Microsoft 365 中优先帐户安全建议

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

并非所有用户帐户都有权访问相同的公司信息。 某些帐户有权访问敏感信息,例如财务数据、产品开发信息、合作伙伴对关键生成系统的访问等。 如果遭到入侵,有权访问高度机密信息的帐户将构成严重威胁。 我们将这些类型的帐户称为 优先级帐户。 优先帐户包括 (但不限于) 首席执行官、CCO、CFO、基础结构管理员帐户、生成系统帐户等。

Microsoft Defender for Office 365支持优先级帐户作为标记,可在警报、报表和调查中的筛选器中使用。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记

对于攻击者来说,为普通用户或未知用户投下随机网络的普通网络钓鱼攻击效率低下。 另一方面,针对优先帐户 的鱼叉式网络钓鱼捕鲸 攻击对攻击者来说是非常有益的。 因此,优先级帐户需要比普通帐户更强大的保护,以帮助防止帐户泄露。

Microsoft 365 和 Microsoft Defender for Office 365 包含多个关键功能,可为优先级帐户提供额外的安全层。 本文介绍这些功能及其使用方法。

图标形式的安全建议摘要

任务 所有Office 365 企业版计划 Microsoft 365 E3 Microsoft 365 E5
提高优先级帐户的登录安全性
对优先级帐户使用严格预设安全策略
将用户标记应用于优先级帐户
监视警报、报告和检测中的优先级帐户
培训用户

注意

有关保护 特权帐户 (管理员帐户) 的信息,请参阅 本主题

提高优先级帐户的登录安全性

优先级帐户需要提高登录安全性。 可以通过要求多重身份验证 (MFA) 并禁用旧身份验证协议来提高其登录安全性。

有关说明,请参阅 步骤 1。使用 MFA 提高远程工作者的登录安全性。 尽管本文是关于远程工作者的,但相同的概念也适用于优先级用户。

注意:强烈建议为所有优先用户全局禁用旧式身份验证协议,如上一篇文章中所述。 如果业务要求阻止你这样做,Exchange Online会提供以下控件来帮助限制旧式身份验证协议的范围:

还值得注意的是,Exchange Online中正在弃用基本身份验证,用于 Exchange Web Services (EWS) 、Exchange ActiveSync、POP3、IMAP4 和远程 PowerShell。 有关详细信息,请参阅此 博客文章

对优先级帐户使用严格预设安全策略

优先级用户需要对 Exchange Online Protection (EOP) 和 Defender for Office 365 中提供的各种保护采取更严格的操作。

例如,如果这些邮件用于优先级帐户,则应隔离这些邮件,而不是将分类为垃圾邮件的邮件传递到垃圾邮件Email文件夹。

可以通过在预设的安全策略中使用严格配置文件,为优先级帐户实施这种严格的方法。

预设的安全策略是一个方便且集中的位置,用于为 EOP 和 Defender for Office 365 中的所有保护应用建议的严格策略设置。 有关详细信息,请参阅 EOP 中的预设安全策略和Microsoft Defender for Office 365

有关严格策略设置与默认和标准策略设置有何不同的详细信息,请参阅 EOP 和Microsoft Defender for Office 365安全性的建议设置

将用户标记应用于优先级帐户

Microsoft Defender for Office 365计划 2 中的用户标记 (作为Microsoft 365 E5或加载项订阅) 的一部分,是一种在报告和事件调查中快速识别和分类特定用户或用户组的方法。

优先级帐户 是一种内置用户标记 (称为 系统标记) ,可用于识别涉及优先级帐户的事件和警报。 有关 优先级帐户的详细信息,请参阅 管理和监视优先级帐户

还可以创建自定义标记,以进一步标识和分类优先级帐户。 有关详细信息,请参阅 用户标记。 可以在与自定义用户标记) 相同的界面中管理 优先级帐户 (系统标记。

监视警报、报告和检测中的优先级帐户

保护优先级用户并对其进行标记后,可以使用 EOP 和Defender for Office 365中的可用报告、警报和调查来快速识别涉及优先级帐户的事件或检测。 下表介绍了支持用户标记的功能。

功能 说明
警报 受影响用户的用户标记可见,并在Microsoft Defender门户中的“警报”页上作为筛选器提供。 有关详细信息,请参阅 Microsoft Defender 门户中的警报策略
事件 所有相关警报的用户标记显示在Microsoft Defender门户的“事件”页上。 有关详细信息,请参阅 管理事件和警报
自定义警报策略 可以在Microsoft Defender门户中基于用户标记创建警报策略。 有关详细信息,请参阅 Microsoft Defender 门户中的警报策略
资源管理器

实时检测

 资源管理器 (Defender for Office 365 计划 2) 或实时检测 (Defender for Office 365 计划 1) ,用户标记在Email网格视图和Email详细信息浮出控件中可见。 用户标记也可用作可筛选属性。 有关详细信息,请参阅 威胁资源管理器中的标记
电子邮件实体页面 可以根据Microsoft 365 E5和计划 1 和计划 2 中应用的用户标记筛选电子邮件Defender for Office 365。 有关详细信息,请参阅Email实体页
市场活动视图 用户标记是计划 2 Microsoft Defender for Office 365的“市场活动视图”中的许多可筛选属性之一。 有关详细信息,请参阅 市场活动视图
威胁防护状态报告 威胁防护状态报告中几乎所有视图和详细信息表中,可以按 优先级帐户筛选结果。 有关详细信息,请参阅 威胁防护状态报告
排名靠前的发件人和收件人报告 可以将此用户标记添加到组织中前 20 个邮件发件人。 有关详细信息,请参阅 排名靠前的发件人和收件人报告
泄露的用户报告 此报告中显示了在具有Exchange Online邮箱的 Microsoft 365 组织中标记为“可疑”或“受限”的用户帐户。 有关详细信息,请参阅 泄露的用户报告
管理员提交和用户报告的消息 使用Microsoft Defender门户中的“提交”页将电子邮件、URL 和附件提交到 Microsoft 进行分析。 有关详细信息,请参阅管理员提交和用户报告的消息
Quarantine 隔离可用于在 Microsoft 365 组织中(邮箱位于 Exchange Online 或针对优先级帐户的独立Exchange Online Protection (EOP) 组织)中保存潜在危险或不需要的邮件。 有关详细信息,请参阅 隔离电子邮件
攻击模拟 若要测试安全策略和做法,请为目标用户运行良性网络攻击模拟。 有关详细信息,请参阅 攻击模拟
优先级帐户报告的Email问题 Exchange 管理中心 (EAC ) 中优先级帐户Email问题报告包含有关优先级帐户未传递和延迟消息的信息。 有关详细信息,请参阅优先级帐户报表Email问题

培训用户

使用优先帐户培训用户有助于为这些用户和安全运营团队节省大量时间和挫折感。 精明的用户不太可能打开可疑电子邮件中的附件或单击链接,并且他们更有可能避免可疑网站。

哈佛肯尼迪学院 网络安全活动手册 为在组织内建立强大的安全意识文化提供了很好的指导,包括培训用户识别网络钓鱼攻击。

Microsoft 365 提供以下资源来帮助通知组织中的用户:

概念 资源 说明
Microsoft 365 可自定义的学习路径 这些资源可帮助你为组织中的用户提供培训。
Microsoft 365 安全中心 学习模块:使用 Microsoft 365 提供的内置智能安全性保护组织 本模块使你能够描述 Microsoft 365 安全功能如何协同工作,并阐明这些安全功能的优点。
多重身份验证 下载并安装 Microsoft Authenticator 应用 本文可帮助最终用户了解什么是多重身份验证,以及为什么在你的组织中使用它。
攻击模拟培训 开始使用攻击模拟培训 Microsoft Defender for Office 365计划 2 中的攻击模拟训练允许管理员配置、启动和跟踪针对特定用户组的模拟钓鱼攻击。

此外,Microsoft 建议用户采取本文中所述的操作: 保护帐户和设备免受黑客和恶意软件的侵害。 这些操作包括:

  • 使用强密码
  • 保护设备
  • 在 Windows 和 Mac 电脑上为非托管设备启用安全功能 ()

另请参阅