Настройка Microsoft Defender для Office 365 для расширенной защиты от угроз

Настройка Microsoft Defender для Office 365 для расширенной защиты от угроз

12.01.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам настроить и оптимизировать Microsoft Defender для Office 365 (MDO), надежного решения для расширенной защиты от угроз электронной почты и совместной работы. В сценарии, когда электронная почта остается основным вектором кибератак, таких как фишинг, вредоносное ПО и спам, MDO предлагает важные уровни защиты для защиты пользователей и организации [1].

Введение

Электронная почта — незаменимый инструмент связи, а также частая точка входа для киберугроз. Фишинговые атаки, программы-вымогатели, распространяемые через вредоносные вложения, компрометация деловой электронной почты (BEC) и спуфинг — распространенные тактики, целью которых является злоупотребление доверием пользователей и обход традиционных средств защиты. Microsoft Defender для Office 365 (ранее известный как Office 365 Advanced Threat Protection — ATP) — это облачный пакет безопасности, предназначенный для защиты от этих расширенных угроз и предлагающий такие функции, как безопасные вложения, безопасные ссылки, защиту от фишинга, спуфинга и защиты от вредоносных программ [2].

В этом практическом руководстве будет описана пошаговая настройка ключевых функций MDO, включая создание политик для безопасных вложений, безопасных ссылок, защиты от фишинга и вредоносного ПО. Подробные инструкции, практические примеры и фактические команды (если применимо) будут предоставлены, чтобы читатель мог реализовать, протестировать и проверить эффективность этих средств защиты. Кроме того, будут обсуждаться советы по безопасности, проверки соответствия и лучшие практики, чтобы обеспечить защиту вашей организации от новейших угроз автономно, профессионально и надежно.

Почему Microsoft Defender для Office 365 так важен?

  • Расширенная защита от угроз: защищает от сложных атак, таких как целенаправленный фишинг, программы-вымогатели, вредоносные программы нулевого дня и компрометация корпоративной электронной почты (BEC), которые традиционные средства защиты могут не обнаружить.
  • Безопасные вложения: открывает вложения электронной почты в виртуальной изолированной среде, чтобы проверить, являются ли они вредоносными, прежде чем доставлять их пользователям, защищая от неизвестного вредоносного ПО.
  • Безопасные ссылки: перезаписывает URL-адреса в электронных письмах и документах для проверки их безопасности в момент нажатия, защищая пользователей от вредоносных ссылок, даже если исходный URL-адрес был безопасным на момент доставки.
  • Защита от фишинга и спуфинга: использует машинный интеллект и расширенную эвристику для выявления и блокировки фишинговых писем и попыток спуфинга.
  • Отчетность и аналитика: обеспечивает подробную информацию об обнаруженных угрозах, позволяя службам безопасности расследовать инциденты и корректировать политики по мере необходимости.
  • Интеграция с Microsoft 365: встроенная интеграция с Exchange Online, SharePoint Online, OneDrive для бизнеса и Microsoft Teams, обеспечивая комплексную защиту всей экосистемы совместной работы.

Предварительные условия

Чтобы настроить Microsoft Defender для Office 365, вам потребуются следующие элементы:

  1. Лицензирование: MDO включен в такие лицензии, как Microsoft 365 E5, Office 365 E5, Microsoft 365 E5 Security, или может быть приобретен в качестве дополнения к другим подпискам Microsoft 365/Office 365 [3].
  2. Административный доступ: учетная запись с ролью «Глобальный администратор» или «Администратор безопасности» на портале Microsoft 365 Defender («https://security.microsoft.com»).
  3. Настроенные домены. Ваши домены должны быть настроены и проверены в Microsoft 365, при этом записи MX должны указывать на Exchange Online Protection (EOP).

Шаг за шагом: настройка Microsoft Defender для Office 365

Давайте настроим политики расширенной защиты в MDO.

1. Доступ к порталу Защитника Microsoft 365

Все параметры MDO управляются с единого портала Microsoft 365 Defender.

  1. Откройте браузер и перейдите на портал Защитника Microsoft 365: https://security.microsoft.com.
  2. Войдите в систему под учетной записью, имеющей необходимые разрешения.
  3. На левой панели навигации выберите Электронная почта и совместная работа > Политики и правила > Политики угроз.

2. Настройка политики безопасного подключения(Безопасные вложения)

Политики безопасных вложений защищают от вредоносных программ нулевого дня во вложениях электронной почты.

  1. На странице «Политики угроз» выберите Безопасные вложения.
  2. Нажмите «+Создать», чтобы запустить новый мастер политики безопасных вложений.
  3. Имя политики. Дайте осмысленное имя (например: «Глобальная политика безопасных вложений»).
  4. Описание. Укажите четкое описание (например, «Защита от вредоносных вложений для всех пользователей»).

  5. Нажмите «Далее».

  6. Пользователи, группы и домены:

    • В разделе «Пользователи и группы» выберите «Все пользователи» или добавьте определенных пользователей/группы. Для комплексной защиты рекомендуется выбрать «Все пользователи».
    • В разделе «Домены» выберите «Все домены» или отдельные домены.

  7. Нажмите «Далее».

  8. Настройки:

    • Действие по реагированию на вредоносное ПО для безопасных вложений: выберите «Блокировать».
      • Пояснение: это самое безопасное действие, поскольку оно блокирует электронные письма с обнаруженными вредоносными вложениями.
    • Перенаправить обнаруженные вложения. При желании вы можете перенаправить вредоносные вложения на безопасный адрес электронной почты почтового ящика для анализа.
    • Приоритет: оставьте значение по умолчанию или установите приоритет, если у вас несколько политик.

  9. Нажмите «Далее».

  10. Просмотр. Проверьте настройки и нажмите «Отправить», чтобы создать политику.

3. Настройка политики безопасных ссылок

Политики безопасных ссылок защищают от вредоносных URL-адресов в электронных письмах и других приложениях Microsoft 365.

  1. На странице «Политики угроз» выберите Безопасные ссылки.
  2. Нажмите «+Создать», чтобы запустить новый мастер политики безопасных ссылок.
  3. Название политики. Дайте осмысленное имя (например: «Глобальная политика безопасных ссылок»).
  4. Описание. Укажите четкое описание (например, «Защита от вредоносных URL-адресов для всех пользователей»).

  5. Нажмите «Далее».

  6. Пользователи, группы и домены:

    • В разделе «Пользователи и группы» выберите «Все пользователи» или добавьте определенных пользователей/группы.
    • В разделе «Домены» выберите «Все домены» или отдельные домены.

  7. Нажмите «Далее».

  8. Настройки защиты URL-адресов и кликов:

    • Выберите действие для потенциально вредоносных URL-адресов: выберите «Включить безопасные ссылки в электронной почте».
    • Применять защищенные ссылки к сообщениям электронной почты, отправляемым внутри организации: установите этот флажок, чтобы защитить внутренние ссылки.
    • Применять защищенные ссылки к URL-адресам в поддерживаемых клиентах Office 365. Установите этот флажок, чтобы защитить ссылки в таких приложениях, как Teams, Word, Excel, PowerPoint.
    • Не перезаписывать URL-адреса, а выполнять проверки через API только для безопасных ссылок: снимите этот флажок, поскольку перезапись имеет решающее значение для защиты.
    • Блокировать пользователям от нажатия на исходные URL-адреса. Установите этот флажок, чтобы пользователи не могли обойти проверку.
    • Не проверяйте следующие URL-адреса. При необходимости добавьте доверенные URL-адреса, которые не следует перезаписывать или проверять (например, внутренние URL-адреса вашей организации).

  9. Нажмите «Далее».

  10. Просмотр. Проверьте настройки и нажмите «Отправить», чтобы создать политику.

4. Настройка политики защиты от фишинга

Политики защиты от фишинга защищают от спуфинга и других фишинговых атак.

  1. На странице «Политики угроз» выберите Антифишинг.
  2. Нажмите «+Создать», чтобы запустить новый мастер политики защиты от фишинга.
  3. Название политики. Присвойте ей осмысленное имя (например, «Глобальная политика защиты от фишинга»).
  4. Описание. Укажите четкое описание (например, «Защита от фишинга и спуфинга для всех пользователей»).

  5. Нажмите «Далее».

  6. Пользователи, группы и домены:

    • В разделе «Пользователи», «Группы» и «Домены» выберите «Все пользователи», «Все группы» и «Все домены» соответственно. При необходимости вы также можете исключить некоторых пользователей или группы.

  7. Нажмите «Далее».

  8. Порог фишинга и защита от выдачи себя за другое лицо:

    • Порог фишинга: установите уровень агрессивности защиты. Большинству организаций рекомендуется использовать «Стандартный» или «Агрессивный».
    • Включить разведку олицетворения: оставьте значение «Включено».
    • Включить разведку почтового ящика: оставьте значение «Вкл.».
    • Включить защиту от выдачи себя за пользователя: нажмите «+Добавить пользователя», чтобы защитить руководителей или важных пользователей.
    • Включить защиту от олицетворения домена. Нажмите «+Добавить домен», чтобы защитить свои собственные и партнерские домены.

  9. Нажмите «Далее».

  10. Действия:

    • Сообщения обнаружены как поддельные: выберите «Переместить сообщение в нежелательную почту» или «Поместить сообщение в карантин».
    • Сообщения, обнаруженные как выдающие себя за пользователя: выберите «Поместить сообщение в карантин».
    • Сообщения, обнаруженные как выдача себя за домен: выберите «Поместить сообщение в карантин».
    • Сообщения, обнаруженные как фишинговые: выберите «Поместить сообщение в карантин».

  11. Нажмите «Далее».

  12. Просмотр. Проверьте настройки и нажмите «Отправить», чтобы создать политику.

5. Настройка политики защиты от вредоносного ПО

Политики защиты от вредоносного ПО защищают от вредоносного программного обеспечения в электронных письмах.

  1. На странице «Политики угроз» выберите Защита от вредоносных программ.
  2. Вы увидите политику по умолчанию («По умолчанию»), которая применяется ко всем получателям. Для настройки вы можете создать новую политику или изменить политику по умолчанию.
  3. Нажмите «+ Создать» (или выберите политику «По умолчанию» и нажмите «Изменить защиту»).
  4. Имя политики: дайте ей имя (например: «Пользовательская политика защиты от вредоносных программ»).
  5. Описание. Введите описание.

  6. Нажмите «Далее».

  7. Пользователи, группы и домены:

    • Выберите «Все получатели» или добавьте определенных пользователей/группы/домены.

  8. Нажмите «Далее».

  9. Настройки защиты:

    • Раздел «Защита»: оставьте включенными параметры «Включить общий фильтр вложений» и «Включить автоматическое удаление вредоносных программ в нулевой час».
    • Раздел «Карантин»: укажите, как долго сообщения о вредоносном ПО должны храниться в карантине (например, «30 дней»).
    • Раздел уведомлений: настройте уведомления для администраторов и отправителей/получателей при обнаружении вредоносного ПО.

  10. Нажмите «Далее».

  11. Просмотр. Проверьте настройки и нажмите «Отправить», чтобы создать/обновить политику.

Проверка и тестирование

Крайне важно протестировать эффективность настроенных политик, чтобы убедиться, что они работают должным образом.

1. Тестирование безопасных вложений

  1. Сценарий. Отправьте электронное письмо с внешнего адреса внутреннему пользователю с безвредным тестовым файлом, имитирующим вредоносное ПО (например, файл EICAR, который представляет собой шаблон антивирусного тестирования). Вы можете создать файл EICAR с различных веб-сайтов безопасности.
  2. Ожидаемое действие: электронное письмо с файлом EICAR должно быть заблокировано или помещено в карантин, а вложение не должно быть доставлено пользователю.
  3. Проверка:
    • На портале Защитника Microsoft 365 перейдите к Электронная почта и совместная работа > Проводник (или Отслеживание сообщений).
    • Найдите тестовое письмо. Вы должны увидеть, что он был обнаружен и заблокирован политикой безопасных вложений.

2. Тестирование безопасных ссылок

  1. Сценарий. Отправьте электронное письмо с внешнего адреса внутреннему пользователю, содержащее ссылку на сайт тестирования на фишинг (например, «http://www.phishtest.com» или ссылку на сайт тестирования вредоносного ПО). Пожалуйста, убедитесь, что ссылка не ведет на реальный веб-сайт, который может причинить вред.
  2. Ожидаемое действие: когда пользователь нажимает ссылку, он должен быть перенаправлен на страницу с предупреждением о безопасных ссылках, информирующую его о том, что сайт является вредоносным или подозрительным, и доступ должен быть заблокирован.
  3. Проверка:
    • На портале Защитника Microsoft 365 перейдите к Электронная почта и совместная работа > Проводник.
    • Найдите тестовое письмо. Вы должны увидеть сведения о клике по ссылке и указать, что она заблокирована безопасными ссылками.

3. Тестирование защиты от фишинга и спуфинга

  1. Сценарий:
    • Подмена. Отправьте электронное письмо с внешнего адреса, который подделывает домен вашей организации (например, [email protected] с неавторизованного почтового сервера).
    • Фишинг, выдающий себя за другое лицо: отправьте электронное письмо с внешнего адреса, который выглядит как адрес руководителя, защищенного политикой выдачи себя за другое лицо (например, [email protected]).
  2. Ожидаемое действие: электронные письма следует перемещать в карантин или папку нежелательной почты, как указано в политике защиты от фишинга.
  3. Проверка:
    • Проверьте карантин или папку нежелательной почты пользователя.
    • На Микропорталеsoft 365 Defender, перейдите в раздел Электронная почта и совместная работа > Проводник.
    • Поиск тестовых писем. Вы должны увидеть, что они были обнаружены и обработаны политиками защиты от фишинга и спуфинга.

Советы и рекомендации по безопасности

  • Предопределенные политики безопасности: рассмотрите возможность использования предопределенных политик безопасности («Стандартная» и «Строгая») в MDO. Они применяют настройки, рекомендованные Microsoft для быстрой и эффективной защиты [4].
  • Обучение пользователей. Технологии — это только часть решения. Регулярно обучайте своих пользователей тому, как выявлять фишинговые электронные письма и другие угрозы и сообщать о них. Обучение моделированию атак Microsoft может стать для этого ценным инструментом.
  • Непрерывный мониторинг: регулярно отслеживайте отчеты и Threat Explorer на портале Защитника Microsoft 365, чтобы выявлять тенденции атак, пользователей с высоким уровнем риска и при необходимости корректировать политики.
  • Исключения с осторожностью. Используйте исключения (например, «Не проверять следующие URL-адреса» в безопасных ссылках) с особой осторожностью и только для доменов, безопасность и необходимость которых доказана.
  • Приоритет политики. Узнайте, как работает приоритет политики. Более конкретные политики должны иметь более высокий приоритет (меньшее число), чтобы их можно было применять перед более общими политиками.
  • Интеграция с Microsoft Sentinel: отправляйте журналы MDO и оповещения в Microsoft Sentinel для централизованного просмотра безопасности и автоматизации реагирования на инциденты.
  • Защита совместной работы. Помните, что MDO защищает не только электронную почту, но и файлы в SharePoint, OneDrive и сообщения в Teams. Убедитесь, что эти средства защиты включены и настроены.

Распространенное устранение неполадок

  • Вредоносные письма не блокируются:
    • Убедитесь, что политики включены и применяются к правильным пользователям/группам/доменам.
    • Проверьте приоритет политик. Менее агрессивная политика с более высоким приоритетом может быть введена в действие раньше.
    • Используйте Отслеживание сообщений в Центре администрирования Exchange (EAC) или Обозреватель угроз на портале Защитника Microsoft 365, чтобы узнать, как было обработано конкретное электронное письмо.
    • Убедитесь, что нет исключений или списков разрешений, разрешающих доставку.
  • Ложные срабатывания (законные электронные письма заблокированы):
    • Изучите электронное письмо в Threat Explorer, чтобы понять, почему оно было заблокировано.
    • Отрегулируйте чувствительность политики (например, менее агрессивный порог фишинга).
    • Внесите в белый список доверенных отправителей или домены, но делайте это с осторожностью.
    • Отправьте электронное письмо на проверку Microsoft, чтобы улучшить обнаружение.
  • Ссылки не перезаписываются с помощью Safe Links:
    • Убедитесь, что политика безопасных ссылок включена и применяется к правильным пользователям/группам/доменам.
    • Убедитесь, что флажок «Не перезаписывать URL-адреса, но выполнять проверку API только для безопасных ссылок» снят (если не предназначен для определенных сценариев).
    • Убедитесь, что ссылка не находится в списке URL-адресов, не подлежащих проверке.
  • Вредоносные вложения не обнаруживаются:
    • Убедитесь, что политика безопасных вложений включена и установлена на «Блокировать».
    • Проверьте тип файла. Безопасные вложения ориентированы на типы файлов, которые могут содержать исполняемый контент или сценарии.

Заключение

Microsoft Defender для Office 365 — это мощный и важный инструмент для защиты организаций от постоянно меняющихся угроз электронной почты и совместной работы. Тщательно внедряя и оптимизируя политики безопасных вложений, безопасных ссылок, защиты от фишинга и вредоносного ПО, группы безопасности могут создать надежную защиту, которая защитит пользователей от изощренных атак. Сочетание расширенных средств обнаружения, автоматического исправления и инструментов углубленного расследования позволяет организациям поддерживать производительность, одновременно снижая значительные риски. Благодаря этому практическому руководству специалисты по безопасности будут хорошо подготовлены к настройке, проверке и управлению Microsoft Defender для Office 365, обеспечивая более безопасную и отказоустойчивую среду общения и совместной работы для своих организаций.

Ссылки:

[1] Microsoft Learn. Защитник Microsoft для Office 365. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-office-365/ [2] Microsoft Learn. Обзор стека защиты в Microsoft Defender для Office 365. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-office-365/protection-stack-microsoft-defender-for-office365 [3] Microsoft Learn. Лицензирование Microsoft Defender для Office 365. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-office-365/mdo-licensing [4] Microsoft Learn. Рекомендуемые настройки для EOP и Microsoft Defender для Office 365. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-office-365/recommended-settings-for-eop-and-office365 [5] Microsoft Learn. Настройте политики безопасных вложений в Microsoft Defender для Office 365. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-office-365/safe-attachments-policies-configure [6] Microsoft Learn. Настройте политики безопасных ссылок в Microsoft Defender для Office 365. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-office-365/safe-links-policies-configure [7] Microsoft Learn. Политики защиты от фишинга в Microsoft Defender для Office 365. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-mdo. [8] Microsoft Learn. Настройте политики защиты от вредоносных программ в EOP. Доступно по адресу: https://learn.microsoft.com/pt-br/microsoft-365/security/office-365-security/anti-malware-policies-configure?view=o365-worldwide.