Guido ImperatoreAumentare la sicurezza con le Preset Security di Microsoft Defender for Office 365
Microsoft ha racchiuso all’interno del portale Microsoft 365 Defender diversi workload delle soluzioni di sicurezza, sempre di più per andare incontro ad un approccio Zero Trust.
Una funzionalità forse di cui si parla poco è appunto Microsoft Defender for Office 365, che nei vari piani offerti dalla casa di Redmond, offre soluzioni di sicurezza avanzata per aiutarvi a proteggere le e-mail aziendali ed i dati che risiedono nelle piattaforme cloud di Sharepoint e OneDrive.
In questo articolo vedremo, le baseline che mette a disposizione da Microsoft per aiutarvi ad implementare questa soluzione in modo veloce, ma allo stesso tempo rispettando i più alti standard di sicurezza disponibili sul mercato.
Quali sono i piani di licenze disponibili di Microsoft Defender for Office 365 ?
È di fondamentale importanza, come per tutte le soluzioni Microsoft, che capiate la differenza tra i diversi piani delle soluzioni, questo perché vi permette di scegliere in modo puntuale la soluzione più adatta alla vostre esigenze.
Proprio per questo vorrei darvi evidenza dei tre piani al momento disponibili sul mercato di questa soluzione:
- Exchange Online Protection (EOP)
- Microsoft Defender for Office 365 Piano 1 (MDO P1)
- Microsoft Defender for Office 365 Piano 2 (MDO P2)
È giusto specificare che Exchange Online Protection è il servizio base, che è messo a disposizione da Microsoft per qualsiasi sottoscrizione che abbia la componente di Posta Elettronica (Exchange Online), mentre per i piani P1 e P2 è necessario acquistare una licenza aggiuntiva come Addon o acquistare una suite che li contenga.
Vi lascio anche il link di m365maps dove Aaron Dinnage ha sicuramente fatto un ottimo lavoro per esporre in modo grafico tutte le funzionalità incluse nei differenti servizi Microsoft Microsoft Defender for Office 365 | M365 Maps
Figura 1: Protezione Microsoft Defender for Office 365
Vediamo ora le differenze principali tra le soluzioni descritte in precedenza:
Exchange Online Protection (EOP)
| Prevenzione/Rilevamento | Indagine | Risposta |
Le tecnologie includono:
|
|
|
Microsoft Defender for Office 365 Piano 1
| Prevenzione/Rilevamento | Indagine | Risposta |
|
|
|
Microsoft Defender for Office 365 Piano 2
| Prevenzione/Rilevamento | Indagine | Risposta |
| Le tecnologie includono tutte le funzionalità di EOP e Microsoft Defender per Office 365 P1 |
|
|
Per eventuali approfondimenti sulla soluzione vi rimando al link Microsoft ufficia Sicurezza di Office 365, inclusi Microsoft Defender per Office 365 e Exchange Online Protection | Microsoft Learn
Scenario
Per questo articolo il tenant che utilizzerò, ha delle licenze Microsoft 365 E5 che al loro interno contengono la componente di Microsoft Defender for Office 365 Piano 2
Figura 2: Licensing Tenant De
Insieme vedremo come implementare le baseline del servizio che Microsoft mette a disposizione e vedremo come questa funzionalità ci permette di proteggerci sia per la parte Email che per la parte di OneDrive.
Per darvi evidenza degli step che andremo a vedere insieme ve li riporto per comodità:
- Configurazione Preset Security di Microsoft Defender for Office 365
- Applicazione delle configurazioni ad un utente specifico
- Test delle funzionalità di Sicurezza Email (Safe Link)
Procedete quindi per il primo punto recandovi all’interno del portale di Microsoft 365 Defender:
\
Figura 3:Portale Microsoft 365 Defender
Recatevi ora all’interno della sezione “Email & Collaboration” e cliccate su “Policies & Rules”
Figura 4:Policies & Rules Microsoft 365 Defender
Una volta che siete all’interno di “Policies & Rules” potete cliccare su Threat Policies
Figura 5: Threat Policies Microsoft 365 Defender
A questo punto potete procedere a selezionare “Preset Security Policies”:
Figura 6: Preset Security Policy Microsoft 365 Defender
Come vi dice anche la stessa descrizione, queste policy permettono una configurazione molto semplice, ma allo stesso tempo includono le protezioni raccomandate da Microsoft.
Ora avete a disposizione tre tipologie di scelte, in merito ai preset
Figura 7: Preset Security disponibili
Come faccio a sapere quale Preset è adatto alla mia organizzazione ?
Se vi siete fatti questa domanda, ora vi mostro le differenze tra i tre tipi di protezione, in modo tale che poi possiate scegliere quella più adatta alla vostre esigenze.
Riporto quindi una tabella con la differenze fondamentali tra:
- Built-in Protection
- Standard Protection
-
Strict Protection
| Livello di Protezione | Descrizione |
| Built-in Protection | Protegge da collegamenti e allegati dannosi nelle e-mail. La protezione integrata è abilitata e applicata a tutti gli utenti per impostazione predefinita. |
| Standard Protection (quella più usata dalle organizzazioni) | La protezione standard utilizza un profilo di base adatto alla maggior parte degli utenti. La protezione standard include criteri di protezione da posta indesiderata, antimalware, phishing, spoofing, impostazioni di rappresentazione, collegamenti sicuri e allegati sicuri. |
| Strict Protection | La protezione rigorosa include gli stessi tipi di criteri della protezione standard, ma con impostazioni più rigorose. Se la tua azienda deve soddisfare ulteriori requisiti o normative di sicurezza, prendi in considerazione l’applicazione di una protezione rigorosa almeno agli utenti prioritari o agli obiettivi di alto valore. |
Visto che come indicato, la protezione standard, è quella più utilizzata per la fase di dimostrazione utilizzerò questa, ma per le altre configurazioni, il procedimento è il medesimo.
Figura 8:Selezioni della Standard Protection
In questo momento dovrete scegliere a quali utenti applicare questa policy, come demo io la applicherò ad un solo utente, ma potete selezionare anche “All Recipients” per proteggere con una policy tutti gli utenti presenti all’interno del vostro tenant, oppure selezionare solo un gruppo di utenti, avete veramente piena libertà nel selezionare gli utenti:
Figura 9:Selezione Applicazione Policy
Figura 10:Applicazione Policy
Nel mio esempio seleziono “Previously selected Recipient”, ma voi potete selezionare l’opzione più consona alla vostre esigenze per la componente di Defender for Office 365 Protection
Figura 11: Configurazione Defender for Office 365 Protection
Figura 12: Configurazione Impersonation Protection
In questa sezione dovrete configurare gli utenti che volete proteggere con la funzionalità di Impersonation Protection, ovvero gli utenti che vuoi proteggere dalla tecnica di attacco che viene utilizzata per impersonificarsi tramite indirizzo email “fasullo” come CEO, CFO ecc..
Proprio per questo questa funzionalità viene abilitata con indirizzi email di persone VIP, che sono quelle più soggette a questa tipologia di attacchi.
Figura 13:Configurazione Impersonation Protection
Figura 14:Configurazione Imprsonation Protection
Per lo stesso motivo degli utenti, potete proteggere i vostri domini nello stesso identico modo, quindi inserite i domini gestiti dal vostro tenant, ma anche quelli dei vostri partner o fornitori più utilizzati, in modo tale da evitare spiacevoli sorprese, in quanto gli attaccanti solitamente creano domini simili a quelli dei vostri fornitori per poi chiedere per esempio il cambio Iban all’interno di una fattura:
Figura 15:Configurazione Impersonation Domain
Se avete dei domini che volete “Trustare” da questa funzionalità avete la possibilità di farlo proprio in questa parte della configurazione, io non ne ho quindi proseguo senza inserire alcun dominio
Figura 16:Trust Domain Impersonation
Ora avete la possibilità di attivare la policy appena ultimata la configurazione o tenerla in disabilitato, questo viene fatto di solito, quando si vuole eseguire una configurazione ed applicarla in un secondo momento
Figura 17:Attivazione Policy
Figura 18:Review Policy
Figura 19:Salvataggio Policy
Figura 20:Configurazione Salvata Correttamente
Figura 21:Standard Protection Abilitata
Potete ora controllare che all’interno del portale di Microsoft 365 Defender la policy sia sia correttamente configurata, per farlo recatevi al seguente link Threat Policy
Figura 22:Threat Policy
Cliccate ora su ognuna delle Policies presenti e verificate che sia presente una policy denominata “Standard Preset Security Policy”
Figura 23: Esempio Preset Security Policy
Per mostrarvi il corretto funzionamento di Safe Link vi riporto una mail inviate all’utente del tenant protetto, dove potete notare che il link viene riscritto e quindi analizzato da Microsoft:
Figura 24: Safe Link
Conclusioni
Come avete potuto notare da questo articolo, il preset è veramente un ottimo sistema per applicare le baseline a livello di protezione che Microsoft consiglia, con veramente pochi click potete notevolmente incrementare la vostra sicurezza e di conseguenza salvaguardare il vostro business.
Una volta creata la policy, è possibile comunque modificarla, inserendo più utenti qual ora c’è ne fosse la necessità, di conseguenza avete la massima flessibilità, anche in considerazione del fatto che avete possibilità di scelta su 3 diversi tipi/livelli di protezione.
Oltre a proteggere le vostre E-mail, ha la funzionalità con i Piani P1 e P2, di protezione antivirus di SharePoint Online e OneDrive funzionalità veramente utile in ottica Zero Trust.