NAKIVO > Blog

Microsoft 365 Advanced Threat Protection: panoramica completa

Pubblicato: Giugno 1, 2020

Written by: NAKIVO Team

Al giorno d’oggi esistono innumerevoli minacce che possono portare a violazioni della sicurezza e alla conseguente perdita di dati. Nel 2021, le e-mail di spam e phishing sono state il metodo di diffusione più comune che ha portato a infezioni da ransomware . Cercare di rilevare e scoraggiare manualmente gli attacchi dannosi è un compito impossibile. Tuttavia, per le applicazioni e i servizi di Office 365, Microsoft offre una suite di strumenti di rilevamento e risposta per automatizzare e semplificare la sicurezza.

Office 365 Advanced Threat Protection (ATP), che da settembre 2020 è diventato Microsoft Defender per Office 365, è una raccolta di strumenti dedicati alla prevenzione delle minacce online. I diversi criteri e regole consentono di proteggere gli ambienti on-premise e cloud filtrando le comunicazioni in entrata e in uscita e verificando altri contenuti condivisi.

Backup for Microsoft 365 Data

Backup for Microsoft 365 Data

Use the NAKIVO solution to back up Microsoft 365 data in Exchange Online, Teams, OneDrive and SharePoint Online for uninterrupted workflows and zero downtime.

DISCOVER SOLUTION

Che cos’è Advanced Threat Protection?

Office 365 Advanced Threat Protection (ATP) è un servizio di filtraggio basato sul cloud per la prevenzione e il rilevamento delle minacce informatiche. ATP può proteggere la tua organizzazione da virus e altri malware, inclusi gli attacchi zero-day, che vengono diffusi tramite i servizi di Office 365. ATP è in grado di riconoscere i virus più recenti e le minacce complesse non identificate che non sono ancora state studiate e che non possono essere riconosciute nemmeno dalla maggior parte degli antivirus con i database delle firme dei virus più recenti.

Come funziona la protezione avanzata dalle minacce di Office 365

La protezione avanzata dalle minacce di Office 365 si basa su criteri che devono essere configurati da un amministratore di sistema. ATP filtra i dati, i comportamenti sospetti e altri parametri a livello di organizzazione, dominio, utente e destinatario.

Office 365 Advanced Threat Protection può funzionare in integrazione con Exchange Online Protection (EOP) e Office 365 Threat Intelligence. L’utilizzo di ATP nel cloud consente di alleggerire i server di posta e i sistemi di protezione sui server di posta, compresi i server on-premise. Si sconsiglia di disattivare Office 365 Advanced Threat Protection anche se si utilizzano altri strumenti come EOP.

Office 365 Advanced Threat Protection is integrated with other Office 365 services

Advanced Threat Protection può proteggere gli allegati e-mail, i collegamenti e i file caricati dagli utenti su OneDrive for Business, SharePoint Online e Teams. Inoltre, ATP è in grado di rilevare collegamenti a siti Web di phishing, siti con codice malware caricato e la presenza di codice dannoso nei file scaricati/caricati. Le funzionalità di tracciamento degli URL possono aiutarti a bloccare potenziali origini di minacce e a comprenderne la natura e l’origine.

The working principle of Office 365 Advanced Threat Protection

Funzionalità di Advanced Threat Protection

Office 365 Advanced Threat Protection contiene molte funzioni utili per proteggere i tuoi dati quando utilizzi i servizi di Office 365. Esaminiamo queste funzioni in dettaglio.

Criteri

I criteri determinano il livello di protezione e la risposta alle minacce predefinite, entrambi configurabili su diversi livelli. Le politiche offrono opzioni flessibili che possono essere configurate dall’amministratore di sistema che gestisce Microsoft 365. In qualità di amministratore di sistema, è possibile impostare chi è interessato dalle politiche e quanto queste devono essere rigorose.

Allegati sicuri

Gli allegati sicuri garantiscono che i file allegati ai messaggi di e-mail non siano dannosi. La protezione zero-day è fornita per salvaguardare il sistema di messaggistica e-mail. Prima che un messaggio venga ricevuto nella casella di posta di un utente, viene indirizzato a un ambiente speciale, dove i file allegati vengono controllati utilizzando firme antivirus, apprendimento automatico e tecniche di analisi avanzate per rilevare eventuali virus. Se non vengono rilevati virus nell’allegato e-mail, il messaggio e-mail viene inoltrato alla cassetta postale. La funzione responsabile degli allegati sicuri è chiamata sandboxing degli allegati.

Collegamenti sicuri

I collegamenti sicuri utilizzano un principio di funzionamento simile agli allegati sicuri. Questa funzione controlla i collegamenti nelle e-mail e in altri file caricati/scaricati nell’ambiente Microsoft 365. Se Microsoft 365 ATP rileva che un collegamento non è sicuro, viene visualizzato un messaggio di avvertenza (proprio come per i file scaricabili).

È possibile configurare la funzione in modo da reindirizzare gli utenti a una pagina di avvertenza se un utente tenta di fare clic su un collegamento rilevato come dannoso. Il sistema blocca dinamicamente i collegamenti dannosi. La funzione Collegamenti sicuri è stata aggiornata e ora non sostituisce il collegamento originale con un collegamento modificato a una pagina web nel cloud Microsoft.

ATP per SharePoint Online

ATP per SharePoint Online protegge gli utenti che collaborano utilizzando i siti SharePoint Online e i file condivisi all’interno dell’organizzazione. Questa funzione rileva e blocca i file sospetti nelle raccolte di documenti e nei siti del team, inclusi i file archiviati su OneDrive. Il contenuto dannoso identificato viene bloccato. Gli utenti non possono aprire, copiare, spostare, modificare o condividere un file bloccato classificato come dannoso. Il file dannoso può solo essere eliminato. La possibilità di scaricare il file dipende dalla configurazione.

Protezione anti-phishing

Dopo aver definito i criteri anti-phishing, vengono utilizzati modelli di sistema di autoapprendimento con algoritmi complessi per rilevare automaticamente e rapidamente gli attacchi di phishing. La cassetta postale analizza le e-mail e le abitudini di comunicazione degli utenti e aggrega i dati per aiutare a rilevare i tentativi di phishing in futuro. Queste misure rigorose rendono difficile qualsiasi attacco di truffa.

Quarantena

I file indesiderati e potenzialmente pericolosi possono essere spostati in quarantena. In qualità di amministratore di sistema, è possibile ripristinare o eliminare manualmente i dati in quarantena. In caso contrario, questi dati vengono eliminati dopo la scadenza del periodo di conservazione configurato. Se avete utilizzato Microsoft 365 Exchange Online Protection, potreste avere familiarità con il principio di funzionamento della quarantena.

Spoof Intelligence

Gli hacker possono inviare e-mail per conto di uno o più account sostituendo il nome del mittente. Quando un utente riceve un’e-mail “spoofata”, questa può sembrare sicura se il mittente utilizza il nome di un manager nel campo del mittente. Un’e-mail spoofata, che può contenere una richiesta di trasferimento di denaro, l’invio di credenziali o script dannosi, non è sicura e costituisce una minaccia per gli utenti e l’intera organizzazione.

Office 365 Advanced Threat Protection include la funzione Spoof Intelligence che può rilevare se un mittente sta utilizzando un nome reale o un nome falsificato. È possibile visualizzare l’elenco completo degli utenti che utilizzano un determinato dominio aziendale e verificare chi sta falsificando il dominio della propria organizzazione o qualsiasi dominio esterno. In qualità di amministratore, è possibile bloccare il mittente utilizzando un nome di dominio o un nome utente che finge di essere un dipendente della propria organizzazione.

Rapporti

Office 365 Advanced Threat Protection fornisce rapporti informativi che consentono di visualizzare lo stato di protezione e analizzare le minacce in arrivo. Un rapporto è una vista singola che combina informazioni sulle minacce rilevate, incluse e-mail dannose e altri contenuti dannosi. Le minacce rilevate da Office 365 Advanced Threat Protection e Exchange Online Protection vengono visualizzate nei rapporti. Nei rapporti vengono visualizzate le informazioni relative ai 90 giorni precedenti (il periodo massimo che è possibile configurare). Dopo aver analizzato i report, è possibile modificare i criteri.

Indagine e risposta alle minacce

Se si lavora in una grande azienda con molti utenti di Office 365, è possibile che ci si trovi sommersi da un numero elevato di avvisi di sicurezza da gestire. Ordinare un numero elevato di e-mail in base agli attributi è un’operazione che richiede molto tempo. Indagine e risposta alle minacce di Office 365 può aiutare gli amministratori di sistema e gli specialisti della sicurezza a operare in modo più efficiente. È possibile visualizzare le minacce rilevate e configurare azioni automatizzate per mitigare diversi tipi di minacce. È possibile creare playbook con le azioni appropriate per le minacce rilevate, nonché rivedere e approvare le azioni o i consigli suggeriti da Office 365 Advanced Threat Protection dopo un’indagine automatizzata per porre rimedio alle minacce.

Licenze Microsoft 365

A differenza di Exchange Online Protection, disponibile per impostazione predefinita per gli utenti Microsoft 365, Advanced Threat Protection è disponibile per i piani di abbonamento di fascia alta o può essere acquistato separatamente. Ad esempio, anche Microsoft 365 E3 non include la protezione avanzata dalle minacce.

Microsoft Office 365 Advanced Threat Protection è inclusa nei seguenti piani di abbonamento:

  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 Business Premium

Tuttavia, è possibile acquistare la licenza Office 365 Advanced Threat Protection in aggiunta ai seguenti piani di abbonamento:

  • Exchange Online Plan 1
  • Exchange Online Plan 2
  • Exchange Online Kiosk
  • Exchange Online Protection
  • Microsoft 365 Business Basic
  • Microsoft 365 Business Standard
  • Microsoft 365 Enterprise E1
  • Microsoft 365 Enterprise E3
  • Microsoft 365 Enterprise F3
  • Microsoft 365 A1
  • Microsoft 365 A3

Se Office 365 Advanced Threat Protection non è incluso nel tuo piano di abbonamento, puoi acquistare uno dei piani di abbonamento ATP autonomi utilizzando un modello di licenza per utente:

  • Piano Advanced Threat Protection 1
  • Piano Advanced Threat Protection 2

Configurazione della protezione avanzata dalle minacce

Aggiornamento: protezione avanzata dalle minacce di Office 365 è diventato Microsoft Defender per Office 365 nel settembre 2020. Ora, per configurare una delle funzioni elencate di seguito, è necessario accedere al Portale Defender.

Vediamo come configurare Office 365 Advanced Threat Protection:

  1. Aprire l’interfaccia web del centro di amministrazione di Microsoft 365 utilizzando il collegamento https://admin.microsoft.com e andare su Centri di amministrazione > Sicurezza nel riquadro sinistro della finestra.

In alternativa, è possibile aprire un collegamento diretto al centro di amministrazione di Microsoft 365 Security & Compliance: https://protection.office.com

  1. Nel riquadro sinistro, fare clic su Gestione delle minacce quindi fare clic su Dashboard.

La dashboard di sicurezza, denominata anche dashboard delle minacce, mostra lo stato attuale della protezione dalle minacce e i collegamenti alle pagine di configurazione.

The web interface of Office 365 Advanced Threat Protection

Criteri anti-malware

Fare clic su Policy nel riquadro sinistro o nel riquadro di navigazione per visualizzare la pagina in cui è possibile visualizzare, modificare e creare criteri. È possibile configurare criteri anti-phishing, anti-spam e anti-malware. Vediamo come creare un nuovo criterio anti-malware:

  1. Fare clic su Anti-malware.

Managing policies for Office 365 Advanced Threat Protection

  1. Nella pagina Anti-malware che si apre, fare clic sull’icona + per creare un nuovo criterio anti-malware per Office 365 Advanced Threat Protection.

Creating a new anti-malware policy for Office 365 Advanced Threat Protection

  1. Si aprirà una nuova finestra pop-up.

Inserisci il nome e la descrizione della politica e definisci altre opzioni della politica, quali:

  • Risposta al rilevamento di malware
  • Filtro tipi di allegati comuni
  • Eliminazione automatica malware zero-hour
  • Notifiche

Infine, specificare a chi si applica questo criterio e premere Salva.

Configuring a new anti-malware policy

Il criterio è ora creato e visualizzato nell’elenco dei criteri nella pagina Malware.

Criteri anti-phishing

I criteri anti-phishing vengono creati in modo leggermente diverso dai criteri anti-malware:

  1. Vai a Gestione delle minacce > Criterio e premi Anti-phishing.

Si apre la pagina Anti-phishing. Se è la prima volta che apri questa pagina, l’elenco dei criteri anti-phishing sarà vuoto.

  1. Fai clic sul pulsante +Crea per creare un nuovo criterio anti-phishing per Office 365 Advanced Threat Protection.

Creating a new anti-phishing policy

  1. Si apre una finestra popup con la procedura guidata per la creazione di un nuovo criterio. Completare tutti i passaggi della procedura guidata:
  • Assegnare un nome al criterio. Inserisci un nome per un nuovo criterio anti-phishing. Puoi anche inserire una descrizione.

Entering a name for a new anti-phishing policy

  • Applicato a. Definire i destinatari o i domini dell’organizzazione a cui applicare o escludere questo criterio aggiungendo condizioni e selezionando i destinatari. Ad esempio, è possibile applicare il criterio a un intero dominio, all’appartenenza a un gruppo o a combinazioni di gruppi e domini. Quindi premi Avanti.

Settings for a new anti-phishing policy

  • Rivedi le tue impostazioni. Controlla le impostazioni e modificale se necessario. Se tutto è corretto, premi Crea questo criterio.

Review of a new anti-phishing policy

Quarantena

I messaggi e-mail e i file classificati come potenzialmente pericolosi vengono spostati in quarantena se vengono utilizzate le impostazioni appropriate per Office 365 Advanced Threat Protection. Vai a Gestione dei trattamenti > Revisione > Quarantena per aprire la quarantena. È inoltre possibile utilizzare questo collegamento diretto: https://protection.office.com/quarantine

Nota: È possibile accedere alla quarantena dall’amministratore o da un altro utente che dispone delle autorizzazioni per gestire la quarantena. I membri del ruolo Quarantena nel Centro sicurezza e conformità di Office 365 & hanno i permessi per gestire la quarantena.

Office 365 Advanced Threat Protection – reviewing quarantine

Nella pagina Quarantena è possibile ordinare i risultati facendo clic sul titolo della colonna desiderata. Fare clic su Modifica colonne per selezionare le colonne da visualizzare.

Rapporti

I rapporti sono utili per visualizzare lo stato attuale e le statistiche dell’ambiente Microsoft 365. Nel riquadro di navigazione del centro di amministrazione di Office 365 Security & Compliance, fare clic su Rapporti > Dashboard per visualizzare il dashboard con grafici e diagrammi.

Reports of Office 365 Advanced Threat Protection

In questa pagina è possibile visualizzare il riepilogo che include:

  • Rapporti recenti da scaricare
  • Le 5 etichette principali
  • Andamento delle etichette negli ultimi 90 giorni
  • Come sono state applicate le etichette
  • Etichette classificate come record
  • Regola di trasporto Exchange
  • Stato della protezione dalle minacce
  • Malware rilevato nelle e-mail
  • Malware più diffuso
  • Mittenti e destinatari più frequenti
  • Rilevamenti di spoofing
  • Rilevamenti di spam
  • Utenti compromessi
  • E-mail inviate e ricevute
  • Supervisione
  • Rapporto di inoltro
  • Rapporto connettore
  • Rapporto di crittografia

Passa il mouse sul grafico per visualizzare ulteriori informazioni. Clicca sul grafico o diagramma desiderato per aprirlo in modalità a schermo intero e visualizzarne i dettagli. Dopo aver fatto clic su Rilevamenti di spoofing, viene visualizzato un rapporto dettagliato sulle e-mail di spoofing.

The spoof mail report of Office 365 Advanced Threat Protection

Per impostazione predefinita, nei grafici e nei diagrammi viene visualizzato un periodo di 7 giorni, ma questo periodo può essere aumentato fino a 90 giorni nelle impostazioni. Gli utenti in prova di Microsoft 365 con Advanced Threat Protection possono visualizzare i dati per un massimo di 30 giorni nei report.

Conclusione

Office 365 Advanced Threat Protection è integrato con altri servizi Microsoft 365 come OneDrive, SharePoint Online, Exchange Online, SharePoint Online e altri servizi. ATP ti aiuta a proteggere le tue e-mail da varie minacce alla sicurezza come link dannosi, virus e malware.

Tuttavia, per ottenere un livello più elevato di protezione dei dati, è necessario eseguire il backup di tutti i dati di Microsoft Office 365 con una soluzione dedicata come NAKIVO Backup & Replication. La soluzione NAKIVO consente di creare backup incrementali dei dati di Microsoft 365 e offre ripristini flessibili a un punto nel tempo.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Le persone leggono anche

Picture
Ripristino di emergenza nel cloud: una panoramica completa
Picture
NAKIVO ha parlato della protezione dei dati delle VM al TECH Meets di Poznan
Picture
Come ripristinare i file OneDrive cancellati: 7 metodi