Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Сведения в этой статье относятся к функциям, которые являются частью экосистемы поставщиков ICES. Однако некоторые функции могут быть доступны не всем пользователям. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении временная шкала доступности.
Экосистема поставщиков интегрированной облачной Email security (ICES) позволяет Microsoft Defender для Office 365 интегрироваться с доверенными поставщиками безопасности электронной почты сторонних производителей. Интеграция поддерживает многоуровневую стратегию защиты. Это позволяет клиентам воспользоваться преимуществами нишевых возможностей внешних партнеров и поддерживать единый интерфейс на портале Microsoft Defender.
Преимущества экосистемы поставщиков ICES включают в себя:
- Единый карантин. Просмотр и управление электронной почтой, помещенной в карантин, как от Defender для Office 365, так и от сторонних поставщиков в одном интерфейсе.
- Консолидированные панели мониторинга. Доступ к метрикам эффективности во всех интегрированных решениях, чтобы понять охват обнаружения и результаты.
- Глубинная защита. Повышение уровня защиты путем наложения возможностей сторонних корпораций наряду с собственными средствами защиты в Defender для Office 365.
- Упрощенные операции. Простая интеграция с поставщиками безопасности электронной почты с поддержкой API с помощью объединенных рабочих процессов и аналитических сведений на портале Defender.
В оставшейся части этой статьи описываются операции, цели и рекомендации по развертыванию экосистемы поставщиков ICES.
Совет
В настоящее время конкретные сведения об API недоступны.
Начало работы
Проверка допустимости лицензий. Убедитесь, что у вашей организации есть лицензии Defender для Office 365 плана 2 или Microsoft 365 E5. Дополнительные сведения о Defender для Office 365 плане 2 см. в разделе Возможности Defender для Office 365 плана 2.
Выберите утвержденного стороннего поставщика безопасности:
- Darktrace/EMAIL
- Платформа KnowBe4 Defend
Включить интеграцию. После подключения к стороннему поставщику безопасности его решение будет легко и автоматически включено в архитектуру безопасности.
Мониторинг и управление. Используйте унифицированные панели мониторинга и карантин в Defender для Office 365 для мониторинга активности угроз и принятия мер.
Как работает интеграция
Интеграция позволяет стороннему поставщику передавать сведения о конкретном сообщении через частную API Graph Майкрософт. Например:
- Вердикт.
- Доверительный уровень.
- Все сведения об угрозах, которыми они хотели бы поделиться.
Defender для Office 365 использует эти сведения на следующих этапах:
- Подтверждает вердикт.
- Определяет самый высокий (самый серьезный) вердикт по сообщению.
- Обновления сообщение и (или) журналы с информацией о вердикте.
- Перемещает обнаруженное сообщение в указанное политикой расположение.
Результаты этой интеграции можно увидеть в нескольких унифицированных интерфейсах, как описано далее в этой статье. Например:
- Карантин
- Обозреватель угроз (Обозреватель)
- Страница сущности "Электронная почта"
- Расширенная охота
- Отчеты
Настройка политик
Чтобы обеспечить оптимальную защиту и согласованное поведение в интегрированных решениях, необходимо соответствующим образом настроить политики безопасности как в Defender для Office 365, так и на любых платформах сторонних поставщиков.
рекомендации по политике Defender для Office 365
Корпорация Майкрософт рекомендует включить Standard и (или) строгиепредустановленные политики безопасности для всех пользователей в вашей организации. Эти предустановки предназначены для обеспечения базовых показателей защиты в соответствии с текущей аналитикой угроз и рекомендациями.
Совет
Дополнительные сведения о предустановленных политиках безопасности и пользовательских политиках см. в статье Определение стратегии политики защиты.
Если вы планируете использовать пользовательские политики защиты вместо предустановленных политик безопасности, необходимо периодически использовать анализатор конфигурации для выявления и устранения отклонений от рекомендуемых базовых показателей политики.
Согласование политик со сторонними поставщиками
Для обеспечения согласованной обработки сообщений и реагирования на угрозы в экосистеме важно согласовать конфигурации политик между Defender для Office 365 и интегрированным сторонним поставщиком. Такое выравнивание гарантирует, что сообщения будут отображаться в прогнозируемом поведении и соответствующим образом отображаются на унифицированных панелях мониторинга и представлениях карантина.
После установления выравнивания политик вы можете управлять оставшейся частью жизненного цикла интеграции непосредственно на портале Defender. Например:
- Мониторинг
- Reporting
- Отклик
Возможности портала
Портал Defender предоставляет комплексный и интегрированный интерфейс для управления собственными и сторонними решениями по обеспечению безопасности электронной почты. Возможности расширены благодаря участию в экосистеме поставщиков ICES, как описано в следующих подразделах.
Карантин
Сообщения, помещенные в карантин сторонними поставщиками, отображаются в режиме карантина . Группы безопасности могут выполнять поиск, предварительный просмотр, выпуск, создание отчетов и выполнение действий по исправлению этих сообщений, используя те же рабочие процессы, что и Defender для Office 365 обнаружения. Это унифицированное представление снижает операционную сложность и обеспечивает согласованную обработку угроз в стеке безопасности электронной почты.
Обозреватель угроз
Обозреватель угроз (Обозреватель) обеспечивает видимость угроз электронной почты в организации в режиме реального времени. Сообщения, обработанные сторонними поставщиками и представленные через экосистему, включаются в Обозреватель представления. Эта интеграция позволяет аналитикам безопасности исследовать кампании, трассировать пути доставки сообщений и сопоставлять сигналы угроз между источниками обнаружения.
Страница сущности "Электронная почта"
Страница сущности Email объединяет все доступные метаданные и данные телеметрии для данного сообщения. Например:
- Заголовки
- События доставки
- Вердикты обнаружения
- Действия пользователя
Для сообщений, обработанных партнерами по экосистеме, на странице содержится технология обнаружения, зависят от поставщика. Эта интеграция предлагает полное судебно-медицинское представление в одной панели стекла.
Расширенная охота
Команды безопасности могут использовать возможности расширенной охоты в Defender для Office 365 для запроса и корреляции данных в собственных и сторонних обнаружениях поставщиков. Отправленные поставщиком сообщения представлены в таблицах EmailEvents и EmailPostDeliveryEvents . Расширенная поддержка схемы доступна для атрибутов партнеров, включая сведения об угрозах для конкретного поставщика.
Используйте этот пример запроса для просмотра обнаружения сторонних поставщиков в Advanced Hunting:
EmailEvents
| where Timestamp > ago(7d)
//List email detected by a third-party vendor
| where DetectionMethods contains "Thirdparty"
| project NetworkMessageId, RecipientEmailAddress, ThreatTypes, DetectionMethods, AdditionalFields, LatestDeliveryLocation
Отчеты
Портал Microsoft 365 Defender предоставляет централизованный интерфейс создания отчетов, который объединяет сведения как от Defender для Office 365, так и от интегрированных сторонних поставщиков. Это единое представление позволяет группам безопасности оценивать эффективность всего стека безопасности электронной почты в одном месте.
Эти сведения отображаются на следующих панелях мониторинга:
Обнаружение Email:
- Обнаружение потока почты в Defender. Сообщения Defender для Office 365 обнаружены во время потока обработки почты. Эти уникальные сообщения были незамечены сторонним поставщиком.
- Обнаружение после доставки в Defender. Сообщения, Defender для Office 365 обнаружены после доставки с помощью автоматической очистки (ZAP) нулевого часа. Эти уникальные сообщения были незамечены сторонним поставщиком.
- Обнаружение после доставки сторонних производителей: сообщения, обнаруженные сторонним поставщиком.
- Обнаружение повторяющихся данных. Сообщения Defender для Office 365 обнаруживаться во время потока обработки почты, когда сторонний поставщик также вынес вердикт.
- Обнаружение дубликатов после доставки. Сообщения Defender для Office 365 обнаружены после доставки через ZAP, где сторонний поставщик также вынес вердикт.
Обнаружения, не относящиеся к корпорации Майкрософт:
- Обнаружение после доставки. Показывает типы вердиктов в сообщениях, предоставленных сторонним поставщиком. Этот отчет представляет собой разбивку поля обнаружения после доставки сторонних разработчиков в отчете об обнаружении Email.
- Эффективность. Вычисляет уникальные обнаружения после доставки, не являющиеся корпорацией Майкрософт, по сравнению с общим числом обнаружений Defender для Office. Здесь отображается добавленное значение из стороннего решения.
Вопросы и ответы
Вопрос. У меня есть несколько решений ICES/CAPES. Как это работает?
О. Интеграция с несколькими поставщиками ICES/CAPES доступна при условии, что они являются частью партнерства по экосистеме поставщиков ICES.
Интеграция работает одинаково: каждый сторонний поставщик может предоставить вердикты по сообщениям в вашей организации. Вы можете просмотреть сторонние обнаружения и определить стороннего поставщика, ответственного за обнаружение, в интерфейсе портала Defender.
Если несколько сторонних поставщиков отправляют вердикты по одному и тому же сообщению, вердикты и объяснения регистрируются. Самый высокий (самый серьезный) вердикт между сторонними поставщиками определяет действия, предпринятые в отношении сообщения.
Вопрос: Какой вердикт имеет приоритет?
О. Наивысший вердикт имеет приоритет в следующем порядке (от самых серьезных до наименее серьезных):
- Вредоносная программа
- Фишинг с высокой вероятностью
- Фишинг
- Нежелательная почта с высокой вероятностью
- Спам
- Deleted
- Нежелательное
- Очистка или отсутствие спама
Вопрос. Что делать, если я использую другого стороннего поставщика?
О. В настоящее время интеграция экосистемы поставщиков ICES доступна только для Darktrace и KnowBe4. Если вы используете другого поставщика ICES/CAPES, вы не сможете воспользоваться преимуществами этой интеграции.
Вопрос. Взимается ли плата за сторонние данные вердикта и действия политик Defender для Office 365?
О. Нет, плата за интеграцию не взимается. Поддержка интеграции и API Graph входит в состав лицензий Defender для Office 365 плана 2.
Вопрос. Почему не отображаются отчеты об итогах по обнаружению и последующей доставке решений сторонних поставщиков?**
О. В отчетах отображаются только действия одного из авторизованных сторонних поставщиков за последние 90 дней.
Отзывы и поддержка
Чтобы отправить отзыв или запросить поддержку, обратитесь в группу учетных записей Майкрософт или воспользуйтесь ссылкой обратной связи на портале Defender.