De 12 belangrijkste taken voor beveiligingsteams ter ondersteuning van thuis werken
Als u net als Microsoft bent en plotseling een voornamelijk thuiswerkers ondersteunt, willen we u helpen ervoor te zorgen dat uw organisatie zo veilig mogelijk werkt. In dit artikel worden taken prioriteit gegeven om beveiligingsteams te helpen de belangrijkste beveiligingsfuncties zo snel mogelijk te implementeren.
Als u een kleine of middelgrote organisatie bent die een van de zakelijke abonnementen van Microsoft gebruikt, bekijkt u in plaats daarvan deze bronnen:
- Top 10 manieren om Office 365 en Microsoft 365 voor zakelijke abonnementen te beveiligen
- Microsoft 365 voor campagnes (inclusief een aanbevolen beveiligingsconfiguratie voor Microsoft 365 Business)
Voor klanten die onze ondernemingsplannen gebruiken, raadt Microsoft u aan de taken uit te voeren die worden vermeld in de volgende tabel die van toepassing zijn op uw serviceplan. Als u abonnementen combineert in plaats van Microsoft 365 enterprise-abonnement, gaat u als volgt te werk:
- Microsoft 365 E3 bevat Enterprise Mobility + Security (EMS) E3 en Azure AD P1
- Microsoft 365 E5 ems E5 en Azure AD P2
Controleer voordat u begint uw Microsoft 365 Secure Score in de Microsoft 365 Defender portal. Vanuit een gecentraliseerd dashboard kunt u de beveiliging van uw Microsoft 365 identiteiten, gegevens, apps, apparaten en infrastructuur controleren en verbeteren. U krijgt punten voor het configureren van aanbevolen beveiligingsfuncties, het uitvoeren van beveiligingstaken (zoals het weergeven van rapporten) of het oplossen van aanbevelingen met een toepassing of software van derden. De aanbevolen taken in dit artikel verhogen uw score.
1: Azure AD Multi-Factor Authentication (MFA) inschakelen
Het beste wat u kunt doen om de beveiliging te verbeteren voor werknemers die thuis werken, is MFA in te zetten. Als u nog geen processen hebt, kunt u dit behandelen als een pilot voor noodgevallen en ervoor zorgen dat ondersteuningsmedewerkers klaar staan om werknemers te helpen die vast komen te zitten. Aangezien u waarschijnlijk geen hardwarebeveiligingsapparaten kunt distribueren, gebruikt u Windows Hello biometrische en smartphoneverificatie-apps zoals Microsoft Authenticator.
Normaal gesproken raadt Microsoft aan gebruikers 14 dagen de tijd te geven hun apparaat te registreren voor meervoudige verificatie voordat ze MFA nodig hebben. Als uw personeel echter plotseling thuis werkt, moet U MFA als beveiligingsprioriteit gebruiken en bereid zijn om gebruikers te helpen die dit nodig hebben.
Het toepassen van dit beleid duurt slechts enkele minuten, maar is bereid om uw gebruikers de komende dagen te ondersteunen.
| Abonnement | Aanbeveling |
|---|---|
| Microsoft 365 abonnementen (zonder Azure AD P1 of P2) | Schakel standaardinstellingen voor beveiliging in Azure AD in. De standaardinstellingen voor beveiliging in Azure AD omvatten MFA voor gebruikers en beheerders. |
| Microsoft 365 E3 (met Azure AD P1) | Gebruik algemeen beleid voor voorwaardelijke toegang om het volgende beleid te configureren: - MFA vereisen voor beheerders - MFA vereisen voor alle gebruikers - Verouderde verificatie blokkeren |
| Microsoft 365 E5 (met Azure AD P2) | Als u gebruikmaakt van Azure AD Identity Protection, begint u het implementeren van de aanbevolen set beleidsregels voor voorwaardelijke toegang en verwante beleidsregels van Microsoft door de volgende twee beleidsregels te maken: - MFA vereisen bij een normaal of hoog risico bij het aanmelden - Clients blokkeren die moderne verificatie niet ondersteunen - Gebruikers met een hoog risico moeten het wachtwoord wijzigen |
2: Beschermen tegen bedreigingen
Alle Microsoft 365-abonnementen bevatten verschillende functies voor bedreigingsbeveiliging. Het kost slechts enkele minuten om de beveiliging voor deze functies op te stoten.
- Beveiliging tegen malware
- Bescherming tegen schadelijke URL's en bestanden
- Bescherming tegen phishing
- Beveiliging tegen ongewenste e-mail
Zie Beschermen tegen bedreigingen in Office 365 voor richtlijnen die u als uitgangspunt kunt gebruiken.
3: Microsoft Defender configureren voor Office 365
Microsoft Defender voor Office 365, inbegrepen bij Microsoft 365 E5 en Office 365 E5, beschermt uw organisatie tegen schadelijke bedreigingen die worden veroorzaakt door e-mailberichten, koppelingen (URL's) en samenwerkingshulpmiddelen. Het configureren kan enkele uren duren.
Microsoft Defender voor Office 365:
- Beschermt uw organisatie tegen onbekende e-mailbedreigingen in realtime door intelligente systemen te gebruiken die bijlagen en koppelingen controleren op schadelijke inhoud. Deze geautomatiseerde systemen bevatten een robuust detonatieplatform, heuristische en machine learning-modellen.
- Beschermt uw organisatie wanneer gebruikers samenwerken en bestanden delen door schadelijke bestanden in teamsites en documentbibliotheken te identificeren en te blokkeren.
- Hiermee worden machine learning-modellen en geavanceerde algoritmen voor imitatiedetectie toegepast om phishingaanvallen te voorkomen.
Zie Defender voor Office 365 voor een overzicht, inclusief een overzicht van Office 365.
De globale beheerder kan deze beveiligingen configureren:
- Beleidsregels Safe koppelingen instellen
- Algemene instellingen configureren voor Safe koppelingen
- Het beleid Safe bijlagen instellen
U moet samenwerken met uw beheerder Exchange Online en SharePoint onlinebeheerder om Defender te configureren voor Office 365 voor deze werkbelastingen:
4: Microsoft Defender configureren voor identiteit
Microsoft Defender for Identity is een cloudbeveiligingsoplossing die gebruikmaakt van uw on-premises Active Directory-signalen om geavanceerde bedreigingen, gecompromitteerde identiteiten en kwaadwillende acties van binnenuit die zijn gericht op uw organisatie, te identificeren, te detecteren en te onderzoeken. Focus op deze volgende, omdat het uw on-prem en uw cloudinfrastructuur beschermt, geen afhankelijkheden of vereisten heeft en direct voordeel kan bieden.
- Zie Snelstarts voor Microsoft Defender voor identiteit om snel te worden ingesteld
- Video bekijken: Inleiding tot Microsoft Defender voor identiteit
- De drie fasen van de implementatie van Microsoft Defender voor identiteit controleren
5: De Microsoft 365 Defender
Nu u Microsoft Defender voor Office 365 en Microsoft Defender voor identiteit hebt geconfigureerd, kunt u de gecombineerde signalen van deze mogelijkheden in één dashboard bekijken. Microsoft 365 Defender brengt waarschuwingen, incidenten, geautomatiseerd onderzoek en antwoord en geavanceerde zoekwerkbelastingen (Microsoft Defender voor identiteit, Defender voor Office 365, Microsoft Defender voor Eindpunt en Microsoft Cloud App Security) samen in één deelvenster in het deelvenster Microsoft 365 Defender portal.
Nadat u een of meer van uw Defender voor Office 365 hebt geconfigureerd, schakelt u MTP in. Nieuwe functies worden voortdurend toegevoegd aan MTP. overwegen om in te kiezen voor preview-functies.
6: Intune mobile app protection configureren voor telefoons en tablets
Microsoft Intune Mobile Application Management (MAM) kunt u de gegevens van uw organisatie op telefoons en tablets beheren en beveiligen zonder deze apparaten te beheren. Dit werkt als volgende:
- U maakt een APP (App- (App) waarmee wordt bepaald welke apps op een apparaat worden beheerd en welk gedrag is toegestaan (zoals voorkomen dat gegevens uit een beheerde app worden gekopieerd naar een niet-beheerde app). U maakt één beleid voor elk platform (iOS, Android).
- Nadat u het beleid voor app-beveiliging hebt gemaakt, dwingt u deze af door een regel voor voorwaardelijke toegang te maken in Azure AD om goedgekeurde apps en APP-gegevensbescherming te vereisen.
App-beveiligingsbeleid bevat veel instellingen. Gelukkig hoeft u niet meer te weten te komen over elke instelling en de opties te wegen. Microsoft maakt het eenvoudig om een configuratie van instellingen toe te passen door uitgangspunten aan te bevelen. Het gegevensbeveiligingskader met app-beveiligingsbeleid bevat drie niveaus waar u uit kunt kiezen.
Nog beter: Microsoft coördineert dit beveiligingskader voor apps met een set voorwaardelijke toegang en verwante beleidsregels. We raden alle organisaties aan om dit als uitgangspunt te gebruiken. Als u MFA hebt geïmplementeerd met behulp van de richtlijnen in dit artikel, bent u halverwege!
Als u de beveiliging van mobiele apps wilt configureren, gebruikt u de richtlijnen in beleidsregels voor algemene identiteits- en apparaattoegang:
- Gebruik de richtlijnen voor app-gegevensbescherming toepassen om beleidsregels voor iOS en Android te maken. Niveau 2 (verbeterde gegevensbescherming) wordt aanbevolen voor basislijnbeveiliging.
- Maak een regel voor voorwaardelijke toegang tot Goedgekeurde apps en APP-beveiliging vereisen.
7: MFA en voorwaardelijke toegang configureren voor gasten, inclusief intune mobile app protection
Laten we er vervolgens voor zorgen dat u kunt blijven samenwerken en met gasten kunt werken. Als u het abonnement Microsoft 365 E3 en U hebt MFA geïmplementeerd voor alle gebruikers, bent u ingesteld.
Als u het Microsoft 365 E5-abonnement gebruikt en u gebruik maakt van Azure Identity Protection voor risicogebaseerde MFA, moet u een paar aanpassingen doen (omdat azure AD Identity-beveiliging niet geldt voor gasten):
- Maak een nieuwe regel voor voorwaardelijke toegang om MFA altijd te vereisen voor gasten en externe gebruikers.
- Werk de risicogebaseerde MFA-regel voor voorwaardelijke toegang bij om gasten en externe gebruikers uit te sluiten.
Gebruik de richtlijnen in Het algemene beleid bijwerken om gast- en externe toegang toe te staan en te beveiligen om te begrijpen hoe gasttoegang werkt met Azure AD en om het betreffende beleid bij te werken.
Het beveiligingsbeleid voor mobiele apps in Intune dat u hebt gemaakt, samen met de regel voor voorwaardelijke toegang om goedgekeurde apps en APP-beveiliging te vereisen, is van toepassing op gastenaccounts en helpt uw organisatiegegevens te beschermen.
Notitie
Als u al pc's hebt geregistreerd voor apparaatbeheer om compatibele pc's te vereisen, moet u ook gastaccounts uitsluiten van de regel voor voorwaardelijke toegang die apparaat compliance afdwingt.
8: Pc's registreren voor apparaatbeheer en compatibele pc's vereisen
Er zijn verschillende methoden om de apparaten van uw werknemers in te schrijven. Elke methode is afhankelijk van de eigendom van het apparaat (persoonlijk of zakelijk), apparaattype (iOS, Windows, Android) en beheervereisten (resets, affiniteit, vergrendeling). Dit kan even duren. Zie: Apparaten registreren in Microsoft Intune.
De snelste manier om aan de hand te gaan is automatische inschrijving instellen voor Windows 10 apparaten.
U kunt ook profiteren van deze zelfstudies:
- Autopilot gebruiken om in te schrijven Windows apparaten in Intune
- De functies voor het registreren van apple-apparaten in Apple Business Manager (ABM) gebruiken om iOS-/iPadOS-apparaten in te schrijven in Intune
Nadat u apparaten hebt ingeschreven, gebruikt u de richtlijnen in beleidsregels voor algemene identiteits- en apparaattoegang om deze beleidsregels te maken:
- Beleidsregels voor apparaat compliance definiëren: de aanbevolen instellingen voor Windows 10 omvatten antivirusbeveiliging. Als u een Microsoft 365 E5, gebruikt u Microsoft Defender voor Eindpunt om de status van werknemersapparaten te controleren. Zorg ervoor dat compliancebeleid voor andere besturingssystemen antivirusbeveiliging en end-pointbeveiligingssoftware bevat.
- Compatibele pc's vereisen: dit is de regel voor voorwaardelijke toegang in Azure AD die het nalevingsbeleid voor apparaten afdwingt.
Slechts één organisatie kan een apparaat beheren, dus sluit gastaccounts uit van de regel voor voorwaardelijke toegang in Azure AD. Als u gast- en externe gebruikers niet uitsluit van beleidsregels waarvoor apparaat compliance vereist is, worden deze gebruikers geblokkeerd door dit beleid. Zie Het algemene beleid bijwerken om gast- en externe toegang toe te staan en te beveiligen voor meer informatie.
9: Uw netwerk optimaliseren voor cloudconnectiviteit
Als u snel het grootste deel van uw werknemers inschakelt om thuis te werken, kan deze plotse overstap van verbindingspatronen een aanzienlijke invloed hebben op de bedrijfsnetwerkinfrastructuur. Veel netwerken zijn geschaald en ontworpen voordat cloudservices werden overgenomen. In veel gevallen zijn netwerken tolerant ten opzichte van externe werknemers, maar ze zijn niet ontworpen om op afstand door alle gebruikers tegelijk te worden gebruikt.
Netwerkelementen zoals VPN-concentratieapparaten, centrale netwerkapparatuur (zoals proxies en preventieapparaten voor gegevensverlies), centrale internetbandbreedte, backhaul MPLS-circuits, NAT-mogelijkheden en dergelijke, worden plotseling onder enorme druk gezet vanwege de belasting van het hele bedrijf dat deze gebruikt. Het eindresultaat is slechte prestaties en productiviteit in combinatie met een slechte gebruikerservaring voor gebruikers die zich aanpassen aan thuis werken.
Sommige van de beveiligingen die traditioneel zijn geboden door het routeren van verkeer via een bedrijfsnetwerk, worden geleverd door de cloud-apps die uw gebruikers openen. Als u deze stap in dit artikel hebt bereikt, hebt u een set geavanceerde cloudbeveiligingsbesturingselementen geïmplementeerd voor Microsoft 365 services en gegevens. Met deze besturingselementen kunt u mogelijk het verkeer van externe gebruikers rechtstreeks naar Office 365. Als u nog steeds een VPN-koppeling nodig hebt voor toegang tot andere toepassingen, kunt u uw prestaties en gebruikerservaring sterk verbeteren door splits tunneling te implementeren. Nadat u overeenstemming hebt bereikt in uw organisatie, kan dit binnen een dag worden bereikt door een goed gecoördineerd netwerkteam.
Zie deze bronnen in Documenten voor meer informatie:
- Overzicht: Connectiviteit optimaliseren voor externe gebruikers met vpn-splits tunneling
- VPN splits tunneling implementeren voor Office 365
Recente blogartikelen over dit onderwerp:
- Snel verkeer optimaliseren voor extern personeel & de belasting van uw infrastructuur verminderen
- Alternatieve manieren voor beveiligingsprofessionals en IT om moderne beveiligingsbesturingselementen te bereiken in de unieke scenario's voor extern werk van vandaag
10: Gebruikers trainen
Trainingsgebruikers kunnen uw gebruikers en beveiligingsbewerkingsteam veel tijd en frustratie besparen. Slimme gebruikers openen minder snel bijlagen of klikken op koppelingen in twijfelachtige e-mailberichten en voorkomen eerder verdachte websites.
Het Handboek cyberbeveiligingscampagne van de Harvard Kennedy School biedt uitstekende richtlijnen voor het tot stand brengen van een sterke cultuur van beveiligingsbewustzijn binnen uw organisatie, inclusief het trainen van gebruikers om phishingaanvallen te identificeren.
Microsoft 365 bevat de volgende bronnen om gebruikers in uw organisatie op de hoogte te stellen:
| Concept | Middelen |
|---|---|
| Microsoft 365 | Aanpasbare leerpaden Deze bronnen kunnen u helpen bij het maken van trainingen voor eindgebruikers in uw organisatie |
| Microsoft 365-beveiliging | Learning module: Beveilig uw organisatie met ingebouwde, intelligente beveiliging van Microsoft 365 Met deze module kunt u beschrijven hoe Microsoft 365 beveiligingsfuncties samenwerken en de voordelen van deze beveiligingsfuncties duidelijk maken. |
| Meervoudige verificatie | Verificatie in twee stappen: Wat is de extra verificatiepagina? In dit artikel kunnen eindgebruikers begrijpen wat meervoudige verificatie is en waarom het wordt gebruikt in uw organisatie. |
Naast deze richtlijnen raadt Microsoft aan dat uw gebruikers de acties uitvoeren die in dit artikel worden beschreven: Bescherm uw account en apparaten tegen hackers en malware. Deze acties omvatten:
- Sterke wachtwoorden gebruiken
- Apparaten beveiligen
- Beveiligingsfuncties inschakelen op Windows 10 en Mac-pc's (voor niet-verantwoordelijke apparaten)
Microsoft raadt gebruikers ook aan hun persoonlijke e-mailaccounts te beschermen door de acties uit te voeren die in de volgende artikelen worden aanbevolen:
11: Aan de slag met Microsoft Defender voor cloud-apps
Microsoft Defender voor Cloud-apps biedt uitgebreide zichtbaarheid, controle over het reizen van gegevens en geavanceerde analyses om cyberaanvallen in al uw cloudservices te identificeren en te bestrijden. Zodra u aan de slag gaat met Defender voor Cloud-apps, worden beleidsregels voor afwijkingsdetectie automatisch ingeschakeld, maar Defender voor Cloud-apps heeft een eerste leerperiode van zeven dagen waarin niet alle waarschuwingen voor afwijkingsdetectie worden opgeheven.
Ga nu aan de slag met Defender voor Cloud-apps. Later kunt u geavanceerdere controle en besturingselementen instellen.
- Snelstart: Aan de slag met Defender voor cloud-apps
- Direct gedragsanalyse en detectie van anomaly's
- Meer informatie over Microsoft Defender voor cloud-apps
- Nieuwe functies en mogelijkheden bekijken
- Basisinstructies voor instellen bekijken
12: Controleren op bedreigingen en actie ondernemen
Microsoft 365 bevat verschillende manieren om de status te controleren en passende acties uit te voeren. Het beste uitgangspunt is de Microsoft 365 Defender portal,waar u de Microsoft Secure Scorevan uw organisatie kunt bekijken en alle waarschuwingen of entiteiten die uw aandacht vereisen.
Volgende stappen
Gefeliciteerd! U hebt snel enkele van de belangrijkste beveiligingsbeveiligingen geïmplementeerd en uw organisatie is veel veiliger. U kunt nu nog verder gaan met mogelijkheden voor bedreigingsbeveiliging (waaronder Microsoft Defender voor Eindpunt), mogelijkheden voor gegevensclassificatie en -beveiliging en het beveiligen van beheeraccounts. Voor een diepere, methodische reeks beveiligingsaanbevelingen voor Microsoft 365, zie Microsoft 365 BDM's (Security for Business Decision Makers).
Ga ook naar de nieuwe Defender voor Cloud van Microsoft op docs.microsoft.com/security.