Microsoft Office 365 Advanced Threat Protection: Tổng quan toàn diện

Ngày nay, có vô số mối đe dọa có thể dẫn đến vi phạm an ninh và mất mát dữ liệu sau đó. Trong năm 2021, thư rác và thư lừa đảo là nguyên nhân gây ra các cuộc tấn công phương thức lây nhiễm phổ biến nhất dẫn đến phần mềm tống tiền . Việc cố gắng phát hiện và ngăn chặn các cuộc tấn công độc hại bằng tay là một nhiệm vụ bất khả thi. Tuy nhiên, đối với các ứng dụng và dịch vụ Office 365, Microsoft cung cấp một bộ công cụ phát hiện và ứng phó nhằm tự động hóa và đơn giản hóa việc bảo mật.

Office 365 Advanced Threat Protection (ATP), từ tháng 9 năm 2020 đã trở thành Microsoft Defender cho Office 365, là bộ công cụ chuyên dụng để ngăn chặn các mối đe dọa trực tuyến. Các chính sách và quy tắc khác nhau cho phép bạn bảo vệ môi trường tại chỗ và trên đám mây bằng cách lọc các giao tiếp đến và đi cũng như xác minh các nội dung được chia sẻ khác.

Sao lưu dữ liệu Microsoft 365

Sử dụng giải pháp NAKIVO để sao lưu dữ liệu Microsoft 365 trên Exchange Online, Teams, OneDrive và SharePoint Online, đảm bảo quy trình làm việc diễn ra liên tục và không có thời gian ngừng hoạt động.

KHÁM PHÁ GIẢI PHÁP

Bảo vệ trước các mối đe dọa nâng cao là gì?

Dịch vụ Bảo vệ trước các mối đe dọa nâng cao của Office 365 (ATP) là một dịch vụ lọc dựa trên đám mây nhằm phòng ngừa và phát hiện các mối đe dọa mạng. ATP có thể bảo vệ tổ chức của bạn khỏi virus và các phần mềm độc hại khác, bao gồm cả các cuộc tấn công zero-day, được lan truyền qua các dịch vụ Office 365. ATP có thể nhận diện các loại virus mới nhất và các mối đe dọa phức tạp chưa được xác định, những mối đe dọa này chưa được nghiên cứu và không thể được nhận diện ngay cả bởi phần lớn các phần mềm diệt virus có cơ sở dữ liệu chữ ký virus mới nhất.

Cách thức hoạt động của Office 365 Advanced Threat Protection

Office 365 Advanced Threat Protection dựa trên các chính sách cần được cấu hình bởi quản trị viên hệ thống. ATP lọc dữ liệu, hành vi đáng ngờ và các thông số khác ở cấp độ tổ chức, miền, người dùng và người nhận.

Office 365 Advanced Threat Protection có thể hoạt động tích hợp với Bảo vệ Exchange Online (EOP) và Office 365 Threat Intelligence. Sử dụng ATP trên đám mây có thể giảm tải cho máy chủ email và hệ thống bảo vệ trên máy chủ email, bao gồm cả máy chủ tại chỗ. Không nên tắt Office 365 Advanced Threat Protection ngay cả khi bạn sử dụng các công cụ khác như EOP.

Advanced Threat Protection có thể bảo vệ tệp đính kèm email, liên kết và tệp được người dùng tải lên OneDrive for Business, SharePoint Online và Teams. Ngoài ra, ATP có thể phát hiện các liên kết đến trang web lừa đảo, các trang web chứa mã độc đã được tải lên và sự hiện diện của mã độc trong các tệp đã tải xuống/tải lên. Khả năng theo dõi URL có thể giúp bạn chặn các nguồn đe dọa tiềm ẩn và hiểu bản chất cũng như nguồn gốc của chúng.

Các tính năng của Office 365 Advanced Threat Protection

Office 365 Advanced Threat Protection chứa nhiều tính năng hữu ích để bảo vệ dữ liệu của bạn khi sử dụng các dịch vụ Office 365. Hãy cùng tìm hiểu chi tiết về các tính năng này.

Chính sách

Chính sách xác định mức độ bảo vệ và phản ứng đối với các mối đe dọa được định nghĩa trước, cả hai đều có thể được thiết lập ở các mức độ khác nhau. Chính sách cung cấp các tùy chọn linh hoạt, mà quản trị viên hệ thống quản lý Microsoft 365 có thể cấu hình. Với tư cách là quản trị viên hệ thống, bạn có thể thiết lập đối tượng bị ảnh hưởng bởi chính sách và mức độ nghiêm ngặt của các chính sách này.

Tệp đính kèm an toàn

Tệp đính kèm an toàn đảm bảo rằng các tệp đính kèm trong email không chứa mã độc. Bảo vệ ngày 0 (Zero-day) được cung cấp để bảo vệ hệ thống email của bạn. Trước khi một tin nhắn được nhận vào hộp thư của người dùng, tin nhắn đó sẽ được chuyển đến một môi trường đặc biệt, nơi các tệp đính kèm được kiểm tra bằng cách sử dụng các mẫu virus, học máy và các kỹ thuật phân tích nâng cao để phát hiện virus. Nếu không phát hiện thấy virus trong tệp đính kèm email, tin nhắn email sẽ được chuyển tiếp đến hộp thư. Tính năng chịu trách nhiệm đảm bảo an toàn cho các tệp đính kèm được gọi là “sandboxing tệp đính kèm”.

Liên kết an toàn

Liên kết an toàn hoạt động theo nguyên lý tương tự như tệp đính kèm an toàn. Tính năng này kiểm tra các liên kết trong email và các tệp khác được tải lên/tải xuống trong môi trường Microsoft 365. Nếu Microsoft 365 ATP phát hiện rằng một liên kết không an toàn, một thông báo cảnh báo sẽ được hiển thị (giống như đối với các tệp tải xuống).

Bạn có thể cấu hình tính năng này để chuyển hướng người dùng đến trang cảnh báo nếu người dùng cố gắng nhấp vào một liên kết được phát hiện là độc hại. Hệ thống chặn động các liên kết độc hại. Tính năng Safe Links đã được cập nhật và hiện không thay thế liên kết gốc bằng một liên kết đã sửa đổi đến trang web trong đám mây Microsoft.

ATP cho SharePoint Online

ATP cho SharePoint Online bảo vệ người dùng hợp tác thông qua các trang SharePoint Online và tệp chia sẻ trong tổ chức của bạn. Tính năng này phát hiện và chặn các tệp đáng ngờ trong thư viện tài liệu và trang nhóm, bao gồm các tệp được lưu trữ trên OneDrive. Nội dung độc hại được xác định sẽ bị chặn. Người dùng không thể mở, sao chép, di chuyển, chỉnh sửa hoặc chia sẻ tệp bị chặn được phân loại là độc hại. Tệp độc hại chỉ có thể bị xóa. Khả năng tải xuống tệp phụ thuộc vào cấu hình.

Bảo vệ chống lừa đảo

Sau khi xác định các chính sách chống lừa đảo, các mô hình hệ thống tự học với các thuật toán phức tạp được sử dụng để phát hiện các cuộc tấn công lừa đảo một cách tự động và nhanh chóng. Trí tuệ hộp thư phân tích thói quen email và giao tiếp của người dùng, tổng hợp dữ liệu để giúp phát hiện các nỗ lực lừa đảo trong tương lai. Các biện pháp nghiêm ngặt này khiến bất kỳ cuộc tấn công lừa đảo nào cũng khó thực hiện.

Khu cách ly

Các tệp không mong muốn và tiềm ẩn nguy hiểm có thể được chuyển vào khu cách ly. Với tư cách là quản trị viên hệ thống, bạn có thể khôi phục hoặc xóa dữ liệu trong khu cách ly theo cách thủ công. Nếu không, dữ liệu này sẽ bị xóa sau khi hết thời gian lưu trữ đã cấu hình. Bạn có thể đã quen thuộc với nguyên lý hoạt động của vùng cách ly nếu đã từng sử dụng Microsoft 365 Exchange Online Protection.

Thông tin về giả mạo

Tin tặc có thể gửi email thay mặt cho một hoặc nhiều tài khoản bằng cách thay thế tên người gửi. Khi người dùng nhận được một email “giả mạo” như vậy, email đó có thể trông có vẻ an toàn nếu người gửi sử dụng tên của một quản lý trong trường người gửi. Một email giả mạo, có thể chứa yêu cầu chuyển tiền, gửi thông tin đăng nhập hoặc các đoạn mã độc hại, là không an toàn và tạo thành mối đe dọa đối với người dùng cũng như toàn bộ tổ chức.

Office 365 Advanced Threat Protection bao gồm tính năng Spoof Intelligence có thể phát hiện xem người gửi đang sử dụng tên thật hay tên giả mạo. Bạn có thể xem danh sách đầy đủ các người dùng sử dụng một tên miền công ty cụ thể và kiểm tra ai đang giả mạo tên miền của tổ chức bạn hoặc bất kỳ tên miền bên ngoài nào. Với tư cách là quản trị viên, bạn có thể chặn người gửi sử dụng tên miền hoặc tên người dùng giả mạo là nhân viên của tổ chức bạn.

Báo cáo

Office 365 Advanced Threat Protection cung cấp các báo cáo chi tiết để bạn có thể xem trạng thái bảo vệ và phân tích các mối đe dọa đến. Một báo cáo là một cái nhìn tổng quan, kết hợp thông tin về các mối đe dọa được phát hiện, bao gồm email độc hại và nội dung độc hại khác. Các mối đe dọa được phát hiện bởi Office 365 Advanced Threat Protection và Exchange Online Protection được hiển thị trong các báo cáo. Thông tin cho 90 ngày trước đó (khoảng thời gian tối đa có thể cấu hình) được hiển thị trong các báo cáo. Sau khi phân tích các báo cáo, bạn có thể điều chỉnh các chính sách.

Điều tra và Ứng phó với Mối đe dọa

Nếu bạn làm việc trong một công ty lớn với nhiều người dùng Office 365, bạn có thể bị quá tải bởi số lượng lớn các cảnh báo bảo mật cần xử lý. Việc phân loại một lượng lớn email dựa trên các thuộc tính là một nhiệm vụ tốn thời gian. Điều tra và ứng phó với các mối đe dọa trên Office 365 có thể giúp các quản trị viên hệ thống và chuyên gia bảo mật hoạt động hiệu quả hơn. Bạn có thể xem các mối đe dọa đã phát hiện và cấu hình các hành động tự động để giảm thiểu các loại mối đe dọa khác nhau. Bạn có thể tạo các kịch bản (playbooks) với các hành động phù hợp cho các mối đe dọa được phát hiện, cũng như xem xét và phê duyệt các hành động hoặc đề xuất do Office 365 Advanced Threat Protection đưa ra sau quá trình điều tra tự động để khắc phục các mối đe dọa.

Giấy phép Microsoft 365

Không giống như Exchange Online Protection, vốn được cung cấp theo mặc định cho người dùng Microsoft 365, Advanced Threat Protection chỉ có sẵn trong các gói đăng ký cao cấp hoặc có thể được mua riêng. Ví dụ: ngay cả Microsoft 365 E3 cũng không bao gồm tính năng bảo vệ chống mối đe dọa nâng cao.

Microsoft Office 365 Advanced Threat Protection được bao gồm trong các gói đăng ký sau:

• Microsoft 365 E5
• Microsoft 365 A5
• Microsoft 365 Business Premium

Tuy nhiên, bạn có thể mua giấy phép Office 365 Advanced Threat Protection bên cạnh các gói đăng ký sau:

• Exchange Online Plan 1
• Exchange Online Plan 2
• Exchange Online Kiosk
• Exchange Online Protection
• Microsoft 365 Business Basic
• Microsoft 365 Business Standard
• Microsoft 365 Enterprise E1
• Microsoft 365 Enterprise E3
• Microsoft 365 Enterprise F3
• Microsoft 365 A1
• Microsoft 365 A3

Nếu Office 365 Advanced Threat Protection không được bao gồm trong gói đăng ký của bạn, bạn có thể mua một trong các gói đăng ký độc lập ATP sử dụng mô hình cấp phép theo người dùng:

• Gói Bảo vệ trước các mối đe dọa nâng cao 1
• Gói Bảo vệ trước các mối đe dọa nâng cao 2

Cấu hình Bảo vệ trước các mối đe dọa nâng cao

Cập nhật: Office 365 Advanced Threat Protection đã trở thành Microsoft Defender for Office 365 vào tháng 9 năm 2020. Bây giờ, để cấu hình bất kỳ tính năng nào được liệt kê bên dưới, bạn cần truy cập vào Cổng thông tin Defender .

Hãy xem cách cấu hình Bảo vệ khỏi các mối đe dọa nâng cao của Office 365:

1. Mở giao diện web của Trung tâm quản trị Microsoft 365 bằng cách sử dụng liên kết https://admin.microsoft.com và đi đến Admin Centers > Security trong khung bên trái của cửa sổ.

Ngoài ra, bạn có thể mở liên kết trực tiếp đến Trung tâm quản trị tuân thủ bảo mật Microsoft 365 & : https://protection.office.com

2. Trong khung bên trái, nhấp vào Threat manager và sau đó nhấp vào Dashboard.

Bảng điều khiển bảo mật, còn được gọi là bảng điều khiển mối đe dọa, hiển thị trạng thái bảo vệ khỏi mối đe dọa hiện tại và các liên kết đến các trang cấu hình.

Chính sách chống phần mềm độc hại

Nhấp vào Policy trong ngăn bên trái hoặc ngăn điều hướng, và trang nơi bạn có thể xem, chỉnh sửa và tạo chính sách sẽ xuất hiện. Bạn có thể cấu hình các chính sách chống lừa đảo, chống thư rác và chống phần mềm độc hại. Hãy xem cách tạo một chính sách chống phần mềm độc hại mới:

1. Nhấp vào Anti-malware.

2. Trên trang chống phần mềm độc hại vừa mở ra, nhấp vào biểu tượng + để tạo chính sách chống phần mềm độc hại mới cho Office 365 Advanced Threat Protection.

3. Một cửa sổ pop-up mới sẽ mở ra.

Nhập tên và mô tả chính sách, đồng thời định nghĩa các tùy chọn chính sách khác như:

• Phản ứng phát hiện phần mềm độc hại
• Bộ lọc loại tệp đính kèm phổ biến
• Xóa tự động phần mềm độc hại ngay lập tức
• Thông báo

Cuối cùng, chỉ định đối tượng áp dụng chính sách này và nhấp vào Save.

Chính sách hiện đã được tạo và hiển thị trong danh sách chính sách trên trang Phần mềm độc hại.

Chính sách chống lừa đảo

Các chính sách chống lừa đảo được tạo theo cách hơi khác so với chính sách chống phần mềm độc hại:

1. Truy cập Quản lý mối đe dọa > Chính sách và nhấp vào Anti-phishing.

Trang Anti-phishing sẽ mở ra. Nếu bạn mở trang này lần đầu tiên, danh sách các chính sách chống lừa đảo sẽ trống.

2. Nhấp vào nút +Create để tạo chính sách chống lừa đảo mới cho Office 365 Advanced Threat Protection.

3. Trình hướng dẫn tạo chính sách mới sẽ mở ra dưới dạng cửa sổ bật lên. Hoàn thành tất cả các bước trong trình hướng dẫn:

• Name your policy. Nhập tên cho chính sách chống lừa đảo mới. Bạn cũng có thể nhập mô tả.

• Applied to. Xác định người nhận hoặc miền trong tổ chức của bạn mà chính sách này sẽ áp dụng hoặc loại trừ bằng cách thêm điều kiện và chọn người nhận. Ví dụ: bạn có thể áp dụng chính sách cho toàn bộ miền, thành viên nhóm hoặc kết hợp giữa nhóm và miền. Sau đó nhấp vào Next.

• Review your settings. Kiểm tra cài đặt của bạn và chỉnh sửa nếu cần. Nếu mọi thứ đều chính xác, nhấp vào Create this policy.

Khu cách ly

Các tin nhắn email và tệp được phân loại là có khả năng nguy hiểm sẽ được chuyển đến khu cách ly nếu các cài đặt thích hợp được sử dụng cho Office 365 Advanced Threat Protection. Truy cập Treat management > Review > Quarantine để mở khu cách ly. Bạn cũng có thể sử dụng liên kết trực tiếp này: https://protection.office.com/quarantine

Lưu ý: Khu cách ly có thể được truy cập bởi quản trị viên hoặc người dùng khác có quyền quản lý khu cách ly. Các thành viên của vai trò Khu cách ly trong Trung tâm Tuân thủ Bảo mật Office 365 & có quyền quản lý khu cách ly.

Trên trang “Quarantine”, bạn có thể sắp xếp kết quả bằng cách nhấp vào tiêu đề cột mong muốn. Nhấp vào Modify Columns để chọn các cột cần hiển thị.

Báo cáo

Các báo cáo rất hữu ích để xem tình trạng hiện tại và số liệu thống kê của môi trường Microsoft 365 của bạn. Trong ngăn điều hướng của Trung tâm quản trị Bảo mật và Tuân thủ Office 365 & , nhấp vào Reports > Dashboard để xem bảng điều khiển với các biểu đồ và sơ đồ.

Trên trang này, bạn có thể xem bản tóm tắt bao gồm:

• Báo cáo gần đây để tải xuống
• 5 nhãn hàng đầu
• Xu hướng nhãn trong 90 ngày qua
• Cách áp dụng nhãn
• Nhãn được phân loại là bản ghi
• Quy tắc vận chuyển Exchange
• Trạng thái bảo vệ khỏi mối đe dọa
• Phần mềm độc hại được phát hiện trong email
• Phần mềm độc hại hàng đầu
• Người gửi và người nhận hàng đầu
• Phát hiện giả mạo
• Phát hiện spam
• Người dùng bị xâm phạm
• Email đã gửi và nhận
• Giám sát
• Báo cáo chuyển tiếp
• Báo cáo kết nối
• Báo cáo mã hóa

Di chuột qua biểu đồ để xem thêm thông tin. Nhấp vào biểu đồ hoặc sơ đồ cần thiết để mở ở chế độ toàn màn hình và xem chi tiết. Sau khi nhấp vào Spoof detections, báo cáo chi tiết về email giả mạo sẽ được hiển thị.

Theo mặc định, biểu đồ hiển thị khoảng thời gian 7 ngày, nhưng khoảng thời gian này có thể được tăng lên tối đa 90 ngày trong cài đặt. Người dùng dùng thử Microsoft 365 có tính năng Bảo vệ trước các mối đe dọa nâng cao (ATP) có thể xem dữ liệu tối đa 30 ngày trong báo cáo.

Kết luận

Office 365 Advanced Threat Protection được tích hợp với các dịch vụ Microsoft 365 khác như OneDrive, SharePoint Online, Exchange Online, SharePoint Online và các dịch vụ khác. ATP giúp bạn bảo vệ email khỏi các mối đe dọa bảo mật như liên kết độc hại, virus và phần mềm độc hại.

Tuy nhiên, để đạt được mức độ bảo vệ dữ liệu cao hơn, bạn nên sao lưu toàn bộ dữ liệu Microsoft Office 365 của mình bằng một giải pháp chuyên dụng như NAKIVO Backup & Replication. Giải pháp NAKIVO cho phép bạn tạo các bản sao lưu tăng dần cho dữ liệu Microsoft 365 và cung cấp khả năng khôi phục tại thời điểm cụ thể một cách linh hoạt.

Hãy thử NAKIVO Backup & Replication

Đăng ký dùng thử miễn phí để khám phá toàn bộ các tính năng bảo vệ dữ liệu của giải pháp. 15 ngày miễn phí. Không có bất kỳ giới hạn nào về tính năng hay dung lượng. Không cần thẻ tín dụng.

Dùng thử miễn phí