Руководство пользователя пробной версии: Microsoft Defender для Office 365

Добро пожаловать в руководство пользователя Microsoft Defender для Office 365 пробной версии! Это руководство пользователя поможет вам максимально эффективно использовать бесплатную пробную версию, научив вас защищать организацию от вредоносных угроз, связанных с сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы.

Что такое Defender для Office 365?

Defender для Office 365 помогает организациям защитить свое предприятие, предлагая комплексный набор возможностей, включая политики угроз, отчеты, возможности для исследования угроз и реагирования на них, а также возможности автоматического исследования и реагирования на них.

В дополнение к обнаружению расширенных угроз в следующем видео показано, как возможности SecOps Defender для Office 365 могут помочь вашей команде реагировать на угрозы:

Режим аудита и режим блокировки для Defender для Office 365

Вы хотите, чтобы ваш интерфейс Defender для Office 365 был активным или пассивным? Ниже приведены два режима, которые можно выбрать:

• Режим аудита. Специальные политики оценки создаются для защиты от фишинга (включая защиту от олицетворения), безопасных вложений и безопасных ссылок. Эти политики оценки настроены только для обнаружения угроз. Defender для Office 365 обнаруживает вредоносные сообщения для отчетов, но сообщения не обрабатываются (например, обнаруженные сообщения не помещаются в карантин). Параметры этих политик оценки описаны в разделе Политики в режиме аудита далее в этой статье.

  Режим аудита предоставляет доступ к настраиваемым отчетам об угрозах, обнаруженных политиками оценки в Defender для Office 365 на странице оценки Microsoft Defender для Office 365 по адресу https://security.microsoft.com/atpEvaluation.

• Режим блокировки. Шаблон Standard для предустановленных политик безопасности включается и используется для пробной версии, а пользователи, которые вы указали для включения в пробную версию, добавляются в предустановленную политику безопасности Standard. Defender для Office 365 обнаруживает и принимает меры для вредоносных сообщений (например, обнаруженные сообщения помещаются в карантин).

  По умолчанию и рекомендуется область эти политики Defender для Office 365 всем пользователям в организации. Но во время или после настройки пробной версии вы можете изменить назначение политики для определенных пользователей, групп или доменов электронной почты на портале Microsoft Defender или в Exchange Online PowerShell.

  Режим блокировки не предоставляет настраиваемые отчеты об угрозах, обнаруженных Defender для Office 365. Вместо этого эта информация доступна в обычных отчетах и функциях исследования Defender для Office 365 план 2. Дополнительные сведения см. в разделе Отчеты для режима блокировки.

Основные факторы, определяющие доступные режимы:

• Независимо от того, используете ли вы Defender для Office 365 (план 1 или план 2), как описано в разделе Оценка и пробная версия Для Defender для Office 365.

• Способ доставки электронной почты в организацию Microsoft 365, как описано в следующих сценариях:

  • Почта из Интернета поступает непосредственно в Microsoft 365, но в текущей подписке есть встроенные функции безопасности только для всех облачных почтовых ящиков или Defender для Office 365 плана 1.

    

    В этих средах доступен режим аудита или режим блокировкив зависимости от лицензирования.

  • В настоящее время вы используете службу или устройство сторонних разработчиков для защиты электронной почты облачных почтовых ящиков. Почта из Интернета проходит через службу защиты перед доставкой в организацию Microsoft 365. Защита Microsoft 365 максимально низка (она никогда не выключается полностью; например, защита от вредоносных программ всегда применяется).

    

    В этих средах доступен только режим аудита . Вам не нужно изменять поток обработки почты (записи MX), чтобы оценить Defender для Office 365 плана 2.

Итак, приступим!

Режим блокировки

Шаг 1. Начало работы в режиме блокировки

Начало использования пробной версии Microsoft Defender для Office 365

После запуска пробной версии и завершения настройки может потребоваться до 2 часов, чтобы изменения вступили в силу.

Мы автоматически включили предустановленную политику безопасности Standard в вашей среде. Этот профиль представляет базовый профиль защиты, подходящий для большинства пользователей. Стандартная защита включает следующее.

• Безопасные ссылки, безопасные вложения и политики защиты от фишинга, предназначенные для всего клиента или подмножества пользователей, которых вы можете выбрать во время настройки пробной версии.
• Включение защиты безопасных вложений для SharePoint, OneDrive и Microsoft Teams.
• Защита безопасных ссылок для поддерживаемых приложений Office 365.

Посмотрите это видео, чтобы узнать больше: Защита от вредоносных ссылок с помощью безопасных ссылок в Microsoft Defender для Office 365 — YouTube.

Разрешение пользователям сообщать о подозрительном содержимом в режиме блокировки

Defender для Office 365 позволяет пользователям отправлять сообщения своим группам безопасности и позволяет администраторам отправлять сообщения в корпорацию Майкрософт для анализа.

• Проверьте или настройте параметры, сообщаемые пользователем , чтобы сообщаемые сообщения отправлялись в указанный почтовый ящик отчетов, в корпорацию Майкрософт или и то, и другое.
• Используйте встроенную кнопку Отчет в поддерживаемых версиях Outlook, чтобы пользователи сообщали сообщения.
• Создайте рабочий процесс для информирования о ложноположительных и ложноотрицательных срабатываниях.
• Используйте вкладку Пользователь сообщается на странице Отправки по адресу, https://security.microsoft.com/reportsubmission?viewid=user чтобы просматривать сообщения, сообщаемые пользователем, и управлять ими.

Просмотрите это видео, чтобы узнать больше: Узнайте, как использовать страницу Отправки для отправки сообщений для анализа — YouTube.

Просмотр отчетов для понимания общей картины угроз в режиме блокировки

Используйте возможности отчетов в Defender для Office 365, чтобы получить дополнительные сведения о своей среде.

• Изучайте угрозы, связанные с почтой и инструментами совместной работы, в отчете о состоянии защиты от угроз.
• Узнайте, где угрозы блокируются, с помощью отчета о состоянии потока обработки почты.
• Используйте отчет о защите URL-адресов для просмотра ссылок, которые были просмотрированы пользователями или заблокированы системой.

Шаг 2. Промежуточные шаги в режиме блокировки

Фокусировка на пользователях, которые чаще всего выбираются в качестве целей атак

Защитите наиболее заметных пользователей и пользователей, наиболее подверженных атакам, с помощью защиты приоритетных учетных записей в Defender для Office 365. Это поможет вам определить приоритеты своего рабочего процесса, чтобы обеспечить безопасность этих пользователей.

• Определите наиболее заметных пользователей или пользователей, наиболее подверженных атакам.
• Пометьте этих пользователей в качестве приоритетных учетных записей.
• Отслеживайте угрозы для приоритетных учетных записей на портале.

Посмотрите это видео, чтобы узнать больше: Защита приоритетных учетных записей в Microsoft Defender для Office 365 — YouTube.

Избегайте дорогостоящих нарушений безопасности, предотвращая компрометацию пользователей

Получайте оповещения о потенциальной компрометации и автоматически ограничивайте влияние этих угроз, чтобы злоумышленники не смогли получить обширный доступ к вашей среде.

• Просматривайте оповещения о скомпрометированных пользователях.
• Исследуйте скомпрометированных пользователей и реагируйте на компрометацию.

Посмотрите это видео, чтобы узнать больше: Обнаружение компрометации и реагирование на нее в Microsoft Defender для Office 365 — YouTube.

Использование обозревателя угроз для исследования вредоносных сообщений электронной почты

Defender для Office 365 позволяет вам исследовать действия, которые создают риски для пользователей в вашей организации, и принимать меры для защиты организации. Это можно сделать с помощью Обозреватель угроз (Обозреватель):

• Находите подозрительные полученные письма. Найдите и удалите сообщение, определите IP-адрес отправителя вредоносного письма или создайте инцидент для дальнейшего исследования.
• Email сценарии безопасности в Обозреватель угроз и обнаружения в режиме реального времени

Просмотр кампаний, нацеленных на вашу организацию

Просматривайте более масштабную картину с помощью представлений кампаний в Defender для Office 365, позволяющих увидеть кампании атак, нацеленные на вашу организацию, а также влияние, которое они оказывают на ваших пользователей.

• Определяйте кампании, нацеленные на ваших пользователей.

• Визуализируйте область атаки.

• Отслеживайте взаимодействие пользователей с этими сообщениями.

  

Посмотрите это видео, чтобы узнать больше: Представления кампаний в Microsoft Defender для Office 365 — YouTube.

Использование автоматизации для устранения рисков

Эффективно реагируйте с помощью автоматического исследования и реагирования (AIR) для проверки, определения приоритетов и реагирования на угрозы.

• Дополнительные сведения о руководствах пользователя для исследования.
• Просматривайте сведения и результаты исследования.
• Устраняйте угрозы путем утверждения действий по исправлению.

Шаг 3. Дополнительное содержимое в режиме блокировки

Подробный анализ данных с помощью охоты на основе запросов

Используйте расширенную охоту, чтобы написать собственные правила обнаружения, выполнять профилактические проверки событий в своей среде и находить индикаторы угроз. Изучайте необработанные данные в своей среде.

• Создайте собственные правила обнаружения.
• Получайте доступ к общим запросам, созданным другими пользователями.

Просмотрите это видео, чтобы узнать больше: Охота на угрозы с помощью Microsoft Defender XDR - YouTube.

Обучение пользователей обнаружению угроз с помощью имитации атак

Вооружите своих пользователей нужными знаниями для выявления угроз и уведомления о подозрительных сообщениях с помощью имитации атак в Defender для Office 365.

• Имитируйте реалистичные угрозы для выявления уязвимых пользователей.

• Назначайте обучение пользователям на основе результатов имитации.

• Отслеживайте прогресс вашей организации в отношении завершения имитаций и обучения.

  

Режим аудита

Шаг 1. Начало работы в режиме аудита

Начало оценки Defender для Office 365

После завершения настройки может потребоваться до 2 часов, чтобы изменения вступили в силу. Мы автоматически настраиваем готовые политики оценки в вашей среде.

Политики оценки обеспечивают отсутствие действий для сообщений электронной почты, обнаруженных посредством Defender для Office 365.

Разрешение пользователям сообщать о подозрительном содержимом в режиме аудита

Defender для Office 365 позволяет пользователям отправлять сообщения своим группам безопасности и позволяет администраторам отправлять сообщения в корпорацию Майкрософт для анализа.

• Проверьте или настройте параметры, сообщаемые пользователем , чтобы сообщаемые сообщения отправлялись в указанный почтовый ящик отчетов, в корпорацию Майкрософт или и то, и другое.
• Используйте встроенную кнопку Отчет в поддерживаемых версиях Outlook, чтобы пользователи сообщали сообщения.
• Создайте рабочий процесс для информирования о ложноположительных и ложноотрицательных срабатываниях.
• Используйте вкладку Пользователь сообщается на странице Отправки по адресу, https://security.microsoft.com/reportsubmission?viewid=user чтобы просматривать сообщения, сообщаемые пользователем, и управлять ими.

Просмотрите это видео, чтобы узнать больше: Узнайте, как использовать страницу Отправки для отправки сообщений для анализа — YouTube.

Просмотр отчетов для понимания общей картины угроз в режиме аудита

Используйте возможности отчетов в Defender для Office 365, чтобы получить дополнительные сведения о своей среде.

• Панель мониторинга оценки позволяет легко просматривать угрозы, обнаруженные Defender для Office 365 во время оценки.
• Изучайте угрозы, связанные с почтой и инструментами совместной работы, в отчете о состоянии защиты от угроз.

Шаг 2. Промежуточные шаги в режиме аудита

Использование обозревателя угроз для исследования вредоносных сообщений электронной почты в режиме аудита

Defender для Office 365 позволяет вам исследовать действия, которые создают риски для пользователей в вашей организации, и принимать меры для защиты организации. Это можно сделать с помощью Обозреватель угроз (Обозреватель):

• Находите подозрительные полученные письма. Найдите и удалите сообщение, определите IP-адрес отправителя вредоносного письма или создайте инцидент для дальнейшего исследования.
• Email сценарии безопасности в Обозреватель угроз и обнаружения в режиме реального времени

Преобразование в стандартную защиту в конце периода оценки

Когда вы будете готовы включить политики Defender для Office 365 в рабочей среде, вы можете использовать функцию Преобразовать в защиту Standard, чтобы легко перейти из режима аудита в режим блокировки, включив предустановленную политику безопасности Standard, которая содержит всех получателей из режима аудита.

Миграция из службы защиты сторонних разработчиков или устройства в Defender для Office 365

Если у вас уже есть служба защиты сторонних разработчиков или устройство, которое находится перед Microsoft 365, вы можете перенести защиту в Microsoft Defender для Office 365, чтобы получить преимущества консолидированного интерфейса управления, потенциально сниженные затраты (с помощью продуктов, за которые вы уже платите) и зрелый продукт с интегрированной защитой безопасности.

Дополнительные сведения см. в статье Миграция с службы защиты или устройства сторонних разработчиков на Microsoft Defender для Office 365.

Шаг 3. Дополнительное содержимое в режиме аудита

Обучение пользователей обнаружению угроз с помощью имитации атак в режиме аудита

Вооружите своих пользователей нужными знаниями для выявления угроз и уведомления о подозрительных сообщениях с помощью имитации атак в Defender для Office 365.

• Имитируйте реалистичные угрозы для выявления уязвимых пользователей.

• Назначайте обучение пользователям на основе результатов имитации.

• Отслеживайте прогресс вашей организации в отношении завершения имитаций и обучения.

  

Дополнительные ресурсы

• Интерактивное руководство. Не знакомы с Defender для Office 365? Просмотрите интерактивное руководство, чтобы узнать, как начать работу.
• Краткое руководство по началу работы: Microsoft Defender для Office 365
• Microsoft Defender документации по Office 365. Получите подробные сведения о том, как работает Defender для Office 365 и как наилучшим образом реализовать его для вашей организации. Сведения о Office 365 документации см. в Microsoft Defender.
• Состав: полный список функций защиты электронной почты Office 365, упорядоченный по уровню продуктов, см. в таблице возможностей.
• Почему Defender для Office 365: таблица Defender для Office 365 содержит 10 главных причин, по которым клиенты выбирают Майкрософт.