Esaminare i criteri e le regole di sicurezza usati in Microsoft Defender per Office 365

Microsoft Defender per Office 365 è un servizio basato sul cloud che offre protezione per le piattaforme di posta elettronica e collaborazione. Consente alle organizzazioni di prevenire, rilevare e rispondere a minacce come phishing, malware, ransomware e rappresentazione. Questo training esamina le regole e i criteri che regolano le funzionalità di sicurezza in Microsoft Defender per Office 365, inclusi i criteri di sicurezza predefiniti, i criteri personalizzati e la protezione di nuova generazione.

Criteri di sicurezza predefiniti

I criteri di sicurezza predefiniti sono set predefiniti di regole che si applicano a scenari di sicurezza specifici. Sono progettati per consentire alle organizzazioni di abilitare rapidamente e facilmente le impostazioni di sicurezza consigliate da Microsoft. È possibile scegliere tra i criteri di sicurezza predefiniti seguenti:

• Protezione anti-phishing. Questo criterio consente di proteggere gli utenti da attacchi di phishing che usano spoofing, rappresentazione o errori di autenticazione del dominio. Usa l'apprendimento automatico e la reputazione del mittente per identificare e bloccare i messaggi di posta elettronica di phishing. Consente inoltre di specificare gli utenti o i domini da proteggere o escludere dalla protezione.
• Protezione antimalware. Questo criterio consente di proteggere gli utenti da attacchi malware che usano allegati o collegamenti dannosi. Usa il rilevamento basato su firma ed euristica per identificare e bloccare i messaggi di posta elettronica malware. Consente inoltre di specificare l'azione da intraprendere sui messaggi di posta elettronica malware, ad esempio l'eliminazione, la quarantena o la sostituzione dell'allegato.
• Protezione degli allegati sicuri. Questo criterio consente di proteggere gli utenti da attacchi malware sconosciuti o zero-day che usano tecniche avanzate per eludere il rilevamento. Usa l'analisi dinamica, la detonazione e il sandboxing per analizzare gli allegati in un ambiente sicuro e bloccare qualsiasi comportamento dannoso. Consente inoltre di specificare gli utenti o i gruppi a cui si desidera applicare questo criterio e l'azione da intraprendere per gli allegati non sicuri, ad esempio il blocco, la sostituzione o il monitoraggio.
• Protezione dei collegamenti sicuri. Questo criterio consente di proteggere gli utenti da collegamenti dannosi che puntano a siti di phishing o malware. Usa l'analisi in tempo reale, la verifica del tempo di clic e la traccia degli URL per controllare i collegamenti nei messaggi di posta elettronica e bloccare qualsiasi reindirizzamento dannoso. Consente inoltre di specificare gli utenti o i gruppi a cui si desidera applicare questo criterio e i domini a cui si vuole includere o escludere dalla protezione.
• Protezione dalla posta indesiderata. Questo criterio consente di proteggere gli utenti da messaggi di posta elettronica indesiderati o non richiesti che potrebbero contenere posta indesiderata, phishing o malware. Usa la reputazione del mittente, il filtro dei contenuti e il livello di attendibilità della posta indesiderata per identificare e bloccare i messaggi di posta indesiderata. Consente inoltre di specificare l'azione da intraprendere sui messaggi di posta indesiderata, ad esempio l'eliminazione, il passaggio alla posta indesiderata o l'aggiunta di un prefisso all'oggetto.

Per usare i criteri di sicurezza predefiniti, un'organizzazione deve assegnarli agli utenti o ai gruppi che vuole proteggere. Può anche modificare le impostazioni dei criteri di sicurezza predefiniti per soddisfare le proprie esigenze.

Criteri personalizzati

I criteri personalizzati sono set di regole definiti dall'utente che si applicano a scenari di sicurezza specifici. Sono progettati per aiutare le organizzazioni a creare e gestire le proprie impostazioni di sicurezza personalizzate. È possibile creare criteri personalizzati per le funzionalità di sicurezza seguenti:

• Criteri di minaccia. Questi criteri consentono di configurare le azioni e le notifiche per diversi tipi di minacce, ad esempio phishing, malware, posta indesiderata o phishing ad alta attendibilità. È possibile creare regole personalizzate in base al mittente, al destinatario, all'oggetto, all'intestazione, all'allegato o al contenuto dei messaggi di posta elettronica. È anche possibile specificare l'azione da eseguire sui messaggi corrispondenti, ad esempio il blocco, il reindirizzamento o la modifica. È possibile configurare le notifiche da inviare al mittente, al destinatario o all'amministratore quando viene attivata una regola.
• Regole del flusso di posta. Queste regole consentono di controllare il flusso dei messaggi di posta elettronica nell'organizzazione, ad esempio il blocco, il reindirizzamento o la modifica dei messaggi in base a determinate condizioni. È possibile creare regole personalizzate in base al mittente, al destinatario, all'oggetto, all'intestazione, all'allegato o al contenuto dei messaggi di posta elettronica. È anche possibile specificare l'azione da eseguire sui messaggi corrispondenti, ad esempio il blocco, il reindirizzamento o la modifica. È possibile configurare le eccezioni e i log di controllo per le regole.
• Criteri di posta indesiderata in uscita. Questi criteri consentono di impedire agli utenti di inviare messaggi di posta indesiderata o in blocco che potrebbero danneggiare la reputazione o violare le condizioni del servizio. È possibile creare criteri personalizzati in base al mittente, al destinatario, all'oggetto, all'intestazione, all'allegato o al contenuto dei messaggi di posta elettronica. È anche possibile specificare l'azione da eseguire sui messaggi corrispondenti, ad esempio il blocco, il reindirizzamento o la modifica. È possibile configurare le soglie e le notifiche per i criteri.
• Criteri anti-phishing atp. Questi criteri consentono di proteggere gli utenti da attacchi di phishing avanzati che usano Machine Learning, rappresentazione o spoofing. È possibile creare criteri personalizzati in base al mittente, al destinatario, all'oggetto, all'intestazione, all'allegato o al contenuto dei messaggi di posta elettronica. È anche possibile specificare l'azione da eseguire sui messaggi corrispondenti, ad esempio il blocco, il reindirizzamento o la modifica. È possibile configurare le impostazioni di rappresentazione, ad esempio gli utenti o i domini che si desidera proteggere o escludere dalla protezione e l'azione da intraprendere sui messaggi di posta elettronica di rappresentazione.
• Criteri di allegati sicuri ATP. Questi criteri consentono di proteggere gli utenti da attacchi malware avanzati che usano l'analisi dinamica, la detonazione o il sandboxing. È possibile creare criteri personalizzati in base al mittente, al destinatario, all'oggetto, all'intestazione, all'allegato o al contenuto dei messaggi di posta elettronica. È anche possibile specificare l'azione da eseguire sui messaggi corrispondenti, ad esempio il blocco, il reindirizzamento o la modifica. È possibile configurare le impostazioni degli allegati sicuri, ad esempio gli utenti o i gruppi a cui si desidera applicare questo criterio e l'azione da intraprendere per gli allegati non sicuri, ad esempio il blocco, la sostituzione o il monitoraggio.
• Criteri di collegamento sicuro atp. Questi criteri consentono di proteggere gli utenti da collegamenti dannosi avanzati che usano l'analisi in tempo reale, la verifica del tempo di clic o la traccia url. È possibile creare criteri personalizzati in base al mittente, al destinatario, all'oggetto, all'intestazione, all'allegato o al contenuto dei messaggi di posta elettronica. È anche possibile specificare l'azione da eseguire sui messaggi corrispondenti, ad esempio il blocco, il reindirizzamento o la modifica. È possibile configurare le impostazioni dei collegamenti sicuri, ad esempio gli utenti o i gruppi a cui si desidera applicare questo criterio e i domini a cui si vuole includere o escludere dalla protezione.

Per usare criteri personalizzati, un'organizzazione deve crearli nella Portale di conformità di Microsoft Purview o nell'interfaccia di amministrazione di Exchange. Può anche assegnarli agli utenti o ai gruppi che vuole proteggere.

Protezione di nuova generazione

Next-Generation Protection è un set di funzionalità di sicurezza avanzate che usano l'intelligenza artificiale, l'apprendimento automatico e l'analisi basata sul cloud per offrire una protezione avanzata per le piattaforme di posta elettronica e collaborazione di un'organizzazione. Tali caratteristiche includono:

• Simulatore di attacco. Questa funzionalità consente di testare la resilienza degli utenti agli attacchi di phishing, spray password o forza bruta. È possibile eseguire campagne simulate e monitorare i risultati per identificare ed educare gli utenti vulnerabili. È possibile scegliere tra modelli diversi o creare scenari personalizzati. È anche possibile tenere traccia dello stato di avanzamento e del risultato delle campagne, ad esempio il numero di utenti che hanno aperto, fatto clic o inviato le credenziali.
• Esplora minacce. Questa funzionalità consente di analizzare e rispondere agli eventi imprevisti di sicurezza nell'organizzazione. È possibile visualizzare i dettagli delle minacce, ad esempio il mittente, il destinatario, l'oggetto, l'allegato o l'URL. È anche possibile eseguire azioni, ad esempio l'eliminazione, la quarantena o la segnalazione delle minacce. È possibile cercare minacce specifiche, filtrare in base a data, gravità o categoria ed esportare i risultati in un file CSV.
• Monitoraggio delle minacce. I tracker delle minacce sono dashboard interattivi che consentono di monitorare le tendenze e i modelli delle minacce nell'organizzazione. È possibile visualizzare il riepilogo, i dettagli e le raccomandazioni per diversi tipi di minacce, ad esempio malware, phishing o rappresentazione. È anche possibile eseguire il drill-down dei dati, ad esempio i mittenti, i destinatari o i domini principali. È possibile sottoscrivere i tracker per ricevere avvisi e aggiornamenti tramite posta elettronica.
• Intelligence sulle minacce. Questo servizio offre l'accesso ai dati sulle minacce e alle informazioni dettagliate più recenti di Microsoft e di altre origini. È possibile usare queste informazioni per comprendere il panorama delle minacce, valutare il livello di rischio e migliorare il comportamento di sicurezza. È anche possibile creare indicatori personalizzati, ad esempio gli indirizzi IP, i domini o gli URL che si desidera monitorare o bloccare. È possibile integrare i dati di Intelligence sulle minacce con altri strumenti di sicurezza, ad esempio Microsoft 365 Defender, Azure Sentinel o Power BI.
• Rapporto sullo stato di Protezione dalle minacce. Questo report consente di misurare e migliorare l'efficacia delle funzionalità di sicurezza in Microsoft Defender per Office 365. È possibile visualizzare le metriche, le tendenze e i confronti delle prestazioni e della copertura della sicurezza. È anche possibile visualizzare l'effetto dei criteri di sicurezza, ad esempio il numero di messaggi bloccati, consentiti o modificati. È possibile personalizzare il report selezionando l'intervallo di tempo, l'origine dati o il filtro.

Per usare La protezione di nuova generazione, un'organizzazione deve avere Microsoft Defender per Office 365 licenza piano 2 o Microsoft 365 E5. Può accedere a queste funzionalità nel Portale di conformità di Microsoft Purview o nel portale di Microsoft Defender.