הגנת התקפה מתקדמת של Microsoft Office 365: סקירה מלאה

מדריכים

אין ספק שכיום קיימים מספר לא מוגבר של איומים שיכולים להוביל להפרת אבטחה ואובדן נתונים לעקבותיה. בשנת 2021, דואר זבל ודיוגים היו שיטת ההעברה הנפוצה ביותר המובילה להדבקת רנסום. הניסיון לזהות ולמנוע תקיפות זדוניות באופן ידני הוא משימה בלתי אפשרית. אך, עבור אפליקציות ושירותי Office 365, מיקרוסופט מציעה סדרת כלים לזיהוי ותגובה לאוטומטית ולפשוט את האבטחה.

הגנת מתקדמת מפני איומים (ATP) של Office 365, שמאז ספטמבר 2020 הפכה להיות הגנת מגן Microsoft עבור Office 365, היא אוסף של כלים מיוחדים המוקדשים למניעת איומים מקוונים. המדיניות והחוקים השונים מאפשרים לך להגן על סביבות פרמיזיז וענניות על ידי סינון של תקשורת נכנסת ויוצאת ואימות תוכן משותף נוסף.

מהו מערכת הגנת מתקדמת מפני איומים?

מערכת הגנת מתקדמת מפני איומים (ATP) של Office 365 היא שירות סינון מבוסס ענן למניעת וזיהוי איומים סייבריים. ATP יכולה להגן על הארגון שלך מפני וירוסים ותוכנות זדוניות אחרות, כולל התקפות יומאות אפס, שמתפשטות דרך שירותי Office 365. ATP יכולה לזהות וירוסים החדשים ביותר ואיומים מורכבים שלא נלמדו עדיין ולא יכולים להיות מזוהים על ידי רוב האנטיוירוסים עם בסיסי חתימות וירוסים עדכניים ביותר.

איך מערכת הגנת מתקדמת מפני איומים ב-Office 365 פועלת

מערכת הגנה המתקדמת של Office 365 מסתמכת על מדיניות שעליהם להגדיר מנהל המערכת. מערכת הגנה מסננה מידע, התנהגויות מוסקרות ופרמטרים אחרים ברמה של איגוד, מקטע, משתמש ומקבל.

מערכת הגנה המתקדמת של Office 365 יכולה לעבוד בשילוב עם Exchange Online Protection (EOP) ואינטEL האיום של Office 365. שימוש ב ATP בענן יכול להשתלט על שרתי הדואר שלך ועל מערכות הגנה על שרתי הדואר, כולל שרתים מקומיים. אסור לך להפסיק להפעיל Office 365 Advanced Threat Protection אפילו אם אתה משתמש בכלים אחרים כמו EOP.

מערכת הגנה המתקדמת יכולה להגן על תוספים לדואר המצורף, קישורים וקבצים שמעלים בעזרת משתמשים ל OneDrive for Business, SharePoint Online ו Teams. בנוסף, ATP יכול לזהות קישורים לאתרים של פישינג, אתרים עם קוד מלפף ונוכחות קוד מזויף בקבצים הולדים/מעלים. היכולת המעקבת אחר הכתוביות יכולה לעזור לך לחסום מקורות אפשריים של איומים ולהבין את הטעם שלהם ומאיפה הם נגיעים.

תכונות מערכת הגנה המתקדמת

מערכת הגנה המתקדמת של Office 365 מכילה תכונות מועילות רבות בשביל הגנת הנתונים שלך בשימוש בשירותים של Office 365. בואו נדגים את התכונות האלה בפירוט.

מדיניות

המדיניות קובעת את רמת ההגנה ואת התגובה לאיומים מוגדרים מראש, שניהם ניתנים להגדרה ברמות שונות. המדיניות מספקת אפשרויות גמישות, שמנהל מערכת מנהלי Microsoft 365 יכול להגדיר. כמנהל מערכת, ניתן להגדיר מי מושפע מהמדיניות וכמה המדיניות הן קשות.

קבצים בטוחים

קבצים בטוחים מבטיחים שקבצים המצורפים להודעות דוא"ל אינם זדוניים. הגנת יום אפס מסופקת כדי לשמור על מערכת ההודעות בדוא"ל שלך. לפני שהודעה מתקבלת בתיבת הדואר של המשתמש, ההודעה מועברת לסביבה מיוחדת, שם קבצי הצרופה נבדקים באמצעות חתימות וירוסים, למידת מכונה וטכניקות ניתוח מתקדמות כדי לזהות וירוסים. אם לא נמצאו וירוסים בקובץ הצרופה לדוא"ל, ההודעה מועברת לתיבת דואר. התכונה האחראית על קבצי הצרופה הבטוחים נקראת סנדבוקס של קבצים.

קישורים בטוחים

קישורים בטוחים משתמשים בעקרון פעולה דומה לקבצים בטוחים. תכונה זו בודקת קישורים בהודעות דוא"ל וקבצים אחרים שמועלים/מורדפים בסביבת Microsoft 365. אם Microsoft 365 ATP זוהה כי קישור אינו בטוח, הודעת אזהרה מוצגת (כמו לקבצים הניתנים להורדה).

ניתן להגדיר את התכונה כך שתפנה משתמשים לדף אזהרה אם משתמש מנסה ללחוץ על קישור שזוהה כזדוני. המערכת חוסמת דינמית קישורים זדוניים. תכונת הקישורים הבטוחים עודכנה וכעת אינה מחליפה את הקישור המקורי בקישור מותאם לדף אינטרנט בענן של Microsoft.

ATP עבור SharePoint Online

ATP עבור SharePoint Online מגן על משתמשים שמשתפים פעולה באמצעות אתרי SharePoint Online וקבצים משותפים בתוך הארגון שלך. תכונה זו זוהה וחוסמת קבצים חשודים בספריות מסמכים ואתרי צוותים, כולל קבצים שמאוחסנים ב־OneDrive. התוכן הרעוע המזוהה נחסם. המשתמשים לא יכולים לפתוח, להעתיק, להעביר, לערוך או לשתף קובץ חסום שמסווג כרעוע. הקובץ הרעוע יכול להימחק בלבד. היכולת להוריד את הקובץ תלויה בהגדרה.

הגנה נגד פישינג

לאחר הגדרת מדיניות הגנה נגד פישינג, דגמי מערכת הלמידה העצמית עם אלגוריתמים מורכבים משמשים לזיהוי תקיפות פישינג אוטומטית ובמהירות. אינטליגנצית תיבת הדואר מנתחת אימיילים של משתמש והרגלי תקשורת ומצרפת את הנתונים כדי לסייע בזיהוי ניסיונות פישינג בעתיד. האמצעים הקשים אלה עושים כל ניסיון לפרוץ קשה להשלים.

בידוד

קבצים לא רצויים ופוטנציאלית מסוכנים יכולים להיעבר לבידוד. כמנהל מערכת, אתה יכול לשחזר או למחוק ידנית את הנתונים המבודדים. בנגיעה אחרת, הנתונים האלה יימחקו לאחר פקיעת תקופת השמירה שהוגדרה. יתכן ואתה מכיר את עקרון העבודה של הבידוד אם השתמשת בהגנת Exchange Online של Microsoft 365.

אינטליגנציה נגד הזיוף

יש להאקרים אפשרות לשלוח דואר אלקטרוני מטעם חשבונות רבים על ידי החלפת שם השולח. כאשר משתמש מקבל דואר אלקטרוני "מזויף" כזה, ייתכן שיראה בטוח אם השולח משתמש בשם מנהל בשדה השולח. דואר אלקטרוני "מזויף", שעשוי לכלול קריאה להעברת כספים, שליחת פרטי הזדהות או תסריטים זדוניים, אינו בטוח ומהווה איום על המשתמשים והארגון כולו.

הגנת המתקפות המתקדמת של Office 365 כוללת יכולת "חכמה לזיוף" שיכולה לזהות האם השולח משתמש בשם אמיתי או בשם מזויף. ניתן לראות את רשימת המשתמשים המלאה שמשתמשים בדומיין חברה מסוימת ולבדוק מי מזויף את דומיין הארגון שלך או דומיינים חיצוניים. בתור מנהל, ניתן לחסום את השולח שמשתמש בשם דומיין או שם משתמש המתחזה לעובד בארגון שלך.

דוחות

הגנת המתקפות המתקדמת של Office 365 מספקת דוחות מידעיים שיכולים לאפשר לך לראות את מצב ההגנה ולנתח איומים נכנסים. דוח הוא תצוגה יחידה, המשלבת מידע אודות איומים שנזהרו, כולל דואר אלקטרוני זדוני ותוכן זדוני נוסף. האיומים שנזהרו על ידי הגנת המתקפות המתקדמת של Office 365 וההגנה המקוונת של Exchange מוצגים בדוחות. מידע ל-90 הימים הקודמים (התקופה המרבית שניתן להגדיר) מוצג בדוחות. לאחר ניתוח הדוחות, ניתן להתאים את המדיניות.

חקירה על איומים ותגובה

חקירה ותגובה לאיומים ב-Office 365 יכולה לעזור למנהלי מערכת ומומחי אבטחה לפעול באופן יעיל יותר. באפשרותך לצפות באיומים שזוהו ולהגדיר פעולות אוטומטיות להפחתת סוגי איומים שונים. באפשרותך לחבר תסריטים עם הפעולות המתאימות לאיומים שזוהו, וכן לבצע בדיקה ולאשר פעולות או המלצות המוצעות על ידי הגנת התקפים מתקדמת של Office 365 לאחר חקירה אוטומטית לתיקון איומים.

שלא כמו הגנת דואר אלקטרוני באינטרנט, שזמינה כבר כחלק מהתוכניות של Microsoft 365, הגנת התקפים מתקדמת זמינה רק עבור תוכניות מינוי מובחרות או ניתן לרכושה בנפרד. לדוגמה, אף הגנת תקפים מתקדמת אינה כלולה ב-Microsoft 365 E3.

הגנת התקפים המתקדמת של Office 365 כלולה בתוכניות המינוי הבאות:

  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 Business Premium

אך באפשרותך לרכוש רישיון להגנת התקפים המתקדמת של Office 365 כחלק מתוכניות המינוי הבאות:

  • Exchange Online Plan 1
  • Exchange Online Plan 2
  • Exchange Online Kiosk
  • Exchange Online Protection
  • Microsoft 365 Business BasicMicrosoft 365 Business Standard
  • מיקרוסופט 365 סטנדרט עסקי
  • מיקרוסופט 365 ממשק עסקי E1
  • מיקרוסופט 365 ממשק עסקי E3
  • מיקרוסופט 365 ממשק עסקי F3
  • מיקרוסופט 365 A1
  • מיקרוסופט 365 A3

אם Office 365 Advanced Threat Protection אינו כלול בתוכנית הרכישה שלך, אתה יכול לרכוש אחת מתוכניות הרכישה ATP בלעדיות באמצעות מודל רישוי למשתמש:

  • Advanced Threat Protection Plan 1
  • Advanced Threat Protection Plan 2

הגדרת Advanced Threat Protection

עדכון: Office 365 Advanced Threat Protection הפך Microsoft Defender for Office 365 בספטמבר 2020. עכשיו, כדי להגדיר כל אחת מהתכונות המתוארות להלן, אתה צריך לגשת לפורטל Defender.

בואו נבחן כיצד להגדיר Office 365 Advanced Threat Protection:

  1. פתח את ממשק האינטרנט של מרכז הניהול של Microsoft 365 באמצעות הקישור https://admin.microsoft.com ועבור למרכזי הניהול > בטחון בחלון הפנים משמאל.

כחלופה, אתה יכול לפתוח קישור ישיר למרכז הניהול של Microsoft 365 Security & Compliance: https://protection.office.com

  1. בחלון השמאלי, לחץ על מנהל האיומים ולאחר מכן לחץ על לוח המחוונים.

לוח המחוונים לאבטחה, המכונה גם לוח המחוונים לאיומים, מציג את מצב ההגנה מפני איומים הנוכחי וקישורים לדפי הגדרה.

מדיניות נגד מלאי

לחץ על מדיניות בחלון השמאלי, או בחלון הניווט, והדף שבו תוכל לצפות, לערוך וליצור מדיניות יופיע. אפשר להגדיר מדיניות נגד פישינג, נגד ספאם ונגד מלאי. בואו נבחן איך ליצור מדיניות נגד מלאי חדשה:

  1. לחץ על נגד מלאי.

  1. בדף נגד מלאי שיופעל, לחץ על הסמל המשמש ליצירת מדיניות נגד מלאי חדשה עבור Office 365 Advanced Threat Protection.

  1. A new pop-up window opens.

הזן את שמה המדיניות והתיאור, והגדר אפשרויות מדיניות אחרות כמו:

  • תגובת גילוי מלאי
  • מסנן סוגי המכתבים הנפוצים
  • ניקוי אוטומטי שעת השמש האפס של מלאי
  • הודעות

לבסוף, ציין למי מתייחסת המדיניות זו, ולחץ על שמור.

המדיניות נוצרה כעת ומוצגת ברשימת המדיניות בדף המלאי.

מדיניות נגד פישינג

מדיניות נגד פישינג נוצרת באופן מעט שונה ממדיניות נגד מלאי:

  1. היכנס ל- ניהול איומים > מדיניות ולחץ על אנטי-פישינג.

הדף אנטי-פישינג נפתח. אם אתה פותח את הדף הזה בפעם הראשונה, הרשימה של מדיניות אנטי-פישינג תהיה ריקה.

  1. לחץ על הכפתור +יצירה כדי ליצור מדיניות אנטי-פישינג חדשה עבור Office 365 Advanced Threat Protection.

  1. A new policy wizard opens as a pop-up window. Complete all the steps in the wizard:
  • קרא למדיניות שלך. הזן שם למדיניות אנטי-פישינג החדשה. אתה יכול גם להזין תיאור.

  • מוטבע ב. הגדר את הנמענים או התחומים בארגון שלך לגבי המדיניות הזו תחילה או יוצא מכך על ידי הוספת תנאים ובחירת נמענים. לדוגמה, אפשר להחיל את המדיניות על תחום שלם, שייכות לקבוצה, או שילוב של קבוצה ותחום. ואז לחץ על הבא.

  • בדוק את ההגדרות שלך. בדוק את ההגדרות שלך וערוך אותם אם יש צורך. אם הכל נכון, לחץ על יצירת מדיניות זו.

בידוד

הודעות דואר אלקטרוני וקבצים המזוהים כשלוחמים עלולים לכלום עבור בידוד אם ההגדרות המתאימות משמשות עבור Office 365 Advanced Threat Protection. היכנס ל- ניהול איומים > בדיקה > בידוד כדי לפתוח בידוד. אפשר גם להשתמש בקישור הישיר הזה: https://protection.office.com/quarantine

הערה: הסגר ניתן לגשת אליו על ידי המנהל או על ידי משתמש אחר שיש לו הרשאות לנהל את הסגר. חברי תפקיד הסגר במרכז האבטחה והשירות של Office 365 יש הרשאות לנהל את הסגר.

בדף הסגר, אפשר למיין תוצאות על ידי לחיצה על כותרת העמודה הנדרשת. לחץ על שנה עמודות כדי לבחור אילו עמודות יש להציג.

דוחות

דוחות מועילים לצפייה במצב ובסטטיסטיקה הנוכחיים של סביבת Microsoft 365 שלך. בפאנל הניווט של מרכז האירועים של Office 365 Security & Compliance, לחץ על דוחות > לוח המחוונים כדי לראות את לוח המחוונים עם גרפים ותרשימים.

בדף זה אפשר לראות את הסיכום הכולל:

  • דוחות קרובים להורדה
  • 5 התוויות העיקריות
  • מגמת תוויות ב-90 הימים האחרונים
  • איך תוויות פותחו
  • תוויות מסוגלות כרשומות
  • כללות של שירות ההעברה של Exchange
  • מצב ההגנה מפני איומים
  • נתיבי מלקולות מוצאים בדואר אלקטרוני
  • מלקולות עיקריות
  • משוגעים ומקבלים עיקריים
  • איתורי זיוף
  • איתורי דואר זבל
  • משתמשים מושחתים
  • דואר אלקטרוני שנשלח ונקבל
  • פיקוח
  • דוח העברה
  • דוח חיבור
  • דוח הצפנה

הסתכלו על הגרף כדי לראות מידע נוסף. לחץ על התרשים הדרוש, או על התרשים, כדי לפתוח אותו במצב חלון מלא ולראות את הפרטים. לאחר לחיצה על גילויי זיופים, מוצג דו"ח מפורט על דואר אלקטרוני זיוף.

כברירת מחדל, תקופה של 7 ימים מוצגת בתרשימים ובגרפים, אך ניתן להגדיל את התקופה עד 90 ימים בהגדרות. משתמשים בניסיון של Microsoft 365 עם Advanced Threat Protection יכולים לצפות בנתונים עד 30 ימים בדו"חות.

מסקנה

Office 365 Advanced Threat Protection משולב עם שירותי Microsoft 365 אחרים כגון OneDrive, SharePoint Online, Exchange Online, SharePoint Online, ושירותים אחרים. ATP עוזר לך להגן על האימיילים שלך מפני איומים בטחוניים שונים כמו קישורים מזיקים, וירוסים ונגיפים.

עם זאת, כדי להשיג רמה גבוהה יותר של הגנה על נתונים, עליך לגבש את כל הנתונים של Microsoft Office 365 שלך עם פתרון מיוחד כמו NAKIVO Backup & Replication. פתרון NAKIVO מאפשר לך ליצור גיבויים מצטברים של נתוני Microsoft 365 ומציע שחזורים נומינליים לפי זמן.

Source:
https://www.nakivo.com/blog/microsoft-office-365-advanced-threat-protection-overview/