Настройка клиента Microsoft 365 для улучшения безопасности
Совет
Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.
Для вашей организации требуется безопасность.
Специфика зависит от вашей компании.
В этой статье описывается ручная настройка параметров на уровне клиента, влияющих на безопасность среды Microsoft 365. Используйте эти рекомендации в качестве отправной точки.
Настройка политик защиты EOP и Defender для Office 365 на портале Microsoft Defender
На портале Microsoft Defender есть возможности как для защиты, так и для создания отчетов. Он содержит панели мониторинга, которые можно использовать для мониторинга и принятия мер при возникновении угроз.
В качестве начального шага необходимо настроить записи проверки подлинности электронной почты в DNS для всех личных доменов электронной почты в Microsoft 365 (SPF, DKIM и DMARC). Microsoft 365 автоматически настраивает проверку подлинности электронной почты для домена *.onmicrosoft.com. Дополнительные сведения см. в разделе Шаг 1. Настройка проверки подлинности электронной почты для доменов Microsoft 365.
Примечание.
Для нестандартных развертываний SPF, гибридных развертываний и устранения неполадок: настройте SPF, чтобы предотвратить спуфинги.
Большинство функций защиты в Exchange Online Protection (EOP) и Defender для Office 365 поставляются с конфигурациями политик по умолчанию. Дополнительные сведения см. в таблице здесь.
Рекомендуется включить и использовать стандартные и (или) строгие предустановленные политики безопасности для всех получателей. Дополнительные сведения см. в следующих статьях:
- Включение и настройка предустановленных политик безопасности: предустановленные политики безопасности в EOP и Microsoft Defender для Office 365.
- Разница в параметрах между стандартными и строгими предустановленными политиками безопасности: параметры политики в предустановленных политиках безопасности.
- Полный список всех функций и параметров в политиках по умолчанию, стандартных предустановленных политиках безопасности и строгих предустановленных политиках безопасности: рекомендуемые параметры для безопасности EOP и Microsoft Defender для Office 365.
Пользовательские политики требуются, если для бизнес-потребностей вашей организации требуются параметры политики, отличные от предустановленных политик безопасности или не определенные в них. Или, если вашей организации требуется другой пользовательский интерфейс для сообщений, помещенных в карантин (включая уведомления). Дополнительные сведения см. в статье Определение стратегии политики защиты.
Просмотр панелей мониторинга и отчетов на портале Microsoft Defender
На портале Defender выберите https://security.microsoft.comОтчеты. Или, чтобы перейти непосредственно на страницу Отчеты , используйте https://security.microsoft.com/securityreports.
На странице Отчеты можно просмотреть сведения о тенденциях безопасности и отслеживать состояние защиты удостоверений, данных, устройств, приложений и инфраструктуры.
Данные в этих отчетах становятся богаче, так как ваша организация использует службы Office 365 (помните об этом, если вы пилотируете или тестируете). На данный момент будьте знакомы с тем, что можно отслеживать и принимать меры.
На странице Отчеты в https://security.microsoft.com/securityreportsвыберите Электронная почта & совместной работы>Электронная почта & отчеты о совместной работе.
На открывающейся странице Отчеты о совместной работе по электронной почте & обратите внимание на доступные карточки. В любой карточке выберите Просмотреть сведения , чтобы просмотреть данные. Дополнительные сведения см. в следующих статьях:
- Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender
- Просмотр отчетов Defender для Office 365 на портале Microsoft Defender
Отчеты и аналитические сведения о потоках обработки почты доступны в Центре администрирования Exchange (EAC). Дополнительные сведения см. в разделах Отчеты о потоке обработки почты и Аналитика потока обработки почты.
|Если вы исследуете или сталкиваетесь с атакой на клиент, используйте обозреватель угроз (или обнаружение в режиме реального времени) для анализа угроз. Обозреватель (и отчет об обнаружении в режиме реального времени) показывает объем атак с течением времени, и вы можете анализировать эти данные по семействам угроз, инфраструктуре злоумышленников и т. д. Вы также можете пометить любое подозрительное сообщение электронной почты в списке Инциденты.
Дополнительные сведения
Сведения о защите от программ-шантажистов см. в следующих статьях:
- Защита от программ-шантажистов
- Защита от вредоносных программ и программ-шантажистов в Microsoft 365
- Сборники схем реагирования на инциденты-шантажисты
Настройка политик общего доступа на уровне клиента в Центре администрирования SharePoint
Рекомендации Майкрософт по настройке сайтов групп SharePoint с повышением уровня защиты, начиная с базовой защиты. Дополнительные сведения см. в статье Рекомендации по политике для защиты сайтов и файлов SharePoint.
Сайты групп SharePoint, настроенные на базовом уровне, разрешают общий доступ к файлам с внешними пользователями с помощью анонимных ссылок для доступа. Этот подход рекомендуется вместо отправки файлов по электронной почте.
Для поддержки целей базовой защиты настройте политики общего доступа на уровне клиента, как это рекомендуется здесь. Параметры общего доступа для отдельных сайтов могут быть более строгими, чем эта политика на уровне клиента, но не более разрешительной.
Область | Включает политику по умолчанию | Рекомендация |
---|---|---|
Общий доступ (SharePoint Online и OneDrive для бизнеса) | Да | Внешний общий доступ включен по умолчанию. Рекомендуется использовать следующие параметры:
Дополнительные сведения: Обзор внешнего общего доступа |
Центр администрирования SharePoint и Центр администрирования OneDrive для бизнеса содержат одни и те же параметры. Параметры в любом из центров администрирования применяются к обоим.
Настройка параметров в Идентификаторе Microsoft Entra
Обязательно посетите эти две области в Microsoft Entra ID, чтобы завершить настройку на уровне клиента для более безопасных сред.
Настройка именованных расположений (при условном доступе)
Если в вашей организации есть офисы с защищенным сетевым доступом, добавьте диапазоны доверенных IP-адресов в идентификатор Microsoft Entra в качестве именованных расположений. Эта функция помогает сократить количество ложных срабатываний для событий риска при входе.
См. статью Именованные расположения в Идентификаторе Microsoft Entra
Блокировать приложения, которые не поддерживают современную проверку подлинности
Для многофакторной проверки подлинности требуются приложения, поддерживающие современную проверку подлинности. Приложения, которые не поддерживают современную проверку подлинности, нельзя заблокировать с помощью правил условного доступа.
Для безопасных сред обязательно отключите проверку подлинности для приложений, которые не поддерживают современную проверку подлинности. Это можно сделать в Microsoft Entra ID с помощью элемента управления, который появится в ближайшее время.
Тем временем используйте один из следующих методов, чтобы заблокировать доступ к приложениям в SharePoint Online и OneDrive для бизнеса, которые не поддерживают современную проверку подлинности:
Центр администрирования SharePoint:
- В Центре администрирования SharePoint по адресу https://admin.microsoft.com/sharepointвыберите Политики>Управление доступом.
- На странице Управление доступом выберите Приложения, которые не используют современную проверку подлинности.
- Во всплывающем окне Приложения, которые не используют современную проверку подлинности , выберите Блокировать доступ, а затем нажмите кнопку Сохранить.
PowerShell: см . раздел Блокировка приложений, которые не используют современную проверку подлинности.
Начало работы с Defender for Cloud Apps или Office 365 Cloud App Security
Используйте Microsoft 365 Cloud App Security для оценки риска, оповещения о подозрительных действиях и автоматического принятия мер. Требуется план Office 365 E5.
Или используйте Microsoft Defender для облачных приложений, чтобы получить более подробную видимость даже после предоставления доступа, комплексных элементов управления и улучшенной защиты для всех облачных приложений, включая Office 365.
Так как это решение рекомендует план EMS E5, рекомендуется начать с Defender for Cloud Apps, чтобы использовать его с другими приложениями SaaS в вашей среде. Начните с политик и параметров по умолчанию.
Дополнительные сведения:
- Развертывание Microsoft Defender for Cloud Apps
- Дополнительные сведения о Microsoft Defender for Cloud Apps
- Что такое Defender for Cloud Apps?
Дополнительные ресурсы
В этих статьях и руководствах содержатся дополнительные инструкции по защите среды Microsoft 365:
Руководство майкрософт по безопасности для политических кампаний, некоммерческих организаций и других гибких организаций (эти рекомендации можно использовать в любой среде, особенно в облачных средах)
Рекомендуемые политики безопасности и конфигурации для удостоверений и устройств (эти рекомендации включают справку по средам AD FS)