Microsoft Office 365 Advanced Threat Protection: полный обзор

В наше время существует бесчисленное количество угроз, которые могут привести к нарушению безопасности и последующей потере данных. В 2021 году спам-письма и попытки кибермошенничества были самым распространенным способом доставки вредоносных программ, приводящих к заражению вымогательскими программами. Попытки обнаружить и предотвратить злонамеренные атаки вручную являются невозможной задачей. Однако для приложений и сервисов Office 365 Microsoft предлагает набор инструментов обнаружения и реагирования для автоматизации и упрощения безопасности.

Office 365 Advanced Threat Protection (ATP), который с сентября 2020 года стал известен как Microsoft Defender for Office 365, представляет собой набор инструментов, посвященных предотвращению онлайн-угроз. Различные политики и правила позволяют защищать среды как в облаке, так и на местных серверах путем фильтрации входящей и исходящей коммуникации и проверки другого общего контента.

Что такое Advanced Threat Protection?

Advanced Threat Protection (ATP) Office 365 – это облачный сервис фильтрации для предотвращения и обнаружения киберугроз. ATP может защитить вашу организацию от вирусов и других вредоносных программ, включая атаки нулевого дня, которые распространяются через сервисы Office 365. ATP может распознать новейшие вирусы и сложные угрозы, которые еще не были изучены и не могут быть распознаны даже большинством антивирусов с последними базами данных вирусных сигнатур.

Как работает Office 365 Advanced Threat Protection

Office 365 Advanced Threat Protection полагается на политики, которые должен настроить системный администратор. ATP фильтрует данные, подозрительное поведение и другие параметры на уровне организации, домена, пользователя и получателя.

Office 365 Advanced Threat Protection может работать в интеграции с Exchange Online Protection (EOP) и Office 365 Threat Intelligence. Использование ATP в облаке может разгрузить ваши почтовые серверы и системы защиты на почтовых серверах, включая серверы в офисе. Не рекомендуется отключать Office 365 Advanced Threat Protection, даже если вы используете другие инструменты, такие как EOP.

Advanced Threat Protection может защищать прикрепленные к письмам файлы, ссылки и файлы, загруженные пользователями в OneDrive для бизнеса, SharePoint Online и Teams. Кроме того, ATP может обнаруживать ссылки на сайты-ловушки, сайты с загруженным вредоносным кодом и наличие вредоносного кода в загруженных/загружаемых файлах. Возможности трассировки URL могут помочь заблокировать потенциальные источники угроз и понять их природу и происхождение.

Функции защиты от продвинутых угроз

Office 365 Advanced Threat Protection содержит множество полезных функций для защиты ваших данных при использовании сервисов Office 365. Давайте рассмотрим эти функции подробнее.

Политики

Политики определяют уровень защиты и реакцию на предопределенные угрозы, оба из которых могут быть установлены на разных уровнях. Политики предоставляют гибкие варианты, которые администратор системы, управляющий Microsoft 365, может настроить. Как системный администратор, вы можете установить, кто подпадает под политики, и насколько строгие они будут.

Безопасные вложения

Безопасные вложения гарантируют, что файлы, прикрепленные к электронным сообщениям, не являются вредоносными. Защита от нулевого дня предоставляется для защиты вашей системы электронной почты. Перед тем как сообщение будет получено в почтовом ящике пользователя, сообщение маршрутизируется в специальную среду, где файлы вложений проверяются с помощью вирусных сигнатур, машинного обучения и передовых аналитических методов для обнаружения вирусов. Если в электронном вложении не обнаружено вирусов, сообщение электронной почты пересылается в почтовый ящик. Ответственным за безопасные вложения является функция песочницы вложений.

Безопасные ссылки

Безопасные ссылки используют рабочий принцип, аналогичный безопасным вложениям. Эта функция проверяет ссылки в электронных письмах и других файлах, которые загружаются/скачиваются в среде Microsoft 365. Если Microsoft 365 ATP обнаруживает, что ссылка не безопасна, отображается предупреждающее сообщение (как и для загружаемых файлов).

Вы можете настроить функцию для перенаправления пользователей на страницу предупреждения, если пользователь попытается кликнуть на обнаруженную как вредоносную ссылку. Система динамически блокирует вредоносные ссылки. Функция безопасных ссылок была обновлена и теперь не заменяет исходную ссылку измененной ссылкой на веб-страницу в облаке Microsoft.

ATP для SharePoint Online

ATP для SharePoint Online защищает пользователей, которые сотрудничают, используя сайты SharePoint Online и общие файлы внутри вашей организации. Эта функция обнаруживает и блокирует подозрительные файлы в библиотеках документов и командных сайтах, включая файлы, хранящиеся на OneDrive. Идентифицированный вредоносный контент блокируется. Пользователи не могут открывать, копировать, перемещать, редактировать или обмениваться заблокированным файлом, который классифицируется как вредоносный. Вредоносный файл может быть удален только. Возможность загрузки файла зависит от конфигурации.

Защита от фишинга

После определения политик защиты от фишинга используются модели систем самообучения с комплексными алгоритмами для автоматического и быстрого обнаружения фишинговых атак. Анализ интеллекта почтового ящика анализирует электронную почту пользователей и их коммуникационные привычки и агрегирует данные, чтобы помочь в будущем обнаруживать попытки фишинга. Эти жесткие меры делают любую атаку фишингом трудной для выполнения.

Карантин

Нежелательные и потенциально опасные файлы могут быть перемещены в карантин. Как системный администратор, вы можете вручную восстановить или удалить помещенные в карантин данные. В противном случае эти данные удаляются после истечения настроенного периода хранения. Вы можете быть знакомы с принципом работы карантина, если использовали Exchange Online Protection Microsoft 365.

Интеллект спуфинга

Хакеры могут отправлять электронные письма от имени одного или нескольких аккаунтов, подставляя имя отправителя. Когда пользователь получает такое “поддельное” электронное письмо, оно может показаться безопасным, если отправитель использует имя менеджера в поле отправителя. Поддельное электронное письмо, которое может содержать призыв к переводу денег, отправке учетных данных или вредоносных скриптов, не является безопасным и представляет угрозу для пользователей и всей организации.

Office 365 Advanced Threat Protection включает функцию Spoof Intelligence, которая может определить, использует ли отправитель реальное имя или поддельное имя. Вы можете увидеть полный список пользователей, которые используют определенный домен компании, и просмотреть, кто подделывает домен вашей организации или любые внешние домены. Как администратор, вы можете заблокировать отправителя, использующего имя домена или имя пользователя, притворяющегося сотрудником вашей организации.

Отчеты

Office 365 Advanced Threat Protection предоставляет информативные отчеты, чтобы вы могли видеть статус защиты и анализировать входящие угрозы. Отчет представляет собой единую точку зрения, которая объединяет информацию о обнаруженных угрозах, включая вредоносную электронную почту и другое вредоносное содержимое. Угрозы, обнаруженные Office 365 Advanced Threat Protection и Exchange Online Protection, отображаются в отчетах. Информация за предыдущие 90 дней (максимальный период, который можно настроить) отображается в отчетах. После анализа отчетов вы можете настроить политики.

Расследование и реагирование на угрозы

Если вы работаете в крупной компании с множеством пользователей Office 365, вы можете быть перегружены большим количеством уведомлений о безопасности, с которыми нужно разбираться. Сортировка большого количества электронных писем на основе атрибутов – это трудоемкая задача. Office 365 Threat Investigation and Response может помочь системным администраторам и специалистам по безопасности работать более эффективно. Вы можете просматривать обнаруженные угрозы и настраивать автоматические действия для смягчения различных типов угроз. Вы можете составлять сценарии с соответствующими действиями для обнаруженных угроз, а также просматривать и утверждать действия или рекомендации, предложенные Office 365 Advanced Threat Protection после автоматического исследования для устранения угроз.

Лицензирование Microsoft 365

В отличие от Exchange Online Protection, который доступен по умолчанию для пользователей Microsoft 365, Advanced Threat Protection доступен для топовых планов подписки или может быть приобретен отдельно. Например, даже Microsoft 365 E3 не включает расширенную защиту от угроз.

Microsoft Office 365 Advanced Threat Protection включен в следующие планы подписки:

• Microsoft 365 E5
• Microsoft 365 A5
• Microsoft 365 Business Premium

Однако вы можете приобрести лицензию Office 365 Advanced Threat Protection поверх следующих планов подписки:

• Exchange Online Plan 1
• Exchange Online Plan 2
• Exchange Online Kiosk
• Exchange Online Protection
• Microsoft 365 Business BasicMicrosoft 365 Business Standard
• Microsoft 365 Business Standard
• Microsoft 365 Enterprise E1
• Microsoft 365 Enterprise E3
• Microsoft 365 Enterprise F3
• Microsoft 365 A1
• Microsoft 365 A3

Если Office 365 Advanced Threat Protection не включен в вашем плане подписки, вы можете приобрести один из отдельных планов подписки ATP, используя модель лицензирования на основе пользователя:

• Advanced Threat Protection Plan 1
• Advanced Threat Protection Plan 2

Настройка Advanced Threat Protection

Обновление: Office 365 Advanced Threat Protection стал Microsoft Defender for Office 365 в сентябре 2020 года. Теперь для настройки любой из функций, перечисленных ниже, вам необходимо получить доступ к Портал Defender.

Давайте рассмотрим, как настроить Office 365 Advanced Threat Protection:

1. Откройте веб-интерфейс центра администрирования Microsoft 365 по ссылке https://admin.microsoft.com и перейдите к Административные центры > Безопасность в левой панели окна.

В качестве альтернативы вы можете открыть прямую ссылку на центр администрирования безопасности и соответствия Microsoft 365: https://protection.office.com

2. В левой панели нажмите Менеджер угроз, а затем нажмите Панель мониторинга.

Панель безопасности, также называемая панелью угроз, отображает текущий статус защиты от угроз и ссылки на страницы настройки.

Политики антивирусной защиты

Нажмите Политика в левой панели или на панели навигации, и появится страница, где вы можете просматривать, редактировать и создавать политики. Вы можете настроить политики защиты от фишинга, спама и вредоносных программ. Давайте посмотрим, как создать новую политику антивирусной защиты:

1. Нажмите Антивирус.

2. На открывшейся странице антивирусной защиты нажмите значок “+” для создания новой политики антивирусной защиты для Office 365 Advanced Threat Protection.

3. A new pop-up window opens.

Введите имя и описание политики и определите другие параметры политики, такие как:

• Ответ на обнаружение вредоносных программ
• Фильтр общих типов вложений
• Автоматическое удаление вредоносных программ по нулевому часу
• Уведомления

Наконец, укажите, кому эта политика применяется, и нажмите Сохранить.

Политика теперь создана и отображается в списке политик на странице “Вредоносные программы”.

Политики защиты от фишинга

Политики защиты от фишинга создаются немного иначе, чем антивирусные политики:

1. Перейдите в раздел Управление угрозами > Политика и нажмите Анти-фишинг.

Откроется страница Анти-фишинг. Если вы открываете эту страницу впервые, список политик анти-фишинг будет пустым.

2. Нажмите кнопку +Создать , чтобы создать новую политику анти-фишинг для Office 365 Advanced Threat Protection.

3. A new policy wizard opens as a pop-up window. Complete all the steps in the wizard:

• Назовите свою политику. Введите имя для новой политики анти-фишинг. Вы также можете ввести описание.

• Применение к. Определите получателей или домены в вашей организации, к которым будет применяться эта политика или исключаться, добавив условия и выбрав получателей. Например, вы можете применить политику ко всему домену, членству в группе или комбинации группы и домена. Затем нажмите Далее.

• Проверьте свои настройки. Проверьте свои настройки и измените их при необходимости. Если все верно, нажмите Создать эту политику.

Карантин

Электронные письма и файлы, которые классифицируются как потенциально опасные, перемещаются в карантин, если для Office 365 Advanced Threat Protection используются соответствующие настройки. Перейдите в Управление угрозами > Проверка > Карантин, чтобы открыть карантин. Вы также можете использовать эту прямую ссылку: https://protection.office.com/quarantine

Примечание: Карантин можно получить доступ от администратора или другого пользователя, который имеет разрешения на управление карантином. Члены роли “Карантин” в Центре безопасности и соответствия Office 365 имеют разрешения на управление карантином.

На странице “Карантин” можно сортировать результаты, нажав название необходимого столбца. Нажмите Изменить столбцы, чтобы выбрать, какие столбцы должны отображаться.

Отчеты

Отчеты полезны для просмотра текущего статуса и статистики вашей среды Microsoft 365. В области навигации в Центре администрирования безопасности и соответствия Office 365 нажмите Отчеты > Панель мониторинга, чтобы увидеть панель мониторинга с графиками и диаграммами.

На этой странице вы можете увидеть сводку, включающую:

• Недавние отчеты для скачивания
• Топ-5 этикеток
• Тренд этикеток за последние 90 дней
• Как были применены этикетки
• Этикетки, классифицированные как записи
• Правило транспорта Exchange
• Статус защиты от угроз
• Обнаружено вредоносное ПО в электронной почте
• Топ-вредоносное ПО
• Топ-отправители и получатели
• Обнаружения подделок
• Обнаружения спама
• Компрометированные пользователи
• Отправленная и полученная электронная почта
• Надзор
• Отчет о пересылке
• Отчет о соединителе
• Отчет об шифровании

Наведите курсор на график, чтобы увидеть дополнительную информацию. Нажмите на нужную диаграмму или график, чтобы открыть его в полноэкранном режиме и увидеть детали. После нажатия Обнаружение подделок отображается подробный отчет о поддельных почтовых сообщениях.

По умолчанию на графиках и диаграммах отображается 7-дневный период, но этот период можно увеличить до 90 дней в настройках. Оценщики Microsoft 365 с Advanced Threat Protection могут просматривать данные в отчетах максимум за 30 дней.

Заключение

Office 365 Advanced Threat Protection интегрирован с другими службами Microsoft 365, такими как OneDrive, SharePoint Online, Exchange Online, SharePoint Online и другими службами. ATP помогает защитить вашу почту от различных угроз безопасности, таких как вредоносные ссылки, вирусы и вредоносное ПО.

Однако для достижения более высокого уровня защиты данных следует резервное копирование всех ваших данных Microsoft Office 365 с помощью специализированного решения, такого как NAKIVO Backup & Replication. Решение NAKIVO позволяет создавать инкрементные резервные копии данных Microsoft 365 и предлагает гибкие восстановления на определенный момент времени.