Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams

Примечание

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения

Microsoft Defender для Office 365 для SharePoint, OneDrive и Microsoft Teams защищает организацию от случайного обмена вредоносными файлами. Дополнительные сведения см. в Сейф вложениях SharePoint, OneDrive и Microsoft Teams.

В этой статье содержатся действия для включения и настройки Сейф вложений для SharePoint, OneDrive и Microsoft Teams.

Что нужно знать перед началом работы

  • Чтобы открыть портал Microsoft 365 Defender, перейдите на сайт https://security.microsoft.com. Чтобы перейти непосредственно на страницу Сейф вложения, откройте https://security.microsoft.com/safeattachmentv2 .

  • Чтобы включить Сейф вложения для SharePoint, OneDrive и Microsoft Teams, необходимо быть членом групп ролей управления организацией или администратора безопасности на Microsoft 365 Defender портале. Дополнительные сведения см. в статье Разрешения на портале Microsoft 365 Defender.

  • Чтобы использовать SharePoint PowerShell для предотвращения скачивания вредоносных файлов, необходимо быть членом глобального администратора или администратора SharePoint в Azure AD.

  • Убедитесь, что журнал аудита включен для организации. Дополнительные сведения см. в статье Включение и отключение поиска в журнале аудита.

  • Разрешить до 30 минут, чтобы параметры вступили в силу.

Шаг 1. Используйте портал Microsoft 365 Defender, чтобы включить Сейф вложения для SharePoint, OneDrive и Microsoft Teams

  1. На портале Microsoft 365 Defender перейдите в раздел Политики & правила политики угрозы Сейф > > > Вложения.

  2. На странице Сейф вложения нажмите глобальные параметры.

  3. В глобальной настройки вылет, который появляется, перейдите к защите файлов в SharePoint, OneDrive и Microsoft Teams разделе.

    Перемещение включаем защитника для Office 365 для SharePoint, OneDrive и Microsoft Teams переключить вправо. включить Сейф вложения для SharePoint, OneDrive и Microsoft Teams.

    Выполнив необходимые действия, нажмите кнопку Сохранить.

Используйте Exchange Online PowerShell, чтобы включить Сейф вложения для SharePoint, OneDrive и Microsoft Teams

Если вы хотите использовать PowerShell, чтобы включить Сейф вложения для SharePoint, OneDrive и Microsoft Teams, подключите Exchange Online PowerShell и запустите следующую команду:

Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true

Подробные сведения о синтаксисах и параметрах см. в инструкции Set-AtpPolicyForO365.

По умолчанию пользователи не могут открывать, перемещать, копировать или делиться вредоносными файлами, обнаруженными Сейф вложениями для SharePoint, OneDrive и * Microsoft Teams. Однако они могут удалять и скачивать вредоносные файлы.

* Если пользователи перейдут на управление доступом, параметр Share по-прежнему доступен.

Чтобы запретить пользователям скачивать вредоносные файлы, подключите SharePoint PowerShell и запустите следующую команду:

Set-SPOTenant -DisallowInfectedFileDownload $true

Примечания.

  • Этот параметр влияет как на пользователей, так и на администраторов.
  • Люди по-прежнему могут удалять вредоносные файлы.

Подробные сведения о синтаксисах и параметрах см. в инструкции Set-SPOTenant.

Вы можете создать политику оповещения, которая оповещает вас и других администраторов, Сейф вложения для SharePoint, OneDrive и Microsoft Teams обнаруживает вредоносный файл. Дополнительные новости о оповещениях см. в дополнительных правилах оповещения.

  1. На портале Microsoft 365 Defender перейдите к политике & правил Оповещения или > откройте https://security.microsoft.com/alertpolicies .

  2. На странице Политика оповещения нажмите кнопку Новая политика оповещения.

  3. Мастер политики оповещения открывается при вылете. На странице Имя оповещений настройте следующие параметры:

    • Имя. Введите уникальное и описательное имя. Например, вредоносные файлы в библиотеках.
    • Описание. Введите необязательное описание. Например, сообщает администраторам об обнаружении вредоносных файлов в SharePoint Online, OneDrive или Microsoft Teams.
    • Серьезность: Выберите низкий, средний или высокий из списка выпаданий.
    • Категория. Выберите управление угрозами из списка выпаданий.

    По завершении нажмите кнопку Далее.

  4. На странице Создание параметров оповещения настройте следующие параметры:

    • О чем нужно оповещать? Раздел > Действия — это > выберите обнаруженную вредоносную программу в файле из списка drop down.
    • Как срабатывает оповещение? раздел. Оставьте значение по умолчанию каждый раз, когда действие соответствует выбранному правилу.

    По завершении нажмите кнопку Далее.

  5. На странице Set your recipients настройте следующие параметры:

    • Проверка выбора уведомлений отправки электронной почты. В поле получателей электронной почты выберите одного или несколько глобальных администраторов, администраторов безопасности или читателей безопасности, которые должны получать уведомления при обнаружении вредоносного файла.
    • Дневное ограничение уведомлений. Оставьте выбранное значение без ограничения по умолчанию.

    По завершении нажмите кнопку Далее.

  6. На странице Обзор параметров просмотрите параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете щелкнуть Назад или выбрать определенную страницу в мастере.

    В разделе Вы хотите включить политику сразу? оставьте значение Да, включив ее сразу же выбранной.

    Закончив, нажмите кнопку Готово.

Используйте службу & powerShell для создания политики оповещения для обнаруженных файлов

Если вы хотите использовать PowerShell для создания той же политики оповещений, что и в предыдущем разделе, подключись к центру обеспечения безопасности & PowerShell и запустите следующую команду:

New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"

Примечание. Значение серьезности по умолчанию является низким. Чтобы указать Medium или High, включай параметр Severity и значение в команду.

Подробные сведения о синтаксисах и параметрах см. в обзоре New-ActivityAlert.

Как проверить, что эти процедуры выполнены?

  • Чтобы убедиться, что вы успешно включили Сейф вложения для SharePoint, OneDrive и Microsoft Teams, используйте один из следующих действий:

    • На портале Microsoft 365 Defender перейдите в раздел Политики политики & правила политики угроз > > > Сейф Вложения, выберите глобальные параметры и проверьте значение включаемого защитника для Office 365 для SharePoint, OneDrive и Microsoft Teams параметр.

    • В Exchange Online PowerShell запустите следующую команду, чтобы проверить параметр свойства:

      Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
      

      Подробные сведения о синтаксисах и параметрах см. в обзоре Get-AtpPolicyForO365.

  • Чтобы убедиться, что вы успешно заблокировали загрузку вредоносных файлов, откройте SharePoint PowerShell и запустите следующую команду, чтобы проверить значение свойства:

    Get-SPOTenant | Format-List DisallowInfectedFileDownload
    

    Подробные сведения о синтаксисах и параметрах см. в обзоре Get-SPOTenant.

  • Чтобы убедиться, что вы успешно настроили политику оповещения для обнаруженных файлов, используйте любой из следующих действий:

    • На портале Microsoft 365 Defender перейдите к политике & правила Оповещения выберите политику оповещения и проверьте > > параметры.

    • В Microsoft 365 Defender портале PowerShell замените имя политики оповещения, запустите следующую команду и проверьте <AlertPolicyName> значения свойств:

      Get-ActivityAlert -Identity "<AlertPolicyName>"
      

      Подробные сведения о синтаксисах и параметрах см. в обзоре Get-ActivityAlert.

  • Используйте отчет о состоянии защиты от угроз, чтобы просмотреть сведения о обнаруженных файлах в SharePoint, OneDrive и Microsoft Teams. В частности, вы можете использовать данные View по: Просмотр > вредоносных программ контента.