Microsoft 365 e sicurezza per Exchange Online
I tenant di Microsoft 365 e il sistema di autenticazione su cui si basano, Entra ID (Azure AD), hanno varie opzioni di configurazione per permettere all’azienda di implementare livelli diversi di protezione. Molte di queste opzioni non sono attivate per impostazione predefinita. Sebbene questo documento non descriva tutte le opzioni di sicurezza disponibili e non includa altre tecnologie come la gestione dei dispositivi e la prevenzione della perdita dei dati (Data Loss Prevention, DLP), offre ai nostri clienti indicazioni sulle impostazioni consigliate che contribuiranno a migliorare la protezione dell’identità e a ridurre il rischio di attacchi di tipo Business Email Compromise (BEC).
Le indicazioni sono suddivise in due sezioni: impostazioni consigliate e impostazioni opzionali. Invitiamo tutti i clienti a implementare le impostazioni consigliate. Consigliamo inoltre di prendere in considerazione e valutare le impostazioni opzionali, applicandole in base alle esigenze del proprio ambiente.
Qualsiasi modifica del proprio ambiente che viene presa in considerazione deve essere valutata e testata all’interno dell’organizzazione dopo aver consultato la documentazione pertinente di Microsoft. Si consiglia di introdurre modifiche in più fasi, utilizzando account di prova, utenti pilota e reparti con pochi dipendenti, prima di coinvolgere l’intera organizzazione. Assicurarsi di avere un account di accesso di emergenza, come documentato di seguito, per non perdere l’accesso.
Indicazioni per le licenze
Alcuni degli elementi di configurazione indicati di seguito sono disponibili in tutti i tenant di M365, indipendentemente dalle licenze utilizzate. Tuttavia, nella maggior parte dei casi sarà richiesta come minimo la disponibilità di licenze “Entra ID P1” nel tenant, mentre in alcuni casi occorreranno licenze “Entra ID P2”. La licenza “Entra ID P1” è inclusa nei bundle M365 Business Premium E3/A3, mentre le licenze “Entra ID P2” sono disponibili nei bundle M365 E5/A5.
Se non si utilizza una licenza che include come minimo la licenza “Entra ID P1”, si consiglia vivamente di utilizzare le “Impostazioni predefinite per la sicurezza” di Microsoft. Si tratta di un insieme di criteri di protezione di base, controllati da Microsoft. Vedere Livello di protezione predefinito in Microsoft Entra ID - Microsoft Entra.
Quando si integrano gli avvisi di Microsoft nel servizio Sophos MDR, “Entra ID P1” è la licenza minima che si dovrebbe utilizzare; tuttavia, consigliamo di usare “Entra ID P2”, per via della maggiore quantità di avvisi generati da Microsoft. Leggere questi articoli per alcuni esempi di questi avvisi:
- Criteri di avviso di Microsoft 365
- Quali sono i rischi in Microsoft Entra ID Protection - Microsoft Entra ID Protection
Per maggiori informazioni sulle licenze, consigliamo di rivolgersi al proprio specialista di licensing Microsoft.
Elementi di configurazione consigliati
-
Abilitazione dei log di audit unificati
Assicurarsi che il log di audit stia registrando l’attività per tutti i servizi.
Posizione: Portale di Defender > Audit
Elementi di configurazione opzionali
-
Implementazione di criteri di sicurezza preimpostati (Email Protection)
Microsoft pubblica due set di criteri di sicurezza per definire il modo in cui Exchange Online Protection gestisce le minacce. Consigliamo di utilizzare come minimo il gruppo di criteri “Standard Protection” (Protezione standard) per proteggere i sistemi dalle minacce basate su e-mail. Se si utilizza un’ulteriore soluzione esterna come filtro antispam, consultare il vendor della soluzione prima di modificare queste impostazioni.
Posizione: Portale di Defender > Policies & rules (Criteri e regole) > Threat policies (Criteri sulle minacce) > Pre-set security policies (criteri di sicurezza preimpostati)
Riferimento: