微軟Office 365高級威脅防護:完整概述

教學

如今,存在无数威胁可能导致安全漏洞和随后的数据丢失。在2021年,垃圾邮件和钓鱼邮件是导致勒索软件感染的最常见的传播方式。试图手动检测和阻止恶意攻击是一项不可能完成的任务。然而,对于Office 365应用程序和服务,微软提供了一套检测和响应工具,以自动化和简化安全。

Office 365高级威胁防护(ATP),自2020年9月起已成为Microsoft Defender for Office 365,是一套专用于防止在线威胁的工具集合。不同的策略和规则可以让您通过过滤传入和传出的通信以及验证其他共享内容来保护本地和云环境。

什么是高级威胁防护?

Office 365高级威胁防护(ATP)是一种基于云的过滤服务,用于防止和检测网络威胁。ATP可以保护您的组织免受通过Office 365服务传播的病毒和其他恶意软件的侵害,包括零日攻击。ATP可以识别最新的病毒和尚未研究过的复杂威胁,即使是大多数带有最新病毒签名数据库的防病毒软件也无法识别。

Office 365高级威胁防护的工作原理

Office 365 高級威脅防護依賴應由系統管理員配置的政策。 ATP 在組織、域、用戶和收件人層面上過濾數據、可疑行為和其他參數。

Office 365 高級威脅防護可以與 Exchange Online Protection(EOP) 和 Office 365 威脅情報集成。在雲中使用 ATP 可以卸載您的郵件服務器和保護系統,包括本地服務器上的保護系統。即使您使用其他工具如 EOP,也不建議關閉 Office 365 高級威脅防護。

高級威脅防護可以保護電子郵件附件、鏈接,以及用戶上傳到 OneDrive for Business、SharePoint Online 和 Teams 的文件。此外,ATP 可以檢測鏈接到釣魚網站、帶有上傳的惡意軟件代碼的網站,以及下載/上傳文件中惡意代碼的存在。URL 追蹤功能可以幫助您阻止潛在的威脅來源,了解它們的性質和來源。

高級威脅防護功能

Office 365 高級威脅防護包含許多有用的功能,用於保護您在使用 Office 365 服務時的數據。讓我們詳細探討這些功能。

政策

政策確定了保護水平和對預定威脅的反應,這兩者可以在不同的層次上設置。政策提供了靈活的選項,可以由管理 Microsoft 365 的系統管理員進行配置。作為系統管理員,您可以設置受政策影響的對象以及這些政策的嚴格程度。

安全附件

安全附件確保附加到電子郵件中的文件不具有惡意。為了保護您的電子郵件消息系統,提供了零日保護。在消息到達用戶郵箱之前,消息會被路由到一個特殊的環境,在這個環境中,附件文件通過病毒簽名、機器學習和高級分析技術進行檢查,以檢測病毒。如果在電子郵件附件中未檢測到病毒,則電子郵件消息將被轉發到郵箱。負責安全附件的功能稱為附件沙箱。

安全鏈接

安全鏈接使用與安全附件類似的工作原理。此功能檢查電子郵件中的鏈接以及在 Microsoft 365 環境中上傳/下載的其他文件。如果 Microsoft 365 ATP 檢測到鏈接不安全,將顯示警告消息(就像可下載文件一樣)。

您可以配置該功能,如果用戶嘗試單擊被檢測為惡意的鏈接,則將用戶重定向到警告頁面。系統動態阻止惡意鏈接。安全鏈接功能已更新,現在不會將原始鏈接替換為 Microsoft 云中網頁的修改鏈接。

SharePoint Online 的 ATP

SharePoint Online的ATP保護使用SharePoint Online網站和組織內共享文件的用戶。此功能可檢測並阻止文件庫和團隊站點中的可疑文件,包括存儲在OneDrive上的文件。識別的惡意內容將被阻止。用戶無法打開、複製、移動、編輯或分享被分類為惡意的已阻止文件。該惡意文件僅可刪除。下載文件的能力取決於配置。

防釣魚保護

在定義防釣魚策略後,使用複雜算法的自學系統模型自動快速檢測釣魚攻擊。郵箱智能分析用戶的電子郵件和通信習慣,並將數據匯總以幫助未來檢測釣魚企圖。這些嚴格措施使任何欺騙攻擊難以實現。

隔離

不需要和潛在危險的文件可以被移動到隔離區。作為系統管理員,您可以手動恢復或刪除被隔離的數據。否則,該數據將在配置的保留期過期後被刪除。如果您使用過Microsoft 365 Exchange Online Protection,您可能對隔離的工作原理很熟悉。

欺騙情報

駭客可以代表一個或多個帳戶發送電子郵件,替換寄件人的名稱。當用戶收到這種“偽造”的電子郵件時,如果寄件人在寄件者欄位中使用經理的名稱,它可能看起來是安全的。偽造的電子郵件可能包含要求轉帳款項、發送憑證或惡意腳本,並且對用戶和整個組織構成威脅。

Office 365 高級威脅保護包括 Spoof Intelligence 功能,可以檢測寄件人是使用真實姓名還是偽造姓名。您可以查看使用特定公司域的所有使用者的完整列表,並查看誰正在偽造您組織的域或任何外部域。作為管理員,您可以封鎖使用假冒成您組織員工的域名或使用者名稱的寄件人。

報告

Office 365 高級威脅保護提供信息豐富的報告,因此您可以查看保護狀態並分析入侵威脅。報告是一個單一視圖,結合了有關檢測到的威脅的信息,包括惡意電子郵件和其他惡意內容。報告顯示了 Office 365 高級威脅保護和 Exchange Online 保護檢測到的威脅。報告中顯示了過去 90 天的信息(可以配置的最大期限)。在分析報告後,您可以調整策略。

威脅調查和響應

如果您在一家擁有眾多 Office 365 用戶的大公司工作,可能會因為處理大量的安全警報而感到不知所措。基於屬性對大量郵件進行分類是一項耗時的任務。Office 365 威脅調查與應對可以幫助系統管理員和安全專家更有效地運作。您可以查看檢測到的威脅並配置自動操作以減輕不同類型的威脅。您可以編寫適用於檢測到的威脅的行動方案,並在自動調查後審核和批准 Office 365 高級威脅防護建議的操作或建議,以糾正威脅。

Microsoft 365 授權

與 Exchange Online Protection 不同,Microsoft 365 高級威脅防護僅適用於頂級訂閱計劃或可以單獨購買。例如,即使 Microsoft 365 E3 也不包括高級威脅防護。

Microsoft Office 365 高級威脅防護包含在以下訂閱計劃中:

  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 Business Premium

然而,您可以在以下訂閱計劃之上購買 Office 365 高級威脅防護授權:

  • Exchange Online Plan 1
  • Exchange Online Plan 2
  • Exchange Online Kiosk
  • Exchange Online Protection
  • Microsoft 365 Business BasicMicrosoft 365 Business Standard
  • Microsoft 365 Business Standard
  • Microsoft 365 Enterprise E1
  • Microsoft 365 Enterprise E3
  • Microsoft 365 Enterprise F3
  • Microsoft 365 A1
  • Microsoft 365 A3

如果您的訂閱計劃不包含Office 365 Advanced Threat Protection,您可以購買以下獨立的ATP訂閱計劃之一,採用按用戶授權模式:

  • Advanced Threat Protection Plan 1
  • Advanced Threat Protection Plan 2

Advanced Threat Protection配置

更新:Office 365 Advanced Threat Protection已於2020年9月更名為Microsoft Defender for Office 365。現在,要配置以下任何功能,您需要訪問Defender Portal

讓我們看看如何配置Office 365 Advanced Threat Protection:

  1. 通過使用鏈接https://admin.microsoft.com打開Microsoft 365管理中心的網頁界面,然後在窗口的左側窗格中轉到管理中心的>安全

作為替代方案,您可以打開直接連結到Microsoft 365安全與合規管理中心的網址:https://protection.office.com

  1. 在左側窗格中,點擊威脅管理器,然後點擊儀表板.

安全儀表板,也被稱為威脅儀表板,顯示當前的威脅保護狀態以及連接到配置頁面的鏈接。

反惡意軟體政策

點擊政策在左側窗格,或導航窗格,以及您可以查看、編輯和創建政策的頁面出現。您可以配置反釣魚、反垃圾郵件和反惡意軟體政策。讓我們看看如何創建一個新的反惡意軟體政策:

  1. 點擊反惡意軟體.

  1. 在打開的反惡意軟體頁面上,點擊加號圖標以創建一個新的Office 365高級威脅防護反惡意軟體政策。

  1. A new pop-up window opens.

輸入政策名稱和描述,並定義其他政策選項,例如:

  • 惡意軟體檢測響應
  • 常見附件類型過濾器
  • 惡意軟體零時自動清除
  • 通知

最後,指定此政策適用於誰,並點擊保存

該政策現已創建並顯示在惡意軟體頁面上的政策列表中。

反釣魚政策

反釣魚政策的創建方式與反惡意軟體政策略有不同:

  1. 前往 威脅管理 > 政策 並點擊 反釣魚。

反釣魚頁面將打開。如果您是第一次打開此頁面,反釣魚政策的列表將是空的。

  1. 點擊 +建立 按鈕以為 Office 365 進階威脅防護建立新的反釣魚政策。

  1. A new policy wizard opens as a pop-up window. Complete all the steps in the wizard:
  • 命名您的政策。為新的反釣魚政策輸入一個名稱。您也可以輸入描述。

  • 應用於。 定義組織中的收件人或網域,這些收件人或網域將適用或排除此政策,方法是添加條件並選擇收件人。例如,您可以將政策應用於整個網域、群組成員資格或群組和網域組合。然後點擊 下一步

  • 檢閱您的設置。 檢查您的設置並在需要時進行編輯。如果一切正確,點擊 建立此政策。

隔離

被分類為可能危險的電子郵件訊息和文件將被移至隔離區,如果 Office 365 進階威脅防護使用了適當的設置。前往 威脅管理 > 檢閱 > 隔離 以打開隔離區。您也可以使用此直接連結:https://protection.office.com/quarantine

注意:隔離區可以由管理員或其他具有管理隔離區權限的用戶訪問。Office 365安全與合規中心的隔離角色成員具有管理隔離區的權限。

在隔離頁面上,您可以通過點擊所需列的標題來對結果進行排序。點擊修改列選擇要顯示的列。

報告

報告對於查看您的Microsoft 365環境的當前狀態和統計數據很有用。在Office 365安全與合規管理中心的導航窗格中,點擊報告 > 儀表板查看帶有圖表和圖形的儀表板。

在此頁面上,您可以看到包括以下內容的摘要:

  • 最近可供下載的報告
  • 前5個標籤
  • 過去90天內的標籤趨勢
  • 標籤應用的方式
  • 被歸類為記錄的標籤
  • Exchange傳輸規則
  • 威脅防護狀態
  • 電子郵件中檢測到的惡意軟件
  • 頂級惡意軟件
  • 頂級發送者和接收者
  • 欺騙檢測
  • 垃圾郵件檢測
  • 受損用戶
  • 發送和接收的電子郵件
  • 監督
  • 轉發報告
  • 連接器報告
  • 加密報告

將滑鼠懸停在圖表上以查看更多資訊。點擊所需的圖表或圖形以全螢幕模式打開並查看詳細資訊。點擊詐騙偵測後,將顯示一份詳細的詐騙郵件報告。

預設情況下,圖表和圖形上顯示的是7天的時間範圍,但可以在設置中將此時間範圍增加到最多90天。Microsoft 365 with Advanced Threat Protection的試用用戶可以在報告中查看最多30天的數據。

結論

Office 365 Advanced Threat Protection與其他Microsoft 365服務(如OneDrive、SharePoint Online、Exchange Online、SharePoint Online和其他服務)集成。ATP幫助您保護電子郵件免受各種安全威脅,如惡意鏈接、病毒和惡意軟件。

然而,為了實現更高級別的數據保護,您應該使用專門的解決方案(如NAKIVO Backup & Replication)備份所有Microsoft Office 365數據。NAKIVO解決方案允許您創建Microsoft 365數據的增量備份,並提供靈活的按時間點恢復。

Source:
https://www.nakivo.com/blog/microsoft-office-365-advanced-threat-protection-overview/