Защита по умолчанию в Office 365
Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
"Безопасный по умолчанию" — это термин, используемый для определения параметров по умолчанию, которые являются наиболее безопасными насколько это возможно.
Однако безопасность должна быть сбалансирована с производительностью. Это может включать балансировку между:
- Удобство использования. Параметры не должны ставить под вопрос производительность пользователей.
- Риск. Безопасность может блокировать важные действия.
- Устаревшие параметры. Некоторые конфигурации для более старых продуктов и компонентов, возможно, потребуется сохранить по бизнес-причинам, даже если новые, современные параметры улучшены.
Организации Microsoft 365 с почтовыми ящиками в Exchange Online защищены Exchange Online Protection (EOP). Эта защита включает в себя:
- Email с подозреваемыми вредоносными программами автоматически помещаются в карантин. Уведомление получателей о сообщениях вредоносных программ в карантине определяется политикой карантина и параметрами политики защиты от вредоносных программ. Дополнительные сведения см. в разделе Настройка политик защиты от вредоносных программ в EOP.
- Email, помеченные как фишинг с высокой достоверностью, будут обрабатываться в соответствии с действием политики защиты от нежелательной почты. См . раздел Настройка политик защиты от нежелательной почты в EOP.
Дополнительные сведения об EOP см. в разделе общие сведения о Exchange Online Protection.
Так как корпорация Майкрософт хочет обеспечить безопасность наших клиентов по умолчанию, некоторые переопределения клиентов не применяются для вредоносных программ или фишинга с высокой достоверностью. Эти переопределения включают:
- Списки разрешенных отправителей или списки разрешенных доменов (политики защиты от нежелательной почты)
- Безопасные отправители Outlook
- Список разрешенных IP-адресов (фильтрация подключений)
- Правила потока обработки почты exchange (также известные как правила транспорта)
Если вы хотите временно разрешить определенные сообщения, которые по-прежнему заблокированы корпорацией Майкрософт, сделайте это с помощью отправки администратора.
Дополнительные сведения об этих переопределениях см. в статье Создание списков надежных отправителей.
Примечание.
Мы не рекомендуем использовать действие Переместить сообщение в папку нежелательной Email для вердикта электронной почты с высокой степенью достоверности в политиках защиты от нежелательной почты EOP. Политики защиты от нежелательной почты, использующие это действие для фишинговых сообщений с высокой степенью достоверности, будут преобразованы в сообщение карантина. Действие Перенаправление сообщения на адрес электронной почты для фишинговых сообщений с высокой степенью достоверности не затрагивается.
Безопасность по умолчанию не является параметром, который можно включить или отключить, но это способ, которым наша фильтрация работает по умолчанию, чтобы сохранить потенциально опасные или нежелательные сообщения из ваших почтовых ящиков. Вредоносные и фишинговые сообщения с высокой степенью достоверности должны быть помещены в карантин. По умолчанию только администраторы могут управлять сообщениями, помещенными в карантин как вредоносные программы или фишинг с высокой степенью достоверности, а также сообщать о ложных срабатываниях в корпорацию Майкрософт оттуда. Дополнительные сведения см. в разделе Управление сообщениями и файлами на карантине в качестве администратора в EOP.
Дополнительные сведения о том, почему мы делаем это
Дух обеспечения безопасности по умолчанию заключается в том, что мы выполняем те же действия с сообщением, что вы бы знали, что сообщение является вредоносным, даже если настроенное исключение в противном случае разрешает доставку сообщения. Это тот же подход, который мы всегда использовали для вредоносных программ, и теперь мы расширяем это же поведение для фишинговых сообщений с высокой степенью достоверности.
Наши данные указывают на то, что пользователь в 30 раз чаще щелкает вредоносную ссылку в сообщениях в папке "Нежелательная Email" по сравнению с карантином. Наши данные также указывают на то, что частота ложноположительных результатов (хорошие сообщения, помеченные как плохие) для фишинговых сообщений с высокой достоверностью очень низкая, и администраторы могут устранять любые ложные срабатывания с помощью отправки администратором.
Мы также определили, что список разрешенных отправителей и разрешенных доменов в политиках защиты от нежелательной почты и безопасных отправителей в Outlook слишком широк и причиняет больше вреда, чем пользы.
Иными словами, мы, как служба безопасности, действуем от вашего имени, чтобы предотвратить компрометацию пользователей.
Исключения
Рекомендуется использовать переопределения только в следующих сценариях:
- Имитация фишинга. Имитация атак помогает выявить уязвимых пользователей до того, как реальная атака повлияет на вашу организацию. Чтобы предотвратить фильтрацию фишинговых сообщений имитации, см. статью Настройка сторонних симуляций фишинга в расширенной политике доставки.
- Почтовые ящики security/SecOps: выделенные почтовые ящики, используемые командами безопасности для получения нефильтрованных сообщений (как хороших, так и плохих). Затем Команды могут проверить, содержат ли они вредоносное содержимое. Дополнительные сведения см. в разделе Настройка почтовых ящиков SecOps в расширенной политике доставки.
- Сторонние фильтры. Защита по умолчанию применяется только в том случае, если запись MX для вашего домена указывает на Microsoft 365 (contoso.mail.protection.outlook.com). Если запись MX для вашего домена указывает на другую службу или устройство перед доставкой почты в Microsoft 365, следующие методы могут привести к доставке сообщений, обнаруженных как фишинг с высокой достоверностью с помощью фильтрации нежелательной почты Microsoft 365 в папки "Входящие":
- Правила обмена потоками почты для обхода фильтрации нежелательной почты.
- Отправители, указанные в списке надежных отправителей в почтовых ящиках пользователей.
- Разрешить записи в списке разрешенных и заблокированных клиентов.
- Отправители, указанные в списке разрешенных отправителей и в списке разрешенных доменов в политиках защиты от нежелательной почты.
- Ложные срабатывания. Чтобы временно разрешить определенные сообщения, которые по-прежнему заблокированы корпорацией Майкрософт, используйте отправку администратора. По умолчанию разрешены записи для доменов и адресов электронной почты, файлов и URL-адресов в течение 30 дней. В течение этих 30 дней корпорация Майкрософт учится на разрешенных записях и удаляет их или автоматически расширяет их. По умолчанию срок действия записей для подделанных отправителей не истечет.