Migliorare Exchange Online Protection con Microsoft Defender per Office 365
- 5 minuti
I servizi Microsoft 365 forniscono per la protezione della posta elettronica contro gli attacchi di spoofing e phishing, posta indesiderata e software dannoso con Exchange Online Protection (EOP). EOP fornisce la sicurezza della posta elettronica tramite una combinazione di tecniche, tra cui:
- Reputazione di IP e URL
- reputazione del dominio
- filtro posta indesiderata
- filtro software dannoso
- filtro contenuti
- filtro connessioni
- Spoof intelligence
Tutte le organizzazioni di Microsoft 365 includono EOP se dispongono di cassette postali Exchange Online. EOP è disponibile anche come prodotto autonomo per proteggere le cassette postali locali e in ambienti ibridi per proteggere le cassette postali di Exchange locali. Per altre informazioni, vedere Exchange Online Protection autonomo.
Come funziona Exchange Online Protection
Il grafico seguente mostra come EOP elabora la posta elettronica in arrivo:
- Quando la posta in arrivo entra in EOP, passa inizialmente attraverso il filtro connessioni, che verifica la reputazione del mittente. EOP arresta la maggior parte della posta indesiderata a questo punto e rifiuta il messaggio. Per ulteriori informazioni, vedere Configurare il filtraggio delle connessioni.
- EOP controlla quindi la presenza di malware nel messaggio. Se EOP trova malware nel messaggio o negli allegati, invia il messaggio in quarantena. Per impostazione predefinita, solo gli amministratori possono visualizzare e interagire con i messaggi di software dannoso in quarantena. Tuttavia, gli amministratori possono creare e usare criteri di quarantena per specificare le operazioni che gli utenti possono eseguire per i messaggi in quarantena. Per altre informazioni sulla protezione contro il software dannoso, vedere Protezione antimalware in EOP.
- Il messaggio prosegue attraverso il filtro criteri. EOP lo valuta rispetto alle regole del flusso di posta (note anche come regole di trasporto) create. Ad esempio, una regola può inviare una notifica a un responsabile quando arriva un messaggio da un mittente specifico.
- In un'organizzazione locale con Exchange Enterprise CAL con licenze di servizi, anche i controlli in EOP di Prevenzione della perdita dei dati Microsoft Purview avvengono in questa fase.
- Il messaggio passa attraverso il filtro del contenuto (anti-posta indesiderata e anti-spoofing), che identificano i messaggi dannosi come uno dei seguenti:
- posta indesiderata
- posta indesiderata con alta confidenza
- phishing
- messaggio di phishing altamente riservato
- bulk (criteri di protezione dalla posta indesiderata)
- spoofing (impostazioni di spoofing nei criteri anti-phishing)
- È possibile configurare l'azione da eseguire in base al messaggio:
- il verdetto del filtro (quarantena, sposta nella cartella Posta indesiderata e così via)
- che gli utenti possono fare con i messaggi in quarantena usando i criteri di quarantena.
EOP invia un messaggio che passa correttamente ogni livello di protezione ai destinatari.
Letture aggiuntive. Per altre informazioni, vedere Configurare i criteri di protezione dalla posta indesiderata e Configurare i criteri anti-phishing in EOP.
Estensione della funzionalità EOP con Microsoft Defender per Office 365
Poiché gli hacker di tutto il mondo sferrano attacchi sempre più sofisticati, le organizzazioni hanno bisogno di strumenti che forniscano una protezione aggiuntiva. Un tipico attacco è costituito da due parti:
- Un attacco zero-day (software dannoso con firme sconosciute).
- Un periodo di attacco prolungato.
Le soluzioni antivirus/antispam tradizionali non sono in grado di proteggere da un attacco zero-day, il che significa che gli attacchi possono passare inosservati.
Importante
La soluzione più efficiente per la sicurezza della posta elettronica in Microsoft 365 è quella di estendere la protezione fornita da EOP abilitando Microsoft Defender per Office 365 nel tenant.
Microsoft Defender per Office 365 è una raccolta di funzionalità progettate per contrastare le minacce mirate avanzate, ad esempio:
- attacchi malware zero-day
- alcuni tipi di campagne di phishing
- URL dannosi incorporati nella posta elettronica e nei documenti
I criteri Microsoft Defender per Office 365 definiti da un'organizzazione determinano il comportamento e il livello di protezione per le minacce predefinite. Le opzioni dei criteri offrono un'estrema flessibilità. Ad esempio, il team di sicurezza di un'organizzazione può impostare la protezione dalle minacce con granularità fine a livello di utente, organizzazione, destinatario e dominio. È importante rivedere regolarmente i criteri in quanto ogni giorno emergono nuove minacce e sfide.
Le funzionalità principali di Microsoft Defender per Office 365 includono:
Allegati sicuri. Protegge dagli allegati dannosi zero-day aprendo un allegato sospetto e sconosciuto in un ambiente hypervisor speciale e verificando la presenza di attività dannose. Rileva gli allegati dannosi anche prima che siano disponibili firme antivirus.
Collegamenti sicuri. Fornisce la protezione time-of-click, che impedisce agli utenti di accedere a siti Web dannosi e a truffe di phishing quando selezionano collegamenti nei messaggi di posta elettronica e nei documenti.
Spoof intelligence. Rileva quando un mittente sembra inviare posta per conto di uno o più account utente all'interno di uno dei domini dell'organizzazione. Consente di esaminare tutti i mittenti che stanno effettuando lo spoofing del dominio. È quindi possibile scegliere se consentire al mittente di continuare o bloccare il mittente. Spoof intelligence è disponibile nel portale di Microsoft Defender nella pagina Impostazioni di protezione dalla posta indesiderata (Email & criteri di collaborazione > & regole > Criteri > di minaccia Protezione dalla posta indesiderata nella sezione Criteri**)**
Quarantena. EOP invia messaggi alla quarantena che identifica come:
- posta indesiderata
- Posta inviata in massa
- messaggi di posta elettronica di phishing
- contenente software dannoso
- corrispondono a una regola del flusso di posta
Per impostazione predefinita, Microsoft 365 invia i messaggi di phishing e i messaggi contenenti software dannoso direttamente in quarantena. Gli utenti autorizzati possono esaminare, eliminare o gestire i messaggi di posta elettronica inviati in quarantena.
Criteri anti-phishing. Applica una serie di modelli di apprendimento automatico insieme ad algoritmi di rilevamento di rappresentazione ai messaggi in arrivo. Questo processo fornisce protezione dagli attacchi di commodity e spear phishing. Tutti i messaggi sono soggetti a un ampio set di modelli di Machine Learning che rilevano i messaggi di phishing. Sono inoltre soggetti a una serie di algoritmi avanzati usati per proteggersi da vari attacchi di rappresentazione di utenti e domini. Le funzionalità anti-phishing all'interno Microsoft Defender per Office 365 proteggere l'organizzazione in base ai criteri impostati dagli amministratori di Microsoft 365 Global o Security.
Il grafico seguente mostra EOP e le principali funzionalità di Microsoft Defender per Office 365 contro le minacce in ingresso tramite posta elettronica.
Diagramma che mostra come Exchange Online Protection agisce contro le minacce in ingresso tramite la posta elettronica.">
Microsoft Defender per Office 365 Piano 1 e Piano 2
Per Microsoft Defender per Office 365 sono disponibili due piani. La tabella seguente riepiloga le funzionalità di ogni piano.
| Defender per Office 365 Piano 1 | Defender per Office 365 Piano 2 |
|---|---|
| Funzionalità di configurazione, protezione e rilevamento: - Allegati sicuri - Collegamenti sicuri - Allegati sicuri per SharePoint, OneDrive e Microsoft Teams - Protezione anti-phishing in Defender per Office 365 - Rilevamenti in tempo reale |
Funzionalità di Defender per Office 365 Piano 1 --- più --- Funzionalità di automazione, analisi, correzione e formazione: - Tracker delle minacce - Esplora minacce - Indagine e reazione automatizzati - Formazione con simulazione degli attacchi - Cercare in modo proattivo le minacce con ricerca avanzata in Microsoft Defender XDR - Analizzare gli eventi imprevisti in Microsoft Defender XDR - Analizzare gli avvisi in Microsoft Defender XDR Nota: Microsoft 365 Defender è ora Microsoft Defender XDR (rilevamento esteso e risposta). |
Usare le funzionalità di analisi e risposta alle minacce
Microsoft Defender per Office 365 Piano 2 include i migliori strumenti di indagine e reazione alle minacce. Queste funzionalità consentono al team di sicurezza dell'organizzazione di anticipare, comprendere e prevenire gli attacchi dannosi.
- Tracker delle minacce. Forniscono le ultime informazioni sui problemi di sicurezza informatica prevalenti. Ad esempio, consentono di visualizzare informazioni sull'ultima versione del malware e adottare contromisure prima che diventi una minaccia effettiva per l'organizzazione. I tracker disponibili includono Tracker degni di nota, Tracker di tendenza, Query registrate e Query salvate.
- Esplora minacce. Fornisce report in tempo reale che consentono di identificare e analizzare le minacce recenti. È possibile configurare Explorer per visualizzare dati per periodi personalizzati.
- Formazione con simulazione degli attacchi. Consente di eseguire scenari di attacco realistici all'interno dell'organizzazione per identificare le vulnerabilità. Sono disponibili simulazioni degli attuali tipi di attacchi. Gli scenari di simulazione includono attacchi di tipo spear phishing, di raccolta credenziali e allegati, nonché attacchi di tipo password spraying e brute force.
Verifica delle conoscenze
Scegliere la risposta migliore per ognuna delle domande seguenti.