Microsoft Defender for Office 365 là dịch vụ lọc email dựa trên đám mây giúp bảo vệ doanh nghiệp của bạn khỏi phần mềm độc hại và vi rút chưa được biết đến bằng cách cung cấp khả năng bảo vệ mạnh mẽ trước zero-day và bao gồm các tính năng để bảo vệ khỏi các liên kết (link & URL) có hại trong thời gian thực. Microsoft Defender for Office 365 có nhiều khả năng báo cáo và theo dõi URL cung cấp cho quản trị viên thông tin chi tiết về các loại tấn công xảy ra trong doanh nghiệp.
Sau đây là những cách chính bạn có thể sử dụng Microsoft Defender for Office 365 để bảo vệ thư:
Trong filtering-only scenario, Microsoft Defender for Office 365 cung cấp khả năng bảo vệ email dựa trên đám mây cho môi trường on-premises Exchange Server hoặc bất kỳ giải pháp email SMTP on-premise nào khác.
Defender for Office 365 có thể được kích hoạt để bảo vệ các hộp thư được lưu trữ trên đám mây của Exchange Online.
Trong triển khai hybrid, Defender for Office 365 có thể được định cấu hình để bảo vệ môi trường nhắn tin của doanh nghiệp và kiểm soát việc định tuyến thư khi có kết hợp hợp tư (mailboxes) on-premises & cloud với Exchange Online Protection để lọc email đến (inbound).
Mua Microsoft Defender for Office 365
Microsoft Defender for Office 365 Plan 2 được bao gồm trong Office 365 E5, Office 365 A5, Microsoft 365 E5 Security và Microsoft 365 E5. Microsoft Defender for Office 365 Plan 1 được bao gồm trong Microsoft 365 Business Premium.
Bạn có thể thêm Defender for Office 365 vào các gói đăng ký/subscription Exchange và Microsoft 365 sau:
Exchange Online Plan 1.
Exchange Online Plan 2.
Exchange Online Kiosk.
Exchange Online Protection.
Microsoft 365 Business Basic.
Microsoft 365 Business Standard.
Office 365 Enterprise E1.
Office 365 Enterprise E3.
Office 365 Enterprise F3.
Office 365 A1.
Office 365 A3.
Để mua & nhận báo giá Microsoft Defender for Office 365 cũng như được hỗ trợ & tư vấn miễn phí:
Microsoft vẫn đang tiếp tục thêm các tính năng mới vào Microsoft Defender for Office 365. Để tìm hiểu thêm về các tính năng mới sắp có trong Microsoft Defender for Office 365 (hoặc Microsoft 365 nói chung), hãy xem các tài nguyên sau:
Yêu cầu triển khai dành cho Microsoft Defender for Office 365
Microsoft Defender for Office 365 có thể được sử dụng với bất kỳ SMTP mail transfer agent nào, chẳng hạn như Microsoft Exchange Server. Để biết thông tin về hệ điều hành, trình duyệt web và ngôn ngữ được hỗ trợ, hãy xem phần “Supported browsers” & “Supported languages” trong Exchange admin center in Exchange Online Protection.
So sánh tính năng của các gói Microsoft Defender for Office 365
Mỗi tính năng được liệt kê dưới đây. Khi Exchange Online được đề cập, thì sẽ ám chỉ đến họ dịch vụ Office 365 Enterprise/Office 365 Enterprise service family.
Lưu ý: Nếu tenant của bạn chỉ có giấy phép/license dùng thử Microsoft Defender for Office Plan P2 hoặc giấy phép/license dùng thử Office 365 E5, không có giấy phép đủ điều kiện khác cho Microsoft 365 Defender, bạn sẽ không thể truy cập Microsoft 365 Defender. Để tìm hiểu thêm về giấy phép MTP, hãy xem các yêu cầu của Microsoft 365 Defender.
Các tính năng chính của Defender for Office 365
Safe Attachments
Safe Attachments bảo vệ khỏi phần mềm độc hại và vi rút chưa được xác định, đồng thời cung cấp chế độ bảo vệ zero-day để bảo vệ hệ thống nhắn tin của doanh nghiệp. Tất cả thư và tệp đính kèm không phát hiện vi-rút / phần mềm độc hại theo phương pháp signature đã biết sẽ được chuyển đến một môi trường đặc biệt nơi Defender for Office 365 sử dụng nhiều kỹ thuật máy học và phân tích để phát hiện sâu hơn. Nếu không có hoạt động đáng ngờ nào được phát hiện, thư lúc này sẽ được phát hành để gửi đến hộp thư.
Safe Links
Safe links là tính năng chủ động bảo vệ người dùng của bạn khỏi các URL độc hại trong thư hoặc trong tài liệu Office. Việc bảo vệ vẫn được duy trì mỗi khi họ click vào liên kết (link), vì các liên kết (link) độc hại sẽ bị chặn động trong khi các liên kết (link) tốt có thể được truy cập.
Safe links khả dụng với các ứng dụng (app):
Microsoft 365 Apps for enterprise cho Windows, Mac.
Office for the web (Word for web, Excel for web, PowerPoint for web & OneNote web).
Safe Documents hiện khả dụng thường cho người dùng có Office Version 2004 (12730.x) trở lên. Tính năng này bị tắt theo mặc định và sẽ cần được Security Administrator bật.
Tính năng này chỉ khả dụng cho người dùng có giấy phép/license Microsoft 365 E5 hoặc Microsoft 365 E5 Security (không bao gồm trong gói Defender for Office 365).
Word, Excel và PowerPoint trên Windows
Các kênh và cuộc trò chuyện của Microsoft Teams
ATP for SharePoint, OneDrive & Microsoft Teams
ATP for SharePoint, OneDrive, and Microsoft Teams giúp phát hiện và chặn các tệp được xác định là độc hại trong các trang nhóm và thư viện tài liệu. Ngoài ra, tính năng Safe Links hiện khả dụng trong Microsoft Teams channels and chats.
Anti-phishing policies
Anti-phishing kiểm tra các tin nhắn đến để tìm chỉ báo rằng một tin nhắn có thể là tấn công lừa đảo. Khi người dùng được bảo vệ bởi các chính sách của Defender for Office 365 (Safe Attachments, Safe Links, hay anti-phishing), các thư đến được đánh giá bằng nhiều mô hình học máy phân tích thư và hành động thích hợp được thực hiện dựa trên các chính sách đã định cấu hình.
Real-time reports
Khả năng giám sát có sẵn trong Security & Compliance Center (https://protection.office.com) bao gồm các báo cáo và thông tin chi tiết theo thời gian thực cho phép quản trị viên tuân thủ và bảo mật của doanh nghiệp tập trung vào các vấn đề ưu tiên cao, chẳng hạn như các cuộc tấn công bảo mật hoặc gia tăng hoạt động đáng ngờ. Ngoài việc nêu bật các khu vực có vấn đề, các báo cáo thông minh và thông tin chi tiết bao gồm các đề xuất và liên kết (links) để xem và khám phá dữ liệu cũng như thực hiện các hành động nhanh chóng.
Explorer
Explorer (còn được gọi là Threat Explorer) là một báo cáo thời gian thực cho phép người dùng được ủy quyền xác định và phân tích các mối đe dọa gần đây. Theo mặc định, báo cáo này hiển thị dữ liệu trong bảy ngày qua; tuy nhiên, chế độ xem có thể được sửa đổi để hiển thị dữ liệu trong 30 ngày qua.
Explorer bao gồm các chế độ xem, Malware (for email & content), Submissions, Phish & Email. Để xem cách Explorer so sánh với phát hiện thời gian thực download PDF
Real-time detections
Real-time detections là một báo cáo thời gian thực cho phép người dùng được ủy quyền xác định và phân tích các mối đe dọa. Tương tự như Explorer, theo mặc định, báo cáo này hiển thị dữ liệu trong bảy ngày qua.
Real-time detection bao gồm các chế độ xem Malware (email & content), Submissions, Phish. Để xem real-time detections so với Explorer download PDF
Threat Trackers
Threat Trackers là các tiện ích và chế độ xem cung cấp thông tin cho người dùng được ủy quyền về các vấn đề an ninh mạng có thể ảnh hưởng đến doanh nghiệp của bạn.
Automated incident response
Automated incident response (AIR) gồm các khả năng có sẵn trong Microsoft Defender for Office 365 Plan 2 cho phép bạn chạy các quy trình điều tra tự động để đối phó với các mối đe dọa nguy hiểm hiện nay. Bằng cách tự động hóa các nhiệm vụ điều tra nhất định, nhóm hoạt động bảo mật có thể hoạt động hiệu quả hơn. Các hành động khắc phục hậu quả, chẳng hạn như xóa các thư email độc hại, được thực hiện khi nhóm hoạt động bảo mật của bạn chấp thuận.
Attack Simulator
Attack Simulator cho phép người dùng được ủy quyền chạy các tình huống tấn công thực tế trong doanh nghiệp. Có nhiều loại tấn công khác nhau, bao gồm tấn công lừa đảo trực tuyến bằng tên hiển thị, password-spray attack & brute-force password attack.
Microsoft Defender Antivirus (trước đây là Windows Defender) cung cấp khả năng bảo vệ toàn diện, liên tục và theo thời gian thực chống lại viruses, malware, spyware trên email, ứng dụng, đám mây và web.
Microsoft Defender Antivirus cho bạn:
Không tốn thêm chi phí – được tích hợp với Windows 10 bản quyền giúp bảo vệ dữ liệu & thiết bị trong thời gian thực với một bộ đầy đủ các biện pháp bảo vệ an ninh tiên tiến.
Lưu tệp của bạn vào OneDrive để giữ cho chúng được bảo vệ, sao lưu và có thể truy cập từ tất cả các thiết bị, ở bất kỳ đâu.
Quản lý riêng tư với cài đặt các tùy chọn vị trí (location), camera và sử dụng dữ liệu của bạn như thế nào trong bảng cài đặt tài khoản.
Online an toàn: với Windows 10, lên lịch thời gian sử dụng thiết bị, giới hạn quyền truy cập vào nội dung dành cho người lớn và hạn chế mua hàng trực tuyến, bao gồm ứng dụng, trò chơi và xem phim.
Tìm hiểu chuyên sâu hơn:
Microsoft Defender Antivirus là thành phần bảo vệ thế hệ tiếp theo (next-generation) của Microsoft Defender for Endpoint. Biện pháp bảo vệ này tập hợp machine learning, phân tích big-data, nghiên cứu chuyên sâu về khả năng chống lại mối đe dọa và cơ sở hạ tầng đám mây của Microsoft để bảo vệ các thiết bị trong tổ chức doanh nghiệp của bạn. Các dịch vụ bảo vệ thế hệ tiếp theo bao gồm các khả năng sau:
Behavior-based, heuristic, and real-time antivirus protection, bao gồm quét luôn bật bằng cách sử dụng giám sát hành vi của tệp và quy trình cũng như các phương pháp heuristics khác (còn được gọi là bảo vệ thời gian thực). Khả năng này cũng bao gồm phát hiện và chặn các ứng dụng được coi là không an toàn nhưng có thể không bị phát hiện là phần mềm độc hại.
Cloud-delivered protection, bao gồm phát hiện và ngăn chặn gần như tức thì các mối đe dọa mới và đang xuất hiện.
Lưu tệp vào OneDrive để luôn được bảo vệ, sao lưu và có thể truy cập từ các thiết bị iOS, Android và Windows của bạn, ở mọi lúc, mọi nơi.
Find My Device – tìm thiết bị khi bị mất
Find My Device là tính năng giúp định vị thiết bị khi bị mất chẳng hạn như Windows 10 khi bị mất hoặc bị đánh cắp. Tính năng này hoạt động với bất kì thiết bị có Windows nào, chẳng hạn như PC, laptop, Surface hoặc Surface Pen.
Thử demo
Cho nhu cầu tìm hiểu chuyên sâu hơn, truy cập Microsoft Defender for Endpoint demo website để xác nhận các tính năng bảo vệ sau đang hoạt động và khám phá các tính năng bằng cách sử dụng các tình huống demo:
Microsoft Cloud App Security là Cloud Access Security Broker (CASB) hỗ trợ các chế độ triển khai khác nhau bao gồm log collection, API connectors & reverse proxy.
Microsoft Cloud App Security cung cấp khả năng hiển thị phong phú, kiểm soát việc di chuyển dữ liệu ( data travel) và phân tích tinh vi để xác định và chống lại các mối đe dọa mạng trên tất cả các dịch vụ đám mây của Microsoft và cả bên thứ ba mà bạn đang sử dụng.
Chuyển sang đám mây giúp tăng tính linh hoạt cho nhân viên và cả CNTT. Tuy nhiên, việc chuyển đổi này cũng đưa ra những thách thức và phức tạp mới để giữ an toàn cho doanh nghiệp. Để có được lợi ích đầy đủ của các ứng dụng và dịch vụ đám mây, nhóm CNTT phải tìm ra sự cân bằng phù hợp trong việc hỗ trợ truy cập trong khi duy trì quyền kiểm soát để bảo vệ dữ liệu quan trọng.
Microsoft Cloud App Security tích hợp nguyên bản với các giải pháp hàng đầu của Microsoft và được thiết kế dành cho các chuyên gia bảo mật. Nó cung cấp khả năng triển khai đơn giản, quản lý tập trung và tự động hóa một cách sáng tạo.
CASB là gì?
Như đã nêu ở đầu bài, chuyển sang đám mây giúp tăng tính linh hoạt cho nhân viên và nhóm CNTT. Tuy nhiên, nó cũng đưa ra những thách thức và phức tạp mới để giữ an toàn cho tổ chức của bạn. Để có được lợi ích đầy đủ của các ứng dụng và dịch vụ đám mây, nhóm CNTT phải tìm ra sự cân bằng phù hợp giữa việc hỗ trợ truy cập đồng thời bảo vệ dữ liệu quan trọng.
Đây là nơi mà CASB (Cloud App Security Broker) bước vào để giải quyết sự cân bằng, bổ sung các biện pháp bảo vệ cho việc sử dụng dịch vụ đám mây của doanh nghiệp bằng cách thực thi các chính sách bảo mật doanh nghiệp phù hợp. Như tên cho thấy, CASB hoạt động như một người gác cổng đứng ở giữa quyền truy cập trong thời gian thực giữa người dùng trong doanh nghiệp của bạn và các tài nguyên đám mây mà họ sử dụng, bất kể người dùng đó ở đâu và bất kể họ đang sử dụng thiết bị nào.
CASB thực hiện điều này bằng cách phát hiện và cung cấp khả năng hiển thị về:
Các thông tin IT chưa biết.
Việc sử dụng ứng dụng.
Giám sát các hoạt động của người dùng để tìm các hành vi bất thường.
Kiểm soát quyền truy cập vào tài nguyên của doanh nghiệp.
Cung cấp khả năng phân loại và ngăn chặn rò rỉ thông tin nhạy cảm.
Bảo vệ chống lại các tác nhân độc hại.
Đánh giá sự tuân thủ của đám mây các dịch vụ.
CASB giải quyết các lỗ hổng bảo mật trong việc sử dụng dịch vụ đám mây của doanh nghiệp bằng cách cung cấp khả năng hiển thị chi tiết và kiểm soát các hoạt động của người dùng và dữ liệu nhạy cảm. Phạm vi bảo vệ của CASB áp dụng rộng rãi trên SaaS, PaaS và IaaS.
Đối với phạm vi bao phủ của SaaS, CASB thường hoạt động với các nền tảng cộng tác nội dung phổ biến nhất (CCP – content collaboration platforms), hệ thống CRM, hệ thống nhân sự (HR system), giải pháp hoạch định nguồn lực doanh nghiệp (ERP), service desk, bộ ứng dụng năng suất văn phòng và các trang web mạng xã hội doanh nghiệp.
Đối với phạm vi phủ sóng IaaS và PaaS, một số CASB chi phối việc sử dụng dựa trên API của các nhà cung cấp dịch vụ đám mây phổ biến (CSP) và mở rộng khả năng hiển thị và quản trị cho các ứng dụng chạy trong các đám mây này.
Tại sao cần CASB?
CASB giúp hiểu rõ hơn về tình hình tổng thể đám mây của doanh nghiệp trên các ứng dụng SaaS và dịch vụ đám mây, như vậy, nhu cầu về quản trị ứng dụng và khám phá các tài nguyên, thông tin CNTT chưa biết (Shadow IT) là những trường hợp sử dụng chính. Ngoài ra, một doanh nghiệp chịu trách nhiệm quản lý và bảo mật nền tảng đám mây bao gồm IAM, VM và các tài nguyên máy tính, dữ liệu và lưu trữ, tài nguyên mạng, v.v. cũng là các trường hợp cần sử dụng CASB.
Do vậy, nếu bạn là doanh nghiệp đang sử dụng hoặc đang cân nhắc sử dụng các ứng dụng đám mây vào danh mục dịch vụ mạng của mình, bạn rất có thể cần CASB để giải quyết những thách thức phát sinh, quản lý tập trung trong việc điều chỉnh và bảo mật môi trường của doanh nghiệp bạn. Đơn cử như, có nhiều cách để những hacker lợi dụng các ứng dụng đám mây để xâm nhập vào mạng doanh nghiệp và lấy cắp dữ liệu kinh doanh nhạy cảm, quan trọng.
Là một doanh nghiệp, bạn cần bảo vệ người dùng và dữ liệu bí mật/nhạy cảm của mình khỏi các phương pháp khác nhau mà các tác nhân độc hại đang cố gắng khai thác. Nói chung, CASB sẽ giúp bạn thực hiện việc này bằng cách cung cấp nhiều khả năng bảo vệ môi trường trên các trụ cột sau:
Khả năng hiển thị (Visibility): phát hiện tất cả các dịch vụ đám mây; chỉ định mức độ rủi ro; xác định tất cả người dùng và ứng dụng của bên thứ ba có thể đăng nhập.
Bảo mật dữ liệu (Data security): xác định và kiểm soát thông tin nhạy cảm (DLP); phản hồi các nhãn (label) phân loại trên nội dung.
Bảo vệ chống lại các mối đe dọa (Threat protection): cung cấp kiểm soát truy cập thích ứng (AAC – Adaptive Access Control); cung cấp phân tích hành vi người dùng và thực thể (UEBA – User and Entity Behavior Analysis); giảm thiểu phần mềm độc hại.
Tuân thủ (Compliance): báo cáo (report) và bảng điều khiển (dashboard) để quản trị đám mây hiệu quả; hỗ trợ tuân thủ các yêu cầu về lưu trữ dữ liệu và tuân thủ quy định.
Cloud App Security framework
Khám phá và kiểm soát việc sử dụng: Xác định các ứng dụng đám mây, dịch vụ IaaS và PaaS mà doanh nghiệp đang sử dụng. Điều tra các kiểu sử dụng, đánh giá mức độ rủi ro và mức độ sẵn sàng của hơn 16.000 ứng dụng SaaS trước hơn 80 rủi ro. Bắt đầu quản lý để đảm bảo an ninh và tuân thủ.
Bảo vệ thông tin nhạy cảm ở bất kỳ đâu trên đám mây: Hiểu, phân loại và bảo vệ thông tin nhạy cảm ở trạng thái nghỉ. Tận dụng các chính sách độc lập và quy trình tự động để áp dụng các biện pháp kiểm soát trong thời gian thực trên tất cả các ứng dụng đám mây của doanh nghiệp.
Bảo vệ chống lại các mối đe dọa và sự bất thường trên mạng: Phát hiện hành vi bất thường trên các ứng dụng đám mây để xác định ransomware, người dùng bị xâm nhập hoặc ứng dụng giả mạo, phân tích việc sử dụng có nguy cơ cao và tự động khắc phục để hạn chế rủi ro cho doanh nghiệp.
Đánh giá sự tuân thủ của các ứng dụng đám mây: Đánh giá xem các ứng dụng đám mây của doanh nghiệp có đáp ứng các yêu cầu tuân thủ liên quan bao gồm tuân thủ quy định và tiêu chuẩn ngành hay không. Ngăn chặn rò rỉ dữ liệu cho các ứng dụng không tuân thủ và hạn chế quyền truy cập vào dữ liệu được quản lý.
Kiến trúc của Microsoft Cloud App Security
Cloud App Security tích hợp khả năng hiển thị với đám mây của doanh nghiệp bằng cách:
Sử dụng Cloud Discovery để lập bản đồ và xác định môi trường đám mây cũng như các ứng dụng đám mây mà doanh nghiệp đang sử dụng.
Xử lý và ngừng hoạt động các ứng dụng trong đám mây của doanh nghiệp.
Sử dụng trình kết nối ứng dụng (app connectors) dễ triển khai tận dụng các API của nhà cung cấp để hiển thị và quản trị các ứng dụng đang kết nối.
Sử dụng tính năng bảo vệ Kiểm soát ứng dụng truy cập có điều kiện (Conditional Access App Control) để có khả năng hiển thị theo thời gian thực và kiểm soát quyền truy cập cũng như các hoạt động trong ứng dụng đám mây của doanh nghiệp.
Giúp kiểm soát liên tục bằng cách cài đặt, sau đó liên tục tinh chỉnh các chính sách.
Cloud Discovery sử dụng nhật ký lưu lượng truy cập (traffic logs) để khám phá và phân tích động các ứng dụng đám mây mà doanh nghiệp đang sử dụng. Để tạo báo cáo nhanh về việc sử dụng đám mây của doanh nghiệp, bạn có thể tải lên thủ công các tệp log từ tường lửa (firewall) hoặc proxy để phân tích. Để thiết lập báo cáo liên tục, hãy sử dụng Cloud App Security log collectors để chuyển tiếp log theo định kỳ.
Bạn có thể sử dụng Cloud App Security để xử lý hoặc hủy các ứng dụng trong doanh nghiệp của mình bằng cách sử dụng Cloud app catalog. Nhóm các nhà phân tích của Microsoft có một danh mục mở rộng và liên tục phát triển với hơn 16.000 ứng dụng đám mây được xếp hạng và cho điểm dựa trên các tiêu chuẩn ngành. Bạn có thể sử dụng Cloud app catalog để đánh giá rủi ro cho các ứng dụng đám mây của mình dựa trên các chứng nhận quy định, tiêu chuẩn ngành và các phương pháp hay nhất. Sau đó, tùy chỉnh điểm số (scores) và trọng số (weights) của các thông số (parameters) khác nhau theo nhu cầu của doanh nghiệp của bạn. Dựa trên những điểm số này, Cloud App Security cho bạn biết mức độ rủi ro của một ứng dụng. Việc chấm điểm dựa trên hơn 80 yếu tố rủi ro có thể ảnh hưởng đến môi trường của doanh nghiệp.
App connectors
App connectors sử dụng API từ các nhà cung cấp ứng dụng đám mây để tích hợp Microsoft Cloud App Security với các ứng dụng đám mây khác. Kết nối ứng dụng giúp mở rộng khả năng kiểm soát và bảo vệ và cung cấp quyền truy cập thông tin trực tiếp từ các ứng dụng đám mây, v.v..
Để kết nối một ứng dụng và mở rộng bảo vệ (extend protection), quản trị viên ứng dụng cho phép Cloud App Security truy cập ứng dụng. Sau đó, Microsoft Cloud App Security truy vấn ứng dụng để tìm nhật ký hoạt động và quét dữ liệu, tài khoản và nội dung đám mây. Cloud App Security có thể thực thi các chính sách, phát hiện các mối đe dọa và cung cấp các hành động quản trị để giải quyết các vấn đề.
Microsoft Cloud App Security sử dụng các API do nhà cung cấp đám mây cung cấp. Mỗi ứng dụng có khuôn khổ và giới hạn API riêng. Cloud App Security làm việc với các nhà cung cấp ứng dụng để tối ưu hóa việc sử dụng API để đảm bảo hiệu suất tốt nhất. Xem xét các giới hạn khác nhau mà ứng dụng áp đặt lên API (chẳng hạn như throttling, API limits và dynamic time-shifting API windows), các công cụ Cloud App Security chỉ sử dụng các khả năng được cho phép. Một số hoạt động, chẳng hạn như quét tất cả các tệp trong tenant, yêu cầu một số lượng lớn các API, vì vậy sẽ mất thời gian nhiều hơn. Một số chính sách sẽ chạy trong vài giờ hoặc vài ngày.
Conditional Access App Control protection
Conditional Access App Control của Microsoft Cloud App Security sử dụng kiến trúc reverse proxy để cung cấp cho bạn các công cụ cần thiết cho khả năng hiển thị và kiểm soát theo thời gian thực đối với quyền truy cập và các hoạt động được thực hiện trong môi trường đám mây của doanh nghiệp. Với Conditional Access App Control, bạn có thể bảo vệ doanh nghiệp của mình:
Tránh rò rỉ dữ liệu bằng cách chặn tải xuống trước khi thực hiện.
Đặt các quy tắc bắt buộc dữ liệu được lưu trữ và tải xuống từ đám mây phải được bảo vệ bằng mã hóa.
Tăng khả năng hiển thị đối với các điểm cuối (endpoint) không được bảo vệ để bạn có thể theo dõi những gì đang được thực hiện trên các thiết bị không được quản lý.
Kiểm soát quyền truy cập từ các mạng không phải của công ty/doanh nghiệp hoặc các địa chỉ IP rủi ro.
Policy control
Bạn có thể sử dụng các chính sách để xác định hành vi của người dùng trên đám mây. Sử dụng các chính sách để phát hiện hành vi nguy cơ, vi phạm hoặc các điểm dữ liệu đáng ngờ và các hoạt động trong môi trường đám mây của doanh nghiệp. Nếu cần, bạn có thể sử dụng các chính sách để tích hợp các quy trình khắc phục nhằm giảm thiểu rủi ro hoàn toàn. Các loại chính sách liên quan đến các loại thông tin khác nhau mà bạn có thể muốn thu thập về môi trường đám mây của mình và các loại hành động khắc phục mà bạn có thể thực hiện.
Microsoft Defender for Identity (trước đây là Azure Advanced Threat Protection, còn được gọi là Azure ATP) là một giải pháp bảo mật dựa trên đám mây sử dụng các tín hiệu Active Directory tại chỗ của bạn để xác định, phát hiện và điều tra các mối đe dọa nâng cao, danh tính bị xâm phạm và hành động nội gián độc hại trực tiếp vào tổ chức của bạn.
Defender for Identity cho phép các nhà phân tích SecOp và các chuyên gia bảo mật đang cố gắng phát hiện các cuộc tấn công nâng cao trong môi trường kết hợp để:
Giám sát người dùng, hành vi của tổ chức và hoạt động bằng phân tích.
Bảo vệ danh tính người dùng và thông tin đăng nhập được lưu trữ trong Active Directory.
Xác định và điều tra các hoạt động đáng ngờ của người dùng và các cuộc tấn công nâng cao trong suốt chuỗi (kill chain).
Cung cấp thông tin sự cố rõ ràng trên một dòng thời gian đơn giản để phân tích nhanh.
Giám sát và lập hồ sơ hành vi và hoạt động của người dùng
Defender for Identity giám sát và phân tích các hoạt động và thông tin của người dùng trên mạng của bạn, chẳng hạn như quyền và tư cách thành viên nhóm, tạo cơ sở hành vi cho mỗi người dùng. Sau đó, Defender for Identity xác định các điểm bất thường bằng trí thông minh tích hợp thích ứng, cung cấp cho bạn thông tin chi tiết về các hoạt động và sự kiện đáng ngờ, tiết lộ các mối đe dọa nâng cao, người dùng bị xâm phạm và các mối đe dọa nội bộ mà tổ chức của bạn phải đối mặt. Các cảm biến độc quyền của Defender for Identity giám sát domain controllers, cung cấp cái nhìn toàn diện cho tất cả các hoạt động của người dùng từ mọi thiết bị.
Bảo vệ danh tính người dùng & giảm bề mặt tấn công
Defender for Identity cung cấp cho bạn thông tin chi tiết vô giá về cấu hình nhận dạng và các phương pháp hay nhất về bảo mật được đề xuất. Thông qua các báo cáo bảo mật và phân tích hồ sơ người dùng, Defender for Identity giúp giảm đáng kể bề mặt tấn công của doanh nghiệp, giúp khó xâm phạm thông tin đăng nhập của người dùng hay tiến hành một cuộc tấn công. Lateral Movement Paths của Defender for Identity giúp bạn nhanh chóng hiểu chính xác cách kẻ tấn công có thể di chuyển bên trong doanh nghiệp của bạn để xâm phạm các tài khoản nhạy cảm và hỗ trợ ngăn chặn trước những rủi ro đó. Báo cáo bảo mật của Defender for Identity giúp bạn xác định người dùng và thiết bị xác thực bằng clear-text passwords và cung cấp thêm thông tin chi tiết để cải thiện chính sách và tư thế bảo mật cho toàn doanh nghiệp.
Bảo vệ AD FS trong môi trường hybrid
Active Directory Federation Services (AD FS) đóng một vai trò quan trọng trong cơ sở hạ tầng ngày nay khi nói đến xác thực trong môi trường hybrid. Defender for Identity bảo vệ AD FS trong môi trường của bạn bằng cách phát hiện các cuộc tấn công on-premise vào AD FS và cung cấp khả năng hiển thị các sự kiện xác thực do AD FS tạo ra.
Xác định các hoạt động đáng ngờ và các cuộc tấn công nâng cao trên chuỗi tiêu diệt (kill-chain) tấn công mạng
Thông thường, các cuộc tấn công được thực hiện chống lại bất kỳ thực thể nào có thể truy cập được, chẳng hạn như người dùng có đặc quyền thấp, sau đó nhanh chóng di chuyển theo chiều ngang cho đến khi kẻ tấn công giành được quyền truy cập vào các tài sản có giá trị – chẳng hạn như tài khoản nhạy cảm, quản trị viên tên miền và dữ liệu nhạy cảm cao. Defender for Identity xác định các mối đe dọa nâng cao này tại nguồn trong toàn bộ chuỗi tiêu diệt (kill-chain) tấn công mạng:
Reconnaissance
Xác định người dùng giả mạo và những kẻ tấn công cố gắng lấy thông tin. Những kẻ tấn công đang tìm kiếm thông tin về tên người dùng, tư cách thành viên nhóm của người dùng, địa chỉ IP được gán cho thiết bị, tài nguyên và hơn thế nữa, bằng nhiều phương pháp khác nhau.
Compromised credentials
Xác định các xâm phạm thông tin đăng nhập của người dùng bằng các cuộc tấn công brute force, xác thực không thành công, thay đổi thành viên nhóm người dùng và các phương pháp khác.
Lateral movements
Phát hiện các di chuyển ngang (laterally) bên trong mạng để giành quyền kiểm soát hơn nữa đối với những người dùng có thông tin nhạy cảm, sử dụng các phương pháp như Pass the Ticket, Pass the Hash, Overpass the Hash v.v..
Domain dominance
Làm nổi bật hành vi của kẻ tấn công nếu đạt được sự thống trị miền, thông qua thực thi mã từ xa trên bộ điều khiển miền và các phương pháp như DC Shadow, sao chép bộ điều khiển miền độc hại, hoạt động Golden Ticket, v.v.
Điều tra cảnh báo và hoạt động của người dùng
Defender for Identity được thiết kế để giảm nhiễu cảnh báo chung và chỉ cung cấp các cảnh báo bảo mật quan trọng, có liên quan trong tiến trình tấn công một cách có tổ chức đơn giản theo thời gian thực. Chế độ xem dòng thời gian của cuộc tấn công (attack timeline view) trong Defender for Identity cho phép bạn dễ dàng tập trung vào những gì quan trọng, tận dụng trí tuệ của các phân tích thông minh. Sử dụng Defender for Identity để nhanh chóng điều tra các mối đe dọa và có được thông tin chi tiết về người dùng, thiết bị và tài nguyên mạng trong toàn doanh nghiệp. Tích hợp liền mạch với Microsoft Defender cho Endpoint cung cấp một lớp bảo mật nâng cao khác bằng cách phát hiện và bảo vệ bổ sung chống lại các mối đe dọa liên tục nâng cao trên hệ điều hành.
Threat protection policies (Chính sách bảo vệ khỏi mối đe dọa): Xác định chính sách bảo vệ khỏi mối đe dọa để đặt mức độ bảo vệ thích hợp cho doanh nghiệp của bạn.
Reports (Báo cáo): Xem báo cáo thời gian thực để theo dõi hiệu suất của Defender for Office 365 trong doanh nghiệp.
Threat investigation and response capabilities (Khả năng điều tra và đối phó với mối đe dọa): Sử dụng các công cụ tiên tiến nhất để điều tra, hiểu, mô phỏng và ngăn chặn các mối đe dọa.
Tích hợp giải pháp bảo vệ chống mối đe dọa toàn bộ Office 365:
Bảo vệ Office 365 từ gốc
Giải pháp bảo vệ được tích hợp sẵn sẽ đơn giản hóa hoạt động quản trị, giảm tổng chi phí sở hữu và tăng năng suất
Công nghệ AI và tự động hóa đầu ngành
Quy mô và hiệu suất vô song cùng các quy trình tự động mạnh mẽ giúp cải thiện hiệu quả của bộ phận Hoạt động bảo mật.
Phương pháp tiếp cận toàn diện
Một giải pháp cộng tác hoàn chỉnh, bảo vệ các tổ chức khỏi các cuộc tấn công trong toàn bộ chuỗi tiêu diệt.
Chức năng Microsoft Defender for Office 365
Ngăn ngừa
Ngăn xếp lọc mạnh mẽ ngăn chặn một loạt các cuộc tấn công dựa trên số lượng lớn và nhắm mục tiêu, bao gồm xâm phạm email doanh nghiệp, lừa đảo qua mạng để lấy cắp thông tin xác thực, mã độc tống tiền và phần mềm xấu nâng cao.
Phát hiện
AI đầu ngành phát hiện nội dung xấu, đáng ngờ và liên hệ tương quan các mẫu hình tấn công để xác định các chiến dịch được thiết kế nhằm vượt qua hoạt động bảo vệ.
Điều tra và tìm kiếm
Các trải nghiệm mạnh mẽ giúp xác định, ưu tiên và điều tra mối đe dọa, cùng với các chức năng tìm kiếm nâng cao để theo dõi các cuộc tấn công trên toàn Office 365.
Ứng phó và khắc phục
Các chức năng tự động hóa và ứng phó sự cố bao quát mở rộng hiệu quả và hiệu suất cho nhóm bảo mật của bạn.
Nâng cao nhận thức và đào tạo
Các chức năng mô phỏng và đào tạo phong phú cùng các trải nghiệm được tích hợp trong ứng dụng máy khách giúp xây dựng nhận thức của người dùng.
Vị thế bảo mật
Thông tin chuyên sâu về cấu hình và các mẫu được đề xuất trợ giúp khách hàng duy trì sự bảo mật.
Sơ lược về Microsoft Defender for Office 365
Trong bài viết này, bạn sẽ học cách bảo vệ doanh nghiệp của mình bằng Microsoft Defender for Office 365. Bạn sẽ thấy cách Defender for Office 365 có thể giúp bạn xác định các chính sách bảo vệ, phân tích các mối đe dọa đối với doanh nghiệp của bạn và phản ứng lại các cuộc tấn công.
Dưới đây là các phần cấu hình ban đầu hợp lý:
1/ Cấu hình mọi thứ bắt đầu với từ “anti”:
anti-malware
anti-phishing
anti-spam
2/ Cài đặt mọi thứ bắt đầu với từ “safe”:
safe links
safe attachments
3/ Tiến hành cài đặt bảo mật cho workloads (SharePoint Online, OneDrive & Teams).
4/ Bảo vệ với tính năng tự động thanh lọc Zero-Hour.
Lưu lý: Microsoft Defender for Office 365 có 2 Plan khác nhau. Nếu bạn có “Real-time Detections” thì bạn đang sử dụng Plan 1, bạn đang dùng Plan 2 nếu bạn đang có “Threat Explorer”. Plan sẽ ảnh hưởng đến các công cụ bạn sẽ thấy, vì vậy hãy chắc chắn rằng bạn biết về Plan mà bạn đang sử dụng là gì.
Microsoft Defender for Office 365 Plan 1 & Plan 2
Microsoft Defender for Office 365 Plan 1
Microsoft Defender for Office 365 Plan 2
Các khả năng Configuration, protection, and detection:
Các khả năng của Microsoft Defender for Office 365 Plan 1 — cộng với — Automation, investigation, remediation, and education
Microsoft Defender for Office 365 Plan 2 được bao gồm trong Office 365 E5, Office 365 A5, Microsoft 365 E5 Security và Microsoft 365 E5.
Microsoft Defender for Office 365 Plan 1 được bao gồm trong Microsoft 365 Business Premium.
Microsoft Defender for Office 365 Plan 1 và Microsoft Defender for Office 365 Plan 2 đều có sẵn dưới dạng tiện ích bổ sung cho một số đăng ký/subcription nhất định. Để tìm hiểu thêm, hãy xem Tính khả dụng trên các gói Microsoft Defender for Office 365.
Tính năng Tài liệu An toàn (Safe Documents) chỉ khả dụng cho người dùng có giấy phép/license Microsoft 365 E5 hoặc Microsoft 365 E5 Security (không có trong các gói Microsoft Defender for Office 365).
Nếu đăng ký/subscription hiện tại của bạn không bao gồm Microsoft Defender for Office 365, hãy liên hệ VinSEP để đăng ký dùng thử hoặc mua giấy phép/license.
Cấu hình policies cho Microsoft Defender for Office 365
Với Microsoft Defender for Office 365, nhóm bảo mật của doanh nghiệp có thể định cấu hình bảo vệ bằng cách xác định các chính sách trong Security & Compliance Center (https://protection.office.com > Threat management > Policy)
Các chính sách/policies được xác định cho doanh nghiệp của bạn xác định hành vi và mức độ bảo vệ đối với các mối đe dọa được xác định trước. Các lựa chọn chính sách cực kỳ linh hoạt. Ví dụ: nhóm bảo mật có thể thiết lập khả năng bảo vệ mối đe dọa chi tiết ở cấp độ người dùng (user), tổ chức (organization), người nhận (recipient) và miền (domain). Điều quan trọng là phải xem xét các chính sách/policies của bạn thường xuyên vì các mối đe dọa và thách thức mới xuất hiện hàng ngày.
Safe Attachments Cung cấp chế độ bảo vệ zero-day để bảo vệ hệ thống nhắn tin, bằng cách kiểm tra nội dung độc hại trong tệp đính kèm email. Nó định tuyến tất cả các thư và tệp đính kèm được xác định là không có vi-rút / phần mềm độc hại theo phương thức signature đến một môi trường đặc biệt, sau đó sử dụng các kỹ thuật phân tích và học máy để phát hiện mục đích xấu. Nếu không tìm thấy hoạt động đáng ngờ nào, thư sẽ được chuyển tiếp đến hộp thư. Tìm hiểu thêm về cài đặt Safe Attachments policies
Xem các báo cáo của Microsoft Defender for Office 365
Microsoft Defender for Office 365 bao gồm một bảng điều khiển báo cáo/ reporting dashboard nâng cao để theo dõi hiệu suất Defender for Office 365. Để truy cập hãy làm theo cách sau Reports > Dashboard trong Security & Compliance Center.
Báo cáo (report) sẽ được cập nhật theo thời gian thực, cung cấp cho bạn thông tin chi tiết mới nhất. Các báo cáo này cũng cung cấp các khuyến nghị và cảnh báo về các mối đe dọa sắp xảy ra. Các báo cáo được xác định trước bao gồm:
Microsoft Defender for Office 365 Plan 2 bao gồm các công cụ điều tra và ứng phó mối đe dọa (threat investigation and response tools) tốt nhất cho phép nhóm bảo mật dự đoán, hiểu và ngăn chặn các cuộc tấn công độc hại.
Threat trackers cung cấp thông tin mới nhất về các vấn đề an ninh mạng phổ biến. Ví dụ: bạn có thể xem thông tin về phần mềm độc hại mới nhất và thực hiện các biện pháp đối phó trước khi nó trở thành mối đe dọa thực sự đối với doanh nghiệp. Threat tracker cũng bao gồm: Noteworthy trackers, Trending trackers, Tracked queries và Saved queries.
Threat Explorer (or real-time detections) (còn được gọi là Explorer) là một báo cáo thời gian thực cho phép xác định và phân tích các mối đe dọa mới. Bạn có thể định cấu hình Explorer để hiển thị dữ liệu cho các khoảng thời gian tùy chỉnh.
Attack Simulator cho phép bạn chạy các tình huống tấn công thực tế trong doanh nghiệp của mình để xác định các lỗ hổng. Có thể mô phỏng các kiểu tấn công hiện tại, bao gồm các cuộc tấn công thu thập thông tin xác thực và tệp đính kèm lừa đảo trực tuyến cũng như các cuộc tấn công bằng mật khẩu dạng password spray & brute force password attacks.
Tiết kiệm thời gian với khả năng tự động
(TÍNH NĂNG MỚI!) Khi bạn đang điều tra một cuộc tấn công mạng tiềm ẩn, thời gian là điều cốt yếu. Bạn cần xác định và giảm thiểu các mối đe dọa càng sớm càng tốt. Khả năng điều tra và phản hồi tự động (AIR – Automated investigation and response) bao gồm security playbook có thể được khởi chạy tự động, chẳng hạn như khi cảnh báo được kích hoạt hoặc được bật theo cách thủ công, từ một chế độ xem trong Explorer. AIR có thể tiết kiệm thời gian và nỗ lực của nhóm hoạt động bảo mật trong việc giảm thiểu các mối đe dọa một cách hiệu quả và nhanh chóng. Để tìm hiểu thêm, hãy xem AIR in Office 365.
Các quyền tương ứng cho sử dụng các tính năng của Microsoft Defender for Office 365
Để truy cập các tính năng của Microsoft Defender for Office 365 trong Security & Compliance Center, bạn phải được chỉ định một vai trò thích hợp. Bảng sau bao gồm một số ví dụ:
Role or role group
Tài nguyên tham khảo
global administrator (có thể được chỉ định trong Azure Active Directory hay trong Security & Compliance Center)
Microsoft Defender for Office 365 được bao gồm trong một số đăng ký/subscription nhất định, chẳng hạn như Microsoft 365 E5, Office 365 E5, Office 365 A5 và Microsoft 365 Business Premium. Nếu đăng ký của bạn không bao gồm Defender for Office 365, bạn có thể mua Defender for Office 3655 Plan 1 hoặc Defender for Office 365 Plan 2 dưới dạng tiện ích bổ sung cho các đăng ký nhất định. Để tìm hiểu thêm, hãy xem các tài nguyên sau:
Chúng tôi sử dụng lưu bộ nhớ tạm cookie cho thiết bị của bạn, để ghi nhớ các nội dung bạn đã xem. Đồng ý với điều này sẽ cho phép duyệt web thuận lợi hơn. Không đồng ý hoặc rút lại sự đồng ý, có thể gây chậm cho trải nghiệm khi xem bài viết.
Functional
Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
