Обзор безопасности Microsoft Defender для Office 365 безопасности

Область применения

В этой статье вы познакомите вас с новыми свойствами microsoft Defender для Office 365 безопасности в облаке. Независимо от того, являетесь ли вы частью Центра управления безопасностью, новым администратором безопасности или хотите обновить что-то, давайте приступим.

Внимание!

Если вы используете Outlook.com, Microsoft 365 для семьи или Microsoft 365 персональный, и вам необходимы сведения о Безопасных ссылках или Безопасных вложениях, щелкните эту ссылку: Расширенные возможности безопасности Outlook.com для подписчиков Microsoft 365.

Что такое Defender для Office 365 безопасности

Каждая подписка на Office 365 поставляется с возможностями безопасности. Цели и действия, которые можно предпринять, зависят от фокуса этих различных подписок. В системе безопасности Office 365 есть три основных службы (или продукта) безопасности, привязанные к типу подписки:

  1. Exchange Online Protection (EOP)
  2. Microsoft Defender для Office 365 План 1 (Defender для Office P1)
  3. Microsoft Defender для Office 365 План 2 (Defender для Office P2)

Примечание

Если вы приобрели подписку и вам необходимо развернуть функции безопасности прямо сейчас, перейдите к действиям, описанным в статье Защита от угроз. Если вы только приобрели подписку и хотели бы узнать возможности вашей лицензии перед началом, перейдите в раздел "Выставление счетов" > "Ваши продукты" в Центре администрирования Microsoft 365.

Безопасность Office 365 основана на основных средствах защиты, предлагаемых EOP. EOP присутствует в любой подписке, где можно найти почтовые ящики Exchange Online (помните, что все обсуждаемые здесь продукты безопасности являются облачными).

Возможно, вы привыкли видеть эти три компонента, рассмотренные таким образом:

EOP Microsoft Defender для Office 365 P1 Microsoft Defender для Office 365 P2
Предотвращает широкомасштабные известные атаки на основе объема. Защищает электронную почту и совместную работу от вредоносных программ нулевого дня, фишинга и компрометации корпоративной электронной почты. Добавляет исследование после взлома, поиск и реагирование, а также автоматизацию и симуляцию (для обучения).

Но с точки зрения архитектуры, давайте начнем с рассмотрения каждой части как накопительных уровней безопасности, каждый из которых делает упор на безопасность. Подробнее об этом:

EOP и Microsoft Defender для Office 365 и их взаимосвязь друг с другом с акцентом на службе, включая примечание для проверки подлинности электронной почты.

Хотя каждая из этих служб подчеркивает цель из числа "Защита, обнаружение, расследование и реагирование", все _ службы могут выполнять _ любую из целей защиты, обнаружения, расследования и реагирования.

Ядром безопасности Office 365 является защита EOP. Microsoft Defender для Office 365 P1 содержит EOP. Defender для Office 365 План 2 содержит P1 и EOP. Структура является накопительной. Поэтому при настройке этого продукта следует начинать с EOP и работать с Defender для Office 365.

Хотя настройка проверки подлинности электронной почты происходит в общедоступных DNS, важно настроить эту функцию для защиты от спуфинга. Если у вас есть EOP, необходимо настроить проверку подлинности электронной почты.

Если у вас есть Office 365 E3 или ниже, у вас есть EOP, но с возможностью приобрести автономный Defender для Office 365 P1 путем обновления. Если у вас есть Office 365 E5, у вас уже есть Defender для Office 365 P2.

Совет

Если ваша подписка не является ни Office 365 E3, ни E5, вы все равно можете проверить, есть ли у вас возможность обновить до Microsoft Defender для Office 365 P1. Если вас это интересует, на этой веб-странице перечислены подписки, подходящие для обновления Microsoft Defender для Office 365 P1 (подробнее см. в конце страницы).

Лестница Безопасности Office 365 от EOP до Microsoft Defender для Office 365

Важно!

Дополнительные сведения см. на этих страницах: Exchange Online Protection и Defender для Office 365.

С первого взгляда сложно сказать, что делает добавление Microsoft Defender для планов Office 365 преимуществом по сравнению с чистым управлением угрозами EOP. Чтобы понять, подходит ли вариант обновления для вашей организации, давайте рассмотрим возможности каждого продукта, когда речь идет о:

  • предотвращении и обнаружении угроз
  • изучении
  • реагировании

начиная с Exchange Online Protection:

Предотвращение/Обнаружение Исследование Реагирование
К технологиям относятся:
  • спам
  • фишинг
  • вредоносная программа
  • массовая рассылка
  • аналитика спуфинга
  • обнаружение олицетворения
  • Карантин администратора
  • Отправка ложных срабатываний и ложных отрицаний администратором и пользователями
  • Разрешить или заблокировать для URL-адресов и файлов
  • Отчеты
  • Поиск в журнале аудита
  • Трассировка сообщений
  • Автоматическая очистка нулевого часа (ZAP)
  • Уточнение и тестирование списков "Разрешить" и "Заблокировать"
  • Если вы хотите углубиться в EOP, перейдите к этой статье.

    Так как эти продукты являются накопительными, если вы оцените Microsoft Defender для Office 365 P1 и решите подписаться на него, вы добавите эти возможности.

    Преимущества Defender для Office 365, план 1 (на данный момент):

    Предотвращение/Обнаружение Исследование Реагирование
    Технологии включают все, что включено в EOP, а также:
    • Безопасные вложения
    • Безопасные ссылки
    • Защита Microsoft Defender для Office 365 для рабочих нагрузок (например, SharePoint Online, Teams, OneDrive для бизнеса)
    • Защита во время щелчка в электронной почте, клиентах Office и Teams
    • защита от фишинга в Defender для Office 365
    • Защита от олицетворения пользователя и домена
    • Оповещения и API интеграции с SIEM для оповещений
  • API интеграции с SIEM для обнаружения
  • Средство обнаружения в реальном времени
  • Трассировка URL-адреса
  • Одинаковое
  • Таким образом, Microsoft Defender для Office 365 P1 расширяет возможности предотвращения _ и добавляет дополнительные формы _обнаружения**.

    Microsoft Defender для Office 365 P1 также добавляет обнаружение в реальном времени для расследований. Название этого средства для поиска угроз выделено жирным шрифтом, потому что его наличие дает четкое представление о том, что у вас есть Defender для Office 365 P1. Оно не появляется в Defender для Office 365 P2.

    Преимущества Defender для Office 365, план 2 (на данный момент):

    Предотвращение/Обнаружение Исследование Реагирование
    Технологии включают в себя все, что есть в EOP и Microsoft Defender для Office 365 P1, а также:
    • Одинаковое
  • Обозреватель угроз
  • Журналы учета угроз
  • Представления кампании
  • Автоматическое исследование и реагирование (AIR)
  • AIR из обозревателя угроз
  • AIR для скомпрометированных пользователей
  • API интеграции с SIEM для автоматических исследований
  • Таким образом, Microsoft Defender для Office 365 P2 расширяет возможности исследования и реагирования и добавляет новые возможности для охоты на угрозы. Автоматизация.

    В Microsoft Defender для Office 365 P2 основное средство охоты на угрозы называется обозревателем угроз, а не обнаружением в реальном времени. Если вы видите обозреватель угроз при переходе на портал Microsoft 365 Defender, вы в Microsoft Defender для Office 365 P2.

    Чтобы получить сведения о Microsoft Defender для Office 365 P1 и P2, перейдите к этой статье.

    Совет

    EOP и Microsoft Defender для Office 365 также отличаются для конечных пользователей. В EOP и Defender для Office 365 P1 основное внимание уделяется информированию, поэтому эти две службы включают надстройку Outlook "Пожаловаться на сообщение", чтобы пользователи могли сообщать о сообщениях электронной почты, которые они считают подозрительными, для дальнейшего анализа.

    В Defender для Office 365 P2 (который содержит все, что есть в EOP и P1) фокус смещается на дальнейшее обучение для конечных пользователей, и поэтому Центр управления безопасностью имеет доступ к мощному средству симулятора угроз, а также метрикам конечных пользователей, которые он предоставляет.

    Памятка по использованию Защитника Microsoft для Office 365 План 1 и План 2

    Этот краткий справочник поможет вам понять, какие возможности входят в каждую подписку Microsoft Defender для Office 365. В сочетании с вашими знаниями о функциях EOP это может помочь людям, принимающим бизнес-решения, определить, какой Microsoft Defender для Office 365 лучше всего подходит для их нужд.

    Defender для Office 365 (план 1) Defender для Office 365 (план 2)
    Конфигурация, защита и возможности обнаружения: Возможности Defender для Office 365 (план 1)

    --- плюс ---

    Автоматизация, исследование, исправления и возможности образования.

    • Пакет Microsoft Defender для Office 365 с планом 2 входит в состав Office 365 E5, Office 365 A5 и Microsoft 365 E5.

    • Microsoft Defender для Office 365 (план 1) входит в состав Microsoft 365 бизнес премиум.

    • Microsoft Defender для Office 365 (план 1) и Defender для Office 365 (план 2) доступны как дополнение к некоторым подпискам. Дополнительные сведения см. в разделе Доступность функций в планах Microsoft Defender для Office 365.

    • Функция безопасных документов доступна только пользователям с лицензией Microsoft 365 E5 или Безопасность Microsoft 365 E5 (не предусмотренные планами Microsoft Defender для Office 365).

    • Если текущая подписка не включает в себя Microsoft Defender для Office 365, обратитесь в отдел продаж для начала использования пробной версии и узнайте, как Microsoft Defender для Office 365 может работать в вашей организации.

    Совет

    Совет Insider _. Чтобы узнать об EOP и Microsoft Defender для Office 365, можно использовать содержание docs.microsoft.com. Вернитесь на страницу Обзор безопасности Office 365, и вы заметите организацию содержания на боковой панели. Он начинается с развертывания (включая миграцию), а затем продолжается предотвращением, обнаружением, расследованием и реагированием.

    Эта структура разделена таким образом, чтобы за темами _ Администрирование безопасности следуют темы Операции, связанные с обеспечением безопасности. Если вы новый участник любой из ролей задания, воспользуйтесь ссылкой в этом совете и своими знаниями оглавления, чтобы изучить пространство. Не забудьте использовать ссылки для отзывов и оценивать статьи по ходу дела. Отзывы помогают нам улучшить то, что мы вам предлагаем.

    Куда перейти дальше

    Если вы являетесь администратором безопасности, вам может потребоваться настроить DKIM или DMARC для почты. Возможно, вы захотите развернуть "Строгие" предустановки безопасности для приоритетных пользователей или найти новые возможности в продукте. Или с помощью службы безопасности можно использовать обнаружение в реальном времени или Обозревателя угроз для расследования и реагирования, или обучить обнаружение конечных пользователей с помощью эмулятора атак. В любом случае, вот несколько дополнительных рекомендаций, на что смотреть дальше.

    Проверка подлинности электронной почты, включая SPF, DKIM и DMARC (со ссылками на настройку всех трех)

    Просмотрите конкретные рекомендуемые "золотые" конфигурации и используйте их рекомендуемые предустановки для быстрой настройки политик безопасности

    Узнавайте о новых возможностях Microsoft Defender для Office 365 (включая разработки EOP)

    Использование обозревателя угроз или обнаружения угроз в режиме реального времени

    Использование обучения моделированию атаки