Получение наилучшего значения безопасности из Microsoft Defender для Office 365 при наличии фильтрации электронной почты сторонних поставщиков
Это руководство предназначено для вас, если:
- У вас есть лицензия на Microsoft Defender для Office 365 и размещение почтовых ящиков в Office 365
- Вы также используете стороннюю сторону для обеспечения безопасности электронной почты.
В следующих сведениях описывается, как максимально эффективно использовать ваши инвестиции, разбитые на простые шаги.
Что необходимо
- Почтовые ящики, размещенные в Office 365
- Один или несколько из них:
- Microsoft Defender для Office 365 (план 1) для функций защиты
- Microsoft Defender для Office 365 план 2 для большинства других функций (включенных в планы E5)
- Microsoft Defender для Office 365 пробная версия (доступна для всех клиентов на aka.ms/tryMDO)
- Достаточные разрешения для настройки функций, рассмотренных ниже
Шаг 1. Понимание уже имеющихся значений
Встроенные функции защиты
- Встроенная защита обеспечивает базовый уровень ненавязчивой защиты и включает вредоносные программы, нулевой день (безопасные вложения) и защиту URL-адресов (безопасные ссылки) в электронной почте (включая внутреннюю электронную почту), SharePoint Online, OneDrive и Teams. Защита URL-адресов, предоставляемая в этом состоянии, осуществляется только через вызов API. Он не упаковывает и не перезаписывает URL-адреса, но требует поддерживаемого клиента Outlook. Вы можете создать собственные настраиваемые политики для расширения защиты.
Дополнительные & watch обзорное видео о безопасных ссылках см. здесь:Полный обзор безопасных ссылок
Дополнительные сведения о безопасных вложениях см. здесь:Безопасные вложения
Функции обнаружения, исследования, реагирования и охоты
- При срабатывании оповещений в Microsoft Defender для Office 365 они автоматически сопоставляются и объединяются в инциденты, чтобы снизить усталость от оповещений сотрудников службы безопасности. Автоматизированное исследование и реагирование (AIR) активирует исследования, помогающие устранять и сдерживать угрозы.
Дополнительные сведения watch обзорное видео и начало работы см. здесь:Реагирование на инциденты с помощью Microsoft Defender XDR
- Аналитика угроз — это наше встроенное подробное решение для аналитики угроз от экспертов майкрософт по безопасности. Аналитика угроз содержит подробные отчеты, которые позволяют вам быстро узнать о последних группах угроз, методах атак, о том, как защитить организацию с помощью индикаторов компрометации (IOC) и многое другое.
Дополнительные сведения watch обзорное видео и начало работы см. здесь:Аналитика угроз в Microsoft Defender XDR
- Обозреватель можно использовать для поиска угроз, визуализации шаблонов потока обработки почты, выявления тенденций и определения влияния изменений, внесенных во время настройки Defender для Office 365. Вы также можете быстро удалить сообщения из организации несколькими щелчками мыши.
Дополнительные сведения и начало работы см. здесь:Обнаружение Обозреватель угроз и обнаружение в режиме реального времени
Шаг 2. Повышение ценности с помощью этих простых шагов
Дополнительные функции защиты
- Рассмотрите возможность включения политик за пределами встроенной защиты. Включение защиты от щелчка или защиты олицетворения, например, для добавления дополнительных слоев или заполнения пробелов, отсутствующих в сторонней защите. Если у вас есть правило потока обработки почты (также известное как правило транспорта) или фильтр подключения, который переопределяет вердикты (также известное как правило SCL=-1), необходимо решить эту конфигурацию перед включением других функций защиты.
Дополнительные сведения см. здесь:Политики защиты от фишинга
- Если текущий поставщик безопасности настроен для изменения сообщений каким-либо образом, важно отметить, что сигналы проверки подлинности могут повлиять на возможность Defender для Office 365 защитить вас от атак, таких как спуфингов. Если ваша сторонняя сторона поддерживает цепочку получения с проверкой подлинности (ARC), то включение этой функции является настоятельно рекомендуемым шагом на пути к расширенной двойной фильтрации. Перемещение любой конфигурации изменения сообщений в Defender для Office 365 также является альтернативой.
Дополнительные сведения см. здесь: Настройка доверенных запечатывщиков ARC.
- Расширенная фильтрация для соединителей позволяет сохранять ip-адреса и сведения об отправителе через стороннюю сторону. Эта функция повышает точность стека фильтрации (защиты), возможности после нарушения безопасности & улучшения проверки подлинности.
Дополнительные сведения см. здесь:Улучшенная фильтрация соединителей в Exchange Online
- Защита учетных записей с приоритетом обеспечивает улучшенную видимость для учетных записей в инструментах, а также дополнительную защиту в состоянии расширенной защиты в конфигурации.
Дополнительные сведения см. здесь:Защита учетных записей с приоритетом
- Расширенная доставка должна быть настроена на правильную доставку любых сторонних симуляций фишинга. Если у вас есть почтовый ящик операций безопасности, рассмотрите возможность определения его как почтового ящика SecOps, чтобы гарантировать, что сообщения электронной почты не удаляются из почтового ящика из-за угроз.
Дополнительные сведения см. здесь:Расширенная доставка
- Вы можете настроить параметры, сообщаемые пользователем, чтобы пользователи могли сообщать о хороших или плохих сообщениях в корпорацию Майкрософт, в назначенный почтовый ящик отчетов (для интеграции с текущими рабочими процессами безопасности) или и то, и другое. Администраторы могут использовать вкладку Пользователь сообщил на странице Отправки для рассмотрения ложноположительных и ложноотрицательных сообщений пользователя.
Дополнительные сведения см. здесь:Развертывание и настройка надстройки сообщения отчета для пользователей.
Функции обнаружения, исследования, реагирования и охоты
- Расширенная охота может использоваться для упреждающего поиска угроз в организации, используя общие запросы от сообщества, чтобы помочь вам приступить к работе. Вы также можете использовать пользовательские обнаружения для настройки оповещений при соблюдении персонализированных условий.
Дополнительные сведения watch обзорное видео и начало работы см. здесь:Обзор — расширенная охота
Функции образования
- Обучение эмуляции атак позволяет выполнять реалистичные, но неопасные сценарии кибератак в организации. Если у вас еще нет возможностей имитации фишинга от основного поставщика услуг безопасности электронной почты, смоделированные атаки Майкрософт помогут вам выявить и найти уязвимых пользователей, политики и методики. Эта возможность содержит важные знания, которые необходимо получить и исправить до того, как реальная атака повлияет на вашу организацию. После моделирования мы назначаем в продукте или пользовательском обучении, чтобы информировать пользователей об угрозах, которые они пропустили, что в конечном итоге снижает профиль риска вашей организации. С помощью Обучение эмуляции атак мы доставляем сообщения непосредственно в папку "Входящие", что обеспечивает широкий пользовательский интерфейс. Это также означает отсутствие изменений в системе безопасности, таких как переопределения, необходимые для правильного выполнения симуляции.
Начало работы:Начало работы с симуляцией атак.
Перейдите прямо к симуляции здесь:Как настроить автоматизированные атаки и обучение в Обучение эмуляции атак
Шаг 3 и далее, стать героем двойного использования
- Многие описанные ранее действия по обнаружению, расследованию, реагированию и охоте должны повторяться вашими группами безопасности. В этом руководстве содержится подробное описание задач, частоты и заданий команд, которые мы рекомендуем.
Дополнительные сведения:Руководство по операциям с безопасностью для Defender для Office 365
- Рассмотрите возможность взаимодействия с пользователем, например доступ к нескольким карантинам или отправку или отправку ложноположительных результатов и ложноотрицательных данных. Сообщения, обнаруженные сторонней службой, можно пометить пользовательским заголовком X . Например, можно использовать правила потока обработки почты для обнаружения и карантина электронной почты, содержащей заголовок X . Этот результат также предоставляет пользователям единое место для доступа к почте в карантине.
Подробнее:Настройка разрешений и политик карантина
- Руководство по миграции содержит множество полезных рекомендаций по подготовке и настройке среды для ее подготовки к миграции. Но многие из этих шагов также применимы к сценарию двойного использования. Просто игнорируйте рекомендации по переключу MX на последних шагах.
Ознакомьтесь с этой статьей:Миграция из сторонней службы защиты на Microsoft Defender для Office 365 — Office 365 | Документация Майкрософт.
Дополнительная информация
Миграция из сторонней службы защиты в Microsoft Defender для Office 365
Руководство по операциям с безопасностью для Defender для Office 365
Получите больше Microsoft Defender для Office 365 с помощью Microsoft Defender XDR.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по