Vai al contenuto

Microsoft 365 e sicurezza per Exchange Online

I tenant di Microsoft 365 e il sistema di autenticazione su cui si basano, Entra ID (Azure AD), hanno varie opzioni di configurazione per permettere all’azienda di implementare livelli diversi di protezione. Molte di queste opzioni non sono attivate per impostazione predefinita. Sebbene questo documento non descriva tutte le opzioni di sicurezza disponibili e non includa altre tecnologie come la gestione dei dispositivi e la prevenzione della perdita dei dati (Data Loss Prevention, DLP), offre ai nostri clienti indicazioni sulle impostazioni consigliate che contribuiranno a migliorare la protezione dell’identità e a ridurre il rischio di attacchi di tipo Business Email Compromise (BEC).

Le indicazioni sono suddivise in due sezioni: impostazioni consigliate e impostazioni opzionali. Invitiamo tutti i clienti a implementare le impostazioni consigliate. Consigliamo inoltre di prendere in considerazione e valutare le impostazioni opzionali, applicandole in base alle esigenze del proprio ambiente.

Qualsiasi modifica del proprio ambiente che viene presa in considerazione deve essere valutata e testata all’interno dell’organizzazione dopo aver consultato la documentazione pertinente di Microsoft. Si consiglia di introdurre modifiche in più fasi, utilizzando account di prova, utenti pilota e reparti con pochi dipendenti, prima di coinvolgere l’intera organizzazione. Assicurarsi di avere un account di accesso di emergenza, come documentato di seguito, per non perdere l’accesso.

Indicazioni per le licenze

Alcuni degli elementi di configurazione indicati di seguito sono disponibili in tutti i tenant di M365, indipendentemente dalle licenze utilizzate. Tuttavia, nella maggior parte dei casi sarà richiesta come minimo la disponibilità di licenze “Entra ID P1” nel tenant, mentre in alcuni casi occorreranno licenze “Entra ID P2”. La licenza “Entra ID P1” è inclusa nei bundle M365 Business Premium E3/A3, mentre le licenze “Entra ID P2” sono disponibili nei bundle M365 E5/A5.

Se non si utilizza una licenza che include come minimo la licenza “Entra ID P1”, si consiglia vivamente di utilizzare le “Impostazioni predefinite per la sicurezza” di Microsoft. Si tratta di un insieme di criteri di protezione di base, controllati da Microsoft. Vedere Livello di protezione predefinito in Microsoft Entra ID - Microsoft Entra.

Quando si integrano gli avvisi di Microsoft nel servizio Sophos MDR, “Entra ID P1” è la licenza minima che si dovrebbe utilizzare; tuttavia, consigliamo di usare “Entra ID P2”, per via della maggiore quantità di avvisi generati da Microsoft. Leggere questi articoli per alcuni esempi di questi avvisi:

Per maggiori informazioni sulle licenze, consigliamo di rivolgersi al proprio specialista di licensing Microsoft.

Elementi di configurazione consigliati

  • Abilitazione dei log di audit unificati


    Assicurarsi che il log di audit stia registrando l’attività per tutti i servizi.

    Posizione: Portale di Defender > Audit

- **Configurazione dei criteri di avviso** --- I criteri di avviso generano notifiche e-mail quando si verificano determinati eventi a rischio elevato in Exchange. Consigliamo di assicurarsi che questi avvisi siano configurati per essere inviati agli amministratori di Exchange Online. **Posizione**: Portale di Defender > Policies & rules (Criteri e regole) > Alert policy (Criterio di avviso) **Blocco dell’accesso per tutte le caselle di posta condivise** - Spesso le caselle di posta condivise possono essere bersagli facili, caratterizzati da password deboli e dall’assenza di MFA. Consigliamo di modificare le autorizzazioni per bloccare gli accessi diretti alle caselle di posta condivise, in modo che l’accesso sia possibile solamente attraverso account utente autenticati. - **Posizione**: Interfaccia di amministrazione > Utenti **Blocco degli utenti che inoltrano automaticamente i messaggi all’esterno dell’organizzazione** - Spesso gli utenti malintenzionati compromettono le caselle di posta e impostano regole di inoltro verso account esterni. Consigliamo di bloccare per gli utenti la possibilità di creare regole di inoltro automatico verso destinatari esterni. - **Posizione**: Portale di Defender > Policies & rules (Criteri e regole) > Threat policies (Criteri sulle minacce) > Anti-spam (outbound policy) (Antispam (criterio in uscita)).

Elementi di configurazione opzionali

  • Implementazione di criteri di sicurezza preimpostati (Email Protection)


    Microsoft pubblica due set di criteri di sicurezza per definire il modo in cui Exchange Online Protection gestisce le minacce. Consigliamo di utilizzare come minimo il gruppo di criteri “Standard Protection” (Protezione standard) per proteggere i sistemi dalle minacce basate su e-mail. Se si utilizza un’ulteriore soluzione esterna come filtro antispam, consultare il vendor della soluzione prima di modificare queste impostazioni.

    Posizione: Portale di Defender > Policies & rules (Criteri e regole) > Threat policies (Criteri sulle minacce) > Pre-set security policies (criteri di sicurezza preimpostati)

    Riferimento:

- **Configurazione dell’autenticazione tramite e-mail (SPF, DKIM, DMARC)** --- Quando si utilizza una soluzione di filtraggio delle e-mail, consigliamo di verificare che SPF, DKIM e DMARC siano stati configurati correttamente. **Posizione**: DNS **Riferimenti**: - [Configurare SPF per identificare origini di posta elettronica valide per il dominio di Microsoft 365](https://docs.microsoft.com/it-it/office365/securitycompliance/set-up-spf-in-office-365-to-help-prevent-spoofing) - [Come utilizzare DKIM per la posta elettronica nel dominio personalizzato](https://docs.microsoft.com/it-it/office365/securitycompliance/use-dkim-to-validate-outbound-email) - [Utilizzare DMARC per convalidare le e-mail, fasi di configurazione](https://docs.microsoft.com/it-it/office365/securitycompliance/use-dmarc-to-validate-email)