Описание Microsoft Defender для Office 365

  • 2 мин

Microsoft Defender для Office 365 — это простая интеграция с подпиской на Office 365, которая обеспечивает защиту от угроз, например фишинга и вредоносного ПО, поступающих через электронную почту, ссылки (URL-адреса), вложения или инструменты совместной работы, такие как SharePoint, Teams и Outlook. Defender для Office 365 предоставляет обзоры угроз в режиме реального времени. Он также предоставляет возможности исследования угроз, охоты на угрозы и их устранения, помогающие отделам безопасности выявлять угрозы, назначать приоритеты, исследовать угрозы и реагировать на них.

Служба Microsoft Defender для Office 365, предлагаемая в двух планах Microsoft Defender для Office 365 (План 1 и План 2), защищает организации от вредоносных угроз, предоставляя администраторам и отделам безопасности (SecOps) широкий спектр возможностей.

Эти возможности можно разделить на следующие направления:

  • Предотвращение и обнаружение угроз
  • Исследование угроз
  • Руководство по настройке автоматического реагирования на угрозы в Azure Sentinel

Предотвращение и обнаружение

Ниже перечислены некоторые функции Microsoft Defender для Office 365, которые помогают организациям предотвращать и выявлять угрозы, связанные с электронной почтой и совместной работой:

  • Политики защиты от вредоносных программ, спама и фишинга.
  • Фильтрация спама в исходящей почте.
  • Фильтрация подключений для выявления безопасных и опасных исходных почтовых серверов по IP-адресам.
  • Политики карантина с целью определения взаимодействия с пользователем для помещенных в карантин сообщений.
  • Отправка сообщений, URL-адресов и вложений в корпорацию Майкрософт для анализа.
  • Безопасные вложения, обеспечивающие дополнительный уровень защиты от вредоносных программ. После сканирования файлов общим механизмом обнаружения вирусов в Microsoft 365 служба безопасных вложений открывает файлы в виртуальной среде, чтобы увидеть результат такого открытия (этот процесс называется детонацией).
  • Оповещения, касающиеся электронной почты и совместной работы.
  • Обучение с имитацией атак, позволяющее администраторам выполнять реалистичные сценарии атак в вашей организации. Эти имитируемые атаки помогают выявлять уязвимости и обучать уязвимых пользователей до того, как реальная атака причинит ущерб.
  • Интеграция управления информационной безопасностью и событиями безопасности (SIEM) для предоставления оповещений.

Анализ

Ниже перечислены некоторые функции Microsoft Defender для Office 365, которые помогают организациям выявлять угрозы, связанные с электронной почтой и совместной работой:

  • Поиск по журналам аудита пользователями с соответствующими разрешениями, такими как администраторы, группы внутренних рисков, специалисты по соответствию требованиям и юридические следователи, с целью обеспечения наглядности деятельности организации.
  • Возможности трассировки сообщений. Трассировка сообщений отслеживает сообщения электронной почты по мере их перемещения по вашей организационной структуре Microsoft 365. Вы можете определить, было ли сообщение получено, отклонено, отложено или доставлено службой. Она также показывает, какие действия были выполнены с сообщением до достижения им своего окончательного состояния.
  • Отчеты, которые помогут узнать, как функции безопасности электронной почты защищают вашу организацию.
  • Обозреватель (или Обозреватель угроз) или Обнаружение в реальном времени — инструменты, которые почти в реальном времени помогают отделам безопасности (SecOps) исследовать угрозы и реагировать на них. Обозреватель позволяет администраторам увидеть вредоносное ПО, обнаруженное функциями безопасности Microsoft 365, запускать автоматизированный процесс исследования угроз и реагирования на них, а также исследовать вредоносные электронные письма и выполнять ряд других функций.
  • Интеграция управления информационной безопасностью и событиями безопасности (SIEM) в целях обнаружения угроз.
  • Трассировка URL-адресов, позволяющая администраторам исследовать домен и узнать, взаимодействовали ли устройства и серверы в корпоративной сети с тем или иным известным вредоносным доменом.
  • Трекеры угроз, представляющие собой запросы, которые вы создаете и сохраняете для автоматического или ручного обнаружения угроз кибербезопасности в вашей организации.
  • Функция кампаний, которая идентифицирует и классифицирует скоординированные фишинговые и вредоносные атаки по электронной почте. Функция кампаний позволяет увидеть общую картину атаки по электронной почте быстрее и более полно, чем любой человек.

Respond

Ниже перечислены некоторые функции Microsoft Defender для Office 365, которые помогают организациям выявлять угрозы, связанные с электронной почтой и совместной работой:

  • Автоматическая очистка нулевого часа (ZAP) задним числом обнаруживает и нейтрализует вредоносные фишинговые сообщения, спам или вредоносные сообщения, которые уже были доставлены в почтовые ящики Exchange Online.
  • Возможности автоматизированного исследования и реагирования (AIR), позволяющие организациям запускать автоматизированные процессы исследования в ответ на известные сегодня угрозы.
  • Интеграция управления информационной безопасностью и событиями безопасности (SIEM) для предоставления автоматизированных ответов.

Полный список функций, предусмотренных в каждом плане, приводится в документе с обзором Microsoft Defender для Office 365, ссылка на который находится в разделе «Краткая сводка и ресурсы» данного модуля.

Служба Microsoft Defender для Office 365 на портале Microsoft Defender

Служба Microsoft Defender для Office 365 реализуется посредством портала Microsoft Defender. Портал Defender — это центральный узел мониторинга и управления безопасностью ваших удостоверений, данных, устройств, приложений и инфраструктуры Microsoft, что позволяет администраторам безопасности выполнять свои задачи безопасности в едином пункте.

Функциональные возможности Microsoft Defender для Office 365 доступны в блоке «Электронная почта и совместная работа» на левой панели навигации на портале Microsoft Defender.

Снимок экрана: страница сведений об инциденте для выбранного инцидента на портале Microsoft Defender.

  • Исследования — просмотр, управление и устранение угроз с помощью автоматизированного исследования и реагирования.
  • Обозреватель — исследование, охота на грозы и устранение угроз в сообщениях электронной почты и документах.
  • Проверка — управление элементами в карантине и отправителями, на которых наложены ограничения.
  • Кампании — анализ скоординированных атак в вашей среде.
  • Трекер угроз — отслеживание тенденций угроз с помощью мини-приложений и пользовательских поисковых запросов.
  • Трассировка сообщений Exchange — анализ потока сообщений в Центре администрирования Exchange.
  • Обучение с моделированием атак — доступ и формирование устойчивости пользователей с помощью имитированных атак и обучения.
  • Политики и правила — настройка политик безопасности для электронной почты и других рабочих областей Microsoft 365.

На портале Microsoft Defender также доступны параметры, разрешения, инциденты и оповещения, отчеты и другие функции. Более подробная информация представлена в разделе «Описание портала Microsoft Defender», включенном в этот модуль.