Az Office 365-höz készült Microsoft Defender használatának első lépései

• A következőre érvényes::

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

A Office 365-höz készült Microsoft Defender (beleértve vagy bővítmény-előfizetésként) rendelkező új Microsoft 365-szervezeteknél ez a cikk ismerteti azokat a konfigurációs lépéseket, amelyeket a Exchange Online Védelmi szolgáltatás (EOP) és Office 365-höz készült Defender a szervezet legkorábbi napjaiban.

Bár a Microsoft 365-ös szervezet a létrehozásuktól kezdve (vagy Office 365-höz készült Defender hozzáadása) tartalmaz egy alapértelmezett védelmi szintet, a jelen cikkben ismertetett lépések végrehajtható tervet biztosítanak az EOP és a Office 365-höz készült Defender teljes védelmi képességeinek kihasználásához. A lépések elvégzése után ebből a cikkből azt is megtudhatja, hogy a microsoftos 365-be fektetett befektetése maximálisan kihasználható.

Az EOP és a Office 365-höz készült Defender konfigurálásának lépéseit az alábbi ábra ismerteti:

Tipp

A cikk kiegészítőjeként javasoljuk, hogy használja a Office 365-höz készült Microsoft Defender automatikus beállítási útmutatót a címenhttps://admin.microsoft.com/Adminportal/Home?Q=learndocs#/modernonboarding/office365advancedthreatprotectionadvisor. Ez az útmutató a környezet alapján testre szabja a felhasználói élményt. Ha az ajánlott eljárásokat bejelentkezés és automatikus beállítási funkciók aktiválása nélkül szeretné áttekinteni, látogasson el a Microsoft 365 beállítási portáljára a címen https://setup.microsoft.com/defender/office-365-setup-guide.

Követelmények

Email veszélyforrások elleni védelem funkciói az EOP-on keresztüli felhőalapú postaládákkal rendelkező összes Microsoft 365-előfizetésben megtalálhatók. Office 365-höz készült Defender további védelmi funkciókat is tartalmaz. Az EOP funkcióival, az 1. csomag Office 365-höz készült Defender és a 2. csomag Office 365-höz készült Defender kapcsolatos részletes összehasonlításért lásd: Office 365-höz készült Microsoft Defender áttekintése.

Szerepkörök és engedélyek

Az EOP és Office 365-höz készült Defender funkciók konfigurálásához engedélyekre van szükség. Az alábbi táblázat azokat az engedélyeket sorolja fel, amelyekre szüksége van a jelen cikkben ismertetett lépések végrehajtásához (egy elég, nem kell mindegyiket használnia).

Szerepkör vagy szerepkörcsoport	További információ
Globális rendszergazda a Microsoft Entra	beépített szerepkörök Microsoft Entra
Szervezetkezelés Email & együttműködési szerepkörcsoportokban	Szerepkörcsoportok a Office 365-höz készült Microsoft Defender
Biztonsági rendszergazda a Microsoft Entra	beépített szerepkörök Microsoft Entra
Biztonsági rendszergazda Email & együttműködési szerepkörcsoportokban	együttműködési engedélyek Email & a Office 365-höz készült Microsoft Defender
Exchange Online Szervezetkezelés	Engedélyek a Exchange Online-ben

1. lépés: E-mail-hitelesítés konfigurálása a Microsoft 365-tartományokhoz

Összefoglalás: Konfigurálja az SPF, a DKIM és a DMARC rekordokat (ebben a sorrendben) az összes egyéni Microsoft 365-tartományhoz (beleértve a parkolt tartományokat és altartományokat). Ha szükséges, konfigurálja a megbízható ARC-tömítőket.

Részletek:

Email hitelesítés (más néven e-mail-ellenőrzés) egy szabványcsoport, amely ellenőrzi, hogy az e-mailek megbízhatóak, változatlanok-e, és hogy a feladó e-mail-tartományának várt forrásaiból származnak-e. További információ: Email hitelesítés az EOP-ban.

Azt feltételezzük, hogy egy vagy több egyéni tartományt használ a Microsoft 365-ben e-mailekhez (például contoso.com), ezért minden e-mail-címhez külön e-mail-hitelesítési DNS-rekordokat kell létrehoznia az e-mailekhez használt egyéni tartományokhoz.

Létrehozás a következő e-mail-hitelesítési DNS-rekordokat a DNS-regisztrálónál vagy a DNS-szolgáltatónál minden olyan egyéni tartományhoz, amelyet a Microsoft 365-ben a levelezéshez használ:

• Sender Policy Framework (SPF): Az SPF TXT rekord a tartomány feladóitól származó érvényes e-mail-forrásokat azonosítja. Útmutatásért lásd: Az SPF beállítása a hamisítás megelőzéséhez.

• DomainKeys Identified Mail (DKIM): A DKIM kijelentkezteti a kimenő üzeneteket, és az aláírást az üzenetfejlécben tárolja, amely túléli az üzenettovábbítást. Útmutatásért lásd: A DKIM használata az egyéni tartományból küldött kimenő e-mailek ellenőrzéséhez.

• Tartományalapú üzenethitelesítés, jelentéskészítés és megfelelőség (DMARC): A DMARC segít a cél levelezőkiszolgálóknak eldönteni, hogy mi a teendő az egyéni tartományból érkező, sikertelen SPF- és DKIM-ellenőrzésekkel. Ügyeljen arra, hogy a DMARC-házirendet (p=reject vagy p=quarantine) és a DMARC-jelentés célhelyeit (összesítő és törvényszéki jelentések) szerepeltesse a DMARC-rekordokban. útmutatásért lásd: E-mailek ellenőrzése DMARC használatával.

• Hitelesített fogadott lánc (ARC): Ha olyan külső szolgáltatásokat használ, amelyek módosítják az átvitt bejövő üzeneteket a Microsoft 365-be való kézbesítés előtt, a szolgáltatásokat megbízható ARC-lezáróként azonosíthatja (ha támogatják), így a módosított üzenetek nem hiúsulnak meg automatikusan a Microsoft 365-ben végzett e-mail-hitelesítési ellenőrzések során. Útmutatásért lásd: Megbízható ARC-tömítők konfigurálása.

Ha a *.onmicrosoft.com tartományt használja az e-mailekhez (más néven Microsoft Online Email útválasztási cím vagy MOERA-tartomány), a következőket nem teheti meg:

• SPF: Az SPF rekord már konfigurálva van a *.onmicrosoft.com tartományhoz.
• DKIM: A DKIM-aláírás már konfigurálva van a kimenő levelekhez a *.onmicrosoft.com tartomány használatával, de manuálisan is testre szabhatja.
• DMARC: Manuálisan kell beállítania a *.onmicrosoft.com tartomány DMARC-rekordját az itt leírtak szerint.

2. lépés: Védelmi szabályzatok konfigurálása

Összefoglalás: Kapcsolja be és használja a Standard és/vagy a Szigorú előre beállított biztonsági szabályzatokat az összes címzett számára. Ha az üzleti igények diktálnak, hozzon létre és használjon inkább egyéni védelmi szabályzatokat, de a konfigurációelemző használatával rendszeresen ellenőrizze őket.

Részletek:

Mint azt valószínűleg el tudja képzelni, számos védelmi szabályzat érhető el az EOP-ban és Office 365-höz készült Defender. A védelmi szabályzatok három alapvető típust különböztetnek meg:

• Alapértelmezett szabályzatok: Ezek a szabályzatok a szervezet létrehozásának pillanatától léteznek. Ezek a szervezet összes címzettje esetében érvényesek, nem kapcsolhatja ki a házirendeket, és nem módosíthatja, hogy kikre vonatkoznak a szabályzatok. A házirendek biztonsági beállításait azonban ugyanúgy módosíthatja, mint az egyéni szabályzatokat. Az alapértelmezett házirendek beállításait az Ajánlott beállítások az EOP-hoz és Office 365-höz készült Microsoft Defender biztonsághoz című témakörben található táblázatok ismertetik.

• Előre beállított biztonsági szabályzatok: Az előre beállított biztonság valójában olyan profilok, amelyek az EOP-ban elérhető legtöbb védelmi szabályzatot tartalmazzák, és Office 365-höz készült Defender meghatározott védelmi szintekre szabott beállításokkal. Az előre beállított biztonsági szabályzatok a következők:

  • A Szigorú előre beállított biztonsági szabályzat.
  • A Standard előre beállított biztonsági szabályzat.
  • Beépített védelem.

  A Standard és a Szigorú előre beállított biztonsági házirendek alapértelmezés szerint ki vannak kapcsolva, amíg be nem kapcsolja őket. Az EOP védelmi funkcióihoz és Office 365-höz készült Defender védelmi funkcióihoz a Standard és a Szigorú előre beállított biztonsági házirendekben megadhatja a címzettek feltételeit és kivételeit (felhasználók, csoporttagok, tartományok vagy az összes címzett).

  A beépített védelem alapértelmezés szerint be van kapcsolva a Office 365-höz készült Defender, hogy minden címzett számára alapvető biztonságos mellékleteket és biztonságos hivatkozásokat biztosítsunk. A címzettek kivételeinek megadásával azonosíthatja azokat a felhasználókat, akik nem kapják meg a védelmet.

  A Standard és a Szigorú előre beállított biztonsági szabályzatok Office 365-höz készült Defender szervezetekben beállítási és választható kivételeket kell konfigurálnia a felhasználói és tartományi megszemélyesítés elleni védelemhez. Minden más beállítás az ajánlott standard és szigorú értékekbe van zárolva (amelyek közül sok megegyezik). A Standard és a Szigorú értékeket az Ajánlott beállítások az EOP-hoz és a Office 365-höz készült Microsoft Defender biztonsághoz című témakörben találja, és itt láthatja a Standard és a Strict közötti különbségeket.

  Az EOP-hoz és a Office 365-höz készült Defender új védelmi képességeket ad hozzá, és ahogy a biztonsági környezet megváltozik, az előre beállított biztonsági szabályzatok beállításai automatikusan frissülnek az ajánlott beállításokra.

• Egyéni szabályzatok: A legtöbb elérhető védelmi szabályzathoz tetszőleges számú egyéni szabályzatot hozhat létre. A házirendeket a címzettek feltételei és kivételei (felhasználók, csoporttagok vagy tartományok) használatával alkalmazhatja a felhasználókra, és testre szabhatja a beállításokat.

A korábbi információkat és az érintett védelmi szabályzatokat az alábbi táblázat foglalja össze:

	Alapértelmezett szabályzatok	Előre beállított biztonsági házirendek	Egyéni szabályzatok
EOP védelmi szabályzatok:
Kártevőirtó	✔	✔	✔
Levélszemét elleni védelem	✔	✔	✔
Adathalászat elleni védelem (hamisítás elleni védelem)	✔	✔	✔
Kimenő levélszemét	✔		✔
Kapcsolatszűrés	✔¹
Office 365-höz készült Defender szabályzatok:
Adathalászat elleni védelem (hamisítás elleni védelem) plusz: Megszemélyesítés elleni védelem Speciális adathalászati küszöbértékek	✔²	✔²	✔
Biztonságos hivatkozások	³	✔	✔
Biztonságos mellékletek	³	✔	✔
Általános viselkedés
Alapértelmezés szerint be van kapcsolva a védelem?	✔	⁴
Konfigurálja a védelmi feltételeket/kivételeket?		✔⁵	✔
Testre szabja a biztonsági beállításokat?	✔	⁶	✔
A védelmi beállítások automatikusan frissülnek?		✔

¹ Nincsenek alapértelmezett bejegyzések az IP-engedélyezési listában vagy az IP-blokklistában, ezért az alapértelmezett kapcsolatszűrő házirend nem tesz semmit, hacsak nem szabja testre a beállításokat.

² A felhasználói megszemélyesítés vagy a tartományszemélyesítés elleni védelem nem tartalmaz bejegyzéseket vagy választható kivételeket a Office 365-höz készült Defender, amíg nem konfigurálja őket.

³ Bár a Office 365-höz készült Defender nem tartalmaz alapértelmezett Biztonságos mellékletek vagy Biztonságos hivatkozások házirendet, a Beépített védelem alapszintű biztonságos mellékleteket és biztonságos hivatkozásokat biztosít, amelyek mindig be vannak kapcsolva.

⁴ A beépített védelem (a biztonságos mellékletek és a biztonságos hivatkozások védelme Office 365-höz készült Defender) az egyetlen előre beállított biztonsági szabályzat, amely alapértelmezés szerint be van kapcsolva.

⁵ A Standard és a Szigorú előre beállított biztonsági szabályzatok esetében külön címzetti feltételeket és választható kivételeket konfigurálhat az EOP-hoz és Office 365-höz készült Defender védelemhez. A beépített védelemhez a Office 365-höz készült Defender csak a védelem alóli címzettkivételeket konfigurálhatja.

⁶ Az előre beállított biztonsági szabályzatok egyetlen testreszabható biztonsági beállítása a felhasználói megszemélyesítés elleni védelem és a tartományi megszemélyesítés elleni védelem bejegyzései és választható kivételei az Office 365-höz készült Defender Standard és Szigorú előre beállított biztonsági szabályzataiban.

A védelmi szabályzatok prioritási sorrendje

A védelmi szabályzatok alkalmazása fontos szempont, mivel ön dönti el, hogyan konfigurálja a biztonsági beállításokat a felhasználók számára. A legfontosabb tudnivalók a következők:

• A védelmi funkciók feldolgozási sorrendje nem konfigurálható. A bejövő üzeneteket például mindig a levélszemét előtt értékeli ki a rendszer.
• Egy adott funkció védelmi szabályzatait (levélszemét elleni, kártevőirtó, adathalászat elleni stb.) meghatározott sorrendben alkalmazzák (a későbbi sorrendről bővebben).
• Ha egy felhasználó szándékosan vagy akaratlanul szerepel egy adott szolgáltatás több szabályzatában, az első olyan védelmi szabályzat, amelyben a felhasználó definiálva van (az elsőbbségi sorrend alapján) határozza meg, hogy mi történik az elemlel (üzenet, fájl, URL stb.).
• Miután az első védelmi szabályzatot alkalmazta egy felhasználó egy adott elemére, a szolgáltatás szabályzatfeldolgozása leáll. A rendszer nem értékeli ki a szolgáltatás több védelmi szabályzatát az adott felhasználóra és az adott elemre vonatkozóan.

Az elsőbbségi sorrendet az előre beállított biztonsági szabályzatok és más szabályzatok elsőbbségi sorrendjében ismertetjük részletesen, de röviden összefoglaljuk itt:

1. Védelmi szabályzatok az előre beállított biztonsági szabályzatokban:
   1. A Szigorú előre beállított biztonsági szabályzat.
   2. A Standard előre beállított biztonsági szabályzat.
2. Egy adott szolgáltatás egyéni védelmi szabályzatai (például kártevőirtó házirendek). Minden egyéni szabályzat rendelkezik egy prioritási értékkel, amely meghatározza a szabályzat alkalmazásának sorrendjét az ugyanazon szolgáltatás más védelmi szabályzataihoz képest:
   1. Egy 0 prioritási értékkel rendelkező egyéni szabályzat.
   2. Egy egyéni szabályzat, amelynek prioritása 1.
   3. És így tovább.
3. Egy adott szolgáltatás (például kártevőirtó) vagy beépített védelmi szabályzata a Office 365-höz készült Defender -ban (Biztonságos hivatkozások és Biztonságos mellékletek).

Az előző táblázatból megtudhatja, hogyan jelenik meg egy adott védelmi szabályzat az elsőbbségi sorrendben. A kártevőirtó házirendek például minden szinten jelen vannak. A kimenő levélszemét-házirendek az egyéni és az alapértelmezett házirendszinten érhetők el. A kapcsolatszűrő házirend csak az alapértelmezett házirendszinten érhető el.

A szabályzatok félreértéseinek és nem szándékos alkalmazásának elkerülése érdekében kövesse az alábbi irányelveket:

• Használjon egyértelmű csoportokat vagy címzettlistákat minden szinten. Használjon például különböző csoportokat vagy címzettlistákat a Standard és a Szigorú előre beállított biztonsági házirendekhez.
• Szükség szerint konfigurálja a kivételeket az egyes szinteken. Konfigurálhatja például azokat a címzetteket, akiknek egyéni szabályzatokra van szükségük a Standard és a Szigorú előre beállított biztonsági szabályzatok alóli kivételként.
• A magasabb szinteken nem azonosított többi címzett megkapja az alapértelmezett szabályzatokat vagy a beépített védelmet a Office 365-höz készült Defender (biztonságos hivatkozások és biztonságos mellékletek).

Ezzel az információval felvértezve eldöntheti, hogy hogyan lehet a legjobban alkalmazni a védelmi szabályzatokat a szervezetben.

A védelmi szabályzat stratégiájának meghatározása

Most, hogy megismerkedett a különböző védelmi szabályzatok típusaival és alkalmazásuk módjával, eldöntheti, hogyan szeretné használni az EOP-t és a Office 365-höz készült Defender a szervezet felhasználóinak védelmére. A döntés elkerülhetetlenül a következő spektrumon belülre esik:

• Csak a Standard előre beállított biztonsági szabályzatot használja.
• Használja a Standard és a Szigorú előre beállított biztonsági szabályzatokat.
• Használjon előre beállított biztonsági szabályzatokat és egyéni szabályzatokat.
• Csak egyéni szabályzatokat használjon.

Ne feledje, hogy az alapértelmezett szabályzatok (és az Office 365-höz készült Defender beépített védelme) automatikusan védik a szervezet összes címzettjét (bárkit, aki nincs meghatározva a Standard vagy a Szigorú előre beállított biztonsági szabályzatban vagy egyéni szabályzatokban). Így még ha nem is tesz semmit, a szervezet minden címzettje megkapja az alapértelmezett védelmet az Ajánlott beállítások az EOP-hoz és a Office 365-höz készült Microsoft Defender biztonsághoz című cikkben leírtak szerint.

Azt is fontos megjegyezni, hogy nem zárják be a kezdeti döntés örökre. Az ajánlott beállítástáblákban található információknak, valamint a Standard és a Strict összehasonlító táblázatának lehetővé kell tennie, hogy tájékozott döntést hozzon. Ha azonban változnak az igények, az eredmények vagy a körülmények, nem nehéz később másik stratégiára váltani.

Ha nincs olyan kényszerítő üzleti igény, amely másként jelez, javasoljuk, hogy kezdje a standard előre beállított biztonsági szabályzattal a szervezet összes felhasználója számára. Az előre beállított biztonsági szabályzatok a Microsoft 365-adatközpontok több éves megfigyelései alapján konfigurálhatók beállításokkal, és a legtöbb szervezet számára megfelelő választásnak kell lenniük. A szabályzatok automatikusan frissülnek a biztonsági környezet fenyegetéseinek megfelelően.

Az előre beállított biztonsági szabályzatokban a Minden címzett lehetőséget választva egyszerűen alkalmazhat védelmet a szervezet összes címzettje számára.

Ha egyes felhasználókat fel szeretne venni a Szigorú előre beállított biztonsági szabályzatba, a többi felhasználót pedig a Standard előre beállított biztonsági szabályzatba, ne felejtse el figyelembe venni az elsőbbségi sorrendet a cikkben korábban ismertetett módon az alábbi módszerekkel:

• Minden előre beállított biztonsági házirendben használjon egyértelmű csoportokat vagy címzettlistákat.

  vagy

• Konfigurálja azokat a címzetteket, akiknek a Standard előre beállított biztonsági szabályzat beállításait kivételként kell megkapnia a Szigorú előre beállított biztonsági szabályzatban.

Ne feledje, hogy a következő védelmi funkciók konfigurációit az előre beállított biztonsági szabályzatok nem érintik (használhat előre beállított biztonsági szabályzatokat, és egymástól függetlenül is konfigurálhatja ezeket a védelmi beállításokat):

• Kimenő levélszemét-házirendek (egyéni és alapértelmezett)
• Az alapértelmezett kapcsolatszűrő házirend (IP-engedélyezési lista és IP-tiltólista)
• A Biztonságos mellékletek globális bekapcsolása a SharePointhoz, a OneDrive-hoz és a Microsoft Teamshez
• Globálisan kapcsolja be és konfigurálja a biztonságos dokumentumokat (csak olyan licencekkel érhető el és használható, amelyek nem szerepelnek a Office 365-höz készült Defender (például Microsoft 365 A5 csomag vagy Microsoft 365 Biztonság E5 csomag))

Az előre beállított biztonsági szabályzatok bekapcsolásáról és konfigurálásáról lásd: Előre beállított biztonsági szabályzatok az EOP-ban és Office 365-höz készült Microsoft Defender.

Az egyéni szabályzatok előre beállított biztonsági szabályzatok helyett vagy mellett történő használata végső soron a következő üzleti követelményekhez tartozik:

• A felhasználóknak olyan biztonsági beállításokra van szükségük, amelyek eltérnek az előre beállított biztonsági szabályzatok nem módosítható beállításaitól (levélszemét vagy karantén, vagy fordítva, nincs biztonsági tipp, egyéni címzettek értesítése stb.).
• A felhasználóknak olyan beállításokat kell megadniuk, amelyek nincsenek konfigurálva előre beállított biztonsági szabályzatokban (például adott országokból érkező e-mailek blokkolása vagy a levélszemét-ellenes házirendekben meghatározott nyelveken).
• A felhasználóknak olyan karanténélményre van szükségük, amely eltér az előre beállított biztonsági szabályzatok nem módosítható beállításaitól. A karanténszabályzatok meghatározzák, hogy a felhasználók mit tehetnek a karanténba helyezett üzenetekkel annak alapján, hogy miért lett karanténba helyezve az üzenet, és hogy a címzettek értesítést kapnak-e a karanténba helyezett üzeneteikről. Az alapértelmezett végfelhasználói karanténélményt az itt található táblázat foglalja össze, a Standard és a Szigorú előzetes biztonsági szabályzatokban használt karanténszabályzatokat pedig az itt található táblázatok ismertetik.

Az Ajánlott beállítások az EOP-hoz és a Office 365-höz készült Microsoft Defender biztonsághoz című szakaszban található információk segítségével összehasonlíthatja az egyéni házirendek vagy alapértelmezett szabályzatok elérhető beállításait a Standard és a Szigorú előre beállított biztonsági házirendekben konfigurált beállításokkal.

Tervezési irányelvek több egyéni szabályzathoz egy adott funkcióhoz (például kártevőirtó házirendekhez) a következők:

• Az egyéni házirendek felhasználói a prioritási sorrend miatt nem vehetők fel a Standard vagy a Szigorú előre beállított biztonsági szabályzatba.
• Kevesebb felhasználót rendelhet magasabb prioritású házirendekhez, és több felhasználót az alacsonyabb prioritású szabályzatokhoz.
• Konfiguráljon magasabb prioritású szabályzatokat úgy, hogy szigorúbb vagy specializáltabb beállításokkal rendelkezzenek, mint az alacsonyabb prioritású szabályzatok (beleértve az alapértelmezett házirendeket is).

Ha egyéni szabályzatok használata mellett dönt, a Konfigurációelemző használatával rendszeres időközönként összehasonlíthatja a házirendek beállításait a Standard és a Szigorú előre beállított biztonsági házirendek ajánlott beállításaival.

3. lépés: Engedélyek hozzárendelése rendszergazdákhoz

Összefoglalás: Rendelje hozzá az Azure Active Directory biztonsági rendszergazdai szerepkörét más rendszergazdákhoz, szakemberekhez és ügyfélszolgálati munkatársakhoz, hogy el tudjanak végezni feladatokat az EOP-ban és a Office 365-höz készült Defender.

Részletek:

Valószínűleg már használja azt a kezdeti fiókot, amelyet a Microsoft 365-be való regisztrációhoz használt, hogy elvégezhesse az ebben az üzembe helyezési útmutatóban szereplő összes munkát. Ez a fiók rendszergazda mindenhol a Microsoft 365-ben (pontosabban az Azure Active Directory globális rendszergazdai szerepkörének (Azure AD) tagja), és szinte bármit elvégezhet. A szükséges engedélyekről a cikk korábbi, Szerepkörök és engedélyek című szakaszában olvashat.

Ennek a lépésnek azonban az a célja, hogy más rendszergazdákat konfiguráljon az EOP és a Office 365-höz készült Defender funkcióinak jövőbeni kezeléséhez. Amire nincs szüksége, az az, hogy sok globális rendszergazdai jogosultsággal rendelkező személynek nincs szüksége rá. Valóban szükség van például fiókok törlésére/létrehozására, vagy más felhasználók globális rendszergazdává alakítására? A minimális jogosultság fogalma (csak a feladat elvégzéséhez szükséges engedélyek hozzárendelése és semmi több) jó gyakorlat.

Az EOP-ban és a Office 365-höz készült Defender feladatokhoz való engedélyek hozzárendelésekor a következő lehetőségek érhetők el:

• Microsoft Entra engedélyek: Ezek az engedélyek a Microsoft 365 összes számítási feladatára vonatkoznak (Exchange Online, SharePoint Online, Microsoft Teams stb.).
• Exchange Online engedélyek: Az EOP és a Office 365-höz készült Defender legtöbb feladata Exchange Online engedélyekkel érhető el. Az engedélyek csak a Exchange Online-ben való hozzárendelése megakadályozza a rendszergazdai hozzáférést más Microsoft 365 számítási feladatokban.
• Email & együttműködési engedélyek az Microsoft Defender portálon: Az EOP és a Office 365-höz készült Defender egyes biztonsági funkcióinak felügyelete Email & együttműködési engedélyekkel érhető el. Például:
  • Konfigurációelemző
  • karanténkezelési és karanténszabályzatok Rendszergazda
  • A felhasználók által jelentett üzenetek beküldésének és felülvizsgálatának Rendszergazda
  • Felhasználói címkék

Az egyszerűség kedvéért javasoljuk, hogy használja a Biztonsági rendszergazda szerepkört a Azure AD azok számára, akiknek konfigurálnia kell a beállításokat az EOP-ban és a Office 365-höz készült Defender.

Útmutatásért lásd: Microsoft Entra szerepkörök hozzárendelése felhasználókhoz és A Microsoft Defender XDR hozzáférésének kezelése az Azure Active Directory globális szerepköreivel.

4. lépés: Prioritási fiókok és felhasználói címkék

Összefoglalás: Azonosíthatja és megjelölheti a szervezet megfelelő felhasználóit prioritási fiókként a jelentésekben és vizsgálatokban való könnyebb azonosítás, valamint a kiemelt fiókvédelem Office 365-höz készült Defender. Fontolja meg egyéni felhasználói címkék létrehozását és alkalmazását Office 365-höz készült Defender 2. csomagban.

Részletek:

A Office 365-höz készült Defender a prioritási fiókok akár 250 nagy értékű felhasználó címkézését teszik lehetővé a jelentések és vizsgálatok könnyebb azonosítása érdekében. Ezek a prioritási fiókok további heurisztikai lehetőségeket is kapnak, amelyek nem járnak a normál alkalmazottak előnyére. További információ: Prioritási fiókok kezelése és monitorozása, valamint A prioritásos fiókok védelmének konfigurálása és áttekintése Office 365-höz készült Microsoft Defender.

A Office 365-höz készült Defender 2. csomagban egyéni felhasználói címkék létrehozására és alkalmazására is lehetősége van a jelentésekben és vizsgálatokban szereplő felhasználók meghatározott csoportjainak egyszerű azonosításához. További információ: Felhasználói címkék a Office 365-höz készült Microsoft Defender-ben.

Azonosítsa a megfelelő felhasználókat, hogy prioritási fiókként címkézhessenek, és döntse el, hogy egyéni felhasználói címkéket kell-e létrehoznia és alkalmaznia.

5. lépés: A felhasználók által jelentett üzenetbeállítások áttekintése és konfigurálása

Összefoglalás: Telepítse a Jelentésüzenet vagy jelentés adathalászat bővítményt vagy egy támogatott külső eszközt, hogy a felhasználók hamis pozitív és hamis negatív üzeneteket jelentsenek az Outlookban, így ezek a jelentett üzenetek elérhetők a rendszergazdák számára a Defender portál Beküldések lapjának Felhasználó által jelentett lapján. Konfigurálja úgy a szervezetet, hogy a jelentett üzenetek egy adott jelentési postaládába, a Microsofthoz vagy mindkettőhöz menjenek.

Részletek:

Az EOP és a Office 365-höz készült Defender védelmi beállításainak monitorozása és módosítása szempontjából fontos, hogy a felhasználók rosszként (hamis pozitívként) vagy rosszként (hamis negatívként) megjelölt jó üzeneteket jelentsenek.

A felhasználói üzenetek jelentésének fontos részei a következők:

• Hogyan jelentik a felhasználók az üzeneteket?: Győződjön meg arról, hogy az ügyfelek az alábbi módszerek egyikét használják, hogy a jelentett üzenetek a Defender portál https://security.microsoft.com/reportsubmission?viewid=userBeküldések lapjának Felhasználó által jelentett lapján jelenjenek meg:

• Az Webes Outlook (korábbi nevén Outlook Web App vagy OWA) beépített Jelentés gombja.

• A Microsoft Report Message vagy Report Phishing bővítmények az Outlookhoz és Webes Outlook.

• A támogatott üzenetküldési formátumot használó külső jelentéskészítő eszközök.

• Hová kerülnek a felhasználók által jelentett üzenetek?: A következő lehetőségek közül választhat:

  • Egy kijelölt jelentési postaládába és a Microsoftnak (ez az alapértelmezett érték).
  • Csak egy kijelölt jelentési postaládába.
  • Csak a Microsoftnak.

  A felhasználók által jelentett üzenetek gyűjtésére használt alapértelmezett postaláda a globális rendszergazda postaládája (a szervezet kezdeti fiókja). Ha azt szeretné, hogy a felhasználók által jelentett üzenetek a szervezet egyik jelentési postaládájába kerüljenek, létre kell hoznia és konfigurálnia kell egy kizárólagos postaládát.

  Ön dönti el, hogy szeretné-e, hogy a felhasználók által jelentett üzenetek elemzés céljából is a Microsofthoz menjenek (kizárólag vagy a kijelölt jelentési postaládába való kézbesítéssel együtt).

  Ha azt szeretné, hogy a felhasználók által jelentett üzenetek csak a kijelölt jelentési postaládába kerüljenek, a rendszergazdáknak manuálisan kell elküldenie a felhasználók által jelentett üzeneteket a Microsoftnak elemzés céljából a Defender portál Beküldések lapjának Felhasználó által jelentett lapjáról a címenhttps://security.microsoft.com/reportsubmission?viewid=user.

  Fontos, hogy a felhasználók által jelentett üzeneteket elküldjük a Microsoftnak, hogy a szűrők tanulhassanak és fejlődhessenek.

A felhasználók által jelentett üzenetbeállításokról a Felhasználó által jelentett beállítások című témakörben olvashat.

6. lépés: Bejegyzések letiltása és engedélyezése

Összefoglalás: Ismerkedjen meg a Office 365-höz készült Defender üzenetek, fájlok és URL-címek letiltására és engedélyezésére vonatkozó eljárásokkal.

Részletek:

Ismernie kell, hogyan tilthatja le és (ideiglenesen) engedélyezheti az üzenetküldőket, fájlokat és URL-címeket a Következő helyeken a Defender portálon:

• A bérlő engedélyezési/blokkolási listája itt: https://security.microsoft.com/tenantAllowBlockList.
• A Beküldések lap a következő címen: https://security.microsoft.com/reportsubmission.
• A Hamis intelligencia elemzési oldala a következő helyen: https://security.microsoft.com/spoofintelligence.

Általában egyszerűbb blokkokat létrehozni, mint megengedni, mert a szükségtelen engedélyezési bejegyzések kártékony e-maileknek teszik ki a szervezetet, amelyeket a rendszer szűrt volna.

• Blokk:

  • Blokkbejegyzéseket hozhat létre a tartományokhoz és e-mail-címekhez, fájlokhoz és URL-címekhez a bérlői engedélyezési/letiltási lista megfelelő lapjaiban, és elküldheti az elemeket a Microsoftnak elemzésre a Beküldések lapon. Amikor elküld egy elemet a Microsoftnak, a megfelelő blokkbejegyzések is létrejönnek a bérlői engedélyezési/letiltási listában.

    Tipp

    A szervezet felhasználói nem küldhetnek e-mailt olyan tartományokba vagy e-mail-címekre, amelyek a bérlői engedélyezési/tiltólista blokkbejegyzéseiben vannak megadva.

  • A hamis felderítés által blokkolt üzenetek a Hamis felderítés oldalon jelennek meg. Ha egy engedélyezési bejegyzést blokkbejegyzésre módosít, a feladó manuális blokkbejegyzéssé válik a Bérlői engedélyezési/tiltólista Hamisított feladók lapján. Proaktív módon is létrehozhat blokkbejegyzéseket a hamisított feladók lap még nem észlelt hamis feladóihoz .

• Engedélyezés:

  • Nem hozhat létre engedélyezési bejegyzéseket a tartományokhoz és e-mail-címekhez, fájlokhoz és URL-címekhez közvetlenül a bérlői engedélyezési/tiltólista megfelelő lapjaihoz. Ehelyett a Beküldések lapon jelenti az elemet a Microsoftnak. Amikor jelentést készít az elemről a Microsoftnak, kiválaszthatja, hogy engedélyezi-e az elemet, amely létrehoz egy megfelelő ideiglenes engedélyezési bejegyzést a Bérlői engedélyezés/letiltás listában.

  • A hamis felderítés által engedélyezett üzenetek a Hamis felderítés oldalon jelennek meg. Ha egy blokkbejegyzést engedélyező bejegyzésre módosít, a feladó manuális engedélyezési bejegyzéssé válik a Bérlői engedélyezési/tiltólista Hamisított feladók lapján. A Hamisított feladók lapon proaktív módon is létrehozhat engedélyezési bejegyzéseket a még nem észlelt hamisított feladókhoz .

A részletekért tekintse meg a következő cikkeket:

• E-mailek engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
• Fájlok engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
• URL-címek engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
• A Beküldések lapon elküldhet gyanús levélszeméteket, adathalászatot, URL-címeket, letiltott megbízható e-maileket és e-mail-mellékleteket a Microsoftnak
• A hamisintelligencia-ítélet felülbírálása

7. lépés: Adathalász szimulációk indítása Támadási szimulációs tréning

A 2. csomagban Office 365-höz készült Defender Támadási szimulációs tréning lehetővé teszi, hogy szimulált adathalász üzeneteket küldjön a felhasználóknak, és betanítást rendeljen hozzájuk a válaszuk alapján. A következő lehetőségek érhetők el:

• Beépített vagy egyéni hasznos adatokat használó egyedi szimulációk.
• A valós adathalász támadásokból származó szimulációautomatizálások több hasznos adattal és automatizált ütemezéssel.
• Csak betanítási kampányok , ahol nem kell kampányt indítania, és várnia kell, amíg a felhasználók a szimulált adathalász üzenetekben hivatkozásra kattintanak, vagy letöltik a mellékleteket a betanítások hozzárendelése előtt.

További információ: Ismerkedés a Támadási szimulációs tréning használatával.

8. lépés: Vizsgálat és reagálás

Most, hogy a kezdeti beállítás befejeződött, használja a Office 365-höz készült Microsoft Defender biztonsági üzemeltetési útmutatóban található információkat a szervezet fenyegetéseinek monitorozásához és kivizsgálásához.