Microsoft Cloud App Security là Cloud Access Security Broker (CASB) hỗ trợ các chế độ triển khai khác nhau bao gồm log collection, API connectors & reverse proxy.
Microsoft Cloud App Security cung cấp khả năng hiển thị phong phú, kiểm soát việc di chuyển dữ liệu ( data travel) và phân tích tinh vi để xác định và chống lại các mối đe dọa mạng trên tất cả các dịch vụ đám mây của Microsoft và cả bên thứ ba mà bạn đang sử dụng.
Chuyển sang đám mây giúp tăng tính linh hoạt cho nhân viên và cả CNTT. Tuy nhiên, việc chuyển đổi này cũng đưa ra những thách thức và phức tạp mới để giữ an toàn cho doanh nghiệp. Để có được lợi ích đầy đủ của các ứng dụng và dịch vụ đám mây, nhóm CNTT phải tìm ra sự cân bằng phù hợp trong việc hỗ trợ truy cập trong khi duy trì quyền kiểm soát để bảo vệ dữ liệu quan trọng.
Microsoft Cloud App Security tích hợp nguyên bản với các giải pháp hàng đầu của Microsoft và được thiết kế dành cho các chuyên gia bảo mật. Nó cung cấp khả năng triển khai đơn giản, quản lý tập trung và tự động hóa một cách sáng tạo.
CASB là gì?
Như đã nêu ở đầu bài, chuyển sang đám mây giúp tăng tính linh hoạt cho nhân viên và nhóm CNTT. Tuy nhiên, nó cũng đưa ra những thách thức và phức tạp mới để giữ an toàn cho tổ chức của bạn. Để có được lợi ích đầy đủ của các ứng dụng và dịch vụ đám mây, nhóm CNTT phải tìm ra sự cân bằng phù hợp giữa việc hỗ trợ truy cập đồng thời bảo vệ dữ liệu quan trọng.
Đây là nơi mà CASB (Cloud App Security Broker) bước vào để giải quyết sự cân bằng, bổ sung các biện pháp bảo vệ cho việc sử dụng dịch vụ đám mây của doanh nghiệp bằng cách thực thi các chính sách bảo mật doanh nghiệp phù hợp. Như tên cho thấy, CASB hoạt động như một người gác cổng đứng ở giữa quyền truy cập trong thời gian thực giữa người dùng trong doanh nghiệp của bạn và các tài nguyên đám mây mà họ sử dụng, bất kể người dùng đó ở đâu và bất kể họ đang sử dụng thiết bị nào.
CASB thực hiện điều này bằng cách phát hiện và cung cấp khả năng hiển thị về:
Các thông tin IT chưa biết.
Việc sử dụng ứng dụng.
Giám sát các hoạt động của người dùng để tìm các hành vi bất thường.
Kiểm soát quyền truy cập vào tài nguyên của doanh nghiệp.
Cung cấp khả năng phân loại và ngăn chặn rò rỉ thông tin nhạy cảm.
Bảo vệ chống lại các tác nhân độc hại.
Đánh giá sự tuân thủ của đám mây các dịch vụ.
CASB giải quyết các lỗ hổng bảo mật trong việc sử dụng dịch vụ đám mây của doanh nghiệp bằng cách cung cấp khả năng hiển thị chi tiết và kiểm soát các hoạt động của người dùng và dữ liệu nhạy cảm. Phạm vi bảo vệ của CASB áp dụng rộng rãi trên SaaS, PaaS và IaaS.
Đối với phạm vi bao phủ của SaaS, CASB thường hoạt động với các nền tảng cộng tác nội dung phổ biến nhất (CCP – content collaboration platforms), hệ thống CRM, hệ thống nhân sự (HR system), giải pháp hoạch định nguồn lực doanh nghiệp (ERP), service desk, bộ ứng dụng năng suất văn phòng và các trang web mạng xã hội doanh nghiệp.
Đối với phạm vi phủ sóng IaaS và PaaS, một số CASB chi phối việc sử dụng dựa trên API của các nhà cung cấp dịch vụ đám mây phổ biến (CSP) và mở rộng khả năng hiển thị và quản trị cho các ứng dụng chạy trong các đám mây này.
Tại sao cần CASB?
CASB giúp hiểu rõ hơn về tình hình tổng thể đám mây của doanh nghiệp trên các ứng dụng SaaS và dịch vụ đám mây, như vậy, nhu cầu về quản trị ứng dụng và khám phá các tài nguyên, thông tin CNTT chưa biết (Shadow IT) là những trường hợp sử dụng chính. Ngoài ra, một doanh nghiệp chịu trách nhiệm quản lý và bảo mật nền tảng đám mây bao gồm IAM, VM và các tài nguyên máy tính, dữ liệu và lưu trữ, tài nguyên mạng, v.v. cũng là các trường hợp cần sử dụng CASB.
Do vậy, nếu bạn là doanh nghiệp đang sử dụng hoặc đang cân nhắc sử dụng các ứng dụng đám mây vào danh mục dịch vụ mạng của mình, bạn rất có thể cần CASB để giải quyết những thách thức phát sinh, quản lý tập trung trong việc điều chỉnh và bảo mật môi trường của doanh nghiệp bạn. Đơn cử như, có nhiều cách để những hacker lợi dụng các ứng dụng đám mây để xâm nhập vào mạng doanh nghiệp và lấy cắp dữ liệu kinh doanh nhạy cảm, quan trọng.
Là một doanh nghiệp, bạn cần bảo vệ người dùng và dữ liệu bí mật/nhạy cảm của mình khỏi các phương pháp khác nhau mà các tác nhân độc hại đang cố gắng khai thác. Nói chung, CASB sẽ giúp bạn thực hiện việc này bằng cách cung cấp nhiều khả năng bảo vệ môi trường trên các trụ cột sau:
Khả năng hiển thị (Visibility): phát hiện tất cả các dịch vụ đám mây; chỉ định mức độ rủi ro; xác định tất cả người dùng và ứng dụng của bên thứ ba có thể đăng nhập.
Bảo mật dữ liệu (Data security): xác định và kiểm soát thông tin nhạy cảm (DLP); phản hồi các nhãn (label) phân loại trên nội dung.
Bảo vệ chống lại các mối đe dọa (Threat protection): cung cấp kiểm soát truy cập thích ứng (AAC – Adaptive Access Control); cung cấp phân tích hành vi người dùng và thực thể (UEBA – User and Entity Behavior Analysis); giảm thiểu phần mềm độc hại.
Tuân thủ (Compliance): báo cáo (report) và bảng điều khiển (dashboard) để quản trị đám mây hiệu quả; hỗ trợ tuân thủ các yêu cầu về lưu trữ dữ liệu và tuân thủ quy định.
Cloud App Security framework
Khám phá và kiểm soát việc sử dụng: Xác định các ứng dụng đám mây, dịch vụ IaaS và PaaS mà doanh nghiệp đang sử dụng. Điều tra các kiểu sử dụng, đánh giá mức độ rủi ro và mức độ sẵn sàng của hơn 16.000 ứng dụng SaaS trước hơn 80 rủi ro. Bắt đầu quản lý để đảm bảo an ninh và tuân thủ.
Bảo vệ thông tin nhạy cảm ở bất kỳ đâu trên đám mây: Hiểu, phân loại và bảo vệ thông tin nhạy cảm ở trạng thái nghỉ. Tận dụng các chính sách độc lập và quy trình tự động để áp dụng các biện pháp kiểm soát trong thời gian thực trên tất cả các ứng dụng đám mây của doanh nghiệp.
Bảo vệ chống lại các mối đe dọa và sự bất thường trên mạng: Phát hiện hành vi bất thường trên các ứng dụng đám mây để xác định ransomware, người dùng bị xâm nhập hoặc ứng dụng giả mạo, phân tích việc sử dụng có nguy cơ cao và tự động khắc phục để hạn chế rủi ro cho doanh nghiệp.
Đánh giá sự tuân thủ của các ứng dụng đám mây: Đánh giá xem các ứng dụng đám mây của doanh nghiệp có đáp ứng các yêu cầu tuân thủ liên quan bao gồm tuân thủ quy định và tiêu chuẩn ngành hay không. Ngăn chặn rò rỉ dữ liệu cho các ứng dụng không tuân thủ và hạn chế quyền truy cập vào dữ liệu được quản lý.
Kiến trúc của Microsoft Cloud App Security
Cloud App Security tích hợp khả năng hiển thị với đám mây của doanh nghiệp bằng cách:
Sử dụng Cloud Discovery để lập bản đồ và xác định môi trường đám mây cũng như các ứng dụng đám mây mà doanh nghiệp đang sử dụng.
Xử lý và ngừng hoạt động các ứng dụng trong đám mây của doanh nghiệp.
Sử dụng trình kết nối ứng dụng (app connectors) dễ triển khai tận dụng các API của nhà cung cấp để hiển thị và quản trị các ứng dụng đang kết nối.
Sử dụng tính năng bảo vệ Kiểm soát ứng dụng truy cập có điều kiện (Conditional Access App Control) để có khả năng hiển thị theo thời gian thực và kiểm soát quyền truy cập cũng như các hoạt động trong ứng dụng đám mây của doanh nghiệp.
Giúp kiểm soát liên tục bằng cách cài đặt, sau đó liên tục tinh chỉnh các chính sách.
Cloud Discovery sử dụng nhật ký lưu lượng truy cập (traffic logs) để khám phá và phân tích động các ứng dụng đám mây mà doanh nghiệp đang sử dụng. Để tạo báo cáo nhanh về việc sử dụng đám mây của doanh nghiệp, bạn có thể tải lên thủ công các tệp log từ tường lửa (firewall) hoặc proxy để phân tích. Để thiết lập báo cáo liên tục, hãy sử dụng Cloud App Security log collectors để chuyển tiếp log theo định kỳ.
Bạn có thể sử dụng Cloud App Security để xử lý hoặc hủy các ứng dụng trong doanh nghiệp của mình bằng cách sử dụng Cloud app catalog. Nhóm các nhà phân tích của Microsoft có một danh mục mở rộng và liên tục phát triển với hơn 16.000 ứng dụng đám mây được xếp hạng và cho điểm dựa trên các tiêu chuẩn ngành. Bạn có thể sử dụng Cloud app catalog để đánh giá rủi ro cho các ứng dụng đám mây của mình dựa trên các chứng nhận quy định, tiêu chuẩn ngành và các phương pháp hay nhất. Sau đó, tùy chỉnh điểm số (scores) và trọng số (weights) của các thông số (parameters) khác nhau theo nhu cầu của doanh nghiệp của bạn. Dựa trên những điểm số này, Cloud App Security cho bạn biết mức độ rủi ro của một ứng dụng. Việc chấm điểm dựa trên hơn 80 yếu tố rủi ro có thể ảnh hưởng đến môi trường của doanh nghiệp.
App connectors
App connectors sử dụng API từ các nhà cung cấp ứng dụng đám mây để tích hợp Microsoft Cloud App Security với các ứng dụng đám mây khác. Kết nối ứng dụng giúp mở rộng khả năng kiểm soát và bảo vệ và cung cấp quyền truy cập thông tin trực tiếp từ các ứng dụng đám mây, v.v..
Để kết nối một ứng dụng và mở rộng bảo vệ (extend protection), quản trị viên ứng dụng cho phép Cloud App Security truy cập ứng dụng. Sau đó, Microsoft Cloud App Security truy vấn ứng dụng để tìm nhật ký hoạt động và quét dữ liệu, tài khoản và nội dung đám mây. Cloud App Security có thể thực thi các chính sách, phát hiện các mối đe dọa và cung cấp các hành động quản trị để giải quyết các vấn đề.
Microsoft Cloud App Security sử dụng các API do nhà cung cấp đám mây cung cấp. Mỗi ứng dụng có khuôn khổ và giới hạn API riêng. Cloud App Security làm việc với các nhà cung cấp ứng dụng để tối ưu hóa việc sử dụng API để đảm bảo hiệu suất tốt nhất. Xem xét các giới hạn khác nhau mà ứng dụng áp đặt lên API (chẳng hạn như throttling, API limits và dynamic time-shifting API windows), các công cụ Cloud App Security chỉ sử dụng các khả năng được cho phép. Một số hoạt động, chẳng hạn như quét tất cả các tệp trong tenant, yêu cầu một số lượng lớn các API, vì vậy sẽ mất thời gian nhiều hơn. Một số chính sách sẽ chạy trong vài giờ hoặc vài ngày.
Conditional Access App Control protection
Conditional Access App Control của Microsoft Cloud App Security sử dụng kiến trúc reverse proxy để cung cấp cho bạn các công cụ cần thiết cho khả năng hiển thị và kiểm soát theo thời gian thực đối với quyền truy cập và các hoạt động được thực hiện trong môi trường đám mây của doanh nghiệp. Với Conditional Access App Control, bạn có thể bảo vệ doanh nghiệp của mình:
Tránh rò rỉ dữ liệu bằng cách chặn tải xuống trước khi thực hiện.
Đặt các quy tắc bắt buộc dữ liệu được lưu trữ và tải xuống từ đám mây phải được bảo vệ bằng mã hóa.
Tăng khả năng hiển thị đối với các điểm cuối (endpoint) không được bảo vệ để bạn có thể theo dõi những gì đang được thực hiện trên các thiết bị không được quản lý.
Kiểm soát quyền truy cập từ các mạng không phải của công ty/doanh nghiệp hoặc các địa chỉ IP rủi ro.
Policy control
Bạn có thể sử dụng các chính sách để xác định hành vi của người dùng trên đám mây. Sử dụng các chính sách để phát hiện hành vi nguy cơ, vi phạm hoặc các điểm dữ liệu đáng ngờ và các hoạt động trong môi trường đám mây của doanh nghiệp. Nếu cần, bạn có thể sử dụng các chính sách để tích hợp các quy trình khắc phục nhằm giảm thiểu rủi ro hoàn toàn. Các loại chính sách liên quan đến các loại thông tin khác nhau mà bạn có thể muốn thu thập về môi trường đám mây của mình và các loại hành động khắc phục mà bạn có thể thực hiện.
Microsoft Defender for Identity (trước đây là Azure Advanced Threat Protection, còn được gọi là Azure ATP) là một giải pháp bảo mật dựa trên đám mây sử dụng các tín hiệu Active Directory tại chỗ của bạn để xác định, phát hiện và điều tra các mối đe dọa nâng cao, danh tính bị xâm phạm và hành động nội gián độc hại trực tiếp vào tổ chức của bạn.
Defender for Identity cho phép các nhà phân tích SecOp và các chuyên gia bảo mật đang cố gắng phát hiện các cuộc tấn công nâng cao trong môi trường kết hợp để:
Giám sát người dùng, hành vi của tổ chức và hoạt động bằng phân tích.
Bảo vệ danh tính người dùng và thông tin đăng nhập được lưu trữ trong Active Directory.
Xác định và điều tra các hoạt động đáng ngờ của người dùng và các cuộc tấn công nâng cao trong suốt chuỗi (kill chain).
Cung cấp thông tin sự cố rõ ràng trên một dòng thời gian đơn giản để phân tích nhanh.
Giám sát và lập hồ sơ hành vi và hoạt động của người dùng
Defender for Identity giám sát và phân tích các hoạt động và thông tin của người dùng trên mạng của bạn, chẳng hạn như quyền và tư cách thành viên nhóm, tạo cơ sở hành vi cho mỗi người dùng. Sau đó, Defender for Identity xác định các điểm bất thường bằng trí thông minh tích hợp thích ứng, cung cấp cho bạn thông tin chi tiết về các hoạt động và sự kiện đáng ngờ, tiết lộ các mối đe dọa nâng cao, người dùng bị xâm phạm và các mối đe dọa nội bộ mà tổ chức của bạn phải đối mặt. Các cảm biến độc quyền của Defender for Identity giám sát domain controllers, cung cấp cái nhìn toàn diện cho tất cả các hoạt động của người dùng từ mọi thiết bị.
Bảo vệ danh tính người dùng & giảm bề mặt tấn công
Defender for Identity cung cấp cho bạn thông tin chi tiết vô giá về cấu hình nhận dạng và các phương pháp hay nhất về bảo mật được đề xuất. Thông qua các báo cáo bảo mật và phân tích hồ sơ người dùng, Defender for Identity giúp giảm đáng kể bề mặt tấn công của doanh nghiệp, giúp khó xâm phạm thông tin đăng nhập của người dùng hay tiến hành một cuộc tấn công. Lateral Movement Paths của Defender for Identity giúp bạn nhanh chóng hiểu chính xác cách kẻ tấn công có thể di chuyển bên trong doanh nghiệp của bạn để xâm phạm các tài khoản nhạy cảm và hỗ trợ ngăn chặn trước những rủi ro đó. Báo cáo bảo mật của Defender for Identity giúp bạn xác định người dùng và thiết bị xác thực bằng clear-text passwords và cung cấp thêm thông tin chi tiết để cải thiện chính sách và tư thế bảo mật cho toàn doanh nghiệp.
Bảo vệ AD FS trong môi trường hybrid
Active Directory Federation Services (AD FS) đóng một vai trò quan trọng trong cơ sở hạ tầng ngày nay khi nói đến xác thực trong môi trường hybrid. Defender for Identity bảo vệ AD FS trong môi trường của bạn bằng cách phát hiện các cuộc tấn công on-premise vào AD FS và cung cấp khả năng hiển thị các sự kiện xác thực do AD FS tạo ra.
Xác định các hoạt động đáng ngờ và các cuộc tấn công nâng cao trên chuỗi tiêu diệt (kill-chain) tấn công mạng
Thông thường, các cuộc tấn công được thực hiện chống lại bất kỳ thực thể nào có thể truy cập được, chẳng hạn như người dùng có đặc quyền thấp, sau đó nhanh chóng di chuyển theo chiều ngang cho đến khi kẻ tấn công giành được quyền truy cập vào các tài sản có giá trị – chẳng hạn như tài khoản nhạy cảm, quản trị viên tên miền và dữ liệu nhạy cảm cao. Defender for Identity xác định các mối đe dọa nâng cao này tại nguồn trong toàn bộ chuỗi tiêu diệt (kill-chain) tấn công mạng:
Reconnaissance
Xác định người dùng giả mạo và những kẻ tấn công cố gắng lấy thông tin. Những kẻ tấn công đang tìm kiếm thông tin về tên người dùng, tư cách thành viên nhóm của người dùng, địa chỉ IP được gán cho thiết bị, tài nguyên và hơn thế nữa, bằng nhiều phương pháp khác nhau.
Compromised credentials
Xác định các xâm phạm thông tin đăng nhập của người dùng bằng các cuộc tấn công brute force, xác thực không thành công, thay đổi thành viên nhóm người dùng và các phương pháp khác.
Lateral movements
Phát hiện các di chuyển ngang (laterally) bên trong mạng để giành quyền kiểm soát hơn nữa đối với những người dùng có thông tin nhạy cảm, sử dụng các phương pháp như Pass the Ticket, Pass the Hash, Overpass the Hash v.v..
Domain dominance
Làm nổi bật hành vi của kẻ tấn công nếu đạt được sự thống trị miền, thông qua thực thi mã từ xa trên bộ điều khiển miền và các phương pháp như DC Shadow, sao chép bộ điều khiển miền độc hại, hoạt động Golden Ticket, v.v.
Điều tra cảnh báo và hoạt động của người dùng
Defender for Identity được thiết kế để giảm nhiễu cảnh báo chung và chỉ cung cấp các cảnh báo bảo mật quan trọng, có liên quan trong tiến trình tấn công một cách có tổ chức đơn giản theo thời gian thực. Chế độ xem dòng thời gian của cuộc tấn công (attack timeline view) trong Defender for Identity cho phép bạn dễ dàng tập trung vào những gì quan trọng, tận dụng trí tuệ của các phân tích thông minh. Sử dụng Defender for Identity để nhanh chóng điều tra các mối đe dọa và có được thông tin chi tiết về người dùng, thiết bị và tài nguyên mạng trong toàn doanh nghiệp. Tích hợp liền mạch với Microsoft Defender cho Endpoint cung cấp một lớp bảo mật nâng cao khác bằng cách phát hiện và bảo vệ bổ sung chống lại các mối đe dọa liên tục nâng cao trên hệ điều hành.
Threat protection policies (Chính sách bảo vệ khỏi mối đe dọa): Xác định chính sách bảo vệ khỏi mối đe dọa để đặt mức độ bảo vệ thích hợp cho doanh nghiệp của bạn.
Reports (Báo cáo): Xem báo cáo thời gian thực để theo dõi hiệu suất của Defender for Office 365 trong doanh nghiệp.
Threat investigation and response capabilities (Khả năng điều tra và đối phó với mối đe dọa): Sử dụng các công cụ tiên tiến nhất để điều tra, hiểu, mô phỏng và ngăn chặn các mối đe dọa.
Tích hợp giải pháp bảo vệ chống mối đe dọa toàn bộ Office 365:
Bảo vệ Office 365 từ gốc
Giải pháp bảo vệ được tích hợp sẵn sẽ đơn giản hóa hoạt động quản trị, giảm tổng chi phí sở hữu và tăng năng suất
Công nghệ AI và tự động hóa đầu ngành
Quy mô và hiệu suất vô song cùng các quy trình tự động mạnh mẽ giúp cải thiện hiệu quả của bộ phận Hoạt động bảo mật.
Phương pháp tiếp cận toàn diện
Một giải pháp cộng tác hoàn chỉnh, bảo vệ các tổ chức khỏi các cuộc tấn công trong toàn bộ chuỗi tiêu diệt.
Chức năng Microsoft Defender for Office 365
Ngăn ngừa
Ngăn xếp lọc mạnh mẽ ngăn chặn một loạt các cuộc tấn công dựa trên số lượng lớn và nhắm mục tiêu, bao gồm xâm phạm email doanh nghiệp, lừa đảo qua mạng để lấy cắp thông tin xác thực, mã độc tống tiền và phần mềm xấu nâng cao.
Phát hiện
AI đầu ngành phát hiện nội dung xấu, đáng ngờ và liên hệ tương quan các mẫu hình tấn công để xác định các chiến dịch được thiết kế nhằm vượt qua hoạt động bảo vệ.
Điều tra và tìm kiếm
Các trải nghiệm mạnh mẽ giúp xác định, ưu tiên và điều tra mối đe dọa, cùng với các chức năng tìm kiếm nâng cao để theo dõi các cuộc tấn công trên toàn Office 365.
Ứng phó và khắc phục
Các chức năng tự động hóa và ứng phó sự cố bao quát mở rộng hiệu quả và hiệu suất cho nhóm bảo mật của bạn.
Nâng cao nhận thức và đào tạo
Các chức năng mô phỏng và đào tạo phong phú cùng các trải nghiệm được tích hợp trong ứng dụng máy khách giúp xây dựng nhận thức của người dùng.
Vị thế bảo mật
Thông tin chuyên sâu về cấu hình và các mẫu được đề xuất trợ giúp khách hàng duy trì sự bảo mật.
Sơ lược về Microsoft Defender for Office 365
Trong bài viết này, bạn sẽ học cách bảo vệ doanh nghiệp của mình bằng Microsoft Defender for Office 365. Bạn sẽ thấy cách Defender for Office 365 có thể giúp bạn xác định các chính sách bảo vệ, phân tích các mối đe dọa đối với doanh nghiệp của bạn và phản ứng lại các cuộc tấn công.
Dưới đây là các phần cấu hình ban đầu hợp lý:
1/ Cấu hình mọi thứ bắt đầu với từ “anti”:
anti-malware
anti-phishing
anti-spam
2/ Cài đặt mọi thứ bắt đầu với từ “safe”:
safe links
safe attachments
3/ Tiến hành cài đặt bảo mật cho workloads (SharePoint Online, OneDrive & Teams).
4/ Bảo vệ với tính năng tự động thanh lọc Zero-Hour.
Lưu lý: Microsoft Defender for Office 365 có 2 Plan khác nhau. Nếu bạn có “Real-time Detections” thì bạn đang sử dụng Plan 1, bạn đang dùng Plan 2 nếu bạn đang có “Threat Explorer”. Plan sẽ ảnh hưởng đến các công cụ bạn sẽ thấy, vì vậy hãy chắc chắn rằng bạn biết về Plan mà bạn đang sử dụng là gì.
Microsoft Defender for Office 365 Plan 1 & Plan 2
Microsoft Defender for Office 365 Plan 1
Microsoft Defender for Office 365 Plan 2
Các khả năng Configuration, protection, and detection:
Các khả năng của Microsoft Defender for Office 365 Plan 1 — cộng với — Automation, investigation, remediation, and education
Microsoft Defender for Office 365 Plan 2 được bao gồm trong Office 365 E5, Office 365 A5, Microsoft 365 E5 Security và Microsoft 365 E5.
Microsoft Defender for Office 365 Plan 1 được bao gồm trong Microsoft 365 Business Premium.
Microsoft Defender for Office 365 Plan 1 và Microsoft Defender for Office 365 Plan 2 đều có sẵn dưới dạng tiện ích bổ sung cho một số đăng ký/subcription nhất định. Để tìm hiểu thêm, hãy xem Tính khả dụng trên các gói Microsoft Defender for Office 365.
Tính năng Tài liệu An toàn (Safe Documents) chỉ khả dụng cho người dùng có giấy phép/license Microsoft 365 E5 hoặc Microsoft 365 E5 Security (không có trong các gói Microsoft Defender for Office 365).
Nếu đăng ký/subscription hiện tại của bạn không bao gồm Microsoft Defender for Office 365, hãy liên hệ VinSEP để đăng ký dùng thử hoặc mua giấy phép/license.
Cấu hình policies cho Microsoft Defender for Office 365
Với Microsoft Defender for Office 365, nhóm bảo mật của doanh nghiệp có thể định cấu hình bảo vệ bằng cách xác định các chính sách trong Security & Compliance Center (https://protection.office.com > Threat management > Policy)
Các chính sách/policies được xác định cho doanh nghiệp của bạn xác định hành vi và mức độ bảo vệ đối với các mối đe dọa được xác định trước. Các lựa chọn chính sách cực kỳ linh hoạt. Ví dụ: nhóm bảo mật có thể thiết lập khả năng bảo vệ mối đe dọa chi tiết ở cấp độ người dùng (user), tổ chức (organization), người nhận (recipient) và miền (domain). Điều quan trọng là phải xem xét các chính sách/policies của bạn thường xuyên vì các mối đe dọa và thách thức mới xuất hiện hàng ngày.
Safe Attachments Cung cấp chế độ bảo vệ zero-day để bảo vệ hệ thống nhắn tin, bằng cách kiểm tra nội dung độc hại trong tệp đính kèm email. Nó định tuyến tất cả các thư và tệp đính kèm được xác định là không có vi-rút / phần mềm độc hại theo phương thức signature đến một môi trường đặc biệt, sau đó sử dụng các kỹ thuật phân tích và học máy để phát hiện mục đích xấu. Nếu không tìm thấy hoạt động đáng ngờ nào, thư sẽ được chuyển tiếp đến hộp thư. Tìm hiểu thêm về cài đặt Safe Attachments policies
Xem các báo cáo của Microsoft Defender for Office 365
Microsoft Defender for Office 365 bao gồm một bảng điều khiển báo cáo/ reporting dashboard nâng cao để theo dõi hiệu suất Defender for Office 365. Để truy cập hãy làm theo cách sau Reports > Dashboard trong Security & Compliance Center.
Báo cáo (report) sẽ được cập nhật theo thời gian thực, cung cấp cho bạn thông tin chi tiết mới nhất. Các báo cáo này cũng cung cấp các khuyến nghị và cảnh báo về các mối đe dọa sắp xảy ra. Các báo cáo được xác định trước bao gồm:
Microsoft Defender for Office 365 Plan 2 bao gồm các công cụ điều tra và ứng phó mối đe dọa (threat investigation and response tools) tốt nhất cho phép nhóm bảo mật dự đoán, hiểu và ngăn chặn các cuộc tấn công độc hại.
Threat trackers cung cấp thông tin mới nhất về các vấn đề an ninh mạng phổ biến. Ví dụ: bạn có thể xem thông tin về phần mềm độc hại mới nhất và thực hiện các biện pháp đối phó trước khi nó trở thành mối đe dọa thực sự đối với doanh nghiệp. Threat tracker cũng bao gồm: Noteworthy trackers, Trending trackers, Tracked queries và Saved queries.
Threat Explorer (or real-time detections) (còn được gọi là Explorer) là một báo cáo thời gian thực cho phép xác định và phân tích các mối đe dọa mới. Bạn có thể định cấu hình Explorer để hiển thị dữ liệu cho các khoảng thời gian tùy chỉnh.
Attack Simulator cho phép bạn chạy các tình huống tấn công thực tế trong doanh nghiệp của mình để xác định các lỗ hổng. Có thể mô phỏng các kiểu tấn công hiện tại, bao gồm các cuộc tấn công thu thập thông tin xác thực và tệp đính kèm lừa đảo trực tuyến cũng như các cuộc tấn công bằng mật khẩu dạng password spray & brute force password attacks.
Tiết kiệm thời gian với khả năng tự động
(TÍNH NĂNG MỚI!) Khi bạn đang điều tra một cuộc tấn công mạng tiềm ẩn, thời gian là điều cốt yếu. Bạn cần xác định và giảm thiểu các mối đe dọa càng sớm càng tốt. Khả năng điều tra và phản hồi tự động (AIR – Automated investigation and response) bao gồm security playbook có thể được khởi chạy tự động, chẳng hạn như khi cảnh báo được kích hoạt hoặc được bật theo cách thủ công, từ một chế độ xem trong Explorer. AIR có thể tiết kiệm thời gian và nỗ lực của nhóm hoạt động bảo mật trong việc giảm thiểu các mối đe dọa một cách hiệu quả và nhanh chóng. Để tìm hiểu thêm, hãy xem AIR in Office 365.
Các quyền tương ứng cho sử dụng các tính năng của Microsoft Defender for Office 365
Để truy cập các tính năng của Microsoft Defender for Office 365 trong Security & Compliance Center, bạn phải được chỉ định một vai trò thích hợp. Bảng sau bao gồm một số ví dụ:
Role or role group
Tài nguyên tham khảo
global administrator (có thể được chỉ định trong Azure Active Directory hay trong Security & Compliance Center)
Microsoft Defender for Office 365 được bao gồm trong một số đăng ký/subscription nhất định, chẳng hạn như Microsoft 365 E5, Office 365 E5, Office 365 A5 và Microsoft 365 Business Premium. Nếu đăng ký của bạn không bao gồm Defender for Office 365, bạn có thể mua Defender for Office 3655 Plan 1 hoặc Defender for Office 365 Plan 2 dưới dạng tiện ích bổ sung cho các đăng ký nhất định. Để tìm hiểu thêm, hãy xem các tài nguyên sau:
Microsoft 365 Defender tự động bật khi khách hàng đủ điều kiện có các quyền cần thiết truy cập trung tâm bảo mật Microsoft 365. Bài viết này sẽ chỉ ra các điều kiện tiên quyết khác nhau và cách Microsoft 365 Defender được cấp phép, cũng như cách bật Microsoft 365 Defender.
Microsoft 365 Defender hợp nhất quy trình ứng phó sự cố của bạn bằng cách tích hợp các tính năng chính trên Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Cloud App Security và Microsoft Defender for Identity. Trải nghiệm hợp nhất này bổ sung các tính năng mạnh mẽ mà bạn có thể truy cập trong trung tâm bảo mật Microsoft 365.
Kiểm tra tính đủ điều kiện của giấy phép/license và các quyền cần thiết
Giấy phép cho sản phẩm/license của sản phẩm bảo mật Microsoft 365 thường cho phép bạn sử dụng Microsoft 365 Defender trong trung tâm bảo mật Microsoft 365 mà không phải trả thêm phí cấp phép. Chúng tôi khuyên bạn nên sử dụng license Microsoft 365 E5, E5 Security, A5 hoặc A5 Security hoặc sự kết hợp hợp lệ của các giấy phé/license cung cấp quyền truy cập vào tất cả các dịch vụ được hỗ trợ.
Bạn phải là quản trị viên toàn cầu/global administrator hoặc quản trị viên bảo mật security administrator trong Azure Active Directory để bật Microsoft 365 Defender. Xem vai trò (role) trong Azure AD
Microsoft 365 Defender tổng hợp dữ liệu từ các dịch vụ (service) được hỗ trợ khác nhau mà bạn đã triển khai. Microsoft 365 Defender sẽ xử lý và lưu trữ dữ liệu một cách tập trung để xác định thông tin chi tiết mới và thực hiện các quy trình phản hồi tập trung mà không ảnh hưởng đến việc triển khai, cài đặt hoặc dữ liệu hiện có được liên kết với các dịch vụ tích hợp.
để có được sự bảo vệ tốt nhất và tối ưu hóa Microsoft 365 Defender, VinSEP khuyên bạn nên triển khai tất cả các dịch vụ được hỗ trợ đang có trên network của mình. Để biết thêm chi tiết, vui lòng tham khảo triển khai các dịch vụ được hỗ trợ
Trước khi khởi chạy dịch vụ
Trước khi bạn bật dịch vụ, trung tâm bảo mật Microsoft 365/Microsoft 365 security center (security.microsoft.com) hiển thị trang cài đặt Microsoft 365 Defender khi chọn Incidents, Action center hoặc Hunting. Lưu ý, nếu bạn không thấy các lựa chọn vừa được đề cập, nghĩa là bạn không đủ điều kiện sử dụng Microsoft 365 Defender.
Các lựa chọn cài đặt Microsoft 365 Defender trong Microsoft 365 security center
Khởi chạy dịch vụ
Để bật Microsoft 365 Defender, chỉ cần chọn Turn on Microsoft 365 Defender và áp dụng thay đổi. Bạn cũng có thể truy cập tùy chọn này bằng cách chọn Settings (security.microsoft.com/settings) trong ô điều hướng của Microsoft 365 Defender.
Lưu ý: nếu không thấy Settings trong ô điều hướng hoặc không thể truy cập vào trang Settings, hãy kiểm tra các quyền truy cập cũng như giấy phép (license).
Vị trí của Data Center
Microsoft 365 Defender sẽ lưu trữ và xử lý dữ liệu ở cùng một vị trí được Microsoft Defender cho Endpoint sử dụng. Nếu bạn không có Microsoft Defender for Endpoint, vị trí Data Center (trung tâm dữ liệu) mới sẽ tự động được chọn dựa trên vị trí của các dịch vụ bảo mật Microsoft 365 đang hoạt động. Vị trí trung tâm dữ liệu đã chọn sẽ được hiển thị trên màn hình.
Chọn Need help? trong Microsoft 365 security center để liên hệ với bộ phận hỗ trợ của Microsoft về việc cung cấp Microsoft 365 Defender ở một vị trí trung tâm dữ liệu khác.
Xác nhận dịch vụ đã được bật
Khi dịch vụ được cấp phép, các nội dung sau đây sẽ được thêm:
Khả năng săn mối đe doạ nâng cao >> Advanced hunting capabilities.
Microsoft 365 security center với Quản Lý Sự Cố (incidents management) & các khả năng bảo vệ khác
Sử dụng Microsoft Defender for Identity data
Để chia sẻ dữ liệu Microsoft Defender for Identity với Microsoft 365 Defender, hãy đảm bảo rằng bạn đã tích hợp Microsoft Cloud App Security và Microsoft Defender for Identity được bật. Tìm hiểu thêm
Nhận các hỗ trợ
Để tìm câu trả lời cho một số thắc mắc hay gặp nhất, hãy truy cập FAQ.
Nhân viên hỗ trợ của Microsoft có thể giúp cung cấp hoặc hủy cấp phép dịch vụ và các tài nguyên liên quan đối với các tenant. Để được hỗ trợ, hãy chọn Need help? trong Microsoft 365 security center. Khi liên hệ với bộ phận hỗ trợ, hãy đề cập đến Microsoft 365 Defender.
Microsoft 365 Defender là một bộ bảo vệ doanh nghiệp thống nhất trước và sau khi vi phạm nhằm điều phối nguyên bản việc phát hiện, ngăn chặn, điều tra và phản hồi trên endpoints, identities, email & applications cung cấp khả năng bảo vệ tích hợp chống lại các cuộc tấn công tinh vi.
Với giải pháp Microsoft 365 Defender được tích hợp, các chuyên gia bảo mật có thể kết hợp các tín hiệu đe dọa mà mỗi sản phẩm trong giải pháp Microsoft 365 Defender nhận được và từ đó xác định phạm vi và tác động của mối đe dọa; cách mối đe doạ này xâm nhập vào môi trường, những gì có thể bị ảnh hưởng và hiện đang tác động như thế nào đến doanh nghiệp. Microsoft 365 Defender có khả năng tự động ngăn chặn hoặc dừng cuộc tấn công cũng như phục hồi trạng thái trước khi bị tấn công cho mailboxes, endpoints & user identities.
Trong phần này bạn sẽ học cách bảo vệ doanh nghiệp của mình bằng Microsoft 365 Defender. Bạn sẽ thấy cách Microsoft 365 Defender có thể giúp bạn phát hiện các rủi ro bảo mật, điều tra các cuộc tấn công vào doanh nghiệp của bạn và tự động ngăn chặn các hoạt động có hại.
Bộ Microsoft 365 Defender bảo vệ:
Endpoints with Microsoft Defender for Endpoint – Microsoft Defender for Endpoint là nền tảng điểm cuối thống nhất để bảo vệ, phòng ngừa, phát hiện sau vi phạm, điều tra tự động và phản hồi.
Email and collaboration with Microsoft Defender for Office 365 – Defender for Office 365 bảo vệ doanh nghiệp trước các mối đe dọa độc hại do email, liên kết (URL) và các công cụ cộng tác.
Identities with Microsoft Defender for Identity and Azure AD Identity Protection – Microsoft Defender for Identity sử dụng các tín hiệu của Active Directory để xác định, phát hiện và điều tra các mối đe dọa nâng cao, danh tính bị xâm phạm và các hành động nội gián độc hại nhắm vào công ty của bạn.
Applications with Microsoft Cloud App security – Bảo mật Ứng dụng đám mây của Microsoft là một giải pháp SaaS chéo (cross-SaaS) toàn diện mang lại khả năng hiển thị sâu, kiểm soát dữ liệu mạnh mẽ và tăng cường khả năng bảo vệ khỏi mối đe dọa cho các ứng dụng đám mây của doanh nghiệp.
Lớp sản phẩm chéo (cross-product) độc đáo của Microsoft 365 Defender tăng cường sức mạnh các thành phần riêng lẻ:
Giúp bảo vệ khỏi các cuộc tấn công và phối hợp các phản ứng phòng thủ trên toàn bộ bộ phần mềm thông qua chia sẻ tín hiệu và các hành động tự động.
Tường thuật toàn bộ câu chuyện về cuộc tấn công thông qua các cảnh báo, hành vi và bối cảnh sản phẩm cho các nhóm bảo mật bằng cách kết hợp dữ liệu về các cảnh báo, sự kiện đáng ngờ và nội dung bị ảnh hưởng đến ‘incidents’.
Tự động hóa phản ứng đối với sự xâm phạm bằng cách kích hoạt khả năng tự phục hồi đối với các nội dung bị ảnh hưởng thông qua biện pháp khắc phục tự động.
Cho phép các nhóm bảo mật thực hiện truy tìm mối đe dọa chi tiết và hiệu quả trên điểm cuối (endpoint) và dữ liệu Office.
Cross-product incident (Overview)
Tất cả các cảnh báo liên quan trên các sản phẩm thuộc bộ tương quan với nhau thành một báo cáo sự cố (incident) duy nhất (chế độ xem cảnh báo)
Tìm kiếm dựa trên truy vấn trên đầu trang của email và dữ liệu thô (raw data) của điểm cuối
Các tính năng cross-product của Microsoft 365 Defender bao gồm:
Cross-product single pane of glass – Xem tất cả thông tin phát hiện, nội dung bị ảnh hưởng, các hành động tự động được thực hiện và bằng chứng liên quan trong một hàng đợi và một ô duy nhất trong security.microsoft.com.
Combined incidents queue – Để giúp các chuyên gia bảo mật tập trung vào những gì quan trọng bằng cách đảm bảo toàn bộ phạm vi tấn công, các nội dung bị ảnh hưởng và các hành động khắc phục tự động được nhóm lại với nhau và thông báo kịp thời.
Automatic response to threats – Thông tin về mối đe dọa quan trọng được chia sẻ trong thời gian thực giữa các sản phẩm Microsoft 365 Defender để giúp ngăn chặn tiến trình của một cuộc tấn công. Ví dụ: nếu một tệp độc hại được phát hiện trên một điểm cuối được bảo vệ bởi Microsoft Defender for Endpoint, bộ phần mềm sẽ hướng dẫn Defender for Office 365 quét và xóa tệp khỏi tất cả các thư e-mail. Tệp sẽ bị chặn ngay bởi toàn bộ bộ bảo mật Microsoft 365.
Self-healing for compromised devices, user identities, and mailboxes – Microsoft 365 Defender sử dụng các tác vụ tự động được hỗ trợ bởi AI và playbook để khôi phục nội dung bị ảnh hưởng trở lại trạng thái an toàn. Microsoft 365 Defender tận dụng khả năng khắc phục tự động của các sản phẩm thuộc bộ bảo mật để đảm bảo tất cả các tài sản bị ảnh hưởng liên quan đến sự cố đều được tự động khắc phục nếu có thể.
Cross-product threat hunting – Các nhóm bảo mật có thể tận dụng kiến thức của họ để tìm kiếm các dấu hiệu xâm phạm bằng cách tạo các truy vấn tùy chỉnh của riêng họ đối với dữ liệu thô (raw data) được các sản phẩm bảo vệ khác nhau thu thập. Microsoft 365 Defender cung cấp quyền truy cập dựa trên truy vấn vào các tín hiệu thô được lưu trữ vào lịch sử và dữ liệu cảnh báo trong 30 ngày qua điểm cuối (endpoint) và dữ liệu của Microsoft Defender for Office 365.
Chúng tôi sử dụng lưu bộ nhớ tạm cookie cho thiết bị của bạn, để ghi nhớ các nội dung bạn đã xem. Đồng ý với điều này sẽ cho phép duyệt web thuận lợi hơn. Không đồng ý hoặc rút lại sự đồng ý, có thể gây chậm cho trải nghiệm khi xem bài viết.
Functional
Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
