Поделиться через


Рекомендации по безопасности приоритетных учетных записей в Microsoft 365

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Не все учетные записи пользователей имеют доступ к одной и той же информации о компании. Некоторые учетные записи имеют доступ к конфиденциальной информации, такой как финансовые данные, сведения о разработке продуктов, доступ партнеров к критически важным системам сборки и многому другому. В случае компрометации учетные записи, имеющие доступ к строго конфиденциальной информации, представляют серьезную угрозу. Эти типы учетных записей называются учетными записями с приоритетом. К приоритетным учетным записям относятся (но не ограничиваются ими) руководители, cisos, финансовые директора, учетные записи администраторов инфраструктуры, системные учетные записи сборки и многое другое.

Microsoft Defender для Office 365 поддерживает учетные записи с приоритетом в виде тегов, которые можно использовать в фильтрах оповещений, отчетов и расследований. Дополнительные сведения см. в разделе Теги пользователей в Microsoft Defender для Office 365.

Для злоумышленников обычные фишинговые атаки, которые создают случайную сеть для обычных или неизвестных пользователей, неэффективны. С другой стороны, фишинг или китобойные атаки, нацеленные на приоритетные учетные записи, очень полезны для злоумышленников. Таким образом, для учетных записей с приоритетом требуется более надежная защита, чем обычно, чтобы предотвратить компрометацию учетной записи.

Microsoft 365 и Microsoft Defender для Office 365 содержат несколько ключевых функций, которые обеспечивают дополнительные уровни безопасности для приоритетных учетных записей. В этой статье описаны эти возможности и способы их использования.

Сводка рекомендаций по безопасности в форме значка

Задача Все планы Office 365 корпоративный Microsoft 365 E3 Microsoft 365 E5
Повышение безопасности входа для учетных записей с приоритетом
Использование строгих предустановленных политик безопасности для учетных записей с приоритетом
Применение тегов пользователей к учетным записям с приоритетом
Мониторинг приоритетных учетных записей в оповещениях, отчетах и обнаружениях
Обучение пользователей

Примечание.

Сведения о защите привилегированных учетных записей (учетных записей администратора) см. в этой статье.

Повышение безопасности входа для учетных записей с приоритетом

Учетные записи с приоритетом требуют повышенной безопасности при входе. Вы можете повысить безопасность входа, требуя многофакторную проверку подлинности (MFA) и отключив устаревшие протоколы проверки подлинности.

Инструкции см . в разделе Шаг 1. Повышение безопасности входа для удаленных сотрудников с помощью MFA. Хотя эта статья посвящена удаленным сотрудникам, те же понятия применимы и к приоритетным пользователям.

Примечание. Настоятельно рекомендуется глобально отключить устаревшие протоколы проверки подлинности для всех приоритетных пользователей, как описано в предыдущей статье. Если бизнес-требования не позволяют сделать это, Exchange Online предлагает следующие элементы управления, которые помогут ограничить область устаревших протоколов проверки подлинности:

Также стоит отметить, что обычная проверка подлинности является устаревшей в Exchange Online для веб-служб Exchange (EWS), Exchange ActiveSync, POP3, IMAP4 и удаленного PowerShell. Дополнительные сведения см. в этой записи блога.

Использование строгих предустановленных политик безопасности для учетных записей с приоритетом

Пользователям с приоритетом требуются более строгие меры для различных средств защиты, доступных в Exchange Online Protection (EOP) и Defender для Office 365.

Например, вместо доставки сообщений, которые были классифицированы как спам, в папку "Нежелательная Email", следует поместить эти же сообщения в карантин, если они предназначены для учетных записей с приоритетом.

Этот строгий подход для учетных записей с приоритетом можно реализовать с помощью профиля Strict в предустановленных политиках безопасности.

Предустановленные политики безопасности — это удобное и централизованное расположение для применения рекомендуемых параметров строгой политики для всех средств защиты в EOP и Defender для Office 365. Дополнительные сведения см. в разделе Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365.

Дополнительные сведения о том, чем параметры строгой политики отличаются от параметров политики по умолчанию и стандартных политик, см. в статье Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.

Применение тегов пользователей к учетным записям с приоритетом

Теги пользователей в Microsoft Defender для Office 365 плане 2 (в рамках Microsoft 365 E5 или подписки на надстройку) позволяют быстро выявлять и классифицировать конкретных пользователей или группы пользователей в отчетах и расследованиях инцидентов.

Учетные записи с приоритетом — это тип встроенного тега пользователя (известного как системный тег), который можно использовать для выявления инцидентов и оповещений, связанных с приоритетными учетными записями. Дополнительные сведения о приоритетных учетных записях см. в разделе Управление и мониторинг учетных записей с приоритетом.

Вы также можете создавать настраиваемые теги для дальнейшей идентификации и классификации приоритетных учетных записей. Дополнительные сведения см. в разделе Теги пользователей. Вы можете управлять приоритетными учетными записями (системными тегами ) в том же интерфейсе, что и пользовательские теги пользователей.

Мониторинг приоритетных учетных записей в оповещениях, отчетах и обнаружениях

После того как вы защитите и пометите приоритетных пользователей, вы можете использовать доступные отчеты, оповещения и исследования в EOP и Defender для Office 365 для быстрого выявления инцидентов или обнаружений, связанных с приоритетными учетными записями. Функции, поддерживающие теги пользователей, описаны в следующей таблице.

Функция Описание
Оповещения Теги пользователей, затронутых пользователей, отображаются и доступны в виде фильтров на странице Оповещения на портале Microsoft Defender. Дополнительные сведения см. в разделе Политики оповещений на портале Microsoft Defender.
Инциденты Теги пользователей для всех связанных оповещений отображаются на странице Инциденты на портале Microsoft Defender. Дополнительные сведения см. в разделе Управление инцидентами и оповещениями.
Настраиваемые политики оповещений Вы можете создать политики оповещений на основе тегов пользователей на портале Microsoft Defender. Дополнительные сведения см. в разделе Политики оповещений на портале Microsoft Defender.
Обозреватель

Обнаружение в режиме реального времени

В Обозреватель (Defender для Office 365 план 2) или обнаружения в режиме реального времени (Defender для Office 365 план 1) теги пользователей отображаются в представлении сетки Email и во всплывающем окне сведений о Email. Теги пользователей также доступны в качестве фильтруемого свойства. Дополнительные сведения см. в разделе Теги в Обозреватель угроз.
Страница сущности электронной почты Вы можете фильтровать электронную почту по примененным тегам пользователей в Microsoft 365 E5 и в Defender для Office 365 1 и 2. Дополнительные сведения см. на странице сущности Email.
Представления кампании Теги пользователей являются одним из многих фильтруемых свойств в представлениях кампании в Microsoft Defender для Office 365 плане 2. Дополнительные сведения см. в разделе Представления кампаний.
отчет о состоянии защиты от угроз; Практически во всех представлениях и подробных таблицах в отчете о состоянии защиты от угроз можно отфильтровать результаты по приоритетным учетным записям. Дополнительные сведения см. в статье Отчет о состоянии защиты от угроз.
Отчет о лучших отправителях и получателях Этот тег пользователя можно добавить в первые 20 отправителей сообщений в организации. Дополнительные сведения см. в разделе Основные отчеты отправителей и получателей.
Скомпрометированный отчет пользователя В этом отчете отображаются учетные записи пользователей, помеченные как подозрительные или ограниченные в организациях Microsoft 365 с Exchange Online почтовыми ящиками. Дополнительные сведения см. в разделе Скомпрометированный отчет пользователя.
Администратор отправки и сообщения, сообщаемые пользователем Используйте страницу Отправки на портале Microsoft Defender для отправки сообщений электронной почты, URL-адресов и вложений в корпорацию Майкрософт для анализа. Дополнительные сведения см. в разделе Администратор отправки и сообщения, сообщаемые пользователем.
Карантин Карантин доступен для хранения потенциально опасных или нежелательных сообщений в организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) для приоритетных учетных записей. Дополнительные сведения см. в разделе Сообщения электронной почты о карантине.
Имитация атаки Чтобы протестировать политики и методики безопасности, запустите имитацию кибератак для целевых пользователей. Дополнительные сведения см. в разделе Моделирование атак.
Email отчет о проблемах с приоритетными учетными записями Отчет о Email проблем с приоритетными учетными записями в Центре администрирования Exchange (EAC) содержит сведения о недоставленных и отложенных сообщениях для приоритетных учетных записей. Дополнительные сведения см. в статье Email отчета о проблемах с приоритетными учетными записями.

Обучение пользователей

Обучение пользователей с приоритетными учетными записями может помочь этим пользователям и вашей команде по работе с безопасностью много времени и разочарования. Опытные пользователи менее склонны открывать вложения или щелкать ссылки в сомнительных сообщениях электронной почты, и они с большей вероятностью будут избегать подозрительных веб-сайтов.

Руководство по кампании по кибербезопасности Гарвардской школы Кеннеди содержит отличное руководство по формированию прочной культуры осведомленности о безопасности в вашей организации, включая обучение пользователей выявлению фишинговых атак.

Microsoft 365 предоставляет следующие ресурсы для информирования пользователей в вашей организации:

Понятие Ресурсы Описание
Microsoft 365 Настраиваемые схемы обучения Эти ресурсы помогут вам собрать учебные курсы для пользователей в вашей организации.
Безопасность Microsoft 365 Учебный модуль. Защита организации с помощью встроенной интеллектуальной системы безопасности в Microsoft 365 Этот модуль позволяет описать, как функции безопасности Microsoft 365 работают вместе, и сформулировать преимущества этих функций безопасности.
Многофакторная проверка подлинности Скачивание и установка приложения Microsoft Authenticator Эта статья поможет конечным пользователям понять, что такое многофакторная проверка подлинности и почему она используется в вашей организации.
Обучение симуляции атаки Начало использования обучения симуляции атаки Обучение эмуляции атак в Microsoft Defender для Office 365 план 2 позволяет администратору настраивать, запускать и отслеживать имитированные фишинговые атаки на определенные группы пользователей.

Кроме того, корпорация Майкрософт рекомендует пользователям выполнять действия, описанные в этой статье : Защита учетной записи и устройств от хакеров и вредоносных программ. Вот эти действия:

  • Использование надежных паролей
  • Защита устройств
  • Включение функций безопасности на компьютерах с Windows и Mac (для неуправляемых устройств)

См. также