Microsoft 365和Exchange Online安全性
Microsoft 365 租用戶和基礎身分驗證系統 Entra ID (Azure AD) 具有許多不同的設定選項,可讓您的企業實施不同級別的安全防護。預設情況下,這些選項中有很多未啟用。雖然本文件並未涵蓋所有可用的安全防護選項,也未討論其他技術 (如裝置管理和資料遺失防護 (DLP)),但它為我們的客戶提供了有關建議設定的指導,有助於改進身分保護並降低企業電子郵件入侵 (BEC) 的風險。
指南分為兩部分:建議設定和可選設定。我們敦促所有客戶實施建議設定。我們還建議您考慮並研究可選設置,並根據您的環境情況加以套用。
任何您考慮對環境進行的變更,都應在參考 Microsoft 的適當文件後,於組織內進行審查和測試。建議您在對整個組織實施變更前,先使用測試帳戶、試點使用者和小型部門分批實施。請確保您擁有如下文所述的可用緊急存取帳戶,以避免遭到鎖定。
授權指南
以下部分設定項目適用於所有 M365 租用戶,無論使用什麼授權。但是,對於大多數設定項目,您的租用戶至少要有「Entra ID P1」授權才能使用它們,有些還需要「Entra ID P2」授權。「Entra ID P1」已包含於 M365 商務進階版 E3/A3 套裝方案中,而「Entra ID P2」授權則需透過 M365 E5/A5 套裝方案取得。
若您使用的授權方案未包含「Entra ID P1」或更高版本授權,我們強烈建議啟用 Microsoft 的「Security Defaults (預設安全防護)」功能。這是由 Microsoft 控制的一組基本安全防護原則。請參閱 在 Microsoft Entra ID 中提供預設級別的安全防護 - Microsoft Entra。
將 Microsoft 警示整合至 Sophos MDR 服務時,「Entra ID P1」是最低建議授權等級,但由於 Microsoft 產生的警示數量較多,我們建議使用「Entra ID P2」。有關這些警示的示例,請參閱以下文章:
我們建議您向 Microsoft 授權專家詢問其他授權資訊。
建議的設定項目
-
啟用統一審核記錄
確保審核記錄正在記錄所有服務的活動。
位置:防禦者入口 > 審核
-
配置警示策略
當在 Exchange 發生特定高風險事件時,警報原則將產生電子郵件通知。建議確保這些警示已配置為發送至 Exchange Online 管理員。
位置: 防禦者入口網站 > 政策與規則 > 警示政策
封鎖所有共用郵箱的登入
- 共用郵箱常常是弱密碼和沒有多重認證的易受攻擊目標。建議修改權限,阻止直接登入共用信箱,僅透過認證使用者帳戶存取。
- 位置:管理中心 > 使用者
自動阻止使用者自動轉發訊息至組織外部
- 威脅行為者通常會入侵郵箱並設置轉發規則至外部帳戶。我們建議阻止使用者將自動轉寄規則建立至外部收件人的功能。
- 位置:Defender portal > Policies & rules > Threat policies > Anti-spam (outbound policy).
可選設定項目
-
實施預設安全政策(郵件保護)
Microsoft發佈兩組安全政策,定義了Exchange Online保護處理威脅的方式。我們建議使用至少“標準保護”政策組來防範基於電子郵件的威脅。如使用額外的外部垃圾郵件過濾解決方案,請務必在修改這些設定之前諮詢該供應商。
位置:防禦者入口網站 > 政策與規則 > 威脅政策 > 預設安全政策
參考:
- Microsoft 建議的 EOP 和 Defender for Office 365 安全設定
-
配置電子郵件驗證(SPF、DKIM、DMARC)
建議使用任何電子郵件過濾解決方案時,確保 SPF、DKIM 和 DMARC 設定正確。
位置:DNS
參考:
- 在您的 Microsoft 365 網域中設置 SPF,識別有效的電子郵件來源。
- 如何在您的自訂網域中使用 DKIM 來進行電子郵件驗證
- 使用 DMARC 驗證電子郵件,設定步驟