Microsoft Office 365 進階威脅防護:完整概覽
如今,有數不盡的威脅可能導致安全漏洞,進而造成資料外洩。2021年,垃圾email和釣魚email是 導致勒索軟體感染的最常見傳播途徑 感染。試圖手動偵測和阻止惡意攻擊是一項不可能完成的任務。然而,針對 Office 365 應用程式和服務,微軟提供了一套偵測與回應工具,用以自動化並簡化資安作業。
Office 365 進階威脅防護 (ATP),自2020年9月以來已成為 Microsoft Defender for Office 365,是一套專門用於防範網路威脅的工具集合。透過各種政策與規則,您可以過濾進出通訊並驗證其他共享內容,藉此保護本地端與雲端環境。
什麼是進階威脅防護?
Office 365 進階威脅防護 (ATP) 是一項基於雲端的過濾服務,用於預防和偵測網路威脅。 ATP 可保護您的組織免受透過 Office 365 服務傳播的病毒及其他惡意軟體(包括零日攻擊)的侵害。 ATP 能夠偵測到最新的病毒,以及那些尚未被研究、甚至連配備最新病毒簽名資料庫的大多數防毒軟體都無法辨識的未知複雜威脅。
Office 365 進階威脅防護的運作方式
Office 365 進階威脅防護仰賴由系統管理員所設定的政策。 ATP 在組織、網域、使用者及收件者層級過濾資料、可疑行為及其他參數。
Office 365 進階威脅防護可與 Exchange Online Protection (EOP) 以及 Office 365 威脅情報。使用 ATP 雲端服務可減輕郵件伺服器及郵件伺服器上的防護系統的負擔,包括本地伺服器。即使您使用 EOP 等其他工具,也不建議關閉 Office 365 進階威脅防護。
"進階威脅防護"可保護email附件、連結,以及使用者上傳至 OneDrive for Business、SharePoint Online 和 Teams 的檔案。此外, ATP 能夠偵測指向網路釣魚網站的連結、載有上傳惡意軟體程式碼的網站,以及下載/上傳檔案中是否存在惡意程式碼。URL 追蹤功能可協助您封鎖潛在的威脅來源,並了解其性質及來源。
進階威脅防護特點
Office 365 進階威脅防護包含許多實用特點,可在您使用 Office 365 服務時保護您的資料。讓我們來詳細了解這些特點。
政策
政策決定了保護層級以及對預先定義威脅的回應方式,這兩者皆可設定為不同層級。政策提供靈活的選項,由負責管理 Microsoft 365 的系統管理員進行設定。身為系統管理員,您可以設定哪些使用者受政策影響,以及這些政策的嚴格程度。
安全的依附關係
"安全附件"功能可確保email中的附件不含有惡意程式。 我們提供零日防護功能,以保障您的email系統安全。在email送達用戶信箱之前,系統會先將email導向一個特殊環境,透過病毒簽名、機器學習及進階分析技術檢查附件檔案,以偵測病毒。若未在email附件中偵測到病毒,該email便會轉發至信箱。負責安全附件特點的名稱為"附件沙箱"。
安全連結
"安全連結"的特點與"安全附件"類似。此特點會檢查email中的連結,以及在 Microsoft 365 環境中上傳或下載的其他檔案。如果 Microsoft 365 ATP 若偵測到連結不安全,系統會顯示警告訊息(與可下載檔案的情況相同)。
您可以設定此特點,當使用者嘗試點擊被偵測為惡意的連結時,系統會將其重定向至警告頁面。系統會動態封鎖惡意連結。"安全連結"特點已更新,現在不會再將原始連結替換為指向 Microsoft 雲端網頁的修改版連結。
SharePoint Online 的 ATP
ATP SharePoint Online 的此特點可保護在組織內透過 SharePoint Online 網站及共用檔案進行協作的使用者。此特點會偵測並封鎖檔案庫和團隊網站中的可疑檔案,包括儲存於 OneDrive. 已識別的惡意內容將被封鎖。使用者無法開啟、複製、移動、編輯或分享被歸類為惡意的封鎖檔案。該惡意檔案僅能被刪除。是否能下載該檔案則取決於系統設定。
防釣魚保護
在制定反釣魚政策後,系統會運用具備複雜演算法的自學習模型,自動且迅速地偵測釣魚攻擊。信箱智慧分析功能會分析使用者的email及通訊習慣,並彙整相關數據,以協助未來偵測釣魚企圖。這些嚴密的防護措施,使得任何詐騙攻擊都難以得逞。
隔離
不需要且可能具有危險性的檔案可移至隔離區。身為系統管理員,您可以手動還原或刪除隔離區中的資料。否則,這些資料將在設定的保留期限屆滿後被刪除。如果您曾使用過 Microsoft 365 Exchange Online Protection,您可能對隔離區的運作原理已有所了解。
惡搞情報
駭客可透過篡改寄件者名稱,冒用一個或多個帳戶的名義發送email。當使用者收到此類"偽造"的email時,若寄件者欄位顯示的是主管的名字,該email可能看似安全。然而,這類偽造的email可能包含轉帳、提供憑證或執行惡意腳本的請求,實則並不安全,並對使用者及整個組織構成威脅。
Office 365 進階威脅防護 (ATP) 包含"發件者偽造偵測"特點,可偵測發件者是否使用真實名稱或偽造名稱。您可以查看使用特定公司網域的完整使用者清單,並檢視哪些人正在偽造貴組織的網域或任何外部網域。身為管理員,您可以封鎖那些使用網域名稱或使用者名稱,假冒貴組織員工的發件者。
報告
Office 365 進階威脅防護提供詳盡的報告,讓您能夠查看防護狀態並分析傳入的威脅。 報告是一個整合視圖,匯集了有關已偵測威脅的資訊,包括惡意 email 及其他惡意內容。由 Office 365 進階威脅防護和 Exchange Online 防護所偵測到的威脅都會顯示在報告中。報告中會顯示過去 90 天的資訊(此為可設定的最長期間)。分析報告後,您可以據此調整政策。
威脅調查與應對
如果您任職於一家擁有眾多 Office 365 用戶的大型企業,可能會因需處理大量安全警示而感到應接不暇。根據各種屬性來篩選大量 email,是一項相當耗時的任務。 Office 365 威脅調查與應對 可協助系統管理員和資安專家更有效率地執行工作。您可以檢視偵測到的威脅,並設定自動化措施以緩解各類威脅。您可以針對偵測到的威脅編寫包含適當處理步驟的應對腳本,並在 Office 365 進階威脅防護完成自動化調查後,審閱並核准其建議的處理步驟或建議,以解決威脅。
Microsoft 365 授權
與預設提供給 Microsoft 365 使用者的 Exchange Online Protection 不同,進階威脅防護僅適用於高階訂閱方案,或可單獨購買。例如,即使是 Microsoft 365 E3 方案,也不包含進階威脅防護。
Microsoft Office 365 進階威脅防護包含於以下訂閱方案中:
- Microsoft 365 E5
- Microsoft 365 A5
- Microsoft 365 商業進階版
不過,您可以在以下訂閱方案的基礎上,額外購買 Office 365 進階威脅防護 (ATP) 授權:
- Exchange Online 方案 1
- Exchange Online 方案 2
- Exchange Online 資訊站
- Exchange Online Protection
- Microsoft 365 商業基礎版
- Microsoft 365 商業標準版
- Microsoft 365 Enterprise E1
- Microsoft 365 Enterprise E3
- Microsoft 365 Enterprise F3
- Microsoft 365 A1
- Microsoft 365 A3
如果您的訂閱方案中未包含 Office 365 進階威脅防護,您可以購買其中一種獨立版 ATP 採用按使用者計費授權模式的訂閱方案:
- 進階威脅防護方案 1
- 進階威脅防護方案 2
進階威脅防護設定
更新:Office 365 進階威脅防護 成為 Microsoft Defender for Office 365 於 2020 年 9 月。現在,若要設定以下列出的任何特點,您需要存取 守護者入口網站.
讓我們來看看如何設定 Office 365 進階威脅防護:
- 開啟的網頁介面 Microsoft 365 管理中心 透過此連結 https://admin.microsoft.com 並前往
Admin Centers > Security在視窗的左側窗格中。
此外,您也可以直接開啟 Microsoft 365 安全性 的連結 & 合規管理中心: https://protection.office.com
- 在左側窗格中,按一下
Threat manager然後點擊Dashboard.
安全性儀表板(亦稱為威脅儀表板)會顯示當前的威脅防護狀態,並提供前往設定頁面的連結。
反惡意軟體政策
點擊 Policy 在左側窗格(或導覽窗格)中,系統會顯示可讓您檢視、編輯及建立原則的頁面。您可以設定防釣魚、防垃圾郵件及防惡意軟體原則。現在讓我們來看看如何建立新的防惡意軟體原則:
- 點擊
Anti-malware.
- 在開啟的反惡意軟體頁面中,請點擊
+圖示,用以建立適用於 Office 365 進階威脅防護的新惡意軟體防護原則。
- 會開啟一個新的彈出視窗。
輸入政策名稱和說明,並設定其他政策選項,例如:
- 惡意軟體偵測與應對
- 常見附件類型篩選器
- 惡意軟體零時差自動清除
- 通知
最後,請指定此政策適用於哪些對象,然後按下 Save.
該政策現已建立,並顯示在"惡意軟體"頁面的政策清單中。
反網路釣魚政策
反釣魚政策的建立方式與反惡意軟體政策略有不同:
- 前往 威脅管理 > 政策 並點擊
Anti-phishing.
該 Anti-phishing 頁面開啟。如果您是第一次開啟此頁面,防釣魚政策清單將為空。
- 點擊
+Create按一下此按鈕,為 Office 365 進階威脅防護建立新的防釣魚政策。
- 一個新的政策精靈將以彈出視窗的形式開啟。請完成精靈中的所有步驟:
Name your policy. 輸入新反釣魚政策的名稱。您也可以輸入說明文字。
Applied to.透過新增條件並選取收件者,定義本政策將適用於或排除貴組織中的哪些收件者或網域。例如,您可以將本政策套用至整個網域、群組成員,或是群組與網域的組合。接著按下Next.
Review your settings.請檢查您的設定,並在必要時進行編輯。如果一切正確,請點擊Create this policy.
隔離
如果已為 Office 365 進階威脅防護設定了適當的設定,則被歸類為潛在危險的 email 訊息和檔案將會被移至隔離區。請前往 Treat management > Review > Quarantine 以開啟隔離區。您也可以使用此直接連結: https://protection.office.com/quarantine
註: 管理員或具備管理隔離區權限的其他使用者均可存取隔離區。Office 365 安全性中的"隔離區"角色成員 & 合規中心擁有管理隔離區的權限。
在"檢疫"頁面上,您可以點擊所需欄位的標題來排序結果。點擊 Modify Columns 以選擇必須顯示的欄位。
報告
報告有助於查看 Microsoft 365 環境的當前狀態和統計資料。在 Office 365 安全性 的導覽窗格中 & 合規管理中心,點擊 Reports > Dashboard 查看包含圖表與示意圖的儀表板。
在此頁面中,您可以查看包含以下內容的摘要:
- 近期報告下載
- 前五大品牌
- 過去 90 天的標籤趨勢
- 標籤是如何貼上的
- 歸類為記錄的標籤
- Exchange 傳輸規則
- 威脅防護狀態
- Email中偵測到惡意軟體
- 最常見的惡意軟體
- 主要發件人與收件人
- 偽造檢測
- 垃圾郵件偵測
- 遭入侵的使用者
- 已發送及已接收的email
- 監督
- 轉發報告
- 連接器報告
- 加密報告
將滑鼠懸停在圖表上以查看更多資訊。點擊所需的圖表或示意圖,即可在全螢幕模式下開啟並查看詳細內容。點擊後 Spoof detections,系統將顯示一份詳細的偽造郵件報告。
預設情況下,圖表中顯示的期間為 7 天,但您可在設定中將此期間延長至最多 90 天。使用 Microsoft 365 並啟用"進階威脅防護"的試用版使用者,在報告中最多可查看 30 天的資料。
結論
Office 365 進階威脅防護已與其他 Microsoft 365 服務(例如 OneDrive、SharePoint Online、Exchange Online 及其他服務)整合。 ATP 協助您保護 email 免受各種安全威脅,例如惡意連結、病毒和惡意軟體。
然而,若要實現更高層級的資料保護,您應使用專用的解決方案來備份所有 Microsoft Office 365 資料,例如 NAKIVO Backup & Replication. NAKIVO 解決方案可讓您建立 Microsoft 365 資料的增量備份,並提供靈活的特定時間點還原功能。
