Начало работы с Microsoft Defender для Office 365

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

В новых организациях Microsoft 365 с Microsoft Defender для Office 365 (включенной или в качестве подписки на надстройку) в этой статье описаны действия по настройке, которые необходимо выполнить в Exchange Online Protection (EOP) и Defender для Office 365 в самые ранние дни существования организации.

Хотя ваша организация Microsoft 365 включает уровень защиты по умолчанию с момента ее создания (или добавления к ней Defender для Office 365), действия, описанные в этой статье, дают вам практический план для реализации всех возможностей защиты EOP и Defender для Office 365. После выполнения этих действий вы также можете использовать эту статью, чтобы показать руководству, что вы максимально увеличиваете свои инвестиции в Microsoft 365.

Действия по настройке EOP и Defender для Office 365 описаны на следующей схеме:

Совет

В качестве компаньона к этой статье рекомендуется использовать руководство по автоматической настройке Microsoft Defender для Office 365 по адресу https://admin.microsoft.com/Adminportal/Home?Q=learndocs#/modernonboarding/office365advancedthreatprotectionadvisor. В этом руководстве вы настраиваете интерфейс в зависимости от среды. Чтобы ознакомиться с рекомендациями без входа и активации функций автоматической установки, перейдите на портал настройки Microsoft 365 по адресу https://setup.microsoft.com/defender/office-365-setup-guide.

Требования

Email функции защиты от угроз включены во все подписки Microsoft 365 с облачными почтовыми ящиками через EOP. Defender для Office 365 включает дополнительные функции защиты. Подробные сравнения функций в EOP, Defender для Office 365 для плана 1 и Defender для Office 365 плана 2 см. в Microsoft Defender для Office 365 обзоре.

Роли и разрешения

Для настройки функций EOP и Defender для Office 365 требуются разрешения. В следующей таблице перечислены разрешения, необходимые для выполнения действий, описанных в этой статье (достаточно одного; вам не нужны все из них).

Роль или группа ролей	Дополнительные сведения
Глобальный администратор в Microsoft Entra	Microsoft Entra встроенные роли
Управление организацией в группах ролей совместной работы Email &	Группы ролей в Microsoft Defender для Office 365
Администратор безопасности в Microsoft Entra	Microsoft Entra встроенные роли
Администратор безопасности в группах ролей совместной работы Email &	Email & разрешения на совместную работу в Microsoft Defender для Office 365
Управление организациями в Exchange Online	Разрешения в Exchange Online

Шаг 1. Настройка проверки подлинности электронной почты для доменов Microsoft 365

Сводка. Настройте записи SPF, DKIM и DMARC (в этом порядке) для всех пользовательских доменов Microsoft 365 (включая припаркованные домены и поддомены). При необходимости настройте все доверенные запечатывщики ARC.

Сведения:

Email проверка подлинности (также известная как проверка электронной почты) — это группа стандартов для проверки того, что сообщения электронной почты являются допустимыми, неотправленными и поступают из ожидаемых источников для домена электронной почты отправителя. Дополнительные сведения см. в разделе проверка подлинности Email в EOP.

Мы будем исходить из того, что вы используете один или несколько личных доменов в Microsoft 365 для электронной почты (например, contoso.com), поэтому вам нужно создать определенные записи DNS проверки подлинности электронной почты для каждого личного домена, который вы используете для электронной почты.

Create следующие записи DNS проверки подлинности электронной почты в регистраторе DNS или службе размещения DNS для каждого личного домена, используемого для электронной почты в Microsoft 365:

• Платформа политики отправителей (SPF): запись SPF TXT определяет допустимые источники электронной почты от отправителей в домене. Инструкции см. в статье Настройка SPF для предотвращения спуфингов.

• DomainKeys Identified Mail (DKIM): DKIM подписывает исходящие сообщения и сохраняет подпись в заголовке сообщения, который сохраняется при пересылке сообщений. Инструкции см. в разделе Использование DKIM для проверки исходящей электронной почты, отправленной из личного домена.

• Проверка подлинности сообщений на основе домена, создание отчетов и соответствие (DMARC). DMARC помогает конечным почтовым серверам решать, что делать с сообщениями из личного домена, которые не выполняют проверки SPF и DKIM. Обязательно включите политику DMARC (p=reject или p=quarantine) и назначения отчетов DMARC (статистические и криминалистические отчеты) в записи DMARC. Инструкции см. в разделе Использование DMARC для проверки электронной почты.

• Цепочка получения с проверкой подлинности (ARC). Если вы используете сторонние службы, которые изменяют входящие сообщения при передаче перед доставкой в Microsoft 365, вы можете определить службы как доверенные запечатывщики ARC (если они поддерживают их), чтобы измененные сообщения автоматически не завершали проверку подлинности по электронной почте в Microsoft 365. Инструкции см. в разделе Настройка доверенных запечатывщиков ARC.

Если вы используете домен *.onmicrosoft.com для электронной почты (также известный как адрес маршрутизации Microsoft Online Email или домен MOERA), вам не нужно сделать следующее:

• SPF. Запись SPF уже настроена для домена *.onmicrosoft.com.
• DKIM. Подписывание DKIM уже настроено для исходящей почты с помощью домена *.onmicrosoft.com, но вы также можете настроить его вручную.
• DMARC. Необходимо вручную настроить запись DMARC для домена *.onmicrosoft.com, как описано здесь.

Шаг 2. Настройка политик защиты

Сводка. Включите и используйте стандартные и (или) строгие предустановленные политики безопасности для всех получателей. Или, если бизнес-потребности диктуют, создайте и используйте настраиваемые политики защиты, но проверка их периодически с помощью анализатора конфигурации.

Сведения:

Как вы можете себе представить, в EOP и Defender для Office 365 доступно множество политик защиты. Существует три основных типа политик защиты:

• Политики по умолчанию. Эти политики существуют с момента создания организации. Они применяются ко всем получателям в организации, вы не можете отключить политики и изменить, к кому применяются политики. Но вы можете изменить параметры безопасности в политиках так же, как и пользовательские политики. Параметры политик по умолчанию описаны в таблицах в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.

• Предустановленные политики безопасности. Предустановленная безопасность — это профили, содержащие большинство доступных политик защиты в EOP и Defender для Office 365 с параметрами, адаптированными к определенным уровням защиты. Предустановленные политики безопасности:

  • Строгая предустановленная политика безопасности.
  • Стандартная предустановленная политика безопасности.
  • Встроенная защита.

  Стандартные и строгие предустановленные политики безопасности отключены по умолчанию, пока вы не включите их. Вы указываете условия и исключения получателей (пользователей, членов групп, доменов или всех получателей) для функций защиты EOP и Defender для Office 365 функций защиты в стандартных и строгих предустановленных политиках безопасности.

  Встроенная защита в Defender для Office 365 включена по умолчанию, чтобы обеспечить базовую защиту безопасных вложений и безопасных ссылок для всех получателей. Вы можете указать исключения получателей, чтобы определить пользователей, которые не получают защиту.

  В стандартных и строгих предустановленных политиках безопасности в Defender для Office 365 организациях необходимо настроить записи и необязательные исключения для защиты олицетворения пользователя и домена. Все остальные параметры заблокированы в рекомендуемых стандартных и строгих значениях (многие из которых совпадают). Значения Standard и Strict отображаются в таблицах в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности, а различия между стандартными и строгими можно увидеть здесь.

  По мере добавления новых возможностей защиты в EOP и Defender для Office 365, а также по мере изменения ландшафта безопасности параметры в предустановленных политиках безопасности автоматически обновляются до рекомендуемых параметров.

• Пользовательские политики. Для большинства доступных политик защиты можно создать любое количество настраиваемых политик. Политики можно применять к пользователям с помощью условий и исключений получателей (пользователей, участников группы или доменов), а также настроить параметры.

Предыдущие сведения и задействованные политики защиты приведены в следующей таблице:

	Политики по умолчанию	Готовые политики безопасности	Настраиваемые политики
Политики защиты EOP:
Защита от вредоносных программ	✔	✔	✔
Защита от нежелательной почты	✔	✔	✔
Защита от фишинга (защита от спуфингов)	✔	✔	✔
Исходящий спам	✔		✔
Фильтрация подключений	✔¹
политики Defender для Office 365:
Защита от фишинга (защита от спуфингов) и: Защита олицетворения Расширенные пороговые значения фишинга	✔²	✔²	✔
Безопасные ссылки	³	✔	✔
Безопасные вложения	³	✔	✔
Общее поведение
Защита включена по умолчанию?	✔	⁴
Настройка условий или исключений для защиты?		✔⁵	✔
Настройка параметров безопасности?	✔	⁶	✔
Параметры защиты обновляются автоматически?		✔

¹ В списке разрешенных IP-адресов или списке блокировок IP-адресов нет записей по умолчанию, поэтому политика фильтрации подключений по умолчанию практически ничего не делает, если вы не настроите параметры.

2 В Defender для Office 365 отсутствуют записи или необязательные исключения для защиты олицетворения пользователя или олицетворения домена, пока вы не настроите их.

Хотя в Defender для Office 365 отсутствуют политики безопасных вложений или безопасных ссылок по умолчанию, встроенная защита обеспечивает базовую защиту безопасных вложений и безопасных связей, которая всегда включена.

⁴ Встроенная защита (защита безопасных вложений и безопасных связей в Defender для Office 365) — это единственная предустановленная политика безопасности, которая включена по умолчанию.

⁵ Для стандартных и строгих предустановленных политик безопасности можно настроить отдельные условия получателя и необязательные исключения для защиты EOP и Defender для Office 365. Для встроенной защиты в Defender для Office 365 можно настроить только исключения получателей из защиты.

⁶ Единственными настраиваемыми параметрами безопасности в предустановленных политиках безопасности являются записи и необязательные исключения для защиты олицетворения пользователя и защиты олицетворения домена в стандартных и строгих предустановленных политиках безопасности в Defender для Office 365.

Порядок приоритета для политик защиты

При выборе способа настройки параметров безопасности для пользователей важно учитывать то, как применяются политики защиты. Важные моменты, которые следует помнить:

• Функции защиты имеют неконфигурируемый порядок обработки. Например, входящие сообщения всегда оцениваются на наличие вредоносных программ перед спамом.
• Политики защиты определенной функции (защита от нежелательной почты, защита от вредоносных программ, защита от фишинга и т. д.) применяются в определенном порядке приоритета (подробнее о порядке приоритета позже).
• Если пользователь намеренно или непреднамеренно включен в несколько политик определенного компонента, первая политика защиты для этой функции, в которой пользователь определен (на основе порядка приоритета), определяет, что происходит с элементом (сообщение, файл, URL-адрес и т. д.).
• После применения первой политики защиты к определенному элементу для пользователя обработка политики для этой функции прекращается. Политики защиты этой функции больше не оцениваются для этого пользователя и конкретного элемента.

Порядок приоритета подробно описан в разделе Порядок приоритета для предустановленных политик безопасности и других политик, но кратко описан здесь:

1. Политики защиты в предустановленных политиках безопасности:
   1. Строгая предустановленная политика безопасности.
   2. Стандартная предустановленная политика безопасности.
2. Настраиваемые политики защиты определенной функции (например, политики защиты от вредоносных программ). Каждая настраиваемая политика имеет значение приоритета, определяющее порядок применения политики по отношению к другим политикам защиты той же функции:
   1. Настраиваемая политика со значением приоритета 0.
   2. Настраиваемая политика со значением приоритета 1.
   3. И так далее.
3. Политика защиты по умолчанию для определенной функции (например, защита от вредоносных программ) или встроенная защита в Defender для Office 365 (безопасные ссылки и безопасные вложения).

См. предыдущую таблицу, чтобы узнать, как определенная политика защиты представлена в порядке приоритета. Например, политики защиты от вредоносных программ существуют на каждом уровне. Политики исходящей нежелательной почты доступны на уровне пользовательской политики и политики по умолчанию. Политика фильтра подключений доступна только на уровне политики по умолчанию.

Чтобы избежать путаницы и непреднамеренного применения политик, используйте следующие рекомендации.

• Используйте однозначные группы или списки получателей на каждом уровне. Например, используйте различные группы или списки получателей для стандартных и строгих предустановленных политик безопасности.
• При необходимости настройте исключения на каждом уровне. Например, настройте получателей, которым требуются настраиваемые политики, в качестве исключений из стандартных и строгих предустановленных политик безопасности.
• Все остальные получатели, которые не определены на более высоких уровнях, получают политики по умолчанию или встроенную защиту в Defender для Office 365 (безопасные ссылки и безопасные вложения).

Вооружившись этой информацией, вы можете выбрать лучший способ реализации политик защиты в организации.

Определение стратегии политики защиты

Теперь, когда вы знаете о различных типах политик защиты и о том, как они применяются, вы можете решить, как использовать EOP и Defender для Office 365 для защиты пользователей в организации. Ваше решение неизбежно попадает где-то в следующем спектре:

• Используйте только стандартную предустановленную политику безопасности.
• Используйте стандартные и строгие предустановленные политики безопасности.
• Используйте предустановленные политики безопасности и пользовательские политики.
• Используйте только пользовательские политики.

Помните, что политики по умолчанию (и встроенная защита в Defender для Office 365) автоматически защищают всех получателей в организации (всех, кто не определен в стандартной или строгой предустановленной политике безопасности или в пользовательских политиках). Таким образом, даже если вы ничего не делаете, все получатели в организации получают защиту по умолчанию, как описано в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.

Также важно понимать, что вы не заперты в своем первоначальном решении навсегда. Сведения в таблицах рекомендуемых параметров и таблице сравнения для стандартных и строгих должны позволить вам принять обоснованное решение. Но если потребности, результаты или обстоятельства меняются, переключиться на другую стратегию позже несложно.

Без настоятельной бизнес-потребности, указывающей на иное, мы рекомендуем начать со стандартной предустановленной политики безопасности для всех пользователей в вашей организации. Предустановленные политики безопасности настраиваются с параметрами на основе многолетних наблюдений в центрах обработки данных Microsoft 365 и должны быть правильным выбором для большинства организаций. Кроме того, политики автоматически обновляются в соответствии с угрозами ландшафта безопасности.

В предустановленных политиках безопасности можно выбрать параметр Все получатели , чтобы легко применить защиту ко всем получателям в организации.

Если вы хотите включить некоторых пользователей в предустановленную политику безопасности Strict, а остальных пользователей — в стандартную предустановленную политику безопасности, не забудьте учесть порядок приоритета, описанный выше в этой статье, с помощью следующих методов:

• Используйте однозначные группы или списки получателей в каждой предустановленной политике безопасности.

  или

• Настройте получателей, которые должны получать параметры стандартной предустановленной политики безопасности в виде исключений в предустановленной политике безопасности Strict.

Помните, что следующие конфигурации функций защиты не затрагиваются предустановленными политиками безопасности (вы можете использовать предустановленные политики безопасности, а также самостоятельно настроить эти параметры защиты):

• Политики исходящей нежелательной почты (пользовательские и по умолчанию)
• Политика фильтра подключений по умолчанию (список разрешенных IP-адресов и список заблокированных IP-адресов)
• Глобальное включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams
• Глобальное включение и настройка безопасных документов (доступных и значимых только с лицензиями, которые не включены в Defender для Office 365 (например, Microsoft 365 A5 или Безопасность Microsoft 365 E5))

Сведения о включении и настройке предустановленных политик безопасности см. в разделе Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365.

Решение использовать пользовательские политики вместо предустановленных политик безопасности или в дополнение к ней в конечном итоге сводится к следующим бизнес-требованиям:

• Пользователям требуются параметры безопасности, отличные от неизменяемых параметров в предустановленных политиках безопасности (нежелательная почта и карантин или наоборот, отсутствие советов по безопасности, уведомление пользовательских получателей и т. д.).
• Пользователям требуются параметры, которые не настроены в предустановленных политиках безопасности (например, блокировка электронной почты из определенных стран или на определенных языках в политиках защиты от нежелательной почты).
• Пользователям нужен режим карантина , отличный от неизменяемых параметров в предустановленных политиках безопасности. Политики карантина определяют, что пользователи могут делать со своими сообщениями, помещенными в карантин, в зависимости от того, почему сообщение было помещено в карантин, и уведомляются ли получатели о своих сообщениях, помещенных в карантин. В таблице приведена сводка по умолчанию для конечных пользователей, а политики карантина, используемые в стандартных и строгих предустановленных политиках безопасности, описаны в таблицах здесь.

Используйте сведения в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности, чтобы сравнить доступные параметры в пользовательских политиках или политиках по умолчанию с параметрами, настроенными в стандартных и строгих предустановленных политиках безопасности.

Рекомендации по проектированию для нескольких настраиваемых политик для конкретной функции (например, политики защиты от вредоносных программ) включают:

• Пользователи в пользовательских политиках не могут быть включены в стандартные или строгие предустановленные политики безопасности из-за порядка приоритета.
• Назначьте меньшее число пользователей политикам с более высоким приоритетом, а больше пользователей — политикам с более низким приоритетом.
• Настройте политики с более высоким приоритетом для более строгих или более специализированных параметров, чем политики с более низким приоритетом (включая политики по умолчанию).

Если вы решили использовать пользовательские политики, используйте анализатор конфигурации для периодического сравнения параметров в политиках с рекомендуемыми параметрами в стандартных и строгих предустановленных политиках безопасности.

Шаг 3. Назначение разрешений администраторам

Сводка. Назначьте роль администратора безопасности в Azure Active Directory другим администраторам, специалистам и сотрудникам службы поддержки, чтобы они могли выполнять задачи в EOP и Defender для Office 365.

Сведения:

Вы, вероятно, уже используете начальную учетную запись, которая использовалась для регистрации в Microsoft 365, чтобы выполнить всю работу, описанную в этом руководстве по развертыванию. Эта учетная запись является администратором в Microsoft 365 (в частности, она является членом роли глобального администратора в Azure Active Directory (Azure AD)) и позволяет выполнять практически все. Необходимые разрешения были описаны ранее в этой статье в статье Роли и разрешения.

Но этот шаг предназначен для настройки других администраторов, которые помогут вам управлять функциями EOP и Defender для Office 365 в будущем. То, что вы не хотите, так это много людей с правами глобального администратора, которые не нуждаются в этом. Например, действительно ли им нужно удалять или создавать учетные записи или делать других пользователей глобальными администраторами? Рекомендуется следовать принципу минимальных привилегий (назначение только необходимых разрешений для выполнения задания и ничего более).

При назначении разрешений для задач в EOP и Defender для Office 365 доступны следующие варианты:

• разрешения Microsoft Entra. Эти разрешения применяются ко всем рабочим нагрузкам в Microsoft 365 (Exchange Online, SharePoint Online, Microsoft Teams и т. д.).
• разрешения Exchange Online. Большинство задач в EOP и Defender для Office 365 доступны с помощью разрешений Exchange Online. Назначение разрешений только в Exchange Online предотвращает административный доступ в других рабочих нагрузках Microsoft 365.
• Email & разрешения на совместную работу на портале Microsoft Defender. Администрирование некоторых функций безопасности в EOP и Defender для Office 365 доступно с разрешениями Email & совместной работы. Например:
  • Средство анализа конфигурации
  • Администратор управление карантином и политики карантина
  • Администратор отправки и проверки сообщений, сообщаемых пользователем
  • Теги пользователей

Для простоты рекомендуется использовать роль администратора безопасности в Azure AD для других пользователей, которым необходимо настроить параметры в EOP и Defender для Office 365.

Инструкции см. в разделах Назначение Microsoft Entra ролей пользователям и Управление доступом к Microsoft Defender XDR с помощью глобальных ролей Azure Active Directory.

Шаг 4. Приоритетные учетные записи и теги пользователей

Сводка. Определите и пометьте соответствующих пользователей в вашей организации в качестве приоритетных учетных записей, чтобы упростить идентификацию в отчетах и расследованиях, а также получить приоритетную защиту учетных записей в Defender для Office 365. Рассмотрите возможность создания и применения настраиваемых тегов пользователей в Defender для Office 365 плане 2.

Сведения:

В Defender для Office 365 приоритетные учетные записи позволяют помечать до 250 высокоценных пользователей для упрощения идентификации в отчетах и расследованиях. Эти приоритетные учетные записи также получают дополнительные эвристические данные, которые не приносят пользу обычным сотрудникам. Дополнительные сведения см. в разделах Управление и мониторинг учетных записей с приоритетом и Настройка и проверка защиты приоритетных учетных записей в Microsoft Defender для Office 365.

В Defender для Office 365 плане 2 у вас также есть доступ к созданию и применению пользовательских тегов пользователей, чтобы легко определять определенные группы пользователей в отчетах и исследованиях. Дополнительные сведения см. в разделе Теги пользователей в Microsoft Defender для Office 365.

Определите подходящих пользователей для добавления тегов в качестве приоритетных учетных записей и решите, нужно ли создавать и применять пользовательские теги пользователей.

Шаг 5. Проверка и настройка параметров сообщений, сообщаемого пользователем

Сводка. Разверните надстройки "Сообщение отчета" или "Фишинг отчета" или поддерживаемое стороннее средство , чтобы пользователи могли сообщать о ложных срабатываниях и ложноотрицательных результатах в Outlook, чтобы эти сообщения были доступны администраторам на вкладке Отчеты пользователей на странице Отправки на портале Defender. Настройте организацию таким образом, чтобы сообщаемые сообщения отправлялись в указанный почтовый ящик отчетов, в корпорацию Майкрософт или и то, и другое.

Сведения:

Возможность пользователей сообщать о хороших сообщениях, помеченных как плохие (ложные срабатывания) или недопустимые сообщения (ложноотрицательных), важна для мониторинга и настройки параметров защиты в EOP и Defender для Office 365.

Важные части отчетов о сообщениях пользователей:

• Как пользователи отправляют сообщения? Убедитесь, что клиенты используют один из следующих методов, чтобы сообщения отображались на вкладке Отчеты пользователей на странице Отправки на портале Defender по адресу https://security.microsoft.com/reportsubmission?viewid=user:

• Встроенная кнопка "Отчет" в Outlook в Интернете (ранее известная как Outlook Web App или OWA).

• Надстройки "Сообщение отчета Майкрософт" или "Сообщить о фишинге" для Outlook и Outlook в Интернете.

• Сторонние средства создания отчетов, использующие поддерживаемый формат отправки сообщений.

• Куда отправляются сообщения, сообщаемые пользователями? У вас есть следующие варианты:

  • В назначенный почтовый ящик отчетов и в корпорацию Майкрософт (это значение по умолчанию).
  • Только в назначенный почтовый ящик отчетов.
  • Только в корпорацию Майкрософт.

  Почтовый ящик по умолчанию, используемый для сбора сообщений, сообщаемые пользователем, — это почтовый ящик глобального администратора (начальная учетная запись в организации). Если вы хотите, чтобы сообщения, сообщаемые пользователями, отправились в почтовый ящик отчетов в вашей организации, следует создать и настроить эксклюзивный почтовый ящик для использования.

  Вам нужно, чтобы сообщения, сообщаемые пользователем, также отправились в Корпорацию Майкрософт для анализа (исключительно или вместе с доставкой в назначенный почтовый ящик отчетов).

  Если вы хотите, чтобы сообщения, сообщаемые пользователем, отправились только в назначенный почтовый ящик отчетов, администраторы должны вручную отправлять сообщения, сообщаемые пользователем, в корпорацию Майкрософт для анализа на вкладке Сообщения пользователей на странице Отправки на портале Defender по адресу https://security.microsoft.com/reportsubmission?viewid=user.

  Отправка сообщений от пользователей в Корпорацию Майкрософт важна, чтобы наши фильтры могли учиться и совершенствоваться.

Полные сведения о параметрах сообщений, сообщаемого пользователем, см. в разделе Параметры, сообщаемые пользователем.

Шаг 6. Блокировка и разрешение записей

Сводка. Ознакомьтесь с процедурами блокировки и разрешения сообщений, файлов и URL-адресов в Defender для Office 365.

Сведения:

Необходимо ознакомиться с тем, как блокировать и (временно) разрешать отправку сообщений, файлы и URL-адреса в следующих расположениях на портале Defender:

• Список разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList.
• Страница Отправки по адресу https://security.microsoft.com/reportsubmission.
• Страница аналитики спуфинга по адресу https://security.microsoft.com/spoofintelligence.

Как правило, проще создавать блоки, чем позволяет, так как ненужные записи разрешения предоставляют вашей организации вредоносные сообщения электронной почты, которые были бы отфильтрованы системой.

• Блок:

  • Вы можете создать блок-записи для доменов и адресов электронной почты, файлов и URL-адресов на соответствующих вкладках в списке разрешенных и заблокированных клиентов, а также отправив их в корпорацию Майкрософт для анализа на странице Отправки . При отправке элемента в корпорацию Майкрософт в списке разрешенных и заблокированных клиентов также создаются соответствующие записи блоков.

    Совет

    Пользователи в организации также не могут отправлять сообщения электронной почты в домены или адреса электронной почты, указанные в записях блоков в списке разрешенных и заблокированных клиентов.

  • Сообщения, заблокированные спуфингом, отображаются на странице Спуфинга аналитики . Если разрешить запись изменится на блокную запись, отправитель становится блок-записью вручную на вкладке Подделанные отправители в списке разрешенных и заблокированных клиентов. Вы также можете заранее создавать блок-записи для еще не столкнувшихся спуфинированных отправителей на вкладке Спуфинированные отправители .

• Разрешить:

  • Вы не можете создавать разрешенные записи для доменов и адресов электронной почты, файлов и URL-адресов непосредственно на соответствующих вкладках в списке разрешенных и заблокированных клиентов. Вместо этого вы используете страницу Отправки , чтобы сообщить об этом элементе в корпорацию Майкрософт. Когда вы сообщите об элементе в корпорацию Майкрософт, вы можете разрешить элемент, что создает соответствующую временную запись разрешения в списке разрешенных и заблокированных клиентов.

  • Сообщения, разрешенные спуфингом логики , отображаются на странице Спуфинга . Если изменить запись блока на допустимую запись, отправитель становится записью разрешения вручную на вкладке Подделанные отправители в списке разрешенных и заблокированных клиентов. Вы также можете заранее создать разрешенные записи для еще не столкнувшихся спуфинированных отправителей на вкладке Подделанные отправители .

Подробные сведения см. в следующих статьях:

• Разрешить или заблокировать электронную почту с помощью списка разрешенных и заблокированных клиентов
• Разрешение и блокировка файлов с помощью списка разрешенных и заблокированных клиентов
• Разрешение и блокировка URL-адресов с помощью списка разрешенных и заблокированных клиентов
• Используйте страницу Отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке допустимых сообщений электронной почты и вложений электронной почты.
• Переопределение вердикта спуфинга разведки

Шаг 7. Запуск симуляции фишинга с помощью Обучение эмуляции атак

В Defender для Office 365 плане 2 Обучение эмуляции атак позволяет отправлять имитированные фишинговые сообщения пользователям и назначать обучение в зависимости от того, как они реагируют. Доступны следующие варианты представления:

• Индивидуальное моделирование с использованием встроенных или пользовательских полезных данных.
• Автоматизация моделирования, взятая из реальных фишинговых атак с использованием нескольких полезных данных и автоматического планирования.
• Кампании, доступные только для обучения , в которых не нужно запускать кампанию и ждать, пока пользователи будут щелкать ссылки или скачивать вложения в имитированных фишинговых сообщениях, прежде чем будут назначены учебные курсы.

Дополнительные сведения см. в статье Начало работы с Обучение эмуляции атак.

Шаг 8. Исследование и реагирование

Теперь, когда первоначальная настройка завершена, используйте сведения из руководства по операциям безопасности Microsoft Defender для Office 365, чтобы отслеживать и исследовать угрозы в организации.