Анализатор конфигурации для политик защиты в EOP и Microsoft Defender для Office 365
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Анализатор конфигурации на портале Microsoft Defender предоставляет централизованное расположение для поиска и исправления политик безопасности, в которых параметры менее безопасны, чем параметры защиты Standard и параметров профиля строгой защиты в предустановленных политиках безопасности.
Анализатор конфигурации анализирует следующие типы политик:
политики Exchange Online Protection (EOP): включает организации Microsoft 365 с Exchange Online почтовыми ящиками и автономные организации EOP без Exchange Online почтовых ящиков.
политики Microsoft Defender для Office 365. Включает организации с подписками на Microsoft 365 E5 или Defender для Office 365 надстройки.
- Политики защиты от фишинга в Microsoft Defender для Office 365, в том числе:
- Те же подделывание параметров , которые доступны в политиках защиты от фишинга EOP.
- Параметры олицетворения
- Расширенные пороговые значения фишинга
- Политики безопасных ссылок.
- Политики безопасных вложений.
- Политики защиты от фишинга в Microsoft Defender для Office 365, в том числе:
Значения параметров политики Standard и Strict, используемые в качестве базовых показателей, описаны в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.
Анализатор конфигурации также проверяет следующие параметры, не относящиеся к политике:
- DKIM: обнаруживаются ли записи SPF и DKIM для указанного домена в DNS.
- Outlook: включены ли в организации собственные внешние идентификаторы отправителей Outlook.
Что нужно знать перед началом работы
Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Анализатор конфигурации, используйте .https://security.microsoft.com/configurationAnalyzer
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:
Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).
Email & разрешения на совместную работу на портале Microsoft Defender:
- Используйте анализатор конфигурации и обновите затронутые политики безопасности: Членство в группах ролей "Управление организацией" или "Администратор безопасности ".
- Доступ только для чтения к анализатору конфигурации: членство в группах ролей "Глобальный читатель" или "Читатель безопасности ".
разрешения Exchange Online. Членство в группе ролей "Управление организацией только для просмотра" предоставляет доступ только для чтения к анализатору конфигурации.
Microsoft Entra разрешения. Членство в ролях "Глобальный администратор*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.
Важно!
* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Использование анализатора конфигурации на портале Microsoft Defender
На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & политики совместной работы>& правила>Политики> угроз. Анализатор конфигурации в разделе Шаблонные политики. Чтобы перейти непосредственно на страницу Анализатор конфигурации, используйте .https://security.microsoft.com/configurationAnalyzer
На странице Анализатор конфигурации есть три main вкладки:
- рекомендации Standard. Сравните существующие политики безопасности с рекомендациями Standard. Вы можете настроить значения параметров, чтобы привести их к тому же уровню, что и Standard.
- Строгие рекомендации. Сравните существующие политики безопасности со строгими рекомендациями. Вы можете настроить значения параметров, чтобы привести их к тому же уровню, что и Strict.
- Анализ и журнал смещения конфигурации. Аудит и отслеживание изменений политики с течением времени.
Standard вкладки рекомендаций и строгих рекомендаций в анализаторе конфигурации
По умолчанию анализатор конфигурации открывается на вкладке Standard рекомендации. Вы можете перейти на вкладку Строгие рекомендации. Параметры, макет и действия одинаковы на обеих вкладках.
В первом разделе вкладки отображается количество параметров в политике каждого типа, которые нуждаются в улучшении по сравнению с Standard или строгой защитой. Ниже приведены типы политик.
- Защита от нежелательной почты
- Защита от фишинга
- Защита от вредоносных программ
- Безопасные вложения (если ваша подписка содержит Microsoft Defender для Office 365)
- Безопасные ссылки (если ваша подписка содержит Microsoft Defender для Office 365)
- DKIM
- Встроенная защита (если ваша подписка включает Microsoft Defender для Office 365)
- Outlook
Если тип и номер политики не отображаются, все политики этого типа соответствуют рекомендуемыми параметрами Standard или Строгая защита.
Остальная часть вкладки представляет собой таблицу параметров, которые необходимо довести до уровня Standard или Строгая защита. Таблица содержит следующие столбцы*:
- Рекомендации: значение параметра в профиле стандартной или строгой защиты.
- Политика: имя затрагиваемой политики, содержащей параметр.
- Имя группы политик или параметра: имя параметра, который требует вашего внимания.
- Тип политики: защита от нежелательной почты, защита от фишинга, защита от вредоносных программ, безопасные ссылки или безопасные вложения.
- Текущая конфигурация: текущее значение параметра.
- Последнее изменение: дата последнего изменения политики.
- Состояние. Как правило, это значение не запущено.
* Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:
- Прокрутите страницу по горизонтали в веб-браузере.
- Сужает ширину соответствующих столбцов.
- Уменьшение масштаба в веб-браузере.
Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтры доступны следующие фильтры:
- Защита от нежелательной почты
- Защита от фишинга
- Защита от вредоносных программ
- Безопасные вложения
- Безопасные ссылки
- Встроенное правило защиты ATP
- DKIM
- Outlook
По завершении во всплывающем окне Фильтры нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.
Используйте поле Поиск и соответствующее значение для поиска определенных записей.
Просмотр сведений о рекомендуемом параметре политики
На вкладке Standard защита или Строгая защита анализатора конфигурации выберите запись, щелкнув в любом месте строки, кроме поля проверка рядом с именем рекомендации. В открывавшемся всплывающем окне сведений доступны следующие сведения:
- Политика: имя затронутой политики.
- Почему?: сведения о том, почему рекомендуется использовать значение параметра.
- Конкретный параметр для изменения и значение, на которое его нужно изменить.
- Просмотр политики. По ссылке вы перейдете к всплывающему элементу сведений о затронутой политике на портале Microsoft Defender, где можно вручную обновить параметр.
- Ссылка на рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.
Совет
Чтобы просмотреть сведения о других рекомендациях, не выходя из всплывающего меню сведений, используйте предыдущие и следующие в верхней части всплывающего окна.
Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.
Выполнение действий с рекомендуемыми параметрами политики
На вкладке Standard защита или Строгая защита анализатора конфигурации выберите запись, выбрав поле проверка рядом с именем рекомендации. На странице отображаются следующие действия:
Применить рекомендацию. Если рекомендация требует нескольких шагов, это действие неактивно.
При выборе этого действия открывается диалоговое окно подтверждения (с параметром больше не отображать диалоговое окно). При нажатии кнопки ОК происходит следующее:
- Параметр обновляется до рекомендуемого значения.
- Рекомендация по-прежнему выбрана, но единственное доступное действие — Обновить.
- Значение Status для строки изменится на Complete.
Просмотр политики. Вы перейдете к всплывающему элементу сведений о затронутой политике на портале Microsoft Defender, где можно вручную обновить параметр.
Экспорт: экспортирует выбранную рекомендацию в файл .csv, выберите Экспорт.
Вы также можете экспортировать рекомендации после выбора нескольких рекомендаций или после выбора всех рекомендаций, выбрав поле проверка рядом с заголовком столбца Рекомендации.
После автоматического или ручного обновления параметра выберите Обновить , чтобы просмотреть меньшее количество рекомендаций и удалить обновленную строку из результатов.
Вкладка журнала и анализа смещения конфигурации в анализаторе конфигурации
Примечание.
На этой вкладке можно отслеживать изменения политик безопасности и то, как эти изменения сравниваются с Standard или строгими параметрами. По умолчанию отображаются перечисленные ниже сведения.
- Дата последнего изменения
- Изменено
- Имя параметра
- Политика: имя затронутой политики.
- Тип: защита от нежелательной почты, защита от фишинга, защита от вредоносных программ, безопасные ссылки или безопасные вложения.
- Изменение конфигурации: старое и новое значение параметра.
- Смещение конфигурации. Значение Увеличение или Уменьшение, указывающее, что параметр увеличил или снизил безопасность по сравнению с рекомендуемыми Standard или Строгим параметром.
Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтры доступны следующие фильтры:
- Дата: время начала и время окончания. Вы можете вернуться до 90 дней с сегодняшнего дня.
- Тип: Standard защита или Строгая защита.
По завершении во всплывающем окне Фильтры нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.
Используйте поле поиска ::image type="icon" source="media/m365-cc-sc-search-icon.png" border="false"::: для фильтрации записей по определенному изменено, имени параметра или значению типа .
Чтобы экспортировать записи, отображаемые на вкладке Анализ смещения конфигурации и журнал , в файл .csv, выберите Экспорт.