Wprowadzenie do usługi Microsoft Defender dla usługi Office 365

W nowych organizacjach platformy Microsoft 365 z Microsoft Defender dla Office 365 (dołączonej lub jako subskrypcja dodatku) w tym artykule opisano kroki konfiguracji, które należy wykonać w najwcześniejszych dniach organizacji.

Mimo że twoja organizacja platformy Microsoft 365 zapewnia domyślny poziom ochrony od momentu jej utworzenia (lub dodania do niej usługi Defender for Office 365), kroki opisane w tym artykule zapewniają praktyczny plan uwolnienia pełnych możliwości ochrony usługi Defender dla Office 365. Po wykonaniu tych kroków możesz również użyć tego artykułu, aby pokazać kierownictwu, że maksymalizujesz swoją inwestycję w platformę Microsoft 365.

Kroki konfigurowania usługi Defender dla Office 365 opisano na poniższym diagramie:

Wymagania

Domyślne zabezpieczenia poczty e-mail są uwzględniane we wszystkich subskrypcjach platformy Microsoft 365 przy użyciu skrzynek pocztowych w chmurze. Usługa Defender for Office 365 zawiera więcej funkcji ochrony. Aby uzyskać szczegółowe porównanie funkcji, zobacz Microsoft Defender, aby uzyskać Office 365 omówienie.

Role i uprawnienia

Konfiguracja wymaga uprawnień. W poniższej tabeli wymieniono uprawnienia wymagane do wykonania kroków opisanych w tym artykule (wystarczy jedno— nie potrzebujesz ich wszystkich).

Krok 1. Konfigurowanie uwierzytelniania poczty e-mail dla domen platformy Microsoft 365

Podsumowanie: Skonfiguruj rekordySPF, DKIM i DMARC (w tej kolejności) dla wszystkich niestandardowych domen platformy Microsoft 365 (w tym parkowanych domen i domen podrzędnych). W razie potrzeby skonfiguruj wszystkie zaufane uszczelniacze ARC.

Szczegóły:

Email uwierzytelniania (znanego również jako weryfikacja poczty e-mail) to grupa standardów w celu sprawdzenia, czy wiadomości e-mail są uzasadnione, niezmienione i pochodzą z oczekiwanych źródeł domeny poczty e-mail nadawcy. Aby uzyskać więcej informacji, zobacz uwierzytelnianie Email.

Zakładamy, że używasz co najmniej jednej domeny niestandardowej w usłudze Microsoft 365 na potrzeby poczty e-mail (na przykład contoso.com), dlatego musisz utworzyć określone rekordy DNS uwierzytelniania poczty e-mail dla każdej niestandardowej domeny poczty e-mail.

Utwórz następujące rekordy DNS uwierzytelniania poczty e-mail u rejestratora DNS lub usługi hostingu DNS dla każdej domeny niestandardowej używanej do obsługi poczty e-mail w usłudze Microsoft 365:

• Struktura zasad nadawcy (SPF): rekord SPF TXT identyfikuje prawidłowe źródła wiadomości e-mail od nadawców w domenie. Aby uzyskać instrukcje, zobacz Konfigurowanie SPF w celu identyfikowania prawidłowych źródeł poczty e-mail dla niestandardowych domen w chmurze.

• DomainKeys Identified Mail (DKIM): DKIM podpisuje komunikaty wychodzące i przechowuje podpis w nagłówku wiadomości, który przetrwa przekazywanie wiadomości. Aby uzyskać instrukcje, zobacz Konfigurowanie modułu DKIM do podpisywania wiadomości e-mail z domeny chmury.

• Uwierzytelnianie komunikatów oparte na domenie, raportowanie i zgodność (DMARC): funkcja DMARC pomaga docelowym serwerom poczty e-mail zdecydować, co zrobić z komunikatami z domeny niestandardowej, które nie sprawdzają SPF i DKIM. Pamiętaj, aby uwzględnić zasady DMARC (p=reject lub p=quarantine) i miejsca docelowe raportów DMARC (raporty agregujące i kryminalistyczne) w rekordach DMARC. Aby uzyskać instrukcje, zobacz Konfigurowanie usługi DMARC w celu zweryfikowania domeny Z adresu dla nadawców w chmurze.

• Uwierzytelniony łańcuch odebranych (ARC) : jeśli usługa innej firmy niż Microsoft modyfikuje komunikaty przychodzące przed dostarczeniem do platformy Microsoft 365, możesz zidentyfikować usługę jako zaufany uszczelniacz ARC (jeśli usługa ją obsługuje). Zaufane uszczelniacze ARC zachowują niezmodyfikowane informacje e-mail, aby zmodyfikowane wiadomości nie kończyły się automatycznie niepowodzeniem sprawdzania uwierzytelniania poczty e-mail w usłudze Microsoft 365. Aby uzyskać instrukcje, zobacz Konfigurowanie zaufanych uszczelniaczy ARC.

Jeśli używasz domeny *.onmicrosoft.com dla poczty e-mail (znanej również jako adres routingu usługi Microsoft Online Email lub domena MOERA), nie masz prawie tyle do zrobienia:

• SPF: Rekord SPF jest już skonfigurowany dla domeny *.onmicrosoft.com.
• DKIM: Podpisywanie DKIM jest już skonfigurowane dla poczty wychodzącej przy użyciu domeny *.onmicrosoft.com, ale można ją również ręcznie dostosować.
• DMARC: Należy ręcznie skonfigurować rekord DMARC dla domeny *.onmicrosoft.com zgodnie z opisem tutaj.

Krok 2. Konfigurowanie zasad zagrożeń

Podsumowanie: Włącz i użyj standardowych i/lub ścisłych wstępnie ustawionych zasad zabezpieczeń dla wszystkich adresatów. Jeśli też firma wymaga dyktowania, zamiast tego utwórz i użyj niestandardowych zasad zagrożeń, ale sprawdzaj je okresowo przy użyciu analizatora konfiguracji.

Szczegóły:

Jak można sobie wyobrazić, na platformie Microsoft 365 dostępnych jest wiele zasad zagrożeń dotyczących zabezpieczeń poczty e-mail i współpracy. Istnieją trzy podstawowe typy zasad:

• Domyślne zasady zagrożeń: te zasady istnieją od momentu utworzenia organizacji. Mają one zastosowanie do wszystkich adresatów w organizacji, nie można wyłączyć zasad i nie można modyfikować, do kogo mają zastosowanie zasady. Można jednak modyfikować ustawienia zabezpieczeń w zasadach, podobnie jak w przypadku niestandardowych zasad zagrożeń. Ustawienia domyślnych zasad zagrożeń zostały opisane w tabelach w temacie Zalecane ustawienia zasad dotyczących zagrożeń poczty e-mail i współpracy dla organizacji w chmurze.

• Wstępnie ustawione zasady zabezpieczeń: wstępnie ustawione zasady zabezpieczeń to profile zawierające większość dostępnych zasad zagrożeń w usłudze Defender for Office 365 z ustawieniami dostosowanymi do określonych poziomów ochrony. Wstępnie ustawione zasady zabezpieczeń to:

  • Ścisłe wstępnie ustawione zasady zabezpieczeń.
  • Standardowe wstępnie ustawione zasady zabezpieczeń.
  • Wbudowana ochrona.

  Standardowe i ścisłe wstępnie ustawione zasady zabezpieczeń są domyślnie wyłączone, dopóki nie zostaną włączone. Określasz warunki i wyjątki adresatów (użytkowników, członków grupy, domen lub wszystkich adresatów) dla domyślnych funkcji ochrony poczty e-mail dla skrzynek pocztowych w chmurze i funkcji ochrony w usłudze Defender dla Office 365 w ramach standardowych i ścisłych zasad zabezpieczeń wstępnie ustawionych.

  Wbudowana ochrona w usłudze Defender for Office 365 jest domyślnie włączona w celu zapewnienia podstawowej ochrony bezpiecznych załączników i bezpiecznych łączy dla wszystkich adresatów. Możesz określić wyjątki adresatów, aby zidentyfikować użytkowników, którzy nie uzyskują ochrony.

  W przypadku standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń w usłudze Defender dla organizacji Office 365 należy skonfigurować wpisy i opcjonalne wyjątki dotyczące ochrony przed personifikacją użytkowników i domen. Wszystkie inne ustawienia są zablokowane w zalecanych standardowych i ścisłych wartościach (z których wiele jest tych samych). Wartości Standardowa i Ścisła znajdują się w tabelach w sekcji Zalecane ustawienia zasad dotyczących zagrożeń dotyczących poczty e-mail i współpracy dla organizacji w chmurze. Różnice między standardem a ścisłym można znaleźć tutaj.

  W miarę dodawania nowych możliwości ochrony do usługi Defender dla Office 365 i zmiany poziomu zabezpieczeń ustawienia w wstępnie ustawionych zasadach zabezpieczeń są automatycznie aktualizowane do naszych zalecanych ustawień.

• Niestandardowe zasady zagrożeń: w przypadku większości dostępnych zasad można utworzyć dowolną liczbę niestandardowych zasad zagrożeń. Zasady można stosować do użytkowników przy użyciu warunków adresatów i wyjątków (użytkowników, członków grupy lub domen) i można dostosować ustawienia.

Poprzednie informacje i zasady dotyczące zagrożeń zostały podsumowane w poniższej tabeli:

¹ Brak wpisów domyślnych na liście dozwolonych adresów IP lub na liście zablokowanych adresów IP, więc domyślne zasady filtru połączeń nie robią nic, chyba że dostosujesz ustawienia.

² Brak wpisów ani opcjonalnych wyjątków dotyczących personifikacji użytkownika lub ochrony przed personifikacją domeny w usłudze Defender dla Office 365 do momentu ich skonfigurowania.

³ Mimo że w usłudze Defender dla Office 365 nie ma domyślnych zasad bezpiecznych załączników ani bezpiecznych łączy, wbudowane zasady zabezpieczeń wstępnie ustawione zapewniają podstawową ochronę bezpiecznych załączników i bezpiecznych łączy, która jest zawsze włączona.

⁴ Wbudowane zasady zabezpieczeń (ochrona bezpiecznych załączników i bezpiecznych łączy w usłudze Defender for Office 365) to jedyne wstępnie ustawione zasady zabezpieczeń, które są domyślnie włączone.

⁵ W przypadku standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń można skonfigurować oddzielne warunki adresatów i opcjonalne wyjątki domyślnej ochrony poczty e-mail dla wszystkich skrzynek pocztowych w chmurze i ochrony w usłudze Defender dla Office 365. W przypadku wbudowanej ochrony w usłudze Defender for Office 365 można skonfigurować tylko wyjątki adresatów z ochrony.

⁶ Jedynymi dostosowywalnymi ustawieniami zabezpieczeń w wstępnie ustawionych zasad zabezpieczeń są wpisy i opcjonalne wyjątki dotyczące ochrony przed personifikacją użytkowników i ochrony przed personifikacją domeny w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych w usłudze Defender for Office 365.

Kolejność pierwszeństwa dla zasad zagrożeń

Sposób stosowania zasad zagrożeń jest ważną kwestią podczas podejmowania decyzji o sposobie konfigurowania ustawień zabezpieczeń dla użytkowników. Ważne kwestie, o których należy pamiętać, to:

• Funkcje ochrony mają niekonfigurowalną kolejność przetwarzania. Na przykład komunikaty przychodzące są zawsze oceniane pod kątem złośliwego oprogramowania przed spamem.
• Zasady zagrożeń określonej funkcji (antyspamowe, chroniące przed złośliwym oprogramowaniem, chroniące przed wyłudzaniem informacji itp.) są stosowane w określonej kolejności pierwszeństwa (więcej na temat kolejności pierwszeństwa później).
• Jeśli użytkownik jest celowo lub przypadkowo uwzględniony w wielu zasadach określonej funkcji, pierwsze odpowiednie zasady zagrożeń dla tej funkcji (w oparciu o kolejność pierwszeństwa) określają, co dzieje się z elementem (komunikat, plik, adres URL itp.).
• Gdy pierwsze zasady zagrożeń zostaną zastosowane do określonego elementu dla użytkownika, przetwarzanie zasad dla tej funkcji zostanie zatrzymane. Dla tego użytkownika i określonego elementu nie są oceniane żadne więcej zasad zagrożeń tej funkcji.

Kolejność pierwszeństwa została szczegółowo wyjaśniona w sekcji Kolejność pierwszeństwa dla wstępnie ustawionych zasad zabezpieczeń i innych zasad, ale w tym miejscu przedstawiono krótkie podsumowanie:

1. Zasady zagrożeń w wstępnie ustawionych zasadach zabezpieczeń:
   1. Ścisłe wstępnie ustawione zasady zabezpieczeń.
   2. Standardowe wstępnie ustawione zasady zabezpieczeń.
2. Niestandardowe zasady zagrożeń dla określonej funkcji (na przykład zasady ochrony przed złośliwym oprogramowaniem). Każda zasada niestandardowa ma wartość priorytetu, która określa kolejność stosowania zasad w odniesieniu do innych zasad zagrożeń dla tej samej funkcji:
   1. Niestandardowe zasady zagrożeń z wartością priorytetu 0.
   2. Niestandardowe zasady zagrożeń o wartości priorytetu 1.
   3. I tak dalej.
3. Domyślne zasady zagrożeń dla określonej funkcji (na przykład ochrony przed złośliwym oprogramowaniem) lub wstępnie ustawione zasady zabezpieczeń wbudowanej ochrony w usłudze Defender for Office 365 (bezpieczne linki i bezpieczne załączniki).

Zapoznaj się z poprzednią tabelą, aby zobaczyć, jak określone zasady zagrożeń są reprezentowane w kolejności pierwszeństwa. Na przykład zasady ochrony przed złośliwym oprogramowaniem są obecne na każdym poziomie. Zasady wychodzącego spamu są dostępne na niestandardowych zasadach i domyślnych poziomach zasad. Zasady filtrowania połączeń są dostępne tylko na domyślnym poziomie zasad.

Aby uniknąć pomyłek i niezamierzonego stosowania zasad, skorzystaj z następujących wytycznych:

• Użyj jednoznacznych grup lub list adresatów na każdym poziomie. Na przykład użyj różnych grup lub list adresatów dla standardowych i rygorystycznych wstępnie ustawionych zasad zabezpieczeń.
• Skonfiguruj wyjątki na każdym poziomie zgodnie z wymaganiami. Na przykład skonfiguruj adresatów, którzy potrzebują niestandardowych zasad zagrożeń jako wyjątków od standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń.
• Pozostali adresaci, którzy nie są identyfikowane na wyższych poziomach, otrzymują domyślne zasady zagrożeń lub wbudowaną ochronę w usłudze Defender for Office 365 (bezpieczne linki i bezpieczne załączniki).

Korzystając z tych informacji, możesz wybrać najlepszy sposób wdrażania zasad zagrożeń w organizacji.

Określanie strategii zasad zagrożeń

Teraz, gdy wiesz już o różnych typach zasad zagrożeń i sposobie ich stosowania, możesz zdecydować, w jaki sposób chcesz chronić użytkowników w organizacji. Twoja decyzja nieuchronnie mieści się w następującym spektrum:

• Użyj tylko wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa.
• Użyj standardowych i rygorystycznych wstępnie ustawionych zasad zabezpieczeń.
• Użyj wstępnie ustawionych zasad zabezpieczeń i niestandardowych zasad zagrożeń.
• Używaj tylko niestandardowych zasad zagrożeń.

Pamiętaj, że domyślne zasady zagrożeń (i wbudowane zasady zabezpieczeń wstępnie ustawione w usłudze Defender for Office 365) automatycznie chronią wszystkich adresatów w organizacji (każdy, kto nie jest zdefiniowany w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych lub w niestandardowych zasadach zagrożeń). Więc nawet jeśli nic nie zrobisz, wszyscy adresaci w organizacji otrzymają domyślne zabezpieczenia zgodnie z opisem w artykule Zalecane ustawienia zasad zabezpieczeń poczty e-mail i współpracy dla organizacji w chmurze.

Ważne jest również, aby uświadomić sobie, że nie jesteś zablokowany w początkowej decyzji na zawsze. Informacje zawarte w zalecanych tabelach ustawień i tabeli porównawczej dla standardowych i ścisłych powinny umożliwić podjęcie świadomej decyzji. Jeśli jednak zmieniają się potrzeby, wyniki lub okoliczności, nie jest trudno później przełączyć się na inną strategię.

Bez atrakcyjnej potrzeby biznesowej, która wskazuje inaczej, zalecamy rozpoczęcie od standardowych wstępnie ustawionych zasad zabezpieczeń dla wszystkich użytkowników w organizacji. Wstępnie ustawione zasady zabezpieczeń są konfigurowane z ustawieniami na podstawie lat obserwacji w centrach danych platformy Microsoft 365 i powinny być właściwym wyborem dla większości organizacji. Zasady są automatycznie aktualizowane w celu dopasowania ich do zagrożeń w środowisku zabezpieczeń.

W ustawieniach wstępnych zasad zabezpieczeń możesz wybrać opcję Wszyscy adresaci , aby łatwo zastosować ochronę do wszystkich adresatów w organizacji.

Jeśli chcesz uwzględnić niektórych użytkowników w ścisłych zasadach zabezpieczeń wstępnie ustawionych i pozostałych użytkowników w standardowych zasadach zabezpieczeń wstępnie ustawionych, pamiętaj, aby uwzględnić kolejność pierwszeństwa zgodnie z opisem we wcześniejszej części tego artykułu przy użyciu następujących metod:

• Użyj jednoznacznych grup lub list adresatów w poszczególnych wstępnie ustawionych zasadach zabezpieczeń.

  lub

• Skonfiguruj adresatów, którzy powinni pobrać ustawienia wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa jako wyjątki w zasadach zabezpieczeń ścisłych ustawień wstępnych.

Należy pamiętać, że następujące konfiguracje funkcji ochrony nie mają wpływu na wstępnie ustawione zasady zabezpieczeń (można użyć wstępnie ustawionych zasad zabezpieczeń, a także niezależnie skonfigurować te ustawienia ochrony):

• Zasady spamu wychodzącego (niestandardowe i domyślne)
• Domyślne zasady filtru połączeń (lista dozwolonych adresów IP i lista zablokowanych adresów IP)
• Globalne włączanie bezpiecznych załączników dla programów SharePoint, OneDrive i Microsoft Teams
• Globalnie włącz i skonfiguruj bezpieczne dokumenty (dostępne i znaczące tylko w przypadku licencji, które nie są uwzględnione w usłudze Defender dla Office 365 (na przykład Microsoft 365 A5 lub Pakiet Microsoft Defender))

Aby włączyć i skonfigurować wstępnie ustawione zasady zabezpieczeń, zobacz Ustawienia wstępne zasad zabezpieczeń.

Decyzja o użyciu niestandardowych zasad zagrożeń zamiast lub oprócz wstępnie ustawionych zasad zabezpieczeń ostatecznie sprowadza się do następujących wymagań biznesowych:

• Użytkownicy wymagają ustawień zabezpieczeń , które różnią się od ustawień niemodyfikowalnych w wstępnie ustawionych zasadach zabezpieczeń (śmieci a kwarantanna lub odwrotnie, brak wskazówek dotyczących bezpieczeństwa, powiadamianie adresatów niestandardowych itp.).
• Użytkownicy wymagają ustawień, które nie są skonfigurowane w wstępnie skonfigurowanych zasadach zabezpieczeń (na przykład blokowanie poczty e-mail z określonych krajów lub w określonych językach w zasadach ochrony przed spamem).
• Użytkownicy potrzebują środowiska kwarantanny , które różni się od ustawień niemodyfikowalnych w wstępnie ustawionych zasadach zabezpieczeń. Zasady kwarantanny definiują, co użytkownicy mogą zrobić z komunikatami poddanymi kwarantannie na podstawie przyczyny kwarantanny wiadomości oraz tego, czy adresaci są powiadamiani o wiadomościach objętych kwarantanną. Domyślne środowisko kwarantanny użytkownika końcowego zostało podsumowane w tabeli w tym artykule , a zasady kwarantanny używane w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych są opisane w tabelach w tym artykule.

Skorzystaj z informacji zawartych w artykule Zalecane ustawienia zasad zagrożeń dotyczących poczty e-mail i współpracy dla organizacji w chmurze , aby porównać dostępne ustawienia w niestandardowych zasadach zagrożeń lub domyślnych zasadach zagrożeń w porównaniu z ustawieniami skonfigurowanymi w standardowych i ścisłych zasadach zabezpieczeń.

Wytyczne dotyczące projektowania wielu niestandardowych zasad zagrożeń dla określonej funkcji (na przykład zasad ochrony przed złośliwym oprogramowaniem) obejmują:

• Użytkownicy w niestandardowych zasadach zagrożeń nie mogą być uwzględniane w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych ze względu na kolejność pierwszeństwa.
• Przypisz mniejszą liczbę użytkowników do zasad o wyższym priorytecie i większą liczbę użytkowników do zasad o niższym priorytecie.
• Skonfiguruj zasady o wyższym priorytecie, aby miały bardziej rygorystyczne lub bardziej wyspecjalizowane ustawienia niż zasady o niższym priorytecie (w tym zasady domyślne).

Jeśli zdecydujesz się na użycie niestandardowych zasad zagrożeń, użyj analizatora konfiguracji , aby okresowo porównywać ustawienia w zasadach z zalecanymi ustawieniami w standardowych i ścisłych zasadach zabezpieczeń.

Krok 3. Przypisywanie uprawnień administratorom

Podsumowanie: Przypisz rolę administratora zabezpieczeń w Microsoft Entra innym administratorom, specjalistom i pracownikom działu pomocy technicznej, aby mogli wykonywać zadania zabezpieczeń w usłudze Defender dla Office 365.

Szczegóły:

Prawdopodobnie używasz już konta początkowego użytego do zarejestrowania się na platformie Microsoft 365 w celu wykonania wszystkich czynności opisanych w tym przewodniku wdrażania. To konto jest administratorem wszędzie na platformie Microsoft 365 (w szczególności jest członkiem roli administratora globalnego w Microsoft Entra) i umożliwia wykonywanie prawie wszystkich czynności. Wymagane uprawnienia zostały opisane wcześniej w tym artykule w temacie Role i uprawnienia.

Jednak celem tego kroku jest skonfigurowanie innych administratorów, aby ułatwić zarządzanie funkcjami usługi Defender dla Office 365 w przyszłości. To, czego nie chcesz, to wiele osób z uprawnieniami administratora globalnego, które jej nie potrzebują. Czy na przykład naprawdę muszą usuwać/tworzyć konta lub tworzyć innych użytkowników administratorów globalnych? Koncepcja najniższych uprawnień (przypisywanie tylko wymaganych uprawnień do wykonania zadania i nic więcej) jest dobrym rozwiązaniem.

Jeśli chodzi o przypisywanie uprawnień do zadań usługi Defender for Office 365, dostępne są następujące opcje:

• uprawnienia Microsoft Entra: te uprawnienia mają zastosowanie do wszystkich obciążeń w usłudze Microsoft 365 (Exchange Online, SharePoint, Microsoft Teams itp.).
• uprawnienia Exchange Online: większość zadań w usłudze Defender for Office 365 jest dostępna przy użyciu uprawnień Exchange Online. Przypisywanie uprawnień tylko w Exchange Online uniemożliwia dostęp administracyjny w innych obciążeniach platformy Microsoft 365.
• Email & uprawnienia do współpracy w portalu Microsoft Defender: Administrowanie niektórymi funkcjami zabezpieczeń w usłudze Defender for Office 365 jest dostępne z uprawnieniami do współpracy Email &. Przykład:
  • Analizator konfiguracji
  • Administracja zasad zarządzania kwarantanną i kwarantanny
  • Administracja przesyłania i przeglądania komunikatów zgłoszonych przez użytkowników
  • Tagi użytkowników

Dla uproszczenia zalecamy używanie roli administratora zabezpieczeń w Microsoft Entra dla innych osób, które muszą skonfigurować ustawienia w usłudze Defender dla Office 365.

Aby uzyskać instrukcje, zobacz Przypisywanie ról Microsoft Entra użytkownikom i Zarządzanie dostępem do Microsoft Defender XDR za pomocą Microsoft Entra ról globalnych.

Krok 4. Priorytetowe konta i tagi użytkowników

Podsumowanie: Identyfikowanie i oznaczanie odpowiednich użytkowników w organizacji jako kont priorytetowych w celu łatwiejszej identyfikacji w raportach i badaniach oraz otrzymywania priorytetowej ochrony konta w usłudze Defender for Office 365. Rozważ utworzenie i zastosowanie niestandardowych tagów użytkowników w usłudze Defender for Office 365 Plan 2.

Szczegóły:

W usłudze Defender for Office 365 konta o priorytecie umożliwiają tagowanie maksymalnie 250 użytkowników o wysokiej wartości w celu ułatwienia identyfikacji w raportach i badaniach. Te konta priorytetowe otrzymują również dodatkowe heurystyki, które nie przynoszą korzyści zwykłym pracownikom. Aby uzyskać więcej informacji, zobacz Zarządzanie kontami priorytetowymi i monitorowanie ich oraz Konfigurowanie i przeglądanie ochrony konta priorytetowego w Microsoft Defender dla Office 365.

W usłudze Defender for Office 365 Plan 2 masz również dostęp do tworzenia i stosowania niestandardowych tagów użytkowników w celu łatwego identyfikowania określonych grup użytkowników w raportach i badaniach. Aby uzyskać więcej informacji, zobacz Tagi użytkowników w Microsoft Defender dla Office 365.

Zidentyfikuj odpowiednich użytkowników do tagowania jako konta priorytetowe i zdecyduj, czy chcesz utworzyć i zastosować niestandardowe tagi użytkowników.

Krok 5. Przeglądanie i konfigurowanie ustawień komunikatów zgłoszonych przez użytkownika

Podsumowanie: Użyj wbudowanego przycisku Raport w programie Outlook lub obsługiwanego narzędzia spoza firmy Microsoft , aby użytkownicy mogli zgłaszać wyniki fałszywie dodatnie i fałszywie ujemne w programie Outlook, a więc te zgłoszone komunikaty są dostępne dla administratorów na karcie Zgłaszane przez użytkownika na stronie Przesyłanie w portalu usługi Defender. Skonfiguruj organizację, aby zgłoszone komunikaty trafiały do określonej skrzynki pocztowej raportowania do firmy Microsoft lub obu tych elementów.

Szczegóły:

Możliwość zgłaszania przez użytkowników dobrych wiadomości oznaczonych jako złe (fałszywie dodatnie) lub złe komunikaty dozwolone (fałszywie ujemne) jest ważne, aby monitorować i dostosowywać ustawienia ochrony w usłudze Defender dla Office 365.

Ważne części raportowania komunikatów użytkowników to:

• Jak użytkownicy zgłaszają komunikaty?: Upewnij się, że klienci korzystają z jednej z następujących metod, aby zgłoszone komunikaty były wyświetlane na karcie Zgłaszane przez użytkownika na stronie Przesłane w portalu usługi Defender pod adresem :https://security.microsoft.com/reportsubmission?viewid=user

• Wbudowany przycisk Raport w Outlook w sieci Web (wcześniej znany jako Outlook Web App lub OWA).

• Narzędzia do raportowania firmy Innej niż Microsoft, które używają obsługiwanego formatu przesyłania komunikatów.

• Dokąd trafiają komunikaty zgłaszane przez użytkownika?: Dostępne są następujące opcje:

  • Do wyznaczonej skrzynki pocztowej raportowania i do firmy Microsoft (ta wartość jest wartością domyślną).
  • Tylko do wyznaczonej skrzynki pocztowej raportowania.
  • Tylko do firmy Microsoft.

  Domyślną skrzynką pocztową używaną do zbierania wiadomości zgłoszonych przez użytkownika jest skrzynka pocztowa administratora globalnego (początkowe konto w organizacji). Jeśli chcesz, aby wiadomości zgłaszane przez użytkownika przechodzić do skrzynki pocztowej raportowania w organizacji, należy utworzyć i skonfigurować ekskluzywną skrzynkę pocztową do użycia.

  Zależy od Ciebie, czy chcesz, aby wiadomości zgłaszane przez użytkownika również trafiały do firmy Microsoft w celu analizy (wyłącznie lub wraz z dostarczeniem do wyznaczonej skrzynki pocztowej raportowania).

  Jeśli chcesz, aby wiadomości zgłaszane przez użytkownika trafiały tylko do wyznaczonej skrzynki pocztowej raportowania, administratorzy powinni ręcznie przesyłać do firmy Microsoft wiadomości zgłaszane przez użytkowników w celu analizy na karcie Zgłoszone przez użytkownika na stronie Przesłane w portalu usługi Defender pod adresem https://security.microsoft.com/reportsubmission?viewid=user.

  Przesyłanie komunikatów zgłoszonych przez użytkownika do firmy Microsoft jest ważne, aby umożliwić naszym filtrom naukę i ulepszanie.

Aby uzyskać pełne informacje o ustawieniach komunikatów zgłoszonych przez użytkownika, zobacz Ustawienia zgłaszane przez użytkownika.

Krok 6. Blokowanie i zezwalanie na wpisy

Podsumowanie: Zapoznaj się z procedurami blokowania i zezwalania na komunikaty, pliki i adresy URL w usłudze Defender dla Office 365.

Szczegóły:

Musisz zapoznać się ze sposobem blokowania i (tymczasowo) zezwalania na wysyłanie komunikatów, pliki i adresy URL w następujących lokalizacjach w portalu usługi Defender:

• Lista dozwolonych/zablokowanych dzierżaw w witrynie https://security.microsoft.com/tenantAllowBlockList.
• Strona Przesłane pod adresem https://security.microsoft.com/reportsubmission.
• Strona Spoof intelligence insight (Analiza analizy fałszowania ) pod adresem https://security.microsoft.com/spoofintelligence.

Ogólnie rzecz biorąc, łatwiej jest tworzyć bloki niż zezwalać, ponieważ niepotrzebne zezwalanie na wpisy narażają organizację na złośliwe wiadomości e-mail, które system w przeciwnym razie filtruje.

• Blokuj:

  • Wpisy blokowe dla domen i adresów e-mail, plików i adresów URL można tworzyć na odpowiednich kartach na liście dozwolonych/zablokowanych dzierżaw oraz przesyłając elementy do firmy Microsoft w celu analizy ze strony Przesyłanie . Po przesłaniu elementu do firmy Microsoft odpowiednie wpisy blokowe są również tworzone na liście dozwolonych/zablokowanych dzierżaw.

    Porada

    Użytkownicy w organizacji nie mogą również wysyłać wiadomości e-mail do domen ani adresów e-mail określonych w wpisach blokowych na liście dozwolonych/zablokowanych dzierżaw.

  • Komunikaty zablokowane przez analizę fałszowania są wyświetlane na stronie Spoof intelligence (Fałszowanie inteligencji ). Jeśli zmienisz wpis zezwalania na wpis blokowy, nadawca stanie się ręcznym wpisem bloku na karcie Spoofed senders (Spoofed senders ) na liście dozwolonych/zablokowanych dzierżawców. Można również proaktywnie tworzyć wpisy blokowe dla nie napotkanych jeszcze sfałszowanych nadawców na karcie Sfałszowane nadawcy .

• Zezwalaj:

  • Możesz utworzyć wpisy zezwalania dla domen, adresów e-mail i adresów URL na odpowiednich kartach na liście dozwolonych/zablokowanych dzierżaw, aby zastąpić następujące werdykty:

    • Zbiorczego
    • Spam
    • Spam o wysokim poziomie ufności
    • Wyłudzanie informacji (wyłudzanie informacji nie jest wysoce zaufane)

  • Nie można tworzyć wpisów dozwolonych bezpośrednio na liście dozwolonych/zablokowanych dzierżaw dla następujących elementów:

    • Złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania dla domen i adresów e-mail lub adresów URL.
    • Wszelkie werdykty dotyczące plików.

    Zamiast tego do raportowania elementów do firmy Microsoft jest używana strona Przesłane . Po wybraniu pozycji Potwierdzam, że jest on czysty, możesz wybrać pozycję Zezwalaj na ten komunikat, Zezwalaj na ten adres URL lub Zezwalaj temu plikowi na utworzenie odpowiedniego tymczasowego wpisu dozwolonego na liście Zezwalaj/Blokuj dzierżawy.

  • Komunikaty dozwolone przez fałszowanie inteligencji są wyświetlane na stronie Spoof intelligence (Fałszowanie inteligencji ). Jeśli zmienisz wpis bloku na wpis zezwalający, nadawca stanie się ręcznym wpisem dozwolonym na karcie Spoofed senders (Spoofed senders ) na liście dozwolonych/zablokowanych dzierżawców. Można również proaktywnie tworzyć wpisy zezwalania dla niesłusznych nadawców, które nie zostały jeszcze napotkane na karcie Fałszowani nadawcy .

Aby uzyskać szczegółowe informacje, zobacz następujące artykuły:

• Zezwalanie na pocztę e-mail lub blokowanie jej przy użyciu listy dozwolonych/zablokowanych dzierżaw
• Zezwalanie na pliki lub blokuj je przy użyciu listy dozwolonych/zablokowanych dzierżaw
• Zezwalaj na adresy URL lub blokuj je przy użyciu listy dozwolonych/zablokowanych dzierżaw
• Strona Przesłane umożliwia przesyłanie do firmy Microsoft wiadomości e-mail z podejrzeniem spamu, phish, adresów URL, legalnych wiadomości e-mail i załączników wiadomości e-mail
• Zastępowanie werdyktu analizy fałszowania

Krok 7. Uruchamianie symulacji wyłudzania informacji przy użyciu Szkolenie z symulacji ataków

W usłudze Defender for Office 365 Plan 2 Szkolenie z symulacji ataków umożliwia wysyłanie symulowanych wiadomości wyłudzających informacje do użytkowników i przypisywanie szkoleń na podstawie ich reakcji. Dostępne są następujące opcje:

• Pojedyncze symulacje korzystające z wbudowanych lub niestandardowych ładunków.
• Automatyzacje symulacji zaczerpnięte z rzeczywistych ataków wyłudzania informacji przy użyciu wielu ładunków i zautomatyzowanego planowania.
• Kampanie szkoleniowe , w których nie trzeba uruchamiać kampanii i czekać, aż użytkownicy klikną linki lub pobierzą załączniki w symulowanych komunikatach wyłudzania informacji przed przypisaniem szkoleń.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do Szkolenie z symulacji ataków.

Krok 8. Badanie i reagowanie

Po zakończeniu początkowej konfiguracji użyj informacji zawartych w Microsoft Defender przewodnika po operacjach zabezpieczeń Office 365, aby monitorować i badać zagrożenia w organizacji.