Руководство пользователя пробной версии: Microsoft Defender для Office 365

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Добро пожаловать в руководство пользователя Microsoft Defender для Office 365 пробной версии! Это руководство пользователя поможет вам максимально эффективно использовать бесплатную пробную версию, научив вас защищать организацию от вредоносных угроз, связанных с сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы.

Что такое Defender для Office 365?

Defender для Office 365 помогает организациям защитить свое предприятие, предлагая комплексный набор возможностей, включая политики защиты от угроз, отчеты, возможности исследования угроз и реагирования на них, а также возможности автоматического исследования и реагирования.

Помимо обнаружения расширенных угроз, в следующем видео показано, как возможности SecOps Defender для Office 365 могут помочь вашей команде реагировать на угрозы:

Режим аудита и режим блокировки для Defender для Office 365

Вы хотите, чтобы ваш Defender для Office 365 опыт был активным или пассивным? Ниже приведены два режима, которые можно выбрать:

• Режим аудита. Специальные политики оценки создаются для защиты от фишинга (включая защиту от олицетворения), безопасных вложений и безопасных ссылок. Эти политики оценки настроены только для обнаружения угроз. Defender для Office 365 обнаруживает вредоносные сообщения для отчетов, но сообщения не выполняются (например, обнаруженные сообщения не помещаются в карантин). Параметры этих политик оценки описаны в разделе Политики в режиме аудита далее в этой статье.

  Режим аудита предоставляет доступ к настраиваемым отчетам об угрозах, обнаруженных политиками оценки в Defender для Office 365 на странице оценки Microsoft Defender для Office 365 по адресу https://security.microsoft.com/atpEvaluation.

• Режим блокировки. Стандартный шаблон для предустановленных политик безопасности включен и используется для пробной версии, а пользователи, которые вы указали для включения в пробную версию, добавляются в стандартную предустановленную политику безопасности. Defender для Office 365 обнаруживает и принимает меры для вредоносных сообщений (например, обнаруженные сообщения помещаются в карантин).

  По умолчанию и рекомендуется область эти политики Defender для Office 365 всем пользователям в организации. Но во время или после настройки пробной версии вы можете изменить назначение политики для определенных пользователей, групп или доменов электронной почты на портале Microsoft Defender или в PowerShell.

  Режим блокировки не предоставляет настраиваемые отчеты об угрозах, обнаруженных Defender для Office 365. Вместо этого эта информация доступна в регулярных отчетах и функциях исследования Defender для Office 365 план 2. Дополнительные сведения см. в разделе Отчеты для режима блокировки.

Основные факторы, определяющие доступные режимы:

• Независимо от того, есть ли в настоящее время Defender для Office 365 (план 1 или план 2), как описано в разделе Оценка и пробная версия для Defender для Office 365.

• Способ доставки электронной почты в организацию Microsoft 365, как описано в следующих сценариях:

  • Почта из Интернета передается напрямую в Microsoft 365, но текущая подписка имеет только Exchange Online Protection (EOP) или Defender для Office 365 план 1.

    

    В этих средах доступен режим аудита или режим блокировкив зависимости от лицензирования.

  • В настоящее время вы используете стороннюю службу или устройство для защиты электронной почты почтовых ящиков Microsoft 365. Почта из Интернета проходит через службу защиты перед доставкой в организацию Microsoft 365. Защита Microsoft 365 максимально низка (она никогда не выключается полностью; например, защита от вредоносных программ всегда применяется).

    

    В этих средах доступен только режим аудита . Вам не нужно изменять поток обработки почты (записи MX) для оценки Defender для Office 365 план 2.

Итак, приступим!

Режим блокировки

Шаг 1. Начало работы в режиме блокировки

Начало использования пробной версии Microsoft Defender для Office 365

После запуска пробной версии и завершения настройки может потребоваться до 2 часов, чтобы изменения вступили в силу.

Мы автоматически включили стандартную предустановленную политику безопасности в вашей среде. Этот профиль представляет базовый профиль защиты, подходящий для большинства пользователей. Стандартная защита включает следующее.

• Безопасные ссылки, безопасные вложения и политики защиты от фишинга, предназначенные для всего клиента или подмножества пользователей, которых вы можете выбрать во время настройки пробной версии.
• Включение защиты безопасных вложений для SharePoint, OneDrive и Microsoft Teams.
• Защита безопасных ссылок для поддерживаемых приложений Office 365.

Посмотрите это видео, чтобы узнать больше: Защита от вредоносных ссылок с помощью безопасных ссылок в Microsoft Defender для Office 365 — YouTube.

Разрешение пользователям сообщать о подозрительном содержимом в режиме блокировки

Defender для Office 365 позволяет пользователям отправлять сообщения своим группам безопасности и позволяет администраторам отправлять сообщения в корпорацию Майкрософт для анализа.

• Проверьте или настройте параметры, сообщаемые пользователем , чтобы сообщаемые сообщения отправлялись в указанный почтовый ящик отчетов, в корпорацию Майкрософт или и то, и другое.
• Разверните надстройку "Сообщения отчета" или надстройку "Фишинг отчета" , чтобы пользователи сообщали о сообщениях. Кроме того, пользователи могут использовать встроенную кнопку "Отчет" в Outlook в Интернете (прежнее название — Outlook Web App или OWA).
• Создайте рабочий процесс для информирования о ложноположительных и ложноотрицательных срабатываниях.
• Используйте вкладку Пользователь сообщается на странице Отправки по адресу, https://security.microsoft.com/reportsubmission?viewid=user чтобы просматривать сообщения, сообщаемые пользователем, и управлять ими.

Просмотрите это видео, чтобы узнать больше: Узнайте, как использовать страницу Отправки для отправки сообщений для анализа — YouTube.

Просмотр отчетов для понимания общей картины угроз в режиме блокировки

Используйте возможности отчетов в Defender для Office 365, чтобы получить дополнительные сведения о своей среде.

• Изучайте угрозы, связанные с почтой и инструментами совместной работы, в отчете о состоянии защиты от угроз.
• Узнайте, где угрозы блокируются, с помощью отчета о состоянии потока обработки почты.
• Используйте отчет о защите URL-адресов для просмотра ссылок, которые были просмотрированы пользователями или заблокированы системой.

Шаг 2. Промежуточные шаги в режиме блокировки

Фокусировка на пользователях, которые чаще всего выбираются в качестве целей атак

Защитите наиболее заметных пользователей и пользователей, наиболее подверженных атакам, с помощью защиты приоритетных учетных записей в Defender для Office 365. Это поможет вам определить приоритеты своего рабочего процесса, чтобы обеспечить безопасность этих пользователей.

• Определите наиболее заметных пользователей или пользователей, наиболее подверженных атакам.
• Пометьте этих пользователей в качестве приоритетных учетных записей.
• Отслеживайте угрозы для приоритетных учетных записей на портале.

Посмотрите это видео, чтобы узнать больше: Защита приоритетных учетных записей в Microsoft Defender для Office 365 — YouTube.

Избегайте дорогостоящих нарушений безопасности, предотвращая компрометацию пользователей

Получайте оповещения о потенциальной компрометации и автоматически ограничивайте влияние этих угроз, чтобы злоумышленники не смогли получить обширный доступ к вашей среде.

• Просматривайте оповещения о скомпрометированных пользователях.
• Исследуйте скомпрометированных пользователей и реагируйте на компрометацию.

Посмотрите это видео, чтобы узнать больше: Обнаружение компрометации и реагирование на нее в Microsoft Defender для Office 365 — YouTube.

Использование обозревателя угроз для исследования вредоносных сообщений электронной почты

Defender для Office 365 позволяет вам исследовать действия, которые создают риски для пользователей в вашей организации, и принимать меры для защиты организации. Это можно сделать с помощью Обозреватель угроз (Обозреватель):

• Находите подозрительные полученные письма. Найдите и удалите сообщение, определите IP-адрес отправителя вредоносного письма или создайте инцидент для дальнейшего исследования.
• Email сценарии безопасности в Обозреватель угроз и обнаружения в режиме реального времени

Просмотр кампаний, нацеленных на вашу организацию

Просматривайте более масштабную картину с помощью представлений кампаний в Defender для Office 365, позволяющих увидеть кампании атак, нацеленные на вашу организацию, а также влияние, которое они оказывают на ваших пользователей.

• Определяйте кампании, нацеленные на ваших пользователей.

• Визуализируйте область атаки.

• Отслеживайте взаимодействие пользователей с этими сообщениями.

  

Посмотрите это видео, чтобы узнать больше: Представления кампаний в Microsoft Defender для Office 365 — YouTube.

Использование автоматизации для устранения рисков

Эффективно реагируйте с помощью автоматического исследования и реагирования (AIR) для проверки, определения приоритетов и реагирования на угрозы.

• Дополнительные сведения о руководствах пользователя для исследования.
• Просматривайте сведения и результаты исследования.
• Устраняйте угрозы путем утверждения действий по исправлению.

Шаг 3. Дополнительное содержимое в режиме блокировки

Подробный анализ данных с помощью охоты на основе запросов

Используйте расширенную охоту, чтобы написать собственные правила обнаружения, выполнять профилактические проверки событий в своей среде и находить индикаторы угроз. Изучайте необработанные данные в своей среде.

• Создайте собственные правила обнаружения.
• Получайте доступ к общим запросам, созданным другими пользователями.

Просмотрите это видео, чтобы узнать больше: Охота на угрозы с помощью Microsoft Defender XDR - YouTube.

Обучение пользователей обнаружению угроз с помощью имитации атак

Вооружите своих пользователей нужными знаниями для выявления угроз и уведомления о подозрительных сообщениях с помощью имитации атак в Defender для Office 365.

• Имитируйте реалистичные угрозы для выявления уязвимых пользователей.

• Назначайте обучение пользователям на основе результатов имитации.

• Отслеживайте прогресс вашей организации в отношении завершения имитаций и обучения.

  

Режим аудита

Шаг 1. Начало работы в режиме аудита

Начало оценки Defender для Office 365

После завершения настройки может потребоваться до 2 часов, чтобы изменения вступили в силу. Мы автоматически настраиваем готовые политики оценки в вашей среде.

Политики оценки обеспечивают отсутствие действий для сообщений электронной почты, обнаруженных посредством Defender для Office 365.

Разрешение пользователям сообщать о подозрительном содержимом в режиме аудита

Defender для Office 365 позволяет пользователям отправлять сообщения своим группам безопасности и позволяет администраторам отправлять сообщения в корпорацию Майкрософт для анализа.

• Проверьте или настройте параметры, сообщаемые пользователем , чтобы сообщаемые сообщения отправлялись в указанный почтовый ящик отчетов, в корпорацию Майкрософт или и то, и другое.
• Разверните надстройку "Сообщения отчета" или надстройку "Фишинг отчета" , чтобы пользователи сообщали о сообщениях. Кроме того, пользователи могут использовать встроенную кнопку "Отчет" в Outlook в Интернете (прежнее название — Outlook Web App или OWA).
• Создайте рабочий процесс для информирования о ложноположительных и ложноотрицательных срабатываниях.
• Используйте вкладку Пользователь сообщается на странице Отправки по адресу, https://security.microsoft.com/reportsubmission?viewid=user чтобы просматривать сообщения, сообщаемые пользователем, и управлять ими.

Просмотрите это видео, чтобы узнать больше: Узнайте, как использовать страницу Отправки для отправки сообщений для анализа — YouTube.

Просмотр отчетов для понимания общей картины угроз в режиме аудита

Используйте возможности отчетов в Defender для Office 365, чтобы получить дополнительные сведения о своей среде.

• Панель мониторинга оценки позволяет легко просматривать угрозы, обнаруженные Defender для Office 365 во время оценки.
• Изучайте угрозы, связанные с почтой и инструментами совместной работы, в отчете о состоянии защиты от угроз.

Шаг 2. Промежуточные шаги в режиме аудита

Использование обозревателя угроз для исследования вредоносных сообщений электронной почты в режиме аудита

Defender для Office 365 позволяет вам исследовать действия, которые создают риски для пользователей в вашей организации, и принимать меры для защиты организации. Это можно сделать с помощью Обозреватель угроз (Обозреватель):

• Находите подозрительные полученные письма. Найдите и удалите сообщение, определите IP-адрес отправителя вредоносного письма или создайте инцидент для дальнейшего исследования.
• Email сценарии безопасности в Обозреватель угроз и обнаружения в режиме реального времени

Преобразование в стандартную защиту в конце периода оценки

Когда вы будете готовы включить политики Defender для Office 365 в рабочей среде, вы можете использовать функцию Преобразовать в стандартную защиту, чтобы легко перейти из режима аудита в режим блокировки, включив стандартную предустановленную политику безопасности, которая содержит всех или всех получателей из режима аудита.

Миграция из сторонней службы защиты или устройства в Defender для Office 365

Если у вас уже есть сторонняя служба защиты или устройство, которое находится перед Microsoft 365, вы можете перенести свою защиту в Microsoft Defender для Office 365, чтобы получить преимущества консолидированного интерфейса управления, потенциальное снижение затрат (с использованием продуктов, за которые вы уже платите) и готовый продукт со встроенной защитой безопасности.

Дополнительные сведения см. в статье Миграция из сторонней службы защиты или устройства в Defender для Office 365.

Шаг 3. Дополнительное содержимое в режиме аудита

Обучение пользователей обнаружению угроз с помощью имитации атак в режиме аудита

Вооружите своих пользователей нужными знаниями для выявления угроз и уведомления о подозрительных сообщениях с помощью имитации атак в Defender для Office 365.

• Имитируйте реалистичные угрозы для выявления уязвимых пользователей.

• Назначайте обучение пользователям на основе результатов имитации.

• Отслеживайте прогресс вашей организации в отношении завершения имитаций и обучения.

  

Дополнительные ресурсы

• Интерактивное руководство. Не знакомы с Defender для Office 365? Просмотрите интерактивное руководство, чтобы узнать, как начать работу.
• Краткое руководство по началу работы*: Microsoft Defender для Office 365
• Microsoft Defender для Office 365 документации. Получите подробные сведения о том, как работает Defender для Office 365 и как наилучшим образом реализовать его для вашей организации. Ознакомьтесь с документацией по Microsoft Defender для Office 365.
• Состав: полный список функций защиты электронной почты Office 365, упорядоченный по уровню продуктов, см. в таблице возможностей.
• Почему Defender для Office 365: таблица Defender для Office 365 содержит 10 главных причин, по которым клиенты выбирают Майкрософт.