Руководство пользователя пробной версии: Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Добро пожаловать в руководство пользователя Microsoft Defender для Office 365 пробной версии! Это руководство пользователя поможет вам максимально эффективно использовать бесплатную пробную версию, научив вас защищать организацию от вредоносных угроз, связанных с сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы.

Что такое Defender для Office 365?

Defender для Office 365 помогает организациям защитить свое предприятие, предлагая комплексный набор возможностей, включая политики угроз, отчеты, возможности для исследования угроз и реагирования на них, а также возможности автоматического исследования и реагирования на них.

Концептуальная схема Microsoft Defender для Office 365.

В дополнение к обнаружению расширенных угроз в следующем видео показано, как возможности SecOps Defender для Office 365 могут помочь вашей команде реагировать на угрозы:

Режим аудита и режим блокировки для Defender для Office 365

Вы хотите, чтобы ваш интерфейс Defender для Office 365 был активным или пассивным? Ниже приведены два режима, которые можно выбрать:

  • Режим аудита: создаются специальные политики анализа для защиты от фишинга (включая защиту от выдачи себя за другое лицо), функции «Безопасные вложения» и функции «Безопасные ссылки». Эти политики оценки настроены только для обнаружения угроз. Defender для Office 365 обнаруживает вредоносные сообщения для отчетов, но сообщения не обрабатываются (например, обнаруженные сообщения не помещаются в карантин). Параметры этих политик оценки описаны в разделе Политики в режиме аудита далее в этой статье.

    Режим аудита предоставляет доступ к настраиваемым отчетам об угрозах, обнаруженных политиками оценки в Defender для Office 365 на странице оценки Microsoft Defender для Office 365 по адресу https://security.microsoft.com/atpEvaluation.

  • Режим блокировки. Шаблон Standard для предустановленных политик безопасности включается и используется для пробной версии, а пользователи, которые вы указали для включения в пробную версию, добавляются в предустановленную политику безопасности Standard. Defender для Office 365 обнаруживает и принимает меры для вредоносных сообщений (например, обнаруженные сообщения помещаются в карантин).

    По умолчанию и в соответствии с рекомендациями эти политики Defender для Office 365 должны применяться ко всем пользователям организации. Но во время или после настройки пробной версии вы можете изменить назначение политики для определенных пользователей, групп или доменов электронной почты на портале Microsoft Defender или в Exchange Online PowerShell.

    Режим блокировки не предоставляет настраиваемые отчеты об угрозах, обнаруженных Defender для Office 365. Вместо этого эта информация доступна в стандартных отчетах и возможностях расследования Defender для Office 365 (план 2). Дополнительные сведения см. в разделе Отчеты для режима блокировки.

Основные факторы, определяющие доступные режимы:

  • Независимо от того, используете ли вы Defender для Office 365 (план 1 или план 2), как описано в разделе Оценка и пробная версия Для Defender для Office 365.

  • Способ доставки электронной почты в организацию Microsoft 365, как описано в следующих сценариях:

    • Почта из Интернета напрямую поступает в Microsoft 365, но ваша текущая подписка включает только встроенные функции безопасности для всех облачных почтовых ящиков или Microsoft Defender для Office 365, план 1.

      Почтовый трафик поступает из Интернета в Microsoft 365 с использованием встроенных функций безопасности для всех облачных почтовых ящиков и (или) Defender для Office 365 Plan 1.

      В этих средах доступен режим аудита или режим блокировкив зависимости от лицензирования.

    • В настоящее время вы используете службу или устройство сторонних разработчиков для защиты электронной почты облачных почтовых ящиков. Почта из Интернета проходит через службу защиты перед доставкой в организацию Microsoft 365. Защита Microsoft 365 максимально низка (она никогда не выключается полностью; например, защита от вредоносных программ всегда применяется).

      Почта передается из Интернета через службу защиты сторонних разработчиков или устройство перед доставкой в Microsoft 365.

      В этих средах доступен только режим аудита . Чтобы оценить возможности Defender для Office 365 Plan 2, вам не нужно изменять поток почты (записи MX).

Итак, приступим!

Режим блокировки

Шаг 1. Начало работы в режиме блокировки

Начало использования пробной версии Microsoft Defender для Office 365

После запуска пробной версии и завершения настройки может потребоваться до 2 часов, чтобы изменения вступили в силу.

Мы автоматически включили предустановленную политику безопасности Standard в вашей среде. Этот профиль представляет базовый профиль защиты, подходящий для большинства пользователей. Стандартная защита включает следующее.

  • Безопасные ссылки, безопасные вложения и политики защиты от фишинга, предназначенные для всего клиента или подмножества пользователей, которых вы можете выбрать во время настройки пробной версии.
  • Защита «Безопасных вложений» для SharePoint, OneDrive и Microsoft Teams.
  • Защита безопасных ссылок для поддерживаемых приложений Office 365.

Посмотрите это видео, чтобы узнать больше: Защита от вредоносных ссылок с помощью безопасных ссылок в Microsoft Defender для Office 365 — YouTube.

Разрешение пользователям сообщать о подозрительном содержимом в режиме блокировки

Defender для Office 365 позволяет пользователям отправлять сообщения своим группам безопасности и позволяет администраторам отправлять сообщения в корпорацию Майкрософт для анализа.

Просмотрите это видео, чтобы узнать больше: Узнайте, как использовать страницу Отправки для отправки сообщений для анализа — YouTube.

Просмотр отчетов для понимания общей картины угроз в режиме блокировки

Используйте возможности отчетов в Defender для Office 365, чтобы получить дополнительные сведения о своей среде.

Отчеты об электронной почте и совместной работе на портале Microsoft Defender.

Шаг 2. Промежуточные шаги в режиме блокировки

Фокусировка на пользователях, которые чаще всего выбираются в качестве целей атак

Защитите наиболее заметных пользователей и пользователей, наиболее подверженных атакам, с помощью защиты приоритетных учетных записей в Defender для Office 365. Это поможет вам определить приоритеты своего рабочего процесса, чтобы обеспечить безопасность этих пользователей.

  • Определите наиболее заметных пользователей или пользователей, наиболее подверженных атакам.
  • Пометьте этих пользователей в качестве приоритетных учетных записей.
  • Отслеживайте угрозы для приоритетных учетных записей на портале.

Посмотрите это видео, чтобы узнать больше: Защита приоритетных учетных записей в Microsoft Defender для Office 365 — YouTube.

Оповещения на портале Microsoft Defender.

Избегайте дорогостоящих нарушений безопасности, предотвращая компрометацию пользователей

Получайте оповещения о потенциальной компрометации и автоматически ограничивайте влияние этих угроз, чтобы злоумышленники не смогли получить обширный доступ к вашей среде.

Исследование скомпрометированных пользователей.

Посмотрите это видео, чтобы узнать больше: Обнаружение компрометации и реагирование на нее в Microsoft Defender для Office 365 — YouTube.

Использование обозревателя угроз для исследования вредоносных сообщений электронной почты

Defender для Office 365 позволяет вам исследовать действия, которые создают риски для пользователей в вашей организации, и принимать меры для защиты организации. Это можно сделать с помощью Обозреватель угроз (Обозреватель):

Просмотр кампаний, нацеленных на вашу организацию

Просматривайте более масштабную картину с помощью представлений кампаний в Defender для Office 365, позволяющих увидеть кампании атак, нацеленные на вашу организацию, а также влияние, которое они оказывают на ваших пользователей.

Посмотрите это видео, чтобы узнать больше: Представления кампаний в Microsoft Defender для Office 365 — YouTube.

Использование автоматизации для устранения рисков

Эффективно реагируйте с помощью автоматического исследования и реагирования (AIR) для проверки, определения приоритетов и реагирования на угрозы.

Результаты исследования.

Шаг 3. Дополнительное содержимое в режиме блокировки

Глубокое погружение в данные с помощью поиска на основе запросов

Используйте расширенную охоту, чтобы написать собственные правила обнаружения, выполнять профилактические проверки событий в своей среде и находить индикаторы угроз. Изучайте необработанные данные в своей среде.

Просмотрите это видео, чтобы узнать больше: Охота на угрозы с помощью Microsoft Defender XDR - YouTube.

Обучение пользователей обнаружению угроз с помощью имитации атак

Вооружите своих пользователей нужными знаниями для выявления угроз и уведомления о подозрительных сообщениях с помощью имитации атак в Defender для Office 365.

Режим аудита

Шаг 1. Начало работы в режиме аудита

Начало оценки Defender для Office 365

После завершения настройки может потребоваться до 2 часов, чтобы изменения вступили в силу. Мы автоматически настраиваем готовые политики оценки в вашей среде.

Политики анализа гарантируют, что с сообщениями электронной почты, обнаруженными с помощью Defender для Office 365, не выполняются никакие действия.

Разрешение пользователям сообщать о подозрительном содержимом в режиме аудита

Defender для Office 365 позволяет пользователям отправлять сообщения своим группам безопасности и позволяет администраторам отправлять сообщения в корпорацию Майкрософт для анализа.

Просмотрите это видео, чтобы узнать больше: Узнайте, как использовать страницу Отправки для отправки сообщений для анализа — YouTube.

Просмотр отчетов для понимания общей картины угроз в режиме аудита

Используйте возможности отчетов в Defender для Office 365, чтобы получить дополнительные сведения о своей среде.

Шаг 2. Промежуточные шаги в режиме аудита

Использование обозревателя угроз для исследования вредоносных сообщений электронной почты в режиме аудита

Defender для Office 365 позволяет вам исследовать действия, которые создают риски для пользователей в вашей организации, и принимать меры для защиты организации. Это можно сделать с помощью Обозреватель угроз (Обозреватель):

Переключить на стандартную защиту в конце ознакомительного периода

Когда вы будете готовы включить политики Defender для Office 365 в рабочей среде, вы можете использовать Преобразовать в стандартную защиту, чтобы легко перейти из режима аудита в режим блокировки, включив предустановленную политику безопасности "Стандартная", которая включает всех получателей из режима аудита.

Переход со службы или устройства защиты не Майкрософт на Defender для Office 365

Если у вас уже есть служба защиты сторонних разработчиков или устройство, которое находится перед Microsoft 365, вы можете перенести защиту в Microsoft Defender для Office 365, чтобы получить преимущества консолидированного интерфейса управления, потенциально сниженные затраты (с помощью продуктов, за которые вы уже платите) и зрелый продукт с интегрированной защитой безопасности.

Дополнительные сведения см. в статье Миграция с службы защиты или устройства сторонних разработчиков на Microsoft Defender для Office 365.

Шаг 3. Дополнительное содержимое в режиме аудита

Обучение пользователей обнаружению угроз с помощью имитации атак в режиме аудита

Вооружите своих пользователей нужными знаниями для выявления угроз и уведомления о подозрительных сообщениях с помощью имитации атак в Defender для Office 365.

Дополнительные ресурсы