Новые политики оповещений в Microsoft Defender для Office 365

В Microsoft Defender для Office 365 появятся новые улучшенные политики оповещений, связанные с обнаружениями после доставки. К ним относятся улучшения для связанных сценариев Автоматического исследования и реагирования. Кроме того, будет изменена классификация уровней серьезности для шести политик оповещений по умолчанию, чтобы обеспечить более полное соответствие оповещений, создаваемых этими политиками, их влиянию на вашу организацию.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Обнаружения после доставки

После того, как автоматическая очистка Microsoft Defender для Office 365 удалит сообщения из папки "Входящие", будут внедрены четыре новые политики оповещений по умолчанию, связанные с обнаружениями после доставки. Эти четыре новые политики оповещений заменят две действующие политики оповещений по умолчанию, охватывающие сценарии автоматической очистки. Они предоставят организациям расширенные сведения о базовом обнаружении и связанных с ним показателях. Эти оповещения (включая сценарии Автоматического исследования и реагирования, которые запускаются из этих оповещений) точно отслеживают угрозы электронных сообщений и сущностей, в том числе, если URL-адрес указывает на вредоносный файл или если файл содержит вредоносный URL-адрес.

В следующей таблице указаны новые политики оповещений и действующие политики оповещений, которые будут удалены. Дополнительные сведения о развертывании см. в разделе Как это повлияет на вашу организацию.

Новая или действующая политика оповещения Имя политики оповещения Идентификатор политики оповещения
Новая Сообщения электронной почты, содержащие вредоносный URL-адрес, удалены после доставки 8e6ba277-ef39-404e-aaf1-294f6d9a2b88
Новая Сообщения электронной почты, содержащие вредоносный файл, удалены после доставки 4b1820ec-39dc-45f3-abf6-5ee80df51fd2
Новая Сообщения электронной почты из кампании доставлены и затем удалены c8522cbb-9368-4e25-4ee9-08d8d899dfab
Новое Сообщения электронной почты удаляются после доставки b8f6b088-5487-4c70-037c-08d8d71a43fe
Действует (будет удалена) Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки EA8169FA-0678-4751-8854-AEBEA7ADECEB
Действует (будет удалена) Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки 0179B3F7-3FDA-40C3-8F24-278563978DBB

Улучшения уровней серьезности оповещений

В следующей таблице указаны политики оповещений по умолчанию, для которых изменена классификация уровней серьезности. Мы изменили классификацию уровней серьезности для этих политик оповещений, чтобы обеспечить их более полное соответствие потенциальному риску и влиянию на вашу организацию, а также помочь вашим группам безопасности определить наиболее важные оповещения, создаваемые этими политиками.

Оповещение Идентификатор политики оповещения Старый уровень серьезности Новый уровень серьезности
Подозрительные действия по пересылке сообщений электронной почты BFD48F06-0865-41A6-85FF-ADB746423EBF Средняя Высокая
Сообщение электронной почты, указанное пользователем как вредоносная программа или фишинг B26A5770-0C38-434A-9380-3A3C2C27BBB3 Информационный Низкий
Необычное увеличение количества сообщений электронной почты, указанных как фишинг A00D8C62-9320-4EEA-A7E5-966B9AC09558 Высокий Средний
Выполнен результат отправки администратором AE9B83DD-6039-4EA9-B675-6B0AC3BF4A41 Низкий Информационный
Создание правила пересылки или перенаправления D59A8FD4-1272-41EE-9408-86F7BCF72479 Низкий Информационный
Запущен поиск для обнаружения электронных данных или экспортированы его результаты 6FDC5710-3998-47F0-AFBB-57CEFD7378A Средний Информационный

Дата вступления этих изменений в силу

В следующей таблице указано, когда новые политики оповещений начнут инициировать оповещения после доставки. В таблице также указана дата удаления двух действующих политик оповещений.

Политика оповещения Дата
Сообщения электронной почты, содержащие вредоносный URL-адрес, удалены после доставки (новая) Эти оповещения будут активированы 11 апреля 2021 г.
Сообщения электронной почты, содержащие вредоносный файл, удалены после доставки (новая) Эти оповещения будут активированы 11 апреля 2021 г.
Сообщения электронной почты из кампании доставлены и затем удалены (новая) Эти оповещения будут активированы 28 мая 2021 г.
Вредоносные сообщения доставлены и затем удалены (новая) Эти оповещения будут активированы 28 мая 2021 г.
Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки (действует, будет удалена) Политика оповещений была удалена в июне 2021 г. См. раздел Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям.
Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки (действует, будет удалена) Политика оповещений была удалена в июне 2021 г. См. раздел Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям.

Изменения уровня серьезности оповещений вступят в силу для всех организаций 14 мая 2021 г.

Как это повлияет на вашу организацию

Новые оповещения начнут срабатывать и запускать Автоматическое исследование и реагирование в вашей организации в указанные выше даты. Чтобы снизить влияние на организации безопасности, которые ввели в эксплуатацию два предупреждения, которые должны быть удалены, вы увидите оповещения, активируемые существующими политиками оповещений , и оповещения, активируемые новыми политиками оповещений в период с 5 апреля 2021 г. по 28 мая 2021 г. Это делается для того, чтобы предоставить группам безопасности время для обработки необходимых изменений. Чтобы помочь группам безопасности справиться с возросшим объемом оповещений в течение этого короткого периода времени, как действующие, так и новые оповещения будут сопоставлены в одном и том же Автоматическом исследовании и реагировании и одном и том же инциденте. Если говорить более конкретно, это включает следующее поведение для Автоматического исследования и реагирования, оповещений и инцидентов:

  • Оповещения. По умолчанию вы увидите следующие пары оповещений для существующих и новых оповещений:

    • Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки И Сообщения электронной почты, содержащие вредоносные URL-адреса, удалены после доставки

    • Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки И Сообщения электронной почты, содержащие вредоносные файлы, удалены после доставки

    Пары новых и существующих оповещений.

    Дополнительные сведения об управлении этими парами оповещений см. в разделе Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям.

  • Автоматическое исследование и реагирование. Оповещения будут сопоставлены в едином Автоматическом исследовании и реагировании, причем одно из оповещений будет классифицировано как "инициирующее", а другое как "повторяющееся".

    Пары оповещений в Автоматическом исследовании и реагировании.

  • Инциденты. Оба оповещения будут сопоставлены в одном инциденте

    Пары оповещений в инцидентах.

Действия, которые нужно выполнить, чтобы подготовиться к этим изменениям

То, как ваша организация использует эти оповещения, определит действия, которые нужно выполнить для подготовки к изменениям. Если вы ввели оповещения в эксплуатацию и используете или используете их с помощью API, уведомления по электронной почте об оповещении, на Портал соответствия требованиям Microsoft Purview или на портале Microsoft Defender, вам потребуется изменить рабочие процессы.

Если вы еще не активировали эти оповещения, вы можете выполнить одно из следующих действий:

  • Отключите следующие политики оповещений (которые будут удалены), чтобы уменьшить количество оповещений в вашей организации:

    • Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки

    • Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки

  • Ничего не предпринимать. Существующие политики оповещений будут отключены 28 мая 2021 г.

Если эти оповещения активированы:

  • Начните использовать новые оповещения как часть рабочих процессов в связи с предстоящим удалением действующей политики оповещения 28 мая 2021 г. Если у вас есть пользовательская логика в системе обработки билетов, почтовый ящик безопасности, в котором вы получаете оповещение Уведомления по электронной почте, или решение SIEM, которое зависит от имени оповещения или идентификатора политики оповещения (CorrelationId), необходимо изменить логику, чтобы учесть это изменение.

    Примечание.

    Сведения в оповещениях, исследованиях и инцидентах не изменились. Более того, эти сведения были дополнены подробностями о связанных угрозах.

  • После внесения изменений вы можете отключить действующие политики оповещений, чтобы уменьшить количество оповещений в вашей организации:

    • Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки

    • Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки

    Можно также оставить эти политики оповещений включенными до тех пор, пока они не будут удалены 28 мая 2021 г.