Microsoft Defender


Microsoft Defender for Office 365 (MDO) Plan 1

Data: 19.04.2023

>Jak skonfigurować MDO Plan 1, aby zmaksymalizować stopień bezpieczeństwa w ramach dostępnych funkcjonalności – Część 1: Uproszczona konfiguracja<

Problem:

Firma „XYZ” poszukuje zaawansowanych funkcji, których nie zapewnia podstawowa ochrona dostępna w ramach Exchange Online Protection (EOP) - anty-spam anty-fishing czy anty-malware zyskując dodatkowe zabezpieczenia przed podszywaniem się, ochronę przed fałszywymi linkami czy podejrzanymi załącznikami. Dodatkowo organizacja chce mieć możliwość wykrywania i blokowania plików zidentyfikowanych jako złośliwe w witrynach zespołu i bibliotekach dokumentów. Wartością dodaną ma być funkcja raportowania pozwalająca administratorom ds. bezpieczeństwa i zgodności skupić się na kwestiach o wysokim priorytecie, takich jak ataki na bezpieczeństwo lub zwiększona podejrzana aktywność.

Czym jest Microsoft Defender dla Office 365:

Microsoft Defender dla Office 365 (MDO) to oparta na chmurze usługa filtrowania poczty e-mail, która pomaga chronić Twoją organizację przed zaawansowanymi zagrożeniami dla poczty e-mail i narzędzi do współpracy, takimi jak phishing, włamania do firmowej poczty e-mail i ataki złośliwego oprogramowania. Ponadto usługa ta zapewnia również funkcje dochodzenia, polowania i korygowania, które pomagają zespołom ds. bezpieczeństwa skutecznie identyfikować, ustalać priorytety, badać i reagować na różnego rodzaju zagrożenia. Microsoft Defender dla Office 365 jest składnikiem Microsoft 365 Defender.

MDO dostępny jest w ramach:

  • Office 365 Enterprise E5 – MDO Plan 1 i 2;
  • Microsoft 365 Business Premium – MDO Plan 1;
  • Microsoft 365 Enterprise E5 – MDO Plan 1 i 2;
  • Microsoft 365 Frontline F5 – MDO Plan 1 i 2;
  • Osobne licencje MDO Plan 1 lub Plan 2;


Szczegółowy wykaz funkcjonalności w ramach planów został przedstawiony w tabeli poniżej:

Jeśli chodzi o licencjonowanie to należy je nabyć dla użytkowników lub skrzynek pocztowych objętych co najmniej jednym z następujących scenariuszy:

  • Każdy użytkownik uzyskujący dostęp do skrzynki pocztowej korzystającej z ochrony usługi Defender dla usługi Office 365;
  • Udostępnione skrzynki pocztowe korzystające z ochrony usługi Defender dla usługi Office 365;
  • Jeśli ochrona Safe Attachments dla SharePoint, OneDrive dla Firm lub Teams jest włączona, wszyscy użytkownicy uzyskujący dostęp do SharePoint, OneDrive dla Firm lub Teams muszą zostać objęci licencją;
  • Każdy użytkownik korzystający z aplikacji Microsoft 365 lub usługi Teams, gdy włączone są zabezpieczenia Safe Attachments;

Model rozwiązania:

Powyższy scenariusz możemy zrealizować za pomocą MDO Plan 1

Konfiguracja

Jeżeli chodzi o konfigurację MDO można podejść do niej dwutorowo wybierając prostszą, mniej skomplikowaną metodę lub bardziej zaawansowaną. W tej części artykułu skupimy się na wersji uproszczonej, bardziej zautomatyzowanej.

  • Uproszczona wersja konfiguracji

W pierwszej kolejności wchodzimy do portalu security.microsoft.com i wybieramy kolejno: -> ‘Email and Colaboration’ -> ‘Policy & rules’ -> ’Threat

Protection’. Następnie w sekcji ‘Standard Protection’ wybieramy ‘Manage Protection Settings’

Microsoft-Defender-for-Office-365-Plan-1-1_s

Podstawowy profil ochrony ma za zadanie chronić przed spamem, phishingiem i złośliwym oprogramowaniem.

  • Konfigurujemy standardową ochronę, która obejmiemy wszystkich użytkowników
  • Wybierz opcję ‘All Receipients’, aby zastosować usługę Exchange Online Protection (anti-spam, anti-malware, anti-spoofing) dla całej organizacji lub opcję ‘Specific Receipients’, aby ręcznie dodać użytkowników, grupy lub domeny, do których chcesz zastosować zasady ochrony. W naszym przykładzie wybieramy ‘All Receipients’. Microsoft nie zaleca wyłączania EOP’a dla jakiegokolwiek użytkownika. Kliknij przycisk ‘Next’.

  • •Kolejny krok to uruchomienie zaawansowanej ochrony w postaci MDO.

Wybierz opcję ‘All Receipients’, aby zastosować usługę MDO dla wszystkich, lub wybierz opcję ‘Specific receipients’, aby ręcznie dodać użytkowników, grupy lub

domeny, do których chcesz zastosować zasady ochrony. Kliknij przycisk ‘Next’. W naszym przykładzie wybierzemy konkretną grupę, której członkowie posiadają

przypisaną licencję MDO Plan 1.

  • Następnie etap to konfiguracja ochrony klientów przed atakami podszywania się pod inne osoby. Podszywanie się polega na tym, że nadawca wiadomości e-mail wygląda bardzo podobnie do prawdziwego lub oczekiwanego adresu e-mail nadawcy. Atakujący często wykorzystują adresy e-mail podszywających się pod nadawcę w phishingu lub innych rodzajach ataków w celu zdobycia zaufania odbiorcy. Ochrona przed podszywaniem się jest częścią polityki anty-phishingowej.

Na tym etapie możemy zdefiniować adresy e-mail do oflagowania, gdy osoby atakujące będą próbowały podszywać się pod inne osoby. Dodajemy wewnętrzne

lub zewnętrzne adresy osób, takich jak dyrektorzy najwyższego szczebla, członkowie zarządu i inne osoby pełniące kluczowe role. Wiadomości wykryte z

podszytymi nadawcami zostaną poddane kwarantannie.

  • Kolejny etap to dodanie niestandardowych (Innych niż pochodzących od Microsoftu) domen będących własnością Twojej organizacji lub domen należących do waszych kluczowych dostawców i partnerów, aby mogły zostać wykryte, gdy osoby atakujące próbują podszywając się pod nie. Wiadomości wykryte w domenach podszywających się pod nadawcę zostaną poddane kwarantannie.
  • Następnie możemy wskazać domeny lub konkretne adresy email, które chcemy wyłączyć z ochrony przed podszywaniem się i nie oznaczać ich jako próby ataku polegającym się na podszywaniu. Ci nadawcy nadal będą podlegać weryfikacji, ale przy użyciu filtrów innych niż podszywanie się pod nasze domeny czy użytkowników.
  • Włączamy politykę
  • Kolejno zabieramy się za konfigurację sekcji ‘Strict Protection’ i wybieramy ‘Manage Protection Settings’. Jest to bardziej agresywny profil ochrony dla wybranych użytkowników, takich jak cele o dużej wartości, użytkownicy priorytetowi, kierownicy dyrektorzy.

Proces konfiguracji wygląda dokładnie tak samo jak w przypadku ochrony standardowej. Pamiętajmy o tym, że jeśli tego samego użytkownika obejmiemy ochroną

standardową i zaawansowaną to wówczas przewaga ma ochrona zaawansowana i to jej zasady będą stosowane.

Różnice w zakresie ochrony standardowej i zaawansowanej dla EOP i Microsoft Defender for Office 365 zostały szczegółowo opisane w dokumentacji Microsoft

dostępnej pod linkiem:

https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/recommended-settings-for-eop-and-office365?view=o365-worldwide

Fakty

Zrealizowane projekty

0

Sprzedane licencje 

0

Oddziały w Polsce

0

Certyfikaty MS

0