Microsoft Defender for Office 365
Microsoft Defender for Office 365 — это облачная служба корпоративной безопасности, входящая в экосистему Microsoft 365, предназначенная для защиты почтовых ящиков Exchange Online, файлов в SharePoint Online, OneDrive for Business и Teams от сложных угроз, включая фишинг, вредоносное ПО, спам и целенаправленные атаки с использованием социальной инженерии. Ранее известный как Office 365 Advanced Threat Protection (ATP), сервис интегрируется с порталом Microsoft 365 Defender и использует технологии искусственного интеллекта, машинного обучения и автоматического анализа угроз для предотвращения утечек данных и компрометации учётных записей. Решение ориентировано на корпоративных клиентов с подписками Microsoft 365 E3, E5, Business Premium или отдельными планами.
История
Microsoft Defender for Office 365 был запущен в 2015 году под названием Office 365 Advanced Threat Protection (ATP) как дополнительный модуль для Exchange Online Protection (EOP) — базового фильтра спама и вредоносных программ. Первоначально сервис включал две ключевые функции: Безопасные вложения (Safe Attachments) и Безопасные ссылки (Safe Links), которые проверяли вложения и URL-адреса в реальном времени на момент открытия пользователем.
В 2018 году Microsoft интегрировала ATP в пакет Microsoft 365 E5, а в 2020 году — в Microsoft 365 Business Premium. В 2021 году в рамках ребрендинга решений безопасности корпорации (Microsoft Defender) сервис получил текущее название — Microsoft Defender for Office 365. В 2022 году была добавлена автоматическая очистка времени (Zero-Hour Auto Purge, ZAP) для удаления уже доставленных вредоносных писем, а в 2023 году — расширенные возможности анализа угроз на основе данных из Microsoft Threat Intelligence.
Архитектура и компоненты
Microsoft Defender for Office 365 работает как облачный сервис, не требующий установки локальных агентов. Он взаимодействует с Exchange Online Protection (EOP) и использует единую политику безопасности через портал Microsoft 365 Defender.
Exchange Online Protection (EOP)
EOP — базовая защита от спама, фишинга и вредоносных программ, входящая во все планы Exchange Online. Defender for Office 365 расширяет EOP дополнительными уровнями анализа.
Основные функции
- Безопасные вложения (Safe Attachments) — проверка вложений в изолированной среде (песочнице) перед доставкой пользователю. Система открывает файл в виртуальной среде, анализирует его поведение и блокирует, если обнаружена вредоносная активность. Поддерживаются форматы: .pdf, .docx, .xlsx, .zip, .exe и другие.
- Безопасные ссылки (Safe Links) — проверка URL-адресов в сообщениях электронной почты, документах Office (Word, Excel, PowerPoint) и Teams. При клике пользователя ссылка временно перенаправляется через прокси-сервер Microsoft, который сканирует целевой сайт на наличие фишинга или вредоносного кода.
- Защита от фишинга (Anti-Phishing) — анализ заголовков, отправителей, доменов и содержимого письма с помощью машинного обучения. Включает защиту от имитации (impersonation) — обнаружение поддельных адресов, похожих на легитимные (например,
info@micros0ft.com). - Автоматическая очистка времени (Zero-Hour Auto Purge, ZAP) — автоматическое удаление уже доставленных писем, если после доставки было обнаружено, что они являются вредоносными или фишинговыми. ZAP также ретроспективно помещает письма в карантин.
- Карантин (Quarantine) — временное хранение подозрительных сообщений. Администраторы и пользователи могут просматривать, освобождать или удалять письма из карантина через портал или уведомления.
- Отчётность и аналитика (Threat Explorer, Real-time detections) — инструменты для мониторинга угроз, построения отчётов и расследования инцидентов.
Планы и лицензирование
Microsoft Defender for Office 365 доступен в двух планах:
- План 1 — базовый набор: Safe Attachments, Safe Links, Anti-Phishing, карантин, отчёты. Входит в Microsoft 365 Business Premium и Office 365 E3.
- План 2 — расширенный набор: все функции Плана 1 плюс Threat Explorer, автоматическое расследование и реагирование (AIR), имитация фишинга (Attack Simulation Training), расширенная аналитика. Входит в Microsoft 365 E5 и Office 365 E5.
Также доступен отдельный план Microsoft Defender for Office 365 (Standalone) для клиентов, не имеющих подписки на Microsoft 365 E5.
Применение
Microsoft Defender for Office 365 используется организациями любого размера, но наиболее востребован в среднем и крупном бизнесе, где требуется защита от целевых атак (spear phishing, business email compromise). Основные сценарии применения:
- Защита корпоративной почты — фильтрация входящих писем, блокировка вредоносных вложений и ссылок.
- Защита документов в SharePoint и OneDrive — сканирование файлов при загрузке и открытии, блокировка распространения вредоносного ПО внутри организации.
- Защита Teams — проверка ссылок в чатах и каналах.
- Обучение пользователей — имитация фишинговых атак (Attack Simulation Training) для повышения осведомлённости сотрудников.
- Расследование инцидентов — использование Threat Explorer и AIR для автоматического анализа и реагирования на угрозы.
Интеграция с другими продуктами Microsoft
Defender for Office 365 интегрируется с:
- Microsoft 365 Defender — единая консоль управления безопасностью, объединяющая данные из Defender for Endpoint, Defender for Identity, Defender for Cloud Apps и Defender for Office 365.
- Microsoft Sentinel — облачная SIEM-система, куда могут передаваться журналы угроз для корреляции с другими событиями.
- Microsoft Graph API — для автоматизации задач безопасности (например, помещение писем в карантин через скрипты).
- Azure Active Directory — для анализа рисков входа и компрометации учётных записей.
Критика и ограничения
Несмотря на широкие возможности, Microsoft Defender for Office 365 имеет ряд недостатков, отмечаемых экспертами по безопасности:
- Ложные срабатывания — система может ошибочно помещать легитимные письма в карантин или блокировать безопасные ссылки, что требует ручного вмешательства администратора.
- Зависимость от облачной инфраструктуры — при сбоях в Azure или задержках в обработке ссылок (Safe Links) пользователи могут испытывать задержки при открытии писем.
- Ограниченная защита от сложных атак — некоторые виды целевого фишинга, использующие социальную инженерию или подделку цепочек писем, могут обходить защиту, если атакующий использует легитимные сервисы (например, скомпрометированные аккаунты).
- Сложность настройки — для эффективной работы требуется тонкая настройка политик, что может быть сложно для организаций без выделенного ИТ-персонала.
- Стоимость — расширенные функции Плана 2 доступны только в дорогих подписках (Microsoft 365 E5), что делает решение недоступным для малого бизнеса без дополнительных затрат.
Интересные факты
- Microsoft Defender for Office 365 анализирует более 35 миллиардов писем в день, используя данные из глобальной сети Microsoft Threat Intelligence.
- Функция имитации фишинга (Attack Simulation Training) включает более 100 готовых шаблонов атак, включая сценарии с использованием социальной инженерии.
- В 2023 году Microsoft сообщила, что Defender for Office 365 блокирует более 99,9% фишинговых писем, доставляемых через Exchange Online.
- Сервис поддерживает интеграцию с решениями сторонних вендоров через API, например, с Proofpoint или Mimecast, для создания гибридных схем защиты.
Источники
- Microsoft Docs: «Microsoft Defender for Office 365 overview» (2024)
- Microsoft Security Blog: «Microsoft Defender for Office 365: Protecting your organization from advanced threats» (2023)
- Gartner: «Market Guide for Email Security» (2023)
- NIST Special Publication 800-53: Security and Privacy Controls for Information Systems and Organizations (2020)
- Документация Microsoft: «Plan 1 and Plan 2 for Microsoft Defender for Office 365» (2024)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →