ящиков для делегата требуются разрешения "Отправить как" или "Отправить от имени" и "Чтение" и "Управление".

Апрель 2023 г.

Март 2023 г.

  • Безопасность совместной работы в Microsoft Teams. С увеличением использования средств совместной работы, таких как Microsoft Teams, также возросла вероятность вредоносных атак с использованием URL-адресов и сообщений. Microsoft Defender для Office 365 расширяет свою защиту от безопасных ссылок с расширенными возможностями автоматической очистки (ZAP), карантина и отчетности конечных пользователей о потенциальных вредоносных сообщениях своим администраторам. Дополнительные сведения см. в статье Поддержка Microsoft Defender для Office 365 для Microsoft Teams (предварительная версия).
  • Встроенная защита: время включения защиты от щелчков в безопасных ссылках для электронной почты. По умолчанию корпорация Майкрософт защищает URL-адреса в сообщениях электронной почты во время щелчка в рамках этого обновления параметров безопасных ссылок (EnableSafeLinksForEmail) в рамках встроенной предустановленной политики безопасности защиты. Сведения о конкретных защитах безопасных ссылок в встроенной политике защиты см. в разделе Параметры политики безопасных ссылок.
  • Уведомления о карантине, включенные в предустановленных политиках безопасности. Если ваша организация включила или включит стандартные или строгие предустановленные политики безопасности, политики будут автоматически обновлены для использования новой политики карантина DefaultFullAccessWithNotificationPolicy (уведомления включены) независимо от того, где используется DefaultFullAccessPolicy (уведомления отключены). Дополнительные сведения об уведомлениях о карантине см. в разделе Уведомления о карантине. Дополнительные сведения о конкретных параметрах в предустановленных политиках безопасности см. в статье Рекомендации Майкрософт по параметрам безопасности EOP и Defender для Office 365.

Январь 2023 г.

Декабрь 2022 г.

Октябрь 2022

  • Дедупликация действий кластера автоматизированных расследований. Мы добавили дополнительные проверки. Если тот же кластер исследования уже утвержден в течение последнего часа, новое повторяющееся исправление не обрабатывается повторно.

  • Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов:

    • При управлении сроком действия разрешений (в настоящее время в закрытой предварительной версии), если корпорация Майкрософт не узнала об этом, корпорация Майкрософт автоматически продлевает срок действия разрешений, срок действия которых скоро истечет, на 30 дней, чтобы предотвратить повторное попадание в нежелательную почту или карантин.
    • Клиенты в облачных средах для государственных организаций теперь могут создавать разрешенные и блокировать записи для URL-адресов и вложений в списке разрешенных и заблокированных клиентов с помощью отправки администратором URL-адресов и вложений электронной почты. Данные, отправляемые в интерфейсе отправки, не покидают клиента, что соответствует обязательствам по размещению данных для облачных клиентов для государственных организаций.

  • Улучшение оповещений о щелчках URL-адреса:

    • В новом сценарии обратного просмотра оповещение "Обнаружен потенциально вредоносный url-адрес щелчка" теперь включает все щелчки в течение последних 48 часов (для электронной почты) с момента обнаружения решения по вредоносному URL-адресу.

Сентябрь 2022 г.

  • Улучшение защиты от спуфингов для внутренних доменов и отправителей:

    • Для защиты от спуфингов разрешенные отправители или домены, определенные в политике защиты от нежелательной почты и в списках разрешенных пользователей, теперь должны пройти проверку подлинности, чтобы обеспечить соблюдение разрешенных сообщений. Изменение затрагивает только сообщения, которые считаются внутренними (домен отправителя или отправителя находится в принятом домене в организации). Все остальные сообщения по-прежнему обрабатываются, как и сегодня.

  • Автоматическое перенаправление из центра уведомлений Office в единый центр уведомлений: Центр уведомлений в разделе Совместная работа по электронной почте & Электронная почта &центрhttps://security.microsoft.com/threatincidents уведомлений попроверке> совместной работы > автоматически перенаправляется в раздел Действия & журналцентра>https://security.microsoft.com/action-center/history уведомлений отправки>.

  • Автоматическое перенаправление из Центра соответствия требованиям & безопасности Office 365 на портал Microsoft Defender: Начинается автоматическое перенаправление пользователей, обращаюющихся к решениям безопасности в Центре соответствия требованиям & безопасности Office 365 (protection.office.com), на соответствующие решения на портале Microsoft Defender (security.microsoft.com). Это изменение касается всех рабочих процессов безопасности, таких как (например, оповещения, управление угрозами и отчеты).

    • URL-адреса перенаправления:
      • Среда GCC:
        • Url-адрес Центра соответствия требованиям безопасности Office 365 &: protection.office.com
        • URL-адрес XDR в Microsoft Defender: security.microsoft.com
      • Среда GCC-High:
        • Url-адрес Центра соответствия требованиям безопасности & Office 365: scc.office365.us
        • URL-адрес XDR в Microsoft Defender: security.microsoft.us
      • Среда DoD:
        • Url-адрес Центра соответствия требованиям безопасности Office 365 &: scc.protection.apps.mil
        • URL-адрес XDR в Microsoft Defender: security.apps.mil

  • Элементы в Центре соответствия требованиям безопасности Office 365 &, не связанные с безопасностью, не перенаправляются в XDR в Microsoft Defender. Сведения о перенаправлении решений для соответствия требованиям в Центр соответствия требованиям Microsoft 365 см. в разделе 244886 публикации Центра сообщений.

  • Это изменение является продолжением microsoft Defender XDR предоставляет унифицированный интерфейс XDR для клиентов GCC, GCC High и DoD — Microsoft Tech Community, о чем было объявлено в марте 2022 г.

  • Это изменение позволяет пользователям просматривать дополнительные решения безопасности XDR в Microsoft Defender и управлять ими на одном портале.

  • Это изменение влияет на всех клиентов, использующих Центр соответствия требованиям & безопасности Office 365 (protection.office.com), включая Microsoft Defender для Office (план 1 или план 2), Microsoft 365 E3 / E5, Office 365 E3/ E5 и Exchange Online Protection. Полный список см. в руководстве по обеспечению безопасности & соответствия Microsoft 365.

  • Это изменение влияет на всех пользователей, которые входят на портал безопасности и соответствия требованиям Office 365 (protection.office.com), включая команды безопасности и конечных пользователей, которые получают доступ к возможности карантина электронной почты, на портале> Microsoft DefenderReview>Quarantine.

  • Перенаправление включено по умолчанию и влияет на всех пользователей клиента.

  • Глобальные администраторы* и администраторы безопасности могут включить или отключить перенаправление на портале Microsoft Defender, перейдя в раздел Параметры>Электронная почта &перенаправление портала совместной работы > и переключив переключатель перенаправления.

    Важно!

    * Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

  • Встроенная защита: профиль, обеспечивающий базовый уровень защиты безопасных ссылок и безопасных вложений, который включен по умолчанию для всех клиентов Defender для Office 365. Дополнительные сведения об этой новой политике и порядке приоритета см. в разделе Предустановленные политики безопасности. Сведения о конкретных заданных элементах управления "Безопасные ссылки" и "Безопасные вложения" см. в разделах Параметры безопасных вложений и Параметры политики безопасных ссылок.

  • Уровень массовой жалобы теперь доступен в таблице EmailEvents в Advanced Hunting с числовыми значениями BCL от 0 до 9. Более высокая оценка BCL указывает на то, что массовое сообщение с большей вероятностью создает жалобы и чаще будет спамом.

Июль 2022 г.

Июнь 2022 г.

Апрель 2022 г.

Март 2022 г.

Январь 2022 г.

Октябрь 2021 г.

Сентябрь 2021 г.

Август 2021 г.

Июль 2021

  • Улучшения анализа электронной почты в автоматизированных исследованиях
  • Расширенная доставка. Представляем новую возможность для настройки доставки сторонних фишинговых симуляций пользователям и нефильтрованных сообщений в почтовые ящики операций безопасности.
  • Безопасные ссылки для Microsoft Teams
  • Новые политики оповещений для следующих сценариев: скомпрометированные почтовые ящики, фишинг форм, вредоносные сообщения, доставленные из-за переопределений и округление zap
    • Подозрительные действия по пересылке сообщений электронной почты
    • Пользователю запрещено делиться формами и собирать ответы
    • Форма заблокирована из-за возможной попытки фишинга
    • Форма помечена и подтверждена как фишинговая
    • Новые политики оповещений для ZAP
  • Оповещения Microsoft Defender для Office 365 теперь интегрированы в microsoft Defender XDR — единая очередь оповещений XDR Microsoft Defender и унифицированная очередь оповещений
  • Теги пользователей теперь интегрированы в возможности оповещений Microsoft Defender для Office 365, включая: очередь оповещений и сведения в office 365 Безопасность & соответствие, а также определение настраиваемых политик оповещений для тегов пользователей для создания целевых политик оповещений.
    • Теги также доступны в очереди унифицированных оповещений на портале Microsoft Defender (Microsoft Defender для Office 365 план 2).

Июнь 2021

Апрель/май 2021 г.

  • Страница сущности электронной почты. Единое 360-градусное представление электронной почты с обогащенной информацией об угрозах, проверке подлинности и обнаружении, сведениями о детонации и новым интерфейсом предварительной версии электронной почты.
  • API управления Office 365: обновления emailEvents (RecordType 28) для добавления действия доставки, исходных и последних расположений доставки, а также обновленных сведений об обнаружении.
  • Аналитика угроз для Defender для Office 365: просмотр активных субъектов угроз, популярных методов и направлений атак, а также подробные отчеты от исследователей Майкрософт о текущих кампаниях.

Февраль/март 2021 г.

  • Интеграция идентификаторов оповещений (поиск с помощью идентификатора оповещения и Alert-Explorer навигации) в интерфейсах поиска
  • Увеличение ограничений для экспорта записей с 9990 до 200 000 в охотничьем опыте
  • Продление ограничения на хранение данных и поиск в обозревателе (и обнаружение в режиме реального времени) для пробных клиентов с 7 (предыдущее ограничение) до 30 дней при охоте
  • Новые сводки поиска, называемые олицетворенным доменом и олицетворенным пользователем в обозревателе, и обнаружение в режиме реального времени для поиска атак олицетворения против защищенных пользователей или доменов. Дополнительные сведения см. в разделе Представление фишинга в обозревателе угроз и обнаружение в режиме реального времени.

Microsoft Defender для Office 365 (план 1 и план 2)

Знаете ли вы, что Microsoft Defender для Office 365 доступен в двух планах? Узнайте больше о том, что включает в себя каждый план.

См. также