Začínáme se službou Microsoft Defender pro Office 365

• Platí pro:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

V nových organizacích Microsoft 365 s Microsoft Defender pro Office 365 (zahrnutým nebo jako doplňkovým předplatným) tento článek popisuje kroky konfigurace, které je potřeba provést v Exchange Online Protection (EOP) a Defender pro Office 365 v prvních dnech vaší organizace.

I když vaše organizace Microsoft 365 zahrnuje výchozí úroveň ochrany od okamžiku, kdy ho vytvoříte (nebo do ní přidáte Defender pro Office 365), kroky v tomto článku vám poskytnou akční plán, jak plně využít možnosti ochrany EOP a Defender pro Office 365. Po dokončení těchto kroků můžete také pomocí tohoto článku ukázat vedení, že maximalizujete svoji investici do Microsoftu 365.

Postup konfigurace EOP a Defender pro Office 365 je popsaný v následujícím diagramu:

Tip

Jako doplněk k tomuto článku doporučujeme použít průvodce Microsoft Defender pro Office 365 automatizovaným nastavením na adrese https://admin.microsoft.com/Adminportal/Home?Q=learndocs#/modernonboarding/office365advancedthreatprotectionadvisor. Tato příručka přizpůsobí vaše prostředí na základě vašeho prostředí. Pokud si chcete projít osvědčené postupy bez přihlášení a aktivace funkcí automatizovaného nastavení, přejděte na portál pro nastavení Microsoftu 365 na adrese https://setup.microsoft.com/defender/office-365-setup-guide.

Požadavky

Email funkce ochrany před hrozbami jsou součástí všech předplatných Microsoftu 365 s cloudovými poštovními schránkami prostřednictvím EOP. Defender pro Office 365 zahrnuje další funkce ochrany. Podrobné porovnání funkcí v EOP, Defender pro Office 365 pro Plán 1 a Defender pro Office 365 Plan 2 najdete v přehledu Microsoft Defender pro Office 365.

Role a oprávnění

Ke konfiguraci funkcí EOP a Defender pro Office 365 potřebujete oprávnění. V následující tabulce jsou uvedena oprávnění, která potřebujete k provedení kroků v tomto článku (stačí jedna, ale nepotřebujete je všechna).

Role nebo skupina rolí	Další informace
Globální správce v Microsoft Entra	Microsoft Entra předdefinovaných rolí
Správa organizace ve skupinách rolí Email & spolupráce	Skupiny rolí v Microsoft Defender pro Office 365
Správce zabezpečení v Microsoft Entra	Microsoft Entra předdefinovaných rolí
Správce zabezpečení ve skupinách rolí pro spolupráci Email &	Email & oprávnění ke spolupráci v Microsoft Defender pro Office 365
správa organizace Exchange Online	Oprávnění v Exchange Online

Krok 1: Konfigurace ověřování e-mailu pro domény Microsoft 365

Shrnutí: Nakonfigurujte záznamy SPF, DKIM a DMARC (v daném pořadí) pro všechny vlastní domény Microsoftu 365 (včetně parkovaných domén a subdomén). V případě potřeby nakonfigurujte všechny důvěryhodné zapečetěče ARC.

Podrobnosti:

Email ověřování (označované také jako ověřování e-mailů) je skupina standardů, která ověřuje, že e-mailové zprávy jsou legitimní, nezměněné a pocházejí z očekávaných zdrojů pro e-mailovou doménu odesílatele. Další informace najdete v tématu Email ověřování v EOP.

Budeme pokračovat v předpokladu, že v Microsoftu 365 používáte pro e-mail jednu nebo více vlastních domén (například contoso.com), takže pro každou vlastní doménu, kterou používáte pro e-mail, musíte vytvořit konkrétní záznamy DNS ověřování e-mailu.

Create následující záznamy DNS ověřování e-mailů u svého registrátora DNS nebo hostitelské služby DNS pro každou vlastní doménu, kterou používáte pro e-mail v Microsoftu 365:

• Sender Policy Framework (SPF): Záznam SPF TXT identifikuje platné zdroje e-mailů od odesílatelů v doméně. Pokyny najdete v tématu Nastavení SPF, aby se zabránilo falšování identity.

• DKIM (DomainKeys Identified Mail): DKIM odhlašuje odchozí zprávy a ukládá podpis do záhlaví zprávy, který přeposílání zpráv přeposílal. Pokyny najdete v tématu Ověření odchozích e-mailů odeslaných z vlastní domény pomocí DKIM.

• DMARC (Domain-Based Message Authentication, Reporting, and Conformance): DMARC pomáhá cílovým e-mailovým serverům při rozhodování, co dělat se zprávami z vlastní domény, které neprošly kontrolami SPF a DKIM. Nezapomeňte do záznamů DMARC zahrnout zásady DMARC (p=reject nebo p=quarantine) a cíle sestav DMARC (agregační a forenzní sestavy). Pokyny najdete v tématu Ověření e-mailu pomocí DMARC.

• Protokol ARC (Authenticated Received Chain): Pokud používáte služby třetích stran, které upravují příchozí zprávy při přenosu před doručením do Microsoftu 365, můžete tyto služby identifikovat jako důvěryhodné zapečetěče ARC (pokud ho podporují), aby upravené zprávy automaticky neselhaly kontroly ověřování e-mailů v Microsoftu 365. Pokyny najdete v tématu Konfigurace důvěryhodných zapečetěčů ARC.

Pokud pro e-mail používáte doménu *.onmicrosoft.com (označovanou také jako Microsoft Online Email Routing Address nebo doména MOERA), nemusíte toho moc dělat:

• SPF: Záznam SPF je již nakonfigurovaný pro doménu *.onmicrosoft.com.
• DKIM: Podepisování DKIM je už nakonfigurované pro odchozí poštu pomocí domény *.onmicrosoft.com, ale můžete ho také ručně přizpůsobit.
• DMARC: Záznam DMARC musíte pro doménu *.onmicrosoft.com nastavit ručně, jak je popsáno tady.

Krok 2: Konfigurace zásad ochrany

Shrnutí: Zapněte a používejte standardní a/nebo striktní přednastavené zásady zabezpečení pro všechny příjemce. Nebo pokud to vyžadují obchodní potřeby, vytvořte a používejte místo toho vlastní zásady ochrany, ale pravidelně je kontrolujte pomocí analyzátoru konfigurace.

Podrobnosti:

Jak si asi dokážete představit, v EOP a Defender pro Office 365 je k dispozici spousta zásad ochrany. Existují tři základní typy zásad ochrany:

• Výchozí zásady: Tyto zásady existují od okamžiku vytvoření organizace. Platí pro všechny příjemce v organizaci, zásady nemůžete vypnout a nemůžete změnit, na koho se zásady vztahují. Nastavení zabezpečení ale můžete upravit v zásadách stejně jako vlastní zásady. Nastavení ve výchozích zásadách jsou popsána v tabulkách v části Doporučené nastavení pro EOP a zabezpečení Microsoft Defender pro Office 365.

• Přednastavené zásady zabezpečení: Přednastavené zabezpečení jsou ve skutečnosti profily, které obsahují většinu dostupných zásad ochrany v EOP a Defender pro Office 365 s nastavením, která jsou přizpůsobená konkrétním úrovním ochrany. Přednastavené zásady zabezpečení jsou:

  • Přísné přednastavené zásady zabezpečení.
  • Standardní přednastavené zásady zabezpečení.
  • Integrovaná ochrana.

  Přednastavené zásady zabezpečení Standard a Strict jsou ve výchozím nastavení vypnuté, dokud je nenapnete. Podmínky a výjimky příjemců (uživatelé, členové skupiny, domény nebo všichni příjemci) zadáte pro funkce ochrany EOP a funkce ochrany Defender pro Office 365 v rámci standardních a striktních přednastavených zásad zabezpečení.

  Integrovaná ochrana v Defender pro Office 365 je ve výchozím nastavení zapnutá a poskytuje základní ochranu bezpečných příloh a bezpečných odkazů pro všechny příjemce. Pokud chcete identifikovat uživatele, kteří ochranu nezískají, můžete zadat výjimky příjemců.

  V části Standardní a Striktní přednastavené zásady zabezpečení v organizacích Defender pro Office 365 je potřeba nakonfigurovat položky a volitelné výjimky pro ochranu před zosobněním uživatele a domény. Všechna ostatní nastavení se zamknou do doporučených standardních a striktních hodnot (řada z nich je stejných). Hodnoty Standard a Strict najdete v tabulkách v části Doporučené nastavení pro zabezpečení EOP a Microsoft Defender pro Office 365 a rozdíly mezi standardem a striktním zabezpečením.

  S tím, jak se do EOP a Defender pro Office 365 přidávají nové možnosti ochrany, a s tím, jak se mění prostředí zabezpečení, se nastavení v přednastavených zásadách zabezpečení automaticky aktualizují na naše doporučená nastavení.

• Vlastní zásady: Pro většinu dostupných zásad ochrany můžete vytvořit libovolný počet vlastních zásad. Zásady můžete použít pro uživatele pomocí podmínek a výjimek příjemce (uživatelé, členové skupiny nebo domény) a nastavení můžete přizpůsobit.

Předchozí informace a zásady ochrany, které se týkají, jsou shrnuty v následující tabulce:

	Výchozí zásady	Přednastavené zásady zabezpečení	Vlastní zásady
Zásady ochrany EOP:
Antimalwarový software	✔	✔	✔
Antispamová ochrana	✔	✔	✔
Ochrana proti útokům phishing (ochrana před falšováním identity)	✔	✔	✔
Odchozí spam	✔		✔
Filtrování připojení	✔¹
zásady Defender pro Office 365:
Anti-phishing (ochrana před falšováním identity) plus: Ochrana před zosobněním Pokročilé prahové hodnoty útoků phishing	✔²	✔²	✔
Bezpečné odkazy	³	✔	✔
Bezpečné přílohy	³	✔	✔
Obecné chování
Ochrana je ve výchozím nastavení zapnutá?	✔	⁴
Chcete nakonfigurovat podmínky a výjimky pro ochranu?		✔⁵	✔
Přizpůsobit nastavení zabezpečení?	✔	⁶	✔
Nastavení ochrany se automaticky aktualizovalo?		✔

¹ Seznam povolených ip adres ani seznam blokovaných IP adres neobsahuje žádné výchozí položky, takže výchozí zásady filtru připojení prakticky nic neudělají, pokud nastavení nepřizpůsobíte.

² Dokud je nenakonfigurujete, neexistují žádné záznamy ani volitelné výjimky pro ochranu před zosobněním uživatele nebo zosobnění domény v Defender pro Office 365.

³ I když v Defender pro Office 365 nejsou žádné výchozí zásady bezpečných příloh ani bezpečných odkazů, integrovaná ochrana poskytuje základní ochranu bezpečných příloh a bezpečných odkazů, která je vždy zapnutá.

⁴ Integrovaná ochrana (ochrana bezpečných příloh a bezpečných odkazů v Defender pro Office 365) je jediná přednastavená zásada zabezpečení, která je ve výchozím nastavení zapnutá.

⁵ Pro standardní a striktní přednastavené zásady zabezpečení můžete nakonfigurovat samostatné podmínky příjemce a volitelné výjimky pro ochranu EOP a Defender pro Office 365. U integrované ochrany v Defender pro Office 365 můžete nakonfigurovat jenom výjimky příjemců z ochrany.

⁶ Jediným přizpůsobitelným nastavením zabezpečení v přednastavených zásadách zabezpečení jsou položky a volitelné výjimky pro ochranu před zosobněním uživatele a ochranu před zosobněním domény v přednastavených zásadách zabezpečení Standard a Strict v Defender pro Office 365.

Pořadí priorit zásad ochrany

Při rozhodování o konfiguraci nastavení zabezpečení pro uživatele je důležité zvážit způsob použití zásad ochrany. Důležité body, které je třeba si zapamatovat, jsou:

• Funkce ochrany mají nekonfigurovatelné pořadí zpracování. Například příchozí zprávy se vždy vyhodnocují na malware před spamem.
• Zásady ochrany konkrétní funkce (antispam, antimalwarový software, anti-phishing atd.) se uplatňují v určitém pořadí podle priority (více o pořadí priorit později).
• Pokud je uživatel záměrně nebo neúmyslně zahrnut do více zásad konkrétní funkce, určuje první zásada ochrany pro tuto funkci, ve které je uživatel definován (podle pořadí priorit), co se stane s položkou (zpráva, soubor, adresa URL atd.).
• Jakmile se první zásady ochrany použijí na konkrétní položku uživatele, zpracování zásad pro tuto funkci se zastaví. Pro tohoto uživatele a konkrétní položku se nevyhodnocují žádné další zásady ochrany této funkce.

Pořadí priorit je podrobně vysvětleno v části Pořadí priorit pro přednastavené zásady zabezpečení a další zásady, ale je stručně shrnuto tady:

1. Zásady ochrany v přednastavených zásadách zabezpečení:
   1. Přísné přednastavené zásady zabezpečení.
   2. Standardní přednastavené zásady zabezpečení.
2. Vlastní zásady ochrany konkrétní funkce (například antimalwarové zásady) Každá vlastní zásada má hodnotu priority, která určuje pořadí, v jakém se zásady použijí ve vztahu k jiným zásadám ochrany stejné funkce:
   1. Vlastní zásada s hodnotou priority 0.
   2. Vlastní zásada s hodnotou priority 1.
   3. A tak dále.
3. Výchozí zásady ochrany konkrétní funkce (například antimalwarové) nebo integrované ochrany v Defender pro Office 365 (bezpečné odkazy a bezpečné přílohy).

Informace o tom, jak jsou konkrétní zásady ochrany reprezentované v pořadí priorit, najdete v předchozí tabulce. Na každé úrovni jsou například k dispozici antimalwarové zásady. Odchozí zásady spamu jsou dostupné na úrovni vlastních a výchozích zásad. Zásady filtru připojení jsou dostupné jenom na výchozí úrovni zásad.

Pokud se chcete vyhnout nejasnostem a nezamýšleným aplikacím zásad, postupujte podle následujících pokynů:

• Používejte jednoznačné skupiny nebo seznamy příjemců na každé úrovni. Pro přednastavené zásady zabezpečení Standard a Strict můžete například použít různé skupiny nebo seznamy příjemců.
• Podle potřeby nakonfigurujte výjimky na jednotlivých úrovních. Můžete například nakonfigurovat příjemce, kteří potřebují vlastní zásady jako výjimky ze standardních a striktních přednastavených zásad zabezpečení.
• Zbývající příjemci, kteří nejsou identifikováni na vyšších úrovních, získají výchozí zásady nebo integrovanou ochranu v Defender pro Office 365 (bezpečné odkazy a bezpečné přílohy).

S těmito informacemi se můžete rozhodnout, jak nejlépe implementovat zásady ochrany v organizaci.

Určení strategie zásad ochrany

Když teď víte o různých typech zásad ochrany a o tom, jak se používají, můžete se rozhodnout, jak chcete používat EOP a Defender pro Office 365 k ochraně uživatelů ve vaší organizaci. Vaše rozhodnutí nevyhnutelně spadá do následujícího spektra:

• Používejte pouze standardní přednastavené zásady zabezpečení.
• Použijte přednastavené zásady zabezpečení Standard a Strict.
• Použijte přednastavené zásady zabezpečení a vlastní zásady.
• Používejte jenom vlastní zásady.

Mějte na paměti, že výchozí zásady (a předdefinovaná ochrana v Defender pro Office 365) automaticky chrání všechny příjemce v organizaci (každého, kdo není definovaný v přednastavených zásadách zabezpečení Standard nebo Striktní nebo ve vlastních zásadách). Takže i když neuděláte nic, všichni příjemci v organizaci získají výchozí ochranu, jak je popsáno v části Doporučené nastavení EOP a Microsoft Defender pro Office 365 zabezpečení.

Je také důležité si uvědomit, že nejste navždy uzamčeni svým počátečním rozhodnutím. Informace v tabulkách doporučených nastavení a srovnávací tabulce pro Standardní a Striktní by vám měly umožnit informované rozhodnutí. Pokud se ale změní potřeby, výsledky nebo okolnosti, není těžké později přepnout na jinou strategii.

Bez přesvědčivých obchodních potřeb, které by naznačovaly opak, doporučujeme začít se standardními přednastavenými zásadami zabezpečení pro všechny uživatele ve vaší organizaci. Přednastavené zásady zabezpečení se konfigurují s nastavením na základě let pozorování v datacentrech Microsoftu 365 a měly by být správnou volbou pro většinu organizací. Zásady se také automaticky aktualizují tak, aby odpovídaly hrozbám v oblasti zabezpečení.

V přednastavených zásadách zabezpečení můžete vybrat možnost Všichni příjemci a snadno použít ochranu na všechny příjemce v organizaci.

Pokud chcete zahrnout některé uživatele do zásady zabezpečení Striktní přednastavení a zbývající uživatele do standardních přednastavených zásad zabezpečení, nezapomeňte zohlednit pořadí priorit , jak je popsáno výše v tomto článku, pomocí následujících metod:

• V každé přednastavené zásadě zabezpečení používejte jednoznačné skupiny nebo seznamy příjemců.

  nebo

• Nakonfigurujte příjemce, kteří by měli získat nastavení standardních přednastavených zásad zabezpečení jako výjimky v zásadách zabezpečení Striktní přednastavení.

Mějte na paměti, že následující konfigurace funkcí ochrany nejsou ovlivněny přednastavenými zásadami zabezpečení (můžete použít přednastavené zásady zabezpečení a také nezávisle nakonfigurovat tato nastavení ochrany):

• Zásady odchozího spamu (vlastní a výchozí)
• Výchozí zásady filtru připojení (seznam povolených IP adres a seznam blokovaných IP adres)
• Globální zapnutí bezpečných příloh pro SharePoint, OneDrive a Microsoft Teams
• Globálně zapněte a nakonfigurujte Bezpečné dokumenty (dostupné a smysluplné pouze s licencemi, které nejsou součástí Defender pro Office 365 (například Microsoft 365 A5 nebo Microsoft 365 E5 Security))

Informace o zapnutí a konfiguraci přednastavených zásad zabezpečení najdete v tématu Přednastavené zásady zabezpečení v EOP a Microsoft Defender pro Office 365.

Rozhodnutí o použití vlastních zásad místo přednastavených zásad zabezpečení nebo jejich doplnění nakonec vychází z následujících obchodních požadavků:

• Uživatelé vyžadují nastavení zabezpečení, která se liší od neupravitelných nastavení v přednastavených zásadách zabezpečení (nevyžádaná pošta vs. karanténa nebo naopak, žádné bezpečnostní tipy, upozorňovat vlastní příjemce atd.).
• Uživatelé vyžadují nastavení, která nejsou nakonfigurovaná v přednastavených zásadách zabezpečení (například blokování e-mailů z konkrétních zemí nebo v konkrétních jazycích v zásadách ochrany proti spamu).
• Uživatelé potřebují prostředí karantény , které se liší od neupravitelného nastavení v přednastavených zásadách zabezpečení. Zásady karantény definují, co můžou uživatelé se svými zprávami v karanténě dělat na základě toho, proč byla zpráva v karanténě, a jestli jsou příjemci upozorněni na zprávy v karanténě. Výchozí prostředí karantény koncových uživatelů je shrnuto v tabulce a zásady karantény, které se používají v přednastavených zásadách zabezpečení Standard a Strict, jsou popsané v tabulkách zde.

Informace v tématu Doporučená nastavení pro zabezpečení EOP a Microsoft Defender pro Office 365 slouží k porovnání dostupných nastavení ve vlastních nebo výchozích zásadách a nastavení nakonfigurovaných v přednastavených zásadách zabezpečení Standard a Strict.

Mezi pokyny pro návrh několika vlastních zásad pro konkrétní funkci (například antimalwarové zásady) patří:

• Uživatele ve vlastních zásadách není možné zahrnout do standardních nebo striktních přednastavených zásad zabezpečení kvůli pořadí priorit.
• Přiřaďte méně uživatelů k zásadám s vyšší prioritou a více uživatelů k zásadám s nižší prioritou.
• Nakonfigurujte zásady s vyšší prioritou tak, aby měly přísnější nebo specializovanější nastavení než zásady s nižší prioritou (včetně výchozích zásad).

Pokud se rozhodnete použít vlastní zásady, použijte Analyzátor konfigurace k pravidelnému porovnávání nastavení v zásadách s doporučenými nastaveními v přednastavených zásadách zabezpečení Standard a Strict.

Krok 3: Přiřazení oprávnění správcům

Shrnutí: Roli Správce zabezpečení v Azure Active Directory přiřaďte ostatním správcům, specialistům a pracovníkům helpdesku, aby mohli provádět úkoly v EOP a Defender pro Office 365.

Podrobnosti:

Pravděpodobně už používáte počáteční účet, který jste použili k registraci do Microsoftu 365, abyste provedli veškerou práci v tomto průvodci nasazením. Tento účet je správcem všude v Microsoftu 365 (konkrétně je členem role globálního správce v Azure Active Directory (Azure AD)) a umožňuje dělat prakticky cokoli. Požadovaná oprávnění byla popsána výše v tomto článku v části Role a oprávnění.

Záměrem tohoto kroku je ale nakonfigurovat další správce, kteří vám v budoucnu pomůžou spravovat funkce EOP a Defender pro Office 365. To, co nechcete, je spousta lidí s oprávněním globálního správce, kteří to nepotřebují. Opravdu například potřebují odstraňovat nebo vytvářet účty nebo dělat jiné uživatele globálními správci? Koncept nejnižších oprávnění (přiřazení pouze požadovaných oprávnění k provedení úlohy a nic dalšího) je dobrým postupem.

Pokud jde o přiřazování oprávnění k úkolům v EOP a Defender pro Office 365, jsou k dispozici následující možnosti:

• Microsoft Entra oprávnění: Tato oprávnění platí pro všechny úlohy v Microsoftu 365 (Exchange Online, SharePoint Online, Microsoft Teams atd.).
• Exchange Online oprávnění: Většina úkolů v EOP a Defender pro Office 365 je k dispozici pomocí Exchange Online oprávnění. Přiřazení oprávnění pouze v Exchange Online zabrání přístupu pro správu v jiných úlohách Microsoftu 365.
• Email & oprávnění ke spolupráci na portálu Microsoft Defender: Správa některých funkcí zabezpečení v EOP a Defender pro Office 365 je k dispozici s Email & oprávněními ke spolupráci. Příklady:
  • Analyzátor konfigurace
  • Správa správy karantény a zásad karantény
  • Správa odeslání a kontrola zpráv nahlášených uživatelem
  • Značky uživatelů

Pro zjednodušení doporučujeme použít roli Správce zabezpečení v Azure AD pro ostatní, kteří potřebují konfigurovat nastavení v EOP a Defender pro Office 365.

Pokyny najdete v tématech Přiřazení rolí Microsoft Entra uživatelům a Správa přístupu k Microsoft Defender XDR pomocí globálních rolí Azure Active Directory.

Krok 4: Prioritní účty a uživatelské značky

Shrnutí: Identifikujte a označte příslušné uživatele ve vaší organizaci jako prioritní účty pro snadnější identifikaci v sestavách a vyšetřováních a získání ochrany prioritního účtu v Defender pro Office 365. Zvažte vytvoření a použití vlastních značek uživatelů v Defender pro Office 365 Plan 2.

Podrobnosti:

V Defender pro Office 365 umožňují prioritní účty označit až 250 uživatelů s vysokou hodnotou, aby se snadno identifikovaly v sestavách a vyšetřováních. Tyto prioritní účty také dostávají další heuristiky, které nejsou přínosem pro běžné zaměstnance. Další informace najdete v tématech Správa a monitorování prioritních účtů a Konfigurace a kontrola ochrany prioritního účtu v Microsoft Defender pro Office 365.

V Defender pro Office 365 Plan 2 máte také přístup k vytváření a používání vlastních značek uživatelů, abyste mohli snadno identifikovat konkrétní skupiny uživatelů v sestavách a šetřeních. Další informace najdete v tématu Značky uživatelů v Microsoft Defender pro Office 365.

Identifikujte vhodné uživatele, které chcete označit jako prioritní účty, a rozhodněte se, jestli potřebujete vytvořit a použít vlastní značky uživatelů.

Krok 5: Kontrola a konfigurace nastavení zpráv nahlášených uživatelem

Shrnutí: Nasaďte doplňky Sestava zpráv nebo Útok phishing nebo podporovaný nástroj třetích stran , aby uživatelé mohli v Outlooku nahlásit falešně pozitivní a falešně negativní zprávy a aby tyto nahlášené zprávy byly dostupné správcům na kartě Uživatele nahlášené na stránce Odeslání na portálu Defender. Nakonfigurujte organizaci tak, aby nahlášené zprávy chodily do zadané poštovní schránky pro sestavy, do Microsoftu nebo do obou.

Podrobnosti:

Možnost uživatelů hlásit dobré zprávy označené jako špatné (falešně pozitivní) nebo povolené špatné zprávy (falešně negativní) je důležitá pro monitorování a úpravu nastavení ochrany v EOP a Defender pro Office 365.

Mezi důležité části generování sestav zpráv uživatelů patří:

• Jak uživatelé hlásí zprávy?: Ujistěte se, že klienti používají některou z následujících metod, aby se nahlášené zprávy zobrazovaly na kartě Nahlášené uživatelem na stránce Odeslání na portálu Defender na adrese https://security.microsoft.com/reportsubmission?viewid=user:

• Integrované tlačítko Sestava v Outlook na webu (dříve známé jako Outlook Web App nebo OWA).

• Doplňky Microsoft Report Message nebo Report Phishing pro Outlook a Outlook na webu.

• Nástroje pro vytváření sestav třetích stran, které používají podporovaný formát odesílání zpráv.

• Kam chodí zprávy nahlášené uživatelem?: Máte následující možnosti:

  • Do určené poštovní schránky sestav a do Microsoftu (toto je výchozí hodnota).
  • Pouze do určené poštovní schránky sestav.
  • Pouze pro Microsoft.

  Výchozí poštovní schránka, která se používá ke shromažďování zpráv nahlášených uživateli, je poštovní schránka globálního správce (počáteční účet v organizaci). Pokud chcete, aby zprávy nahlášené uživateli chodily do poštovní schránky sestav ve vaší organizaci, měli byste vytvořit a nakonfigurovat výhradní poštovní schránku, kterou chcete používat.

  Je na vás, jestli chcete, aby zprávy nahlášené uživateli chodily také společnosti Microsoft k analýze (výhradně nebo spolu s doručováním do určené poštovní schránky pro sestavy).

  Pokud chcete, aby zprávy nahlášené uživateli chodily jenom do vámi určené poštovní schránky pro vytváření sestav, měli by správci ručně odesílat zprávy nahlášené uživateli společnosti Microsoft k analýze z karty Nahlášené uživatelem na stránce Odeslání na portálu Defender na adrese https://security.microsoft.com/reportsubmission?viewid=user.

  Odesílání zpráv nahlášených uživateli do Microsoftu je důležité, aby se naše filtry mohly učit a vylepšovat.

Úplné informace o nastavení zpráv nahlášených uživatelem najdete v tématu Nastavení nahlášených uživatelem.

Krok 6: Blokování a povolení položek

Shrnutí: Seznamte se s postupy pro blokování a povolení zpráv, souborů a adres URL v Defender pro Office 365.

Podrobnosti:

Musíte se seznámit s blokováním a (dočasně) povolením odesílatelů zpráv, souborů a adres URL v následujících umístěních na portálu Defender:

• Seznam povolených/blokovaných tenantů na adrese https://security.microsoft.com/tenantAllowBlockList.
• Stránka Odeslání na adrese https://security.microsoft.com/reportsubmission.
• Stránka přehledu s informacemi o falšování identity na adrese https://security.microsoft.com/spoofintelligence.

Obecně platí, že vytváření bloků je jednodušší než povolené, protože nepotřebné položky povolení vystavují vaši organizaci škodlivému e-mailu, který by byl filtrován systémem.

• Blok:

  • Blokové položky pro domény a e-mailové adresy, soubory a adresy URL můžete vytvořit na odpovídajících kartách v seznamu povolených/blokovaných klientů a odesláním položek do Microsoftu k analýze ze stránky Odeslání . Když odešlete položku do Microsoftu, v seznamu povolených/blokovaných tenantů se vytvoří také odpovídající blokované položky.

    Tip

    Uživatelé v organizaci také nemůžou posílat e-maily na domény nebo e-mailové adresy, které jsou zadané v záznamech bloků v seznamu povolených/blokovaných klientů.

  • Zprávy blokované falšovanými informacemi se zobrazují na stránce s informacemi o falšování . Pokud položku povolení změníte na blokovou položku, stane se odesílatel ruční položkou blokování na kartě Zfalšovaní odesílatelé v seznamu povolených /blokovaných klientů. Na kartě Spoofed senders (Zfalšovaní odesílatelé ) můžete také proaktivně vytvářet blokované položky pro dosud nezfalšované odesílatele.

• Povolit:

  • Položky povolení pro domény a e-mailové adresy, soubory a adresy URL nemůžete vytvářet přímo na odpovídajících kartách v seznamu povolených/blokovaných klientů. Místo toho použijete stránku Odeslání k nahlášení položky společnosti Microsoft. Při hlášení položky microsoftu můžete vybrat možnost povolit položku, čímž se vytvoří odpovídající dočasná povolená položka v seznamu povolených/blokovaných tenantů.

  • Zprávy povolené informacemi o falšování se zobrazují na stránce s informacemi o falšování . Pokud položku bloku změníte na povolenou položku, stane se odesílatel ručně povoleným záznamem na kartě Zfalšovaní odesílatelé v seznamu povolených /blokovaných klientů. Můžete také proaktivně vytvářet položky povolení pro dosud nezfalšované odesílatele na kartě Zfalšovaní odesílatelé .

Úplné podrobnosti najdete v následujících článcích:

• Povolení nebo blokování e-mailů pomocí seznamu povolených nebo blokovaných klientů
• Povolení nebo blokování souborů pomocí seznamu povolených nebo blokovaných tenantů
• Povolení nebo blokování adres URL pomocí seznamu povolených nebo blokovaných tenantů
• Stránka Odeslání slouží k odesílání podezřelých spamů, phishing, adres URL, blokování legitimních e-mailů a příloh e-mailů do Microsoftu.
• Přepsání verdiktu falšování inteligentních informací

Krok 7: Spuštění simulací útoku phishing pomocí Simulační nácvik útoku

V plánu Defender pro Office 365 Plan 2 vám Simulační nácvik útoku umožňuje posílat uživatelům simulované phishingové zprávy a přiřazovat trénování na základě toho, jak reagují. Dostupné jsou následující možnosti:

• Jednotlivé simulace s využitím předdefinovaných nebo vlastních datových částí
• Simulace automatizace převzaté z reálných útoků phishing s využitím více datových částí a automatizovaného plánování
• Pouze školicí kampaně , ve kterých nemusíte spouštět kampaň a čekat, až uživatelé kliknou na odkazy nebo si stáhnou přílohy v simulovaných phishingových zprávách, než se přiřadí školení.

Další informace najdete v tématu Začínáme používat Simulační nácvik útoku.

Krok 8: Prošetření a reakce

Teď, když je vaše počáteční nastavení dokončené, použijte informace v provozní příručce Microsoft Defender pro Office 365 zabezpečení k monitorování a prošetřování hrozeb v organizaci.