Начало работы с Microsoft Defender для Office 365

В этой статье описаны шаги по настройке, которые необходимо выполнить в первые дни существования новой организации Microsoft 365 с Microsoft Defender для Office 365 (включенным в подписку или доступным по дополнительной подписке).

Хотя ваша организация Microsoft 365 включает уровень защиты по умолчанию с момента его создания (или добавления в него Defender для Office 365), действия, описанные в этой статье, дают практический план для реализации всех возможностей защиты Defender для Office 365. После выполнения этих действий вы также можете использовать эту статью, чтобы показать руководству, что вы максимально увеличиваете свои инвестиции в Microsoft 365.

Действия по настройке Defender для Office 365 описаны на следующей схеме:

Концептуальная схема, показывающая шаги по настройке Defender для Office 365.

Совет

В дополнение к этой статье ознакомьтесь с руководством по настройке Microsoft Defender для Office 365, чтобы ознакомиться с рекомендациями и защититься от угроз электронной почты, ссылок и совместной работы. Функции включают безопасные ссылки, безопасные вложения и многое другое. Для индивидуальной настройки с учетом вашей среды вы можете открыть руководство по автоматизированной настройке Microsoft Defender для Office 365 в центре администрирования Microsoft 365.

Требования

Встроенные функции безопасности включены во все подписки Microsoft 365 с облачными почтовыми ящиками. Defender для Office 365 включает дополнительные функции защиты. Подробное сравнение функций см. в статье Обзор Microsoft Defender для Office 365.

Роли и разрешения

Для настройки требуются разрешения. В следующей таблице перечислены разрешения, необходимые для выполнения действий, описанных в этой статье (достаточно одного; вам не нужны все из них).

Роль или группа ролей Дополнительные сведения
Глобальный администратор в Microsoft Entra* Встроенные роли Microsoft Entra
Управление организацией в группах ролей электронной почты и совместной работы Группы ролей в Microsoft Defender для Office 365
Администратор безопасности в Microsoft Entra Встроенные роли Microsoft Entra
Администратор безопасности в группах ролей Email и совместной работы Разрешения для электронной почты и совместной работы в Microsoft Defender для Office 365
Управление организациями в Exchange Online Разрешения в Exchange Online

Важно!

* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

Шаг 1. Настройка проверки подлинности электронной почты для доменов Microsoft 365

Сводка. Настройте записи SPF, DKIM и DMARC (в этом порядке) для всех пользовательских доменов Microsoft 365 (включая припаркованные домены и поддомены). При необходимости настройте все доверенные запечатывщики ARC.

Сведения:

Аутентификация электронной почты (также известная как валидация электронной почты) — это набор стандартов для проверки того, что сообщения электронной почты являются подлинными, не были изменены и поступают из ожидаемых источников для почтового домена отправителя. Дополнительные сведения см. в разделе проверка подлинности Email.

Предполагается, что вы используете один или несколько личных доменов в Microsoft 365 для электронной почты (например, contoso.com), поэтому необходимо создать определенные записи DNS проверки подлинности электронной почты для каждого личного домена электронной почты.

Создайте следующие записи DNS проверки подлинности электронной почты в регистраторе DNS или службе размещения DNS для каждого личного домена, используемого для электронной почты в Microsoft 365:

  • Платформа политики отправителей (SPF): запись SPF TXT определяет допустимые источники электронной почты от отправителей в домене. Инструкции см. в статье Настройка SPF для определения допустимых источников электронной почты для пользовательских облачных доменов.

  • DomainKeys Identified Mail (DKIM): DKIM подписывает исходящие сообщения и сохраняет подпись в заголовке сообщения, который сохраняется при пересылке сообщений. Инструкции см. в статье Настройка DKIM для подписывания почты из облачного домена.

  • Проверка подлинности сообщений на основе домена, создание отчетов и соответствие (DMARC). DMARC помогает конечным почтовым серверам решать, что делать с сообщениями из личного домена, которые не выполняют проверки SPF и DKIM. Обязательно включите политику DMARC (p=reject или p=quarantine) и адреса для отчетов DMARC (агрегированные и криминалистические отчеты) в записи DMARC. Инструкции см. в статье Настройка DMARC для проверки домена адреса "От" для облачных отправителей.

  • Цепочка получения с проверкой подлинности (ARC). Если служба сторонних поставщиков изменяет входящие сообщения перед доставкой в Microsoft 365, вы можете определить службу как доверенный запечатыватель ARC (если служба поддерживает его). Доверенные ARC-серверы, выполняющие запечатывание, сохраняют исходные неизмененные сведения сообщения электронной почты, чтобы измененные сообщения не приводили к автоматическому сбою проверок подлинности электронной почты в Microsoft 365. Инструкции см. в разделе Настройка доверенных запечатывщиков ARC.

Если вы используете домен *.onmicrosoft.com для электронной почты (также известный как адрес маршрутизации электронной почты Microsoft Online, или домен MOERA), вам потребуется выполнить гораздо меньше действий:

  • SPF. Запись SPF уже настроена для домена *.onmicrosoft.com.
  • DKIM. Подписывание DKIM уже настроено для исходящей почты с помощью домена *.onmicrosoft.com, но вы также можете настроить его вручную.
  • DMARC. Необходимо вручную настроить запись DMARC для домена *.onmicrosoft.com, как описано здесь.

Шаг 2. Настройка политик угроз

Сводка: Включите и используйте стандартные и/или строгие предустановленные политики безопасности для всех получателей. Или, если бизнес-потребности диктуют, вместо этого создайте и используйте пользовательские политики защиты от угроз, но периодически проверяйте их с помощью анализатора конфигурации.

Сведения:

Как вы можете себе представить, в Microsoft 365 доступно множество политик угроз для обеспечения безопасности электронной почты и совместной работы. Существует три основных типа политик:

  • Политики угроз по умолчанию. Эти политики существуют с момента создания организации. Они применяются ко всем получателям в организации, вы не можете отключить политики и изменить, к кому применяются политики. Но вы можете изменить параметры безопасности в политиках так же, как пользовательские политики угроз. Параметры политик угроз по умолчанию описаны в таблицах в разделе Рекомендуемые параметры политики угроз электронной почты и совместной работы для облачных организаций.

  • Предустановленные политики безопасности. Предустановленные политики безопасности фактически представляют собой профили, содержащие большинство доступных политик угроз в Defender для Office 365 с параметрами, адаптированными к определенным уровням защиты. Предустановленные политики безопасности:

    • Строгая предустановленная политика безопасности.
    • Стандартная предустановка политики безопасности.
    • Встроенная защита.

    Стандартная и строгая политики безопасности по умолчанию отключены до тех пор, пока вы их не включите. Вы указываете условия и исключения для получателей (пользователей, участников групп, доменов или всех получателей) для встроенных функций безопасности всех облачных почтовых ящиков и функций защиты в Defender для Office 365 в предустановленных политиках безопасности Standard и Strict.

    Встроенная защита в Defender для Office 365 включена по умолчанию, чтобы обеспечить базовую защиту безопасных вложений и безопасных ссылок для всех получателей. Вы можете указать исключения получателей, чтобы определить пользователей, которые не получают защиту.

    В предустановленных политиках безопасности Standard и Strict в Defender для Office 365 необходимо настроить записи и необязательные исключения для защиты от подмены пользователей и доменов. Все остальные параметры заблокированы в рекомендуемых стандартных и строгих значениях (многие из которых совпадают). Значения Standard и Strict можно просмотреть в таблицах в разделе Рекомендуемые параметры политики угроз электронной почты и совместной работы для облачных организаций, а различия между Standard и Strict можно увидеть здесь.

    По мере добавления новых возможностей защиты в Defender для Office 365 и изменения ландшафта безопасности параметры в предустановленных политиках безопасности автоматически обновляются до рекомендуемых параметров.

  • Настраиваемые политики угроз. Для большинства доступных политик можно создать любое количество настраиваемых политик угроз. Политики можно применять к пользователям с помощью условий и исключений получателей (пользователей, участников группы или доменов), а также настроить параметры.

Предыдущие сведения и задействованные политики угроз приведены в следующей таблице:

  Политики угроз по умолчанию Готовые политики безопасности Настраиваемые политики угроз
Политики угроз во встроенных функциях безопасности для всех облачных почтовых ящиков:
   Защита от вредоносных программ
   Защита от нежелательной почты
   Защита от фишинга (защита от спуфингов)
   Исходящий спам
   Фильтрация подключений ✔¹
Политики угроз в Defender для Office 365:
   Защита от фишинга (защита от спуфингов) и: ✔² ✔²
   Безопасные ссылки ³
   Безопасные вложения ³
Общее поведение
  Защита включена по умолчанию?
  Настройка условий или исключений для защиты? ✔⁵
  Настройка параметров безопасности?
  Параметры защиты обновляются автоматически?

¹ В списке разрешенных IP-адресов или списке блокировок IP-адресов нет записей по умолчанию, поэтому политика фильтрации подключений по умолчанию практически ничего не делает, если вы не настроите параметры.

² В Defender для Office 365 записи и необязательные исключения для подмены пользователя или защиты от подмены домена отсутствуют, пока вы их не настроите.

Хотя в Defender для Office 365 отсутствуют политики безопасных вложений или безопасных ссылок по умолчанию, встроенная предустановленная политика безопасности обеспечивает базовую защиту безопасных вложений и безопасных ссылок, которая всегда включена.

⁴ Встроенная предустановленная политика безопасности (защита безопасных вложений и безопасных ссылок в Defender для Office 365) — это единственная предустановленная политика безопасности, которая включена по умолчанию.

⁵ Для предустановленных политик безопасности «Стандартная» и «Строгая» можно настроить отдельные условия для получателей и необязательные исключения для встроенных функций безопасности для всех облачных почтовых ящиков и средств защиты в Defender для Office 365. Для встроенной защиты в Defender для Office 365 можно настроить только исключения получателей из защиты.

⁶ Единственными настраиваемыми параметрами безопасности в предустановленных политиках безопасности являются элементы и необязательные исключения для защиты от подмены пользователя и защиты от подмены домена в предустановленных политиках безопасности «Стандартная» и «Строгая» в Defender для Office 365.

Порядок приоритета для политик угроз

При выборе способа настройки параметров безопасности для пользователей важно учитывать то, как применяются политики угроз. Важные моменты, которые следует помнить:

  • Функции защиты имеют неконфигурируемый порядок обработки. Например, входящие сообщения всегда оцениваются на наличие вредоносных программ перед спамом.
  • Политики угроз определенной функции (защита от спама, защита от вредоносных программ, защита от фишинга и т. д.) применяются в определенном порядке приоритета (подробнее о порядке приоритета позже).
  • Если пользователь намеренно или непреднамеренно включен в несколько политик определенной функции, первая применимая политика угроз для этой функции (на основе порядка приоритета) определяет, что происходит с элементом (сообщение, файл, URL-адрес и т. д.).
  • После применения первой политики угроз к конкретному элементу для пользователя обработка политики для этой функции прекращается. Политики угроз этой функции больше не оцениваются для этого пользователя и этого конкретного элемента.

Порядок приоритета подробно описан в разделе Порядок приоритета для предустановленных политик безопасности и других политик, но кратко описан здесь:

  1. Политики угроз в предустановленных политиках безопасности:
    1. Строгая предустановленная политика безопасности.
    2. Стандартная предустановка политики безопасности.
  2. Настраиваемые политики угроз для определенной функции (например, политики защиты от вредоносных программ). Каждая пользовательская политика имеет значение приоритета, определяющее порядок применения политики по отношению к другим политикам угроз для той же функции:
    1. Настраиваемая политика угроз со значением приоритета 0.
    2. Настраиваемая политика угроз со значением приоритета 1.
    3. И так далее.
  3. Политика угроз по умолчанию для определенной функции (например, защита от вредоносных программ) или встроенная предустановленная политика безопасности защиты в Defender для Office 365 (безопасные ссылки и безопасные вложения).

См. предыдущую таблицу, чтобы узнать, как определенная политика угроз представлена в порядке приоритета. Например, политики защиты от вредоносных программ существуют на каждом уровне. Политики исходящей нежелательной почты доступны на уровне пользовательской политики и политики по умолчанию. Политика фильтра подключений доступна только на уровне политики по умолчанию.

Чтобы избежать путаницы и непреднамеренного применения политик, используйте следующие рекомендации.

  • Используйте однозначные группы или списки получателей на каждом уровне. Например, используйте разные группы или списки получателей для предустановленных политик безопасности «Стандартная» и «Строгая».
  • При необходимости настройте исключения на каждом уровне. Например, настройте получателей, которым требуются настраиваемые политики защиты от угроз, в качестве исключений для предустановленных политик безопасности Standard и Strict.
  • Все остальные получатели, которые не определены на более высоких уровнях, получают политики угроз по умолчанию или встроенную защиту в Defender для Office 365 (безопасные ссылки и безопасные вложения).

Вооружившись этой информацией, вы можете выбрать оптимальный способ реализации политик угроз в организации.

Определение стратегии политики угроз

Теперь, когда вы знаете о различных типах политик угроз и о том, как они применяются, вы можете решить, как защитить пользователей в организации. Ваше решение неизбежно находится где-то в пределах следующего спектра:

  • Используйте только предустановленную политику безопасности Standard.
  • Используйте предустановленные политики безопасности «Standard» и «Strict».
  • Используйте предустановленные политики безопасности и настраиваемые политики угроз.
  • Используйте только пользовательские политики угроз.

Помните, что политики угроз по умолчанию (и встроенная предустановленная политика безопасности защиты в Defender для Office 365) автоматически защищают всех получателей в организации (всех, кто не определен в Standard или строгой предустановленной политике безопасности или в пользовательских политиках угроз). Таким образом, даже если вы ничего не делаете, все получатели в организации получают защиту по умолчанию, как описано в разделе Рекомендуемые параметры политики угроз электронной почты и совместной работы для облачных организаций.

Также важно понимать, что вы не заперты в своем первоначальном решении навсегда. Сведения в таблицах рекомендуемых параметров и таблице сравнения для Standard и Strict должны позволить вам принять обоснованное решение. Но если потребности, результаты или обстоятельства меняются, переключиться на другую стратегию позже несложно.

Без настоятельной бизнес-потребности, указывающей на иное, мы рекомендуем начать с Standard предустановленной политики безопасности для всех пользователей в вашей организации. Предустановленные политики безопасности предварительно настроены на основе параметров, выработанных за годы наблюдений в центрах обработки данных Microsoft 365, и являются оптимальным выбором для большинства организаций. Кроме того, политики автоматически обновляются в соответствии с угрозами ландшафта безопасности.

В предустановленных политиках безопасности можно выбрать параметр Все получатели , чтобы легко применить защиту ко всем получателям в организации.

Если вы хотите включить некоторых пользователей в предустановленную политику безопасности Strict, а остальных пользователей — в предустановленную политику безопасности Standard, не забудьте учесть порядок приоритета, описанный выше в этой статье, с помощью следующих методов:

  • Используйте однозначные группы или списки получателей в каждой предустановленной политике безопасности.

    или

  • Настройте получателей, для которых должны применяться параметры предустановленной политики безопасности Standard в качестве исключений из предустановленной политики безопасности Strict.

Помните, что следующие конфигурации функций защиты не затрагиваются предустановленными политиками безопасности (вы можете использовать предустановленные политики безопасности, а также самостоятельно настроить эти параметры защиты):

Сведения о включении и настройке предустановленных политик безопасности см. в разделе Предустановленные политики безопасности.

Решение об использовании пользовательских политик угроз вместо предустановленных политик безопасности или в дополнение к ней в конечном счете сводится к следующим бизнес-требованиям:

  • Пользователям требуются параметры безопасности, отличные от неизменяемых параметров в предустановленных политиках безопасности (нежелательная почта и карантин или наоборот, отсутствие советов по безопасности, уведомление пользовательских получателей и т. д.).
  • Пользователям требуются параметры, которые не настроены в предустановленных политиках безопасности (например, блокировка электронной почты из определенных стран или на определенных языках в политиках защиты от нежелательной почты).
  • Пользователям нужен режим карантина , отличный от неизменяемых параметров в предустановленных политиках безопасности. Политики карантина определяют, что пользователи могут делать со своими сообщениями, помещенными в карантин, в зависимости от того, почему сообщение было помещено в карантин, и уведомляются ли получатели о своих сообщениях, помещенных в карантин. Сводные сведения о взаимодействии конечного пользователя с карантином по умолчанию представлены в таблице в этой статье, а политики карантина, используемые в предустановленных политиках безопасности Standard и Strict, описаны в таблицах в этой статье.

Используйте сведения в разделе Рекомендуемые параметры политики угроз электронной почты и совместной работы для облачных организаций, чтобы сравнить доступные параметры в пользовательских политиках угроз или политиках угроз по умолчанию с параметрами, настроенными в Standard и строгих предустановленных политиках безопасности.

Рекомендации по проектированию для нескольких настраиваемых политик угроз для конкретной функции (например, политики защиты от вредоносных программ) включают:

  • Пользователи в настраиваемых политиках угроз не могут быть включены в Standard или строгие предустановленные политики безопасности из-за порядка приоритета.
  • Назначьте меньшее число пользователей политикам с более высоким приоритетом, а больше пользователей — политикам с более низким приоритетом.
  • Настройте политики с более высоким приоритетом для более строгих или более специализированных параметров, чем политики с более низким приоритетом (включая политики по умолчанию).

Если вы решили использовать пользовательские политики угроз, используйте анализатор конфигурации, чтобы периодически сравнивать параметры в политиках с рекомендуемыми параметрами в Standard и строгих предустановленных политиках безопасности.

Шаг 3. Назначение разрешений администраторам

Сводка. Назначьте роль администратора безопасности в Microsoft Entra другим администраторам, специалистам и сотрудникам службы поддержки, чтобы они могли выполнять задачи по обеспечению безопасности в Defender для Office 365.

Сведения:

Вы, вероятно, уже используете начальную учетную запись, которая использовалась для регистрации в Microsoft 365, чтобы выполнить всю работу, описанную в этом руководстве по развертыванию. Эта учетная запись является администратором везде в Microsoft 365 (в частности, она является членом роли глобального администратора в Microsoft Entra), и позволяет вам делать практически все. Необходимые разрешения были описаны ранее в этой статье в статье Роли и разрешения.

Но этот шаг предназначен для настройки других администраторов, которые помогут вам управлять функциями Defender для Office 365 в будущем. То, что вы не хотите, так это много людей с правами глобального администратора, которые не нуждаются в этом. Например, действительно ли им нужно удалять или создавать учетные записи или делать других пользователей глобальными администраторами? Рекомендуется следовать принципу минимальных привилегий (назначение только необходимых разрешений для выполнения задания и ничего более).

Когда дело доходит до назначения разрешений для задач Defender для Office 365, доступны следующие варианты:

Для простоты рекомендуется использовать роль администратора безопасности в Microsoft Entra для других пользователей, которым необходимо настроить параметры в Defender для Office 365.

Инструкции см. в разделах Назначение ролей Microsoft Entra пользователям и Управление доступом к Microsoft Defender XDR с помощью глобальных ролей Microsoft Entra.

Шаг 4. Приоритетные учетные записи и теги пользователей

Сводка. Определите и пометьте соответствующих пользователей в организации в качестве приоритетных учетных записей для упрощения идентификации в отчетах и расследованиях, а также для получения защиты приоритетных учетных записей в Defender для Office 365. Рассмотрите возможность создания и применения пользовательских тегов в Defender для Office 365 (план 2).

Сведения:

В Defender для Office 365 приоритетные учетные записи позволяют отмечать до 250 высокоценных пользователей для упрощения идентификации в отчетах и расследованиях. Эти приоритетные учетные записи также получают дополнительные эвристические данные, которые не приносят пользу обычным сотрудникам. Дополнительные сведения см. в разделах Управление и мониторинг приоритетных учетных записей и Настройка и проверка защиты приоритетных учетных записей в Microsoft Defender для Office 365.

В плане 2 Defender для Office 365 можно также создавать и применять пользовательские теги пользователей, чтобы легко выделять определенные группы пользователей в отчетах и расследованиях. Дополнительные сведения см. в статье Теги пользователей в Microsoft Defender для Office 365.

Определите, каких пользователей следует пометить как приоритетные учетные записи, и решите, нужно ли создавать и применять пользовательские теги.

Шаг 5. Проверка и настройка параметров сообщений, сообщаемого пользователем

Сводка. Используйте встроенную кнопку Отчет в Outlook или поддерживаемое средство сторонних разработчиков , чтобы пользователи могли сообщать о ложных срабатываниях и ложноотрицательных результатах в Outlook, чтобы эти сообщения были доступны администраторам на вкладке Пользователь сообщается на странице Отправки на портале Defender. Настройте организацию таким образом, чтобы сообщаемые сообщения отправлялись в указанный почтовый ящик отчетов, в корпорацию Майкрософт или и то, и другое.

Сведения:

Для отслеживания и настройки параметров защиты в Defender для Office 365 вам важна возможность пользователей сообщать о хороших сообщениях, ошибочно помеченных как плохие (ложноположительные срабатывания), или о плохих сообщениях, которые были разрешены системой (ложноотрицательные срабатывания).

Важные части отчетов о сообщениях пользователей:

  • Как пользователи сообщают о сообщениях? Убедитесь, что клиенты используют один из следующих методов, чтобы сообщения отображались на вкладке Пользователь сообщил на странице Отправки на портале Defender по адресу https://security.microsoft.com/reportsubmission?viewid=user:

  • Встроенная кнопка "Отчет" в Outlook в Интернете (ранее известная как Outlook Web App или OWA).

  • Средства создания отчетов сторонних поставщиков, использующие поддерживаемый формат отправки сообщений.

    Совет

    В обучении моделированию атак в Defender для Office 365, план 2 имитационные сообщения, о которых сообщают сторонние средства, не относящиеся к Microsoft, не отражаются в отчетах по моделированию атак.

  • Куда отправляются сообщения, сообщаемые пользователями? У вас есть следующие варианты:

    • В назначенный почтовый ящик отчетов и в корпорацию Майкрософт (это значение по умолчанию).
    • Только в специально указанный почтовый ящик для отчетов.
    • Только в корпорацию Майкрософт.

    Почтовый ящик по умолчанию, используемый для сбора сообщений, сообщаемые пользователем, — это почтовый ящик глобального администратора (начальная учетная запись в организации). Если вы хотите, чтобы сообщения, сообщаемые пользователями, отправились в почтовый ящик отчетов в вашей организации, следует создать и настроить эксклюзивный почтовый ящик для использования.

    Вы сами решаете, нужно ли также отправлять сообщения, о которых сообщили пользователи, в Microsoft для анализа — либо только туда, либо одновременно в указанный вами почтовый ящик для отчетов.

    Если вы хотите, чтобы сообщения, сообщаемые пользователями, отправились только в назначенный почтовый ящик отчетов, администраторы должны вручную отправлять сообщения о пользователях в Корпорацию Майкрософт для анализа на вкладке Пользователь сообщили на странице Отправки на портале Defender по адресу https://security.microsoft.com/reportsubmission?viewid=user.

    Отправка сообщений от пользователей в Корпорацию Майкрософт важна, чтобы наши фильтры могли учиться и совершенствоваться.

Полные сведения о параметрах сообщений, сообщаемого пользователем, см. в разделе Параметры, сообщаемые пользователем.

Шаг 6. Блокировка и разрешение записей

Сводка. Ознакомьтесь с процедурами блокировки и разрешения сообщений, файлов и URL-адресов в Defender для Office 365.

Сведения:

Необходимо ознакомиться с тем, как блокировать и (временно) разрешать отправку сообщений, файлы и URL-адреса в следующих расположениях на портале Defender:

Как правило, проще создавать записи блокировки, чем разрешающие записи, поскольку лишние разрешающие записи подвергают вашу организацию риску получения вредоносных писем, которые в противном случае система отфильтровала бы.

  • Блок:

    • Вы можете создать блок-записи для доменов и адресов электронной почты, файлов и URL-адресов на соответствующих вкладках в списке разрешенных и заблокированных клиентов, а также отправив их в корпорацию Майкрософт для анализа на странице Отправки . При отправке объекта в Microsoft в списке разрешений и блокировок клиента также создаются соответствующие записи о блокировке.

      Совет

      Пользователи в организации также не могут отправлять сообщения электронной почты в домены или адреса электронной почты, указанные в записях блоков в списке разрешенных и заблокированных клиентов.

    • Сообщения, заблокированные аналитикой спуфинга, отображаются на странице Аналитика спуфинга. Если запись в списке разрешений изменить на запись в списке блокировок, отправитель будет добавлен как запись о блокировке, созданная вручную, на вкладке Поддельные отправители в списке разрешений/блокировок клиента. Вы также можете заранее создавать записи блокировки для поддельных отправителей, с которыми вы ещё не сталкивались, на вкладке Поддельные отправители.

  • Разрешить:

    • Вы можете создать разрешенные записи для доменов, адресов электронной почты и URL-адресов на соответствующих вкладках в списке разрешенных и заблокированных клиентов, чтобы переопределить следующие вердикты:

      • Массовая рассылка
      • Спам
      • Спам с высокой степенью достоверности
      • Фишинг (не с высокой вероятностью)
    • Вы не можете создать записи разрешений непосредственно в списке разрешенных и заблокированных клиентов для следующих элементов:

      • Вердикты о вредоносности или фишинге с высокой степенью достоверности в отношении доменов и адресов электронной почты или URL-адресов.
      • Есть ли заключения по файлам.

      Вместо этого используйте страницу Отправки, чтобы сообщать Майкрософт об этих элементах. После выбора Я подтверждаю, что это безопасно можно выбрать Разрешить это сообщение, Разрешить этот URL-адрес или Разрешить этот файл, чтобы создать соответствующую временную запись о разрешении в списке разрешений/блокировок клиента.

    • Сообщения, разрешённые функцией анализа спуфинга, отображаются на странице Анализ спуфинга. Если изменить запись блокировки на запись разрешения, отправитель станет записью, добавленной в список разрешений вручную, на вкладке Поддельные отправители в списке разрешённых и заблокированных отправителей организации. Вы также можете заранее создать записи в списке разрешенных для еще не обнаруженных поддельных отправителей на вкладке Поддельные отправители.

Подробные сведения см. в следующих статьях:

Шаг 7: Запустите симуляции фишинговых атак с помощью средства «Обучение с помощью моделирования атак»

В плане 2 Microsoft Defender для Office 365 функция тренировки с имитацией атак позволяет отправлять пользователям имитирующие фишинг сообщения и назначать обучение в зависимости от их реакции. Доступны следующие варианты:

  • Отдельные симуляции с использованием встроенной или пользовательской полезной нагрузки.
  • Автоматизация симуляций на основе реальных фишинговых атак с использованием нескольких полезных нагрузок и автоматического планирования.
  • Кампании, доступные только для обучения , в которых не нужно запускать кампанию и ждать, пока пользователи будут щелкать ссылки или скачивать вложения в имитированных фишинговых сообщениях, прежде чем будут назначены учебные курсы.

Дополнительные сведения см. в статье Начало работы с обучением с использованием эмуляции атак.

Шаг 8. Исследование и реагирование

Теперь, когда первоначальная настройка завершена, используйте сведения в Microsoft Defender для Office 365 руководство по операциям с безопасностью, чтобы отслеживать и исследовать угрозы в организации.