Säkerhetsrekommendationer för prioriterade konton i Microsoft 365
Tips
Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
Alla användarkonton har inte åtkomst till samma företagsinformation. Vissa konton har åtkomst till känslig information, till exempel finansiella data, produktutvecklingsinformation, partneråtkomst till kritiska byggsystem med mera. Om de komprometteras utgör konton som har tillgång till mycket konfidentiell information ett allvarligt hot. Vi kallar dessa typer av konton för prioritetskonton. Prioritetskonton omfattar (men är inte begränsade till) vd:er, CISO:er, CFOs, infrastrukturadministratörskonton, skapa systemkonton med mera.
Microsoft Defender för Office 365 stöder prioritetskonton som taggar som kan användas i filter i aviseringar, rapporter och undersökningar. Mer information finns i Användartaggar i Microsoft Defender för Office 365.
För angripare är vanliga nätfiskeattacker som kastar ett slumpmässigt nät för vanliga eller okända användare ineffektiva. Å andra sidan är spear phishing - eller valfångstattacker som riktar sig till prioriterade konton mycket givande för angripare. Därför kräver prioritetskonton ett starkare skydd än vanligt skydd för att förhindra att konton komprometteras.
Microsoft 365 och Microsoft Defender för Office 365 innehåller flera viktiga funktioner som ger ytterligare säkerhetslager för dina prioritetskonton. Den här artikeln beskriver dessa funktioner och hur du använder dem.
| Uppgift | Alla Office 365 Enterprise planer | Microsoft 365 E3 | Microsoft 365 E5 |
|---|---|---|---|
| Öka inloggningssäkerheten för prioritetskonton | 
|
|
|
| Använda strikta förinställda säkerhetsprinciper för prioritetskonton |
|
|
|
| Använda användartaggar för prioritetskonton |
|
||
| Övervaka prioritetskonton i aviseringar, rapporter och identifieringar |
|
||
| Utbilda användare |
|
|
|
Obs!
Information om hur du skyddar privilegierade konton (administratörskonton) finns i det här avsnittet.
Öka inloggningssäkerheten för prioritetskonton
Prioritetskonton kräver ökad inloggningssäkerhet. Du kan öka inloggningssäkerheten genom att kräva multifaktorautentisering (MFA) och inaktivera äldre autentiseringsprotokoll.
Anvisningar finns i Steg 1. Öka inloggningssäkerheten för distansarbetare med MFA. Även om den här artikeln handlar om distansarbetare gäller samma begrepp för prioriterade användare.
Obs! Vi rekommenderar starkt att du globalt inaktiverar äldre autentiseringsprotokoll för alla prioriterade användare enligt beskrivningen i föregående artikel. Om dina affärskrav hindrar dig från att göra det erbjuder Exchange Online följande kontroller för att begränsa omfattningen av äldre autentiseringsprotokoll:
Du kan (fram till oktober 2023) använda klientåtkomstregler i Exchange Online för att blockera eller tillåta protokoll för grundläggande autentisering och äldre autentisering som POP3, IMAP4 och autentiserad SMTP för specifika användare.
Du kan inaktivera POP3- och IMAP4-åtkomst för enskilda postlådor. Du kan inaktivera autentiserad SMTP på organisationsnivå och aktivera den för specifika postlådor som fortfarande kräver det. Anvisningar finns i följande artiklar:
Det är också värt att notera att grundläggande autentisering håller på att bli inaktuell i Exchange Online för Exchange Web Services (EWS), Exchange ActiveSync, POP3, IMAP4 och fjärransluten PowerShell. Mer information finns i det här blogginlägget.
Använda strikta förinställda säkerhetsprinciper för prioritetskonton
Prioritetsanvändare kräver strängare åtgärder för de olika skydd som är tillgängliga i Exchange Online Protection (EOP) och Defender för Office 365.
I stället för att till exempel leverera meddelanden som har klassificerats som skräppost till mappen Skräppost Email bör du placera samma meddelanden i karantän om de är avsedda för prioritetskonton.
Du kan implementera den här strikta metoden för prioritetskonton med hjälp av strikt profil i förinställda säkerhetsprinciper.
Förinställda säkerhetsprinciper är en praktisk och central plats för att tillämpa våra rekommenderade strikta principinställningar för alla skydd i EOP och Defender för Office 365. Mer information finns i Förinställda säkerhetsprinciper i EOP och Microsoft Defender för Office 365.
Mer information om hur de strikta principinställningarna skiljer sig från standard- och standardprincipinställningarna finns i Rekommenderade inställningar för EOP och Microsoft Defender för Office 365 säkerhet.
Använda användartaggar för prioritetskonton
Användartaggar i Microsoft Defender för Office 365 plan 2 (som en del av Microsoft 365 E5 eller en tilläggsprenumeration) är ett sätt att snabbt identifiera och klassificera specifika användare eller grupper av användare i rapporter och incidentundersökningar.
Prioritetskonton är en typ av inbyggd användartagg (kallas för en systemtagg) som du kan använda för att identifiera incidenter och aviseringar som omfattar prioritetskonton. Mer information om prioritetskonton finns i Hantera och övervaka prioritetskonton.
Du kan också skapa anpassade taggar för att ytterligare identifiera och klassificera dina prioritetskonton. Mer information finns i Användartaggar. Du kan hantera prioritetskonton (systemtaggar) i samma gränssnitt som anpassade användartaggar.
Övervaka prioritetskonton i aviseringar, rapporter och identifieringar
När du har skyddat och taggar dina prioritetsanvändare kan du använda tillgängliga rapporter, aviseringar och undersökningar i EOP och Defender för Office 365 för att snabbt identifiera incidenter eller identifieringar som omfattar prioritetskonton. De funktioner som stöder användartaggar beskrivs i följande tabell.
| Funktion | Beskrivning |
|---|---|
| Varningar | Användartaggar för berörda användare visas och är tillgängliga som filter på sidan Aviseringar i Microsoft Defender-portalen. Mer information finns i Aviseringsprinciper i Microsoft Defender-portalen. |
| Incidenter | Användartaggar för alla korrelerade aviseringar visas på sidan Incidenter i Microsoft Defender-portalen. Mer information finns i Hantera incidenter och aviseringar. |
| Anpassade aviseringsprinciper | Du kan skapa aviseringsprinciper baserat på användartaggar i Microsoft Defender-portalen. Mer information finns i Aviseringsprinciper i Microsoft Defender-portalen. |
| Explorer Identifiering i realtid |
I Explorer (Defender för Office 365 Plan 2) eller Realtidsidentifieringar (Defender för Office 365 Plan 1) visas användartaggar i Email-rutnätsvyn och den utfällbara menyn Email information. Användartaggar är också tillgängliga som en filterbar egenskap. Mer information finns i Taggar i Threat Explorer. |
| Sidan E-postenhet | Du kan filtrera e-post baserat på användarinloggningstaggar i Microsoft 365 E5 och i Defender för Office 365 plan 1 och plan 2. Mer information finns på sidan Email entitet. |
| Kampanjvyer | Användartaggar är en av många filterbara egenskaper i kampanjvyer i Microsoft Defender för Office 365 plan 2. Mer information finns i Kampanjvyer. |
| Statusrapport för hotskydd | I praktiskt taget alla vyer och detaljtabeller i rapporten Hotskyddsstatus kan du filtrera resultaten efter prioritetskonton. Mer information finns i Rapporten hotskyddsstatus. |
| Rapport över de främsta avsändare och mottagare | Du kan lägga till den här användartaggen i de 20 främsta meddelandeavsändare i din organisation. Mer information finns i Rapporten Över främsta avsändare och mottagare. |
| Komprometterad användarrapport | Användarkonton som har markerats som misstänkta eller begränsade i Microsoft 365-organisationer med Exchange Online postlådor visas i den här rapporten. Mer information finns i Komprometterad användarrapport. |
| Admin inskickade meddelanden och användarrapporterade meddelanden | Använd sidan Inskickade filer i Microsoft Defender-portalen för att skicka e-postmeddelanden, URL:er och bifogade filer till Microsoft för analys. Mer information finns i Admin inskickade meddelanden och användarrapporterade meddelanden. |
| Karantän | Karantän är tillgängligt för att lagra potentiellt farliga eller oönskade meddelanden i Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) för Prioritet-konton. Mer information finns i Karantän-e-postmeddelanden. |
| Attacksimulering | Om du vill testa dina säkerhetsprinciper och metoder kör du en godartad cyberattacksimulering för dina målanvändare. Mer information finns i Attacksimulering. |
| Email problem med prioritetskonton | Rapporten Email för prioritetskonton i administrationscentret för Exchange (EAC) innehåller information om meddelanden som inte har levererats och fördröjts för prioritetskonton. Mer information finns i Email problem med rapporten för prioritetskonton. |
Utbilda användare
Genom att utbilda användare med prioriterade konton kan du spara mycket tid och frustration åt användarna och ditt säkerhetsteam. Kunniga användare är mindre benägna att öppna bifogade filer eller klicka på länkar i tvivelaktiga e-postmeddelanden, och de är mer benägna att undvika misstänkta webbplatser.
Harvard Kennedy School Cybersecurity Campaign Handbook ger utmärkt vägledning för att upprätta en stark kultur av säkerhetsmedvetenhet inom din organisation, inklusive utbildning av användare för att identifiera nätfiskeattacker.
Microsoft 365 tillhandahåller följande resurser för att informera användarna i din organisation:
| Koncept | Resurser | Beskrivning |
|---|---|---|
| Microsoft 365 | Anpassningsbara utbildningsvägar | Dessa resurser kan hjälpa dig att sätta ihop utbildning för användare i din organisation. |
| Microsoft 365-säkerhet | Utbildningsmodul: Skydda din organisation med inbyggd, intelligent säkerhet från Microsoft 365 | I den här modulen kan du beskriva hur Microsoft 365-säkerhetsfunktioner fungerar tillsammans och förklara fördelarna med dessa säkerhetsfunktioner. |
| Multifaktorautentisering | Ladda ned och installera Microsoft Authenticator-appen | Den här artikeln hjälper slutanvändarna att förstå vad multifaktorautentisering är och varför den används i din organisation. |
| Attacksimuleringsutbildning | Kom igång med Attack simuleringsträning | Övning av attacksimulering i Microsoft Defender för Office 365 plan 2 låter administratören konfigurera, starta och spåra simulerade nätfiskeattacker mot specifika användargrupper. |
Dessutom rekommenderar Microsoft att användarna vidtar de åtgärder som beskrivs i den här artikeln: Skydda ditt konto och dina enheter från hackare och skadlig kod. Dessa åtgärder omfattar:
- Använda starka lösenord
- Skydda enheter
- Aktivera säkerhetsfunktioner på Windows- och Mac-datorer (för ohanterade enheter)