Новые политики оповещений в Microsoft Defender для Office 365
В Microsoft Defender для Office 365 появятся новые улучшенные политики оповещений, связанные с обнаружениями после доставки. К ним относятся улучшения для связанных сценариев Автоматического исследования и реагирования. Кроме того, будет изменена классификация уровней серьезности для шести политик оповещений по умолчанию, чтобы обеспечить более полное соответствие оповещений, создаваемых этими политиками, их влиянию на вашу организацию.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Обнаружения после доставки
После того, как автоматическая очистка Microsoft Defender для Office 365 удалит сообщения из папки "Входящие", будут внедрены четыре новые политики оповещений по умолчанию, связанные с обнаружениями после доставки. Эти четыре новые политики оповещений заменят две действующие политики оповещений по умолчанию, охватывающие сценарии автоматической очистки. Они предоставят организациям расширенные сведения о базовом обнаружении и связанных с ним показателях. Эти оповещения (включая сценарии Автоматического исследования и реагирования, которые запускаются из этих оповещений) точно отслеживают угрозы электронных сообщений и сущностей, в том числе, если URL-адрес указывает на вредоносный файл или если файл содержит вредоносный URL-адрес.
В следующей таблице указаны новые политики оповещений и действующие политики оповещений, которые будут удалены. Дополнительные сведения о развертывании см. в разделе Как это повлияет на вашу организацию.
| Новая или действующая политика оповещения | Имя политики оповещения | Идентификатор политики оповещения |
|---|---|---|
| Новая | Сообщения электронной почты, содержащие вредоносный URL-адрес, удалены после доставки | 8e6ba277-ef39-404e-aaf1-294f6d9a2b88 |
| Новая | Сообщения электронной почты, содержащие вредоносный файл, удалены после доставки | 4b1820ec-39dc-45f3-abf6-5ee80df51fd2 |
| Новая | Сообщения электронной почты из кампании доставлены и затем удалены | c8522cbb-9368-4e25-4ee9-08d8d899dfab |
| Новое | Сообщения электронной почты удаляются после доставки | b8f6b088-5487-4c70-037c-08d8d71a43fe |
| Действует (будет удалена) | Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки | EA8169FA-0678-4751-8854-AEBEA7ADECEB |
| Действует (будет удалена) | Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки | 0179B3F7-3FDA-40C3-8F24-278563978DBB |
Улучшения уровней серьезности оповещений
В следующей таблице указаны политики оповещений по умолчанию, для которых изменена классификация уровней серьезности. Мы изменили классификацию уровней серьезности для этих политик оповещений, чтобы обеспечить их более полное соответствие потенциальному риску и влиянию на вашу организацию, а также помочь вашим группам безопасности определить наиболее важные оповещения, создаваемые этими политиками.
| Оповещение | Идентификатор политики оповещения | Старый уровень серьезности | Новый уровень серьезности |
|---|---|---|---|
| Подозрительные действия по пересылке сообщений электронной почты | BFD48F06-0865-41A6-85FF-ADB746423EBF | Средняя | Высокая |
| Сообщение электронной почты, указанное пользователем как вредоносная программа или фишинг | B26A5770-0C38-434A-9380-3A3C2C27BBB3 | Информационный | Низкий |
| Необычное увеличение количества сообщений электронной почты, указанных как фишинг | A00D8C62-9320-4EEA-A7E5-966B9AC09558 | Высокий | Средний |
| Выполнен результат отправки администратором | AE9B83DD-6039-4EA9-B675-6B0AC3BF4A41 | Низкий | Информационный |
| Создание правила пересылки или перенаправления | D59A8FD4-1272-41EE-9408-86F7BCF72479 | Низкий | Информационный |
| Запущен поиск для обнаружения электронных данных или экспортированы его результаты | 6FDC5710-3998-47F0-AFBB-57CEFD7378A | Средний | Информационный |
Дата вступления этих изменений в силу
В следующей таблице указано, когда новые политики оповещений начнут инициировать оповещения после доставки. В таблице также указана дата удаления двух действующих политик оповещений.
| Политика оповещения | Дата |
|---|---|
| Сообщения электронной почты, содержащие вредоносный URL-адрес, удалены после доставки (новая) | Эти оповещения будут активированы 11 апреля 2021 г. |
| Сообщения электронной почты, содержащие вредоносный файл, удалены после доставки (новая) | Эти оповещения будут активированы 11 апреля 2021 г. |
| Сообщения электронной почты из кампании доставлены и затем удалены (новая) | Эти оповещения будут активированы 28 мая 2021 г. |
| Вредоносные сообщения доставлены и затем удалены (новая) | Эти оповещения будут активированы 28 мая 2021 г. |
| Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки (действует, будет удалена) | Политика оповещений была удалена в июне 2021 г. См. раздел Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям. |
| Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки (действует, будет удалена) | Политика оповещений была удалена в июне 2021 г. См. раздел Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям. |
Изменения уровня серьезности оповещений вступят в силу для всех организаций 14 мая 2021 г.
Как это повлияет на вашу организацию
Новые оповещения начнут срабатывать и запускать Автоматическое исследование и реагирование в вашей организации в указанные выше даты. Чтобы снизить влияние на организации безопасности, которые ввели в эксплуатацию два предупреждения, которые должны быть удалены, вы увидите оповещения, активируемые существующими политиками оповещений , и оповещения, активируемые новыми политиками оповещений в период с 5 апреля 2021 г. по 28 мая 2021 г. Это делается для того, чтобы предоставить группам безопасности время для обработки необходимых изменений. Чтобы помочь группам безопасности справиться с возросшим объемом оповещений в течение этого короткого периода времени, как действующие, так и новые оповещения будут сопоставлены в одном и том же Автоматическом исследовании и реагировании и одном и том же инциденте. Если говорить более конкретно, это включает следующее поведение для Автоматического исследования и реагирования, оповещений и инцидентов:
Оповещения. По умолчанию вы увидите следующие пары оповещений для существующих и новых оповещений:
Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки И Сообщения электронной почты, содержащие вредоносные URL-адреса, удалены после доставки
Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки И Сообщения электронной почты, содержащие вредоносные файлы, удалены после доставки
Дополнительные сведения об управлении этими парами оповещений см. в разделе Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям.
Автоматическое исследование и реагирование. Оповещения будут сопоставлены в едином Автоматическом исследовании и реагировании, причем одно из оповещений будет классифицировано как "инициирующее", а другое как "повторяющееся".
Инциденты. Оба оповещения будут сопоставлены в одном инциденте
Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям
То, как ваша организация использует эти оповещения, определит действия, которые нужно выполнить для подготовки к изменениям. Если вы ввели оповещения в эксплуатацию и используете или используете их с помощью API, уведомления по электронной почте об оповещении, на Портал соответствия требованиям Microsoft Purview или на портале Microsoft Defender, вам потребуется изменить рабочие процессы.
Если вы еще не активировали эти оповещения, вы можете выполнить одно из следующих действий:
Отключите следующие политики оповещений (которые будут удалены), чтобы уменьшить количество оповещений в вашей организации:
Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки
Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки
Ничего не предпринимать. Существующие политики оповещений будут отключены 28 мая 2021 г.
Если эти оповещения активированы:
Начните использовать новые оповещения как часть рабочих процессов в связи с предстоящим удалением действующей политики оповещения 28 мая 2021 г. Если у вас есть пользовательская логика в системе обработки билетов, почтовый ящик безопасности, в котором вы получаете оповещение Уведомления по электронной почте, или решение SIEM, которое зависит от имени оповещения или идентификатора политики оповещения (CorrelationId), необходимо изменить логику, чтобы учесть это изменение.
Примечание.
Сведения в оповещениях, исследованиях и инцидентах не изменились. Более того, эти сведения были дополнены подробностями о связанных угрозах.
После внесения изменений вы можете отключить действующие политики оповещений, чтобы уменьшить количество оповещений в вашей организации:
Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки
Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки
Можно также оставить эти политики оповещений включенными до тех пор, пока они не будут удалены 28 мая 2021 г.