Новые политики оповещений в Microsoft Defender для Office 365

Примечание

Microsoft 365 теперь называется Microsoft Purview, а решения в области соответствия были изменены. Дополнительные сведения о Microsoft Purview см. в объявлении блога.

В Microsoft Defender для Office 365 появятся новые улучшенные политики оповещений, связанные с обнаружениями после доставки. К ним относятся улучшения для связанных сценариев Автоматического исследования и реагирования. Кроме того, будет изменена классификация уровней серьезности для шести политик оповещений по умолчанию, чтобы обеспечить более полное соответствие оповещений, создаваемых этими политиками, их влиянию на вашу организацию.

Обнаружения после доставки

После того, как автоматическая очистка Microsoft Defender для Office 365 удалит сообщения из папки "Входящие", будут внедрены четыре новые политики оповещений по умолчанию, связанные с обнаружениями после доставки. Эти четыре новые политики оповещений заменят две действующие политики оповещений по умолчанию, охватывающие сценарии автоматической очистки. Они предоставят организациям расширенные сведения о базовом обнаружении и связанных с ним показателях. Эти оповещения (включая сценарии Автоматического исследования и реагирования, которые запускаются из этих оповещений) точно отслеживают угрозы электронных сообщений и сущностей, в том числе, если URL-адрес указывает на вредоносный файл или если файл содержит вредоносный URL-адрес.

В следующей таблице указаны новые политики оповещений и действующие политики оповещений, которые будут удалены. Дополнительные сведения о развертывании см. в разделе Как это повлияет на вашу организацию.

Новая или действующая политика оповещения Имя политики оповещения Идентификатор политики оповещения
Новая Сообщения электронной почты, содержащие вредоносный URL-адрес, удалены после доставки 8e6ba277-ef39-404e-aaf1-294f6d9a2b88
Новая Сообщения электронной почты, содержащие вредоносный файл, удалены после доставки 4b1820ec-39dc-45f3-abf6-5ee80df51fd2
Новая Сообщения электронной почты из кампании доставлены и затем удалены c8522cbb-9368-4e25-4ee9-08d8d899dfab
Новое Сообщения электронной почты удаляются после доставки b8f6b088-5487-4c70-037c-08d8d71a43fe
Действует (будет удалена) Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки EA8169FA-0678-4751-8854-AEBEA7ADECEB
Действует (будет удалена) Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки 0179B3F7-3FDA-40C3-8F24-278563978DBB

Улучшения уровней серьезности оповещений

В таблице перечислены политики оповещений, у которых была изменена классификация уровней серьезности для обеспечения более полного соответствия потенциальному риску и последствиям для организации. Новые значения помогут группам безопасности определить наиболее важные оповещения, создаваемые этими политиками.

Оповещение Идентификатор политики оповещения Старый уровень серьезности Новый уровень серьезности
Подозрительные действия по пересылке сообщений электронной почты BFD48F06-0865-41A6-85FF-ADB746423EBF Средняя Высокая
Сообщение электронной почты, указанное пользователем как вредоносная программа или фишинг B26A5770-0C38-434A-9380-3A3C2C27BBB3 Информационный Низкий
Необычное увеличение количества сообщений электронной почты, указанных как фишинг A00D8C62-9320-4EEA-A7E5-966B9AC09558 Высокий Средний
Выполнен результат отправки администратором AE9B83DD-6039-4EA9-B675-6B0AC3BF4A41 Низкий Информационный
Создание правила пересылки или перенаправления D59A8FD4-1272-41EE-9408-86F7BCF72479 Низкий Информационный
Запущен поиск для обнаружения электронных данных или экспортированы его результаты 6FDC5710-3998-47F0-AFBB-57CEFD7378A Средний Информационный

Дата вступления этих изменений в силу

В следующей таблице указано, когда новые политики оповещений начнут инициировать оповещения после доставки. В таблице также указана дата удаления двух действующих политик оповещений.

Политика оповещения Дата
Сообщения электронной почты, содержащие вредоносный URL-адрес, удалены после доставки (новая) Эти оповещения будут активированы 11 апреля 2021 г.
Сообщения электронной почты, содержащие вредоносный файл, удалены после доставки (новая) Эти оповещения будут активированы 11 апреля 2021 г.
Сообщения электронной почты из кампании доставлены и затем удалены (новая) Эти оповещения будут активированы 28 мая 2021 г.
Вредоносные сообщения доставлены и затем удалены (новая) Эти оповещения будут активированы 28 мая 2021 г.
Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки (действует, будет удалена) Политика оповещений была удалена в июне 2021 г. См. раздел Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям.
Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки (действует, будет удалена) Политика оповещений была удалена в июне 2021 г. См. раздел Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям.

Изменения уровня серьезности оповещений вступят в силу для всех организаций 14 мая 2021 г.

Как это повлияет на вашу организацию

Новые оповещения начнут срабатывать и запускать Автоматическое исследование и реагирование в вашей организации в указанные выше даты. Чтобы смягчить последствия для организаций в сфере безопасности, использующих две политики оповещений, которые предстоит удалить, в период с 5 апреля 2021 г. по 28 мая 2021 г. вы будете видеть оповещения и от действующих политик, и от новых. Это делается для того, чтобы предоставить группам безопасности время для обработки необходимых изменений. Чтобы помочь группам безопасности справиться с возросшим объемом оповещений в течение этого короткого периода времени, как действующие, так и новые оповещения будут сопоставлены в одном и том же Автоматическом исследовании и реагировании и одном и том же инциденте. Если говорить более конкретно, это включает следующее поведение для Автоматического исследования и реагирования, оповещений и инцидентов:

  • Оповещения. Согласно замыслу, будут отображаться следующие пары действующих и новых оповещений:

    • Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки И Сообщения электронной почты, содержащие вредоносные URL-адреса, удалены после доставки

    • Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки И Сообщения электронной почты, содержащие вредоносные файлы, удалены после доставки

    Пары новых и существующих оповещений.

    Дополнительные сведения об управлении этими парами оповещений см. в разделе Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям.

  • Автоматическое исследование и реагирование. Оповещения будут сопоставлены в едином Автоматическом исследовании и реагировании, причем одно из оповещений будет классифицировано как "инициирующее", а другое как "повторяющееся".

    Пары оповещений в Автоматическом исследовании и реагировании.

  • Инциденты. Оба оповещения будут сопоставлены в одном инциденте

    Пары оповещений в инцидентах.

Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям

То, как ваша организация использует эти оповещения, определит, что вам нужно сделать для подготовки. Если у вас есть оперативные оповещения и вы используете или потребляете их через API, оповещение по электронной почте или на портале соответствия Microsoft Purview или на портале Microsoft 365 Defender, вам потребуется изменить свои рабочие процессы.

Если вы еще не активировали эти оповещения, вы можете выполнить одно из следующих действий:

  • Отключите следующие политики оповещений (которые будут удалены), чтобы уменьшить количество оповещений в вашей организации:

    • Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки

    • Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки

  • Никаких действий предпринимать не нужно. Существующие политики оповещений будут отключены 28 мая 2021 г.

Если эти оповещения активированы:

  • Начните использовать новые оповещения как часть рабочих процессов в связи с предстоящим удалением действующей политики оповещения 28 мая 2021 г. При наличии пользовательской логики в вашей системе отправки запросов, почтового ящика безопасности, в который приходят электронные уведомления с оповещениями, или решения управления информационной безопасностью и событиями безопасности, которое зависит от имени оповещения или идентификатора политики оповещения (CorrelationId), вам потребуется изменить логику, чтобы применить это изменение.

    Примечание

    Сведения в оповещениях, исследованиях и инцидентах не изменились. Более того, эти сведения были дополнены подробностями о связанных угрозах.

  • После внесения изменений вы можете отключить действующие политики оповещений, чтобы уменьшить количество оповещений в вашей организации:

    • Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки

    • Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки

    Можно также оставить эти политики оповещений включенными до тех пор, пока они не будут удалены 28 мая 2021 г.