Анализатор конфигурации для политик защиты в EOP и Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Анализатор конфигурации на портале Microsoft Defender предоставляет централизованное расположение для поиска и исправления политик безопасности, в которых параметры менее безопасны, чем параметры стандартной защиты и строгая защита в предустановленных политиках безопасности.

Анализатор конфигурации анализирует следующие типы политик:

Значения параметров политики Standard и Strict, используемые в качестве базовых показателей, описаны в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.

Анализатор конфигурации также проверяет следующие параметры, не относящиеся к политике:

  • DKIM: обнаруживаются ли записи SPF и DKIM для указанного домена в DNS.
  • Outlook: включены ли в организации собственные внешние идентификаторы отправителей Outlook.

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Анализатор конфигурации, используйте .https://security.microsoft.com/configurationAnalyzer

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR Единое управление доступом на основе ролей (RBAC) (влияет только на портал Defender, а не PowerShell): авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Параметры безопасности Core (чтение).
    • Email & разрешения на совместную работу на портале Microsoft Defender:
      • Используйте анализатор конфигурации и обновите затронутые политики безопасности: Членство в группах ролей "Управление организацией" или "Администратор безопасности ".
      • Доступ только для чтения к анализатору конфигурации: членство в группах ролей "Глобальный читатель" или "Читатель безопасности ".
    • разрешения Exchange Online. Членство в группе ролей "Управление организацией только для просмотра" предоставляет доступ только для чтения к анализатору конфигурации.
    • Microsoft Entra разрешения. Членство в ролях глобального администратора, администратора безопасности, глобального читателя или читателя безопасности предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

Использование анализатора конфигурации на портале Microsoft Defender

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & политики совместной работы>& правила>Политики> угроз. Анализатор конфигурации в разделе Шаблонные политики. Чтобы перейти непосредственно на страницу Анализатор конфигурации, используйте .https://security.microsoft.com/configurationAnalyzer

На странице Анализатор конфигурации есть три main вкладки:

  • Стандартные рекомендации. Сравните существующие политики безопасности со стандартными рекомендациями. Вы можете настроить значения параметров, чтобы привести их к тому же уровню, что и "Стандартный".
  • Строгие рекомендации. Сравните существующие политики безопасности со строгими рекомендациями. Вы можете настроить значения параметров, чтобы привести их к тому же уровню, что и Strict.
  • Анализ и журнал смещения конфигурации. Аудит и отслеживание изменений политики с течением времени.

Вкладки Стандартные рекомендации и Строгие рекомендации в анализаторе конфигурации

По умолчанию анализатор конфигурации открывается на вкладке Стандартные рекомендации . Вы можете перейти на вкладку Строгие рекомендации . Параметры, макет и действия одинаковы на обеих вкладках.

Представление

В первом разделе вкладки отображается количество параметров в политике каждого типа, которые нуждаются в улучшении по сравнению со стандартной или строгой защитой. Ниже приведены типы политик.

  • Защита от нежелательной почты
  • Защита от фишинга
  • Защита от вредоносных программ
  • Безопасные вложения (если ваша подписка содержит Microsoft Defender для Office 365)
  • Безопасные ссылки (если ваша подписка содержит Microsoft Defender для Office 365)
  • DKIM
  • Встроенная защита (если ваша подписка включает Microsoft Defender для Office 365)
  • Outlook

Если тип и номер политики не отображаются, то все политики этого типа соответствуют рекомендуемой настройке стандартной или строгой защиты.

Остальная часть вкладки представляет собой таблицу параметров, которые необходимо довести до уровня "Стандартная" или "Строгая защита". Таблица содержит следующие столбцы*:

  • Рекомендации: значение параметра в профиле стандартной или строгой защиты.
  • Политика: имя затрагиваемой политики, содержащей параметр.
  • Имя группы политик или параметра: имя параметра, который требует вашего внимания.
  • Тип политики: защита от нежелательной почты, защита от фишинга, защита от вредоносных программ, безопасные ссылки или безопасные вложения.
  • Текущая конфигурация: текущее значение параметра.
  • Последнее изменение: дата последнего изменения политики.
  • Состояние. Как правило, это значение не запущено.

* Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Уменьшение масштаба в веб-браузере.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтры доступны следующие фильтры:

  • Защита от нежелательной почты
  • Защита от фишинга
  • Защита от вредоносных программ
  • Безопасные вложения
  • Безопасные ссылки
  • Встроенное правило защиты ATP
  • DKIM
  • Outlook

По завершении во всплывающем окне Фильтры нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение для поиска определенных записей.

На вкладке Стандартная защита или Строгая защита анализатора конфигурации выберите запись, щелкнув в любом месте строки, кроме поля проверка рядом с именем рекомендации. В открывавшемся всплывающем окне сведений доступны следующие сведения:

  • Политика: имя затронутой политики.
  • Почему?: сведения о том, почему рекомендуется использовать значение параметра.
  • Конкретный параметр для изменения и значение, на которое его нужно изменить.
  • Просмотр политики. По ссылке вы перейдете к всплывающему элементу сведений о затронутой политике на портале Microsoft Defender, где можно вручную обновить параметр.
  • Ссылка на рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.

Совет

Чтобы просмотреть сведения о других рекомендациях, не выходя из всплывающего меню сведений, используйте предыдущие и следующие в верхней части всплывающего окна.

Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.

Интерфейс всплывающего меню в анализаторе конфигурации

На вкладке Стандартная защита или Строгая защита анализатора конфигурации выберите запись, выбрав проверка поле рядом с именем рекомендации. На странице отображаются следующие действия:

  • Применить рекомендацию. Если рекомендация требует нескольких шагов, это действие неактивно.

    При выборе этого действия открывается диалоговое окно подтверждения (с параметром больше не отображать диалоговое окно). При нажатии кнопки ОК происходит следующее:

    • Параметр обновляется до рекомендуемого значения.
    • Рекомендация по-прежнему выбрана, но единственное доступное действие — Обновить.
    • Значение Status для строки изменится на Complete.

  • Просмотр политики. Вы перейдете к всплывающему элементу сведений о затронутой политике на портале Microsoft Defender, где можно вручную обновить параметр.

  • Экспорт: экспортирует выбранную рекомендацию в файл .csv, выберите Экспорт.

    Вы также можете экспортировать рекомендации после выбора нескольких рекомендаций или после выбора всех рекомендаций, выбрав поле проверка рядом с заголовком столбца Рекомендации.

После автоматического или ручного обновления параметра выберите Обновить , чтобы просмотреть меньшее количество рекомендаций и удалить обновленную строку из результатов.

Вкладка журнала и анализа смещения конфигурации в анализаторе конфигурации

Примечание.

Для анализа смещения необходимо включить единый аудит .

На этой вкладке можно отслеживать изменения политик безопасности и то, как эти изменения сравниваются со стандартными или строгими параметрами. По умолчанию отображаются перечисленные ниже сведения.

  • Дата последнего изменения
  • Изменено
  • Имя параметра
  • Политика: имя затронутой политики.
  • Тип: защита от нежелательной почты, защита от фишинга, защита от вредоносных программ, безопасные ссылки или безопасные вложения.
  • Изменение конфигурации: старое и новое значение параметра.
  • Смещение конфигурации: значение увеличение или уменьшение , указывающее, что уровень безопасности увеличен или снижен по сравнению с рекомендуемыми параметрами Standard или Strict.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтры доступны следующие фильтры:

  • Дата: время начала и время окончания. Вы можете вернуться до 90 дней с сегодняшнего дня.
  • Тип: Стандартная защита или Строгая защита.

По завершении во всплывающем окне Фильтры нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле ::image type="icon" source="/defender/media/m365-cc-sc-search-icon.png" border="false"::: Поиск, чтобы отфильтровать записи по определенному изменено, имени параметра или значению типа.

Чтобы экспортировать записи, отображаемые на вкладке Анализ смещения конфигурации и журнал , в файл .csv, выберите Экспорт.

Анализ смещения конфигурации и представление журнала в анализаторе конфигурации