配置 Microsoft Defender for Office 365 以实现高级威胁防护

配置 Microsoft Defender for Office 365 以实现高级威胁防护

2024年1月12日

这篇技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师配置和优化 Microsoft Defender for Office 365 (MDO),这是一种针对电子邮件和协作威胁进行高级保护的强大解决方案。在电子邮件仍然是网络钓鱼、恶意软件和垃圾邮件等网络攻击的主要媒介的情况下,MDO 提供了必要的防御层来保护用户和组织 [1]。

简介

电子邮件是不可或缺的通信工具,但也是网络威胁的常见切入点。网络钓鱼攻击、通过恶意附件传播的勒索软件、商业电子邮件泄露 (BEC) 和欺骗是旨在利用用户信任并绕过传统防御的常见策略。 Microsoft Defender for Office 365(以前称为 Office 365 高级威胁防护 - ATP)是一款基于云的安全套件,旨在防御这些高级威胁,提供安全附件、安全链接、反网络钓鱼、反欺骗和反恶意软件保护等功能 [2]。

本实用指南将涵盖 MDO 关键功能的逐步配置,包括创建安全附件、安全链接、反网络钓鱼和反恶意软件策略。将提供详细的说明、实际示例和实际命令(如果适用),以便读者可以实现、测试和验证这些保护的有效性。此外,还将讨论安全提示、合规性检查和最佳实践,以确保您的组织自主、专业和可靠地免受最新威胁。

为什么 Microsoft Defender for Office 365 至关重要?

  • 高级威胁防护:防御传统防御措施可能无法检测到的复杂攻击,例如定向网络钓鱼、勒索软件、零日恶意软件和商业电子邮件泄露 (BEC)。
  • 安全附件:在虚拟沙箱环境中打开电子邮件附件,在将其发送给用户之前检查它们是否是恶意的,从而防止未知恶意软件的侵害。
  • 安全链接:重写电子邮件和文档中的 URL,以在单击时验证其安全性,保护用户免受恶意链接的侵害,即使原始 URL 在发送时是安全的。
  • 反网络钓鱼和反欺骗保护:使用机器智能和高级启发式方法来识别和阻止网络钓鱼电子邮件和欺骗尝试。
  • 报告和分析:提供对检测到的威胁的详细可见性,使安全团队能够调查事件并根据需要调整策略。
  • Microsoft 365 集成:与 Exchange Online、SharePoint Online、OneDrive for Business 和 Microsoft Teams 原生集成,为整个协作生态系统提供全面保护。

先决条件

要配置适用于 Office 365 的 Microsoft Defender,您将需要以下项目:

  1. 许可:MDO 包含在 Microsoft 365 E5、Office 365 E5、Microsoft 365 E5 Security 等许可证中,也可以作为其他 Microsoft 365/Office 365 订阅的附加组件购买 [3]。
  2. 管理访问权限:在 Microsoft 365 Defender 门户 (https://security.microsoft.com) 中具有“全局管理员”或“安全管理员”角色的帐户。
  3. 配置的域:您的域必须在 Microsoft 365 中配置和验证,并且 MX 记录指向 Exchange Online Protection (EOP)。

分步:为 Office 365 配置 Microsoft Defender

让我们在MDO中配置高级保护策略。

1.访问 Microsoft 365 Defender 门户

所有 MDO 设置均通过统一的 Microsoft 365 Defender 门户进行管理。

  1. 打开浏览器并导航到 Microsoft 365 Defender 门户:“https://security.microsoft.com”。
  2. 使用具有必要权限的帐户登录。
  3. 在左侧导航窗格中,选择电子邮件和协作 > 策略和规则 > 威胁策略

2. 配置安全附件策略(安全附件)

安全附件策略可防止电子邮件附件中的零日恶意软件。

  1. 在“威胁策略”页面上,选择“安全附件”。
  2. 单击“+创建”启动新的安全附件策略向导。
  3. 策略名称:给出一个有意义的名称(例如:“全局安全附件策略”)。
  4. 说明:提供清晰的说明(例如“保护所有用户免受恶意附件的侵害”)。

  5. 单击“下一步”。

  6. 用户、组和域

    • 在“用户和组”下,选择“所有用户”或添加特定用户/组。为了全面保护,建议使用“所有用户”。
    • 在“域”下,选择“所有域”或特定域。

  7. 单击“下一步”。

  8. 设置

    • 安全附件恶意软件响应操作:选择“阻止”。
      • 说明:这是最安全的操作,因为它会阻止带有检测到的恶意附件的电子邮件。
    • 重定向检测到的附件:(可选)您可以将恶意附件重定向到安全邮箱电子邮件地址以进行分析。
    • 优先级:保留默认值,或者如果您有多个策略,则设置优先级。

  9. 单击“下一步”。

  10. 审核:审核设置并单击“提交”以创建策略。

3. 配置安全链接策略

安全链接策略可防止电子邮件和其他 Microsoft 365 应用程序中的恶意 URL。

  1. 在“威胁策略”页面上,选择“安全链接”。
  2. 单击“+创建”启动新的安全链接策略向导。
  3. 策略名称:给出一个有意义的名称(例如:“全局安全链接策略”)。
  4. 描述:提供清晰的描述(例如“保护所有用户免受恶意 URL”)。

  5. 单击“下一步”。

  6. 用户、组和域

    • 在“用户和组”下,选择“所有用户”或添加特定用户/组。
    • 在“域”下,选择“所有域”或特定域。

  7. 单击“下一步”。

  8. URL 和点击保护设置

    • 选择针对潜在恶意 URL 的操作:选择“启用电子邮件中的安全链接”。
    • 将安全链接应用于组织内发送的电子邮件:选中此选项以保护内部链接。
    • 将安全链接应用于受支持的 Office 365 客户端中的 URL:选中此选项可保护 Teams、Word、Excel、PowerPoint 等应用程序中的链接。
    • 不要重写 URL,但仅通过 API 对安全链接执行检查:取消选中此选项,因为重写对于保护至关重要。
    • 阻止用户点击原始URL:选中此选项可确保用户无法绕过验证。
    • 不要验证以下 URL:(可选)添加不应重写或验证的受信任 URL(例如,您组织的内部 URL)。

  9. 单击“下一步”。

  10. 审核:审核设置并单击“提交”以创建策略。

4. 配置反钓鱼策略

反网络钓鱼策略可防止欺骗和其他网络钓鱼攻击。

  1. 在“威胁策略”页面上,选择“反网络钓鱼”。
  2. 单击“+创建”启动新的反网络钓鱼策略向导。
  3. 策略名称:为其指定一个有意义的名称(例如“全球反网络钓鱼策略”)。
  4. 描述:提供清晰的描述(例如“为所有用户提供网络钓鱼和欺骗保护”)。

  5. 单击“下一步”。

  6. 用户、组和域

    • 在“用户”、“组”和“域”下,分别选择“所有用户”、“所有组”和“所有域”。如有必要,您还可以排除某些用户或组。

  7. 单击“下一步”。

  8. 网络钓鱼阈值和假冒防护

    • 网络钓鱼阈值:设置防护的攻击性级别。建议大多数组织使用“标准”或“激进”。
    • 启用模拟智能:保持“启用”。
    • 启用邮箱智能:保持“打开”。
    • 启用用户模拟保护:单击“+添加用户”以保护高管或高价值用户。
    • 启用域模拟保护:单击“+添加域”以保护您自己的域和合作伙伴的域。

  9. 单击“下一步”。

  10. 行动

    • 检测为伪造的邮件:选择“将邮件移至垃圾邮件”或“隔离邮件”。
    • 检测为用户模拟的邮件:选择“隔离邮件”。
    • 检测为域模拟的邮件:选择“隔离邮件”。
    • 检测为网络钓鱼的邮件:选择“隔离邮件”。

  11. 单击“下一步”。

  12. 审核:审核设置并单击“提交”以创建策略。

5. 配置反恶意软件策略

反恶意软件策略可防止电子邮件中的恶意软件。

  1. 在“威胁策略”页面上,选择“反恶意软件”。
  2. 您将看到适用于所有收件人的默认策略(“默认”)。对于自定义,您可以创建新策略或编辑默认策略。
  3. 单击“+ 创建”(或选择“默认”策略并单击“编辑保护”)。
  4. 策略名称:为其命名(例如:“自定义反恶意软件策略”)。
  5. 描述:提供描述。

  6. 单击“下一步”。

  7. 用户、组和域

    • 选择“所有收件人”或添加特定用户/组/域。

  8. 单击“下一步”。

  9. 保护设置

    • 保护部分:保持启用“启用通用附件过滤器”和“启用恶意软件自动零时丢弃”选项。
    • 隔离部分:定义恶意软件邮件应隔离多长时间(例如“30 天”)。
    • 通知部分:配置检测到恶意软件时向管理员和发件人/收件人发出的通知。

  10. 单击“下一步”。

  11. 审核:审核设置并单击“提交”以创建/更新策略。

验证和测试

测试配置策略的有效性以确保它们按预期工作至关重要。

1. 测试安全附件

  1. 场景:从外部地址向内部用户发送一封电子邮件,其中包含模拟恶意软件的无害测试文件(例如 EICAR 文件,这是一种防病毒测试模式)。您可以从各种安全网站生成 EICAR 文件。
  2. 预期操作:应阻止包含 EICAR 文件的电子邮件或将其移至隔离区,并且不应将附件发送给用户。
  3. 验证
    • 在 Microsoft 365 Defender 门户中,导航到 电子邮件和协作 > 资源管理器(或 消息跟踪)。
    • 搜索测试电子邮件。您应该看到它已被安全附件策略检测到并阻止。

2. 测试安全链接

  1. 场景:从外部地址向内部用户发送一封电子邮件,其中包含指向网络钓鱼测试站点的链接(例如“http://www.phishtest.com”或指向恶意软件测试站点的链接)。请确保该链接不是指向可能造成损害的真实网站。
  2. 预期操作:当用户单击链接时,他们应该被重定向到安全链接警告页面,通知他们该网站是恶意的或可疑的,并且应该阻止访问。
  3. 验证
    • 在 Microsoft 365 Defender 门户中,导航到 电子邮件和协作 > 资源管理器
    • 搜索测试电子邮件。您应该会看到该链接的点击详细信息,并且该链接已被安全链接阻止。

3. 测试反网络钓鱼和反欺骗

  1. 场景
    • 欺骗:从欺骗您组织的域的外部地址发送电子邮件(例如,来自未经授权的电子邮件服务器的“[email protected]”)。
    • 假冒网络钓鱼:从外部地址发送电子邮件,该地址看起来像是受假冒策略保护的高管地址(例如“[email protected]”)。
  2. 预期操作:应将电子邮件移至反网络钓鱼策略中配置的隔离区或垃圾文件夹。
  3. 验证
    • 检查用户的隔离区或垃圾文件夹。
    • 在微门户上soft 365 Defender,导航到 电子邮件和协作 > 资源管理器
    • 搜索测试电子邮件。您应该看到它们已被反网络钓鱼/反欺骗策略检测到并处理。

安全提示和最佳实践

  • 预定义的安全策略:考虑在 MDO 中使用预定义的安全策略(“标准”和“严格”)。他们应用 Microsoft 推荐的设置来实现快速有效的保护 [4]。
  • 用户教育:技术只是解决方案的一部分。定期培训您的用户如何识别和报告网络钓鱼电子邮件和其他威胁。 Microsoft 攻击模拟培训可以成为一个很有价值的工具。
  • 持续监控:定期监控 Microsoft 365 Defender 门户中的报告和威胁资源管理器,以识别攻击趋势、高风险用户,并根据需要调整策略。
  • 小心例外:使用例外(例如,在安全链接中“不要检查以下 URL”)时要极其谨慎,并且仅适用于被证明是安全且必要的域。
  • 策略优先级:了解策略优先级如何运作。更具体的策略必须具有更高的优先级(更少的数量)才能在更一般的策略之前应用。
  • 与 Microsoft Sentinel 集成:将 MDO 日志和警报发送到 Microsoft Sentinel,以获得安全和事件响应自动化的集中视图。
  • 协作保护:请记住,MDO 不仅保护电子邮件,还保护 SharePoint、OneDrive 中的文件和 Teams 中的消息。确保启用并配置这些保护。

常见故障排除

  • 恶意电子邮件未被阻止
    • 确保策略已“启用”并应用于正确的用户/组/域。
    • 检查策略的优先级。一项不太激进、优先级更高的政策可能会更快出台。
    • 使用 Exchange 管理中心 (EAC) 中的邮件跟踪或 Microsoft 365 Defender 门户中的威胁资源管理器来查看特定电子邮件的处理方式。
    • 检查是否存在允许交付的例外情况或允许列表。
  • 误报(合法电子邮件被阻止)
    • 威胁浏览器 中调查电子邮件以了解其被阻止的原因。
    • 调整策略敏感性(例如不太激进的网络钓鱼阈值)。
    • 将受信任的发件人或域列入白名单,但请谨慎操作。
    • 提交电子邮件供 Microsoft 审核以改进检测。
  • 安全链接不会重写链接
    • 检查安全链接策略是否为“打开”并应用于正确的用户/组/域。
    • 确保未选中“不要重写 URL,但仅对安全链接执行 API 检查”(除非用于特定场景)。
    • 确保该链接不在“不验证”URL 列表中。
  • 未检测到恶意附件
    • 确保安全附件策略为“已启用”并设置为“阻止”。
    • 检查文件类型。安全附件侧重于可能包含可执行内容或脚本的文件类型。

结论

Microsoft Defender for Office 365 是一款功能强大且必不可少的工具,可保护组织免受不断发展的电子邮件和基于协作的威胁的影响。通过仔细实施和优化安全附件、安全链接、反网络钓鱼和反恶意软件策略,安全团队可以构建强大的防御,保护用户免受复杂的攻击。先进检测、自动修复和深入调查工具的结合使组织能够保持生产力,同时降低重大风险。通过本实用指南,安全专业人员将能够配置、验证和管理 Microsoft Defender for Office 365,确保为其组织提供更安全、更有弹性的通信和协作环境。

参考资料:

[1] 微软学习。 适用于 Office 365 的 Microsoft Defender。网址:https://learn.microsoft.com/pt-br/defender-office-365/ [2] 微软学习。 Microsoft Defender for Office 365 中的保护堆栈概述。网址:https://learn.microsoft.com/pt-br/defender-office-365/protection-stack-microsoft-defender-for-office365 [3] 微软学习。 适用于 Office 365 的 Microsoft Defender 许可。网址:https://learn.microsoft.com/pt-br/defender-office-365/mdo-licensing [4] 微软学习。 EOP 和 Microsoft Defender for Office 365 的推荐设置。网址:https://learn.microsoft.com/pt-br/defender-office-365/recommended-settings-for-eop-and-office365 [5] 微软学习。 在 Microsoft Defender for Office 365 中配置安全附件策略。网址:https://learn.microsoft.com/pt-br/defender-office-365/safe-attachments-policies-configure [6] 微软学习。 在 Microsoft Defender for Office 365 中配置安全链接策略。网址:https://learn.microsoft.com/pt-br/defender-office-365/safe-links-policies-configure [7] 微软学习。 Microsoft Defender for Office 365 中的反网络钓鱼策略。网址:https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-mdo [8] 微软学习。 在 EOP 中配置反恶意软件策略。网址:https://learn.microsoft.com/pt-br/microsoft-365/security/office-365-security/anti-malware-policies-configure?view=o365-worldwide