Рекомендации по безопасности приоритетных учетных записей в Microsoft 365
Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Не все учетные записи пользователей имеют доступ к одной и той же информации о компании. Некоторые учетные записи имеют доступ к конфиденциальной информации, такой как финансовые данные, сведения о разработке продуктов, доступ партнеров к критически важным системам сборки и многому другому. В случае компрометации учетные записи, имеющие доступ к строго конфиденциальной информации, представляют серьезную угрозу. Эти типы учетных записей называются учетными записями с приоритетом. К приоритетным учетным записям относятся (но не ограничиваются ими) руководители, cisos, финансовые директора, учетные записи администраторов инфраструктуры, системные учетные записи сборки и многое другое.
Microsoft Defender для Office 365 поддерживает учетные записи с приоритетом в виде тегов, которые можно использовать в фильтрах оповещений, отчетов и расследований. Дополнительные сведения см. в разделе Теги пользователей в Microsoft Defender для Office 365.
Для злоумышленников обычные фишинговые атаки, которые создают случайную сеть для обычных или неизвестных пользователей, неэффективны. С другой стороны, фишинг или китобойные атаки, нацеленные на приоритетные учетные записи, очень полезны для злоумышленников. Таким образом, для учетных записей с приоритетом требуется более надежная защита, чем обычно, чтобы предотвратить компрометацию учетной записи.
Microsoft 365 и Microsoft Defender для Office 365 содержат несколько ключевых функций, которые обеспечивают дополнительные уровни безопасности для приоритетных учетных записей. В этой статье описаны эти возможности и способы их использования.
| Задача | Все планы Office 365 корпоративный | Microsoft 365 E3 | Microsoft 365 E5 |
|---|---|---|---|
| Повышение безопасности входа для учетных записей с приоритетом | 
|
|
|
| Использование строгих предустановленных политик безопасности для учетных записей с приоритетом |
|
|
|
| Применение тегов пользователей к учетным записям с приоритетом |
|
||
| Мониторинг приоритетных учетных записей в оповещениях, отчетах и обнаружениях |
|
||
| Обучение пользователей |
|
|
|
Примечание.
Сведения о защите привилегированных учетных записей (учетных записей администратора) см. в этой статье.
Повышение безопасности входа для учетных записей с приоритетом
Учетные записи с приоритетом требуют повышенной безопасности при входе. Вы можете повысить безопасность входа, требуя многофакторную проверку подлинности (MFA) и отключив устаревшие протоколы проверки подлинности.
Инструкции см . в разделе Шаг 1. Повышение безопасности входа для удаленных сотрудников с помощью MFA. Хотя эта статья посвящена удаленным сотрудникам, те же понятия применимы и к приоритетным пользователям.
Примечание. Настоятельно рекомендуется глобально отключить устаревшие протоколы проверки подлинности для всех приоритетных пользователей, как описано в предыдущей статье. Если бизнес-требования не позволяют сделать это, Exchange Online предлагает следующие элементы управления, которые помогут ограничить область устаревших протоколов проверки подлинности:
Вы можете (до октября 2023 г.) использовать правила клиентского доступа в Exchange Online, чтобы блокировать или разрешать обычную проверку подлинности и устаревшие протоколы проверки подлинности, такие как POP3, IMAP4 и SMTP с проверкой подлинности для определенных пользователей.
Вы можете отключить доступ по протоколам POP3 и IMAP4 для отдельных почтовых ящиков. Вы можете отключить smtp с проверкой подлинности на уровне организации и включить его в определенных почтовых ящиках, для которых он по-прежнему требуется. Инструкции см. в следующих статьях:
Также стоит отметить, что обычная проверка подлинности является устаревшей в Exchange Online для веб-служб Exchange (EWS), Exchange ActiveSync, POP3, IMAP4 и удаленного PowerShell. Дополнительные сведения см. в этой записи блога.
Использование строгих предустановленных политик безопасности для учетных записей с приоритетом
Пользователям с приоритетом требуются более строгие меры для различных средств защиты, доступных в Exchange Online Protection (EOP) и Defender для Office 365.
Например, вместо доставки сообщений, которые были классифицированы как спам, в папку "Нежелательная Email", следует поместить эти же сообщения в карантин, если они предназначены для учетных записей с приоритетом.
Этот строгий подход для учетных записей с приоритетом можно реализовать с помощью профиля Strict в предустановленных политиках безопасности.
Предустановленные политики безопасности — это удобное и централизованное расположение для применения рекомендуемых параметров строгой политики для всех средств защиты в EOP и Defender для Office 365. Дополнительные сведения см. в разделе Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365.
Дополнительные сведения о том, чем параметры строгой политики отличаются от параметров политики по умолчанию и стандартных политик, см. в статье Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.
Применение тегов пользователей к учетным записям с приоритетом
Теги пользователей в Microsoft Defender для Office 365 плане 2 (в рамках Microsoft 365 E5 или подписки на надстройку) позволяют быстро выявлять и классифицировать конкретных пользователей или группы пользователей в отчетах и расследованиях инцидентов.
Учетные записи с приоритетом — это тип встроенного тега пользователя (известного как системный тег), который можно использовать для выявления инцидентов и оповещений, связанных с приоритетными учетными записями. Дополнительные сведения о приоритетных учетных записях см. в разделе Управление и мониторинг учетных записей с приоритетом.
Вы также можете создавать настраиваемые теги для дальнейшей идентификации и классификации приоритетных учетных записей. Дополнительные сведения см. в разделе Теги пользователей. Вы можете управлять приоритетными учетными записями (системными тегами ) в том же интерфейсе, что и пользовательские теги пользователей.
Мониторинг приоритетных учетных записей в оповещениях, отчетах и обнаружениях
После того как вы защитите и пометите приоритетных пользователей, вы можете использовать доступные отчеты, оповещения и исследования в EOP и Defender для Office 365 для быстрого выявления инцидентов или обнаружений, связанных с приоритетными учетными записями. Функции, поддерживающие теги пользователей, описаны в следующей таблице.
| Функция | Описание |
|---|---|
| Оповещения | Теги пользователей, затронутых пользователей, отображаются и доступны в виде фильтров на странице Оповещения на портале Microsoft Defender. Дополнительные сведения см. в разделе Политики оповещений на портале Microsoft Defender. |
| Инциденты | Теги пользователей для всех связанных оповещений отображаются на странице Инциденты на портале Microsoft Defender. Дополнительные сведения см. в разделе Управление инцидентами и оповещениями. |
| Настраиваемые политики оповещений | Вы можете создать политики оповещений на основе тегов пользователей на портале Microsoft Defender. Дополнительные сведения см. в разделе Политики оповещений на портале Microsoft Defender. |
| Обозреватель Обнаружение в режиме реального времени |
В Обозреватель (Defender для Office 365 план 2) или обнаружения в режиме реального времени (Defender для Office 365 план 1) теги пользователей отображаются в представлении сетки Email и во всплывающем окне сведений о Email. Теги пользователей также доступны в качестве фильтруемого свойства. Дополнительные сведения см. в разделе Теги в Обозреватель угроз. |
| Страница сущности электронной почты | Вы можете фильтровать электронную почту по примененным тегам пользователей в Microsoft 365 E5 и в Defender для Office 365 1 и 2. Дополнительные сведения см. на странице сущности Email. |
| Представления кампании | Теги пользователей являются одним из многих фильтруемых свойств в представлениях кампании в Microsoft Defender для Office 365 плане 2. Дополнительные сведения см. в разделе Представления кампаний. |
| отчет о состоянии защиты от угроз; | Практически во всех представлениях и подробных таблицах в отчете о состоянии защиты от угроз можно отфильтровать результаты по приоритетным учетным записям. Дополнительные сведения см. в статье Отчет о состоянии защиты от угроз. |
| Отчет о лучших отправителях и получателях | Этот тег пользователя можно добавить в первые 20 отправителей сообщений в организации. Дополнительные сведения см. в разделе Основные отчеты отправителей и получателей. |
| Скомпрометированный отчет пользователя | В этом отчете отображаются учетные записи пользователей, помеченные как подозрительные или ограниченные в организациях Microsoft 365 с Exchange Online почтовыми ящиками. Дополнительные сведения см. в разделе Скомпрометированный отчет пользователя. |
| Администратор отправки и сообщения, сообщаемые пользователем | Используйте страницу Отправки на портале Microsoft Defender для отправки сообщений электронной почты, URL-адресов и вложений в корпорацию Майкрософт для анализа. Дополнительные сведения см. в разделе Администратор отправки и сообщения, сообщаемые пользователем. |
| Карантин | Карантин доступен для хранения потенциально опасных или нежелательных сообщений в организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) для приоритетных учетных записей. Дополнительные сведения см. в разделе Сообщения электронной почты о карантине. |
| Имитация атаки | Чтобы протестировать политики и методики безопасности, запустите имитацию кибератак для целевых пользователей. Дополнительные сведения см. в разделе Моделирование атак. |
| Email отчет о проблемах с приоритетными учетными записями | Отчет о Email проблем с приоритетными учетными записями в Центре администрирования Exchange (EAC) содержит сведения о недоставленных и отложенных сообщениях для приоритетных учетных записей. Дополнительные сведения см. в статье Email отчета о проблемах с приоритетными учетными записями. |
Обучение пользователей
Обучение пользователей с приоритетными учетными записями может помочь этим пользователям и вашей команде по работе с безопасностью много времени и разочарования. Опытные пользователи менее склонны открывать вложения или щелкать ссылки в сомнительных сообщениях электронной почты, и они с большей вероятностью будут избегать подозрительных веб-сайтов.
Руководство по кампании по кибербезопасности Гарвардской школы Кеннеди содержит отличное руководство по формированию прочной культуры осведомленности о безопасности в вашей организации, включая обучение пользователей выявлению фишинговых атак.
Microsoft 365 предоставляет следующие ресурсы для информирования пользователей в вашей организации:
| Понятие | Ресурсы | Описание |
|---|---|---|
| Microsoft 365 | Настраиваемые схемы обучения | Эти ресурсы помогут вам собрать учебные курсы для пользователей в вашей организации. |
| Безопасность Microsoft 365 | Учебный модуль. Защита организации с помощью встроенной интеллектуальной системы безопасности в Microsoft 365 | Этот модуль позволяет описать, как функции безопасности Microsoft 365 работают вместе, и сформулировать преимущества этих функций безопасности. |
| Многофакторная проверка подлинности | Скачивание и установка приложения Microsoft Authenticator | Эта статья поможет конечным пользователям понять, что такое многофакторная проверка подлинности и почему она используется в вашей организации. |
| Обучение симуляции атаки | Начало использования обучения симуляции атаки | Обучение эмуляции атак в Microsoft Defender для Office 365 план 2 позволяет администратору настраивать, запускать и отслеживать имитированные фишинговые атаки на определенные группы пользователей. |
Кроме того, корпорация Майкрософт рекомендует пользователям выполнять действия, описанные в этой статье : Защита учетной записи и устройств от хакеров и вредоносных программ. Вот эти действия:
- Использование надежных паролей
- Защита устройств
- Включение функций безопасности на компьютерах с Windows и Mac (для неуправляемых устройств)