Quarantine policies trên Microsoft Defender for Office 365

Chính sách cách ly (Quarantine policies) cho phép bạn kiểm soát việc người dùng có thể sử dụng ứng dụng như thế nào. Bài viết này sẽ đề cập đến các chính sách mặc định và cách tạo chính sách tùy chỉnh. Trong bài viết này, hãy cùng Tri Thức Software làm rõ vấn đề này.

Chính sách cách ly (Quarantine policies) là gì?

Vào tháng 4 năm 2020, Microsoft đã cho phép người dùng xem, giải phóng hoặc xóa các tin nhắn bị cách ly (cần cảnh giác cao với các cuộc tấn công lừa đảo). Một số tổ chức không hài lòng về việc người dùng có quyền truy cập vào các mục bị cách ly của chính họ. Chính sách cách ly cung cấp cho bạn nhiều quyền kiểm soát hơn đối với việc cách ly đối với người dùng cuối và cho phép bạn quyết định những mục nào họ được phép giải phóng.

Các chính sách cách ly mặc định

Bạn có thể truy cập vào đó từ mục Chính sách cách ly trong Microsoft Defender XDR tại https://security.microsoft.com/quarantinePolicies

Ngay khi cài đặt, bạn sẽ thấy ba chính sách:

  • Chính sách truy cập đầy đủ mặc định
  • Chính sách truy cập chỉ dành cho quản trị viên
  • Chính sách truy cập đầy đủ mặc định kèm thông báo

Chính sách truy cập đầy đủ mặc định

Chính sách này giữ nguyên các thiết lập cách ly như chúng tôi đã áp dụng từ tháng 4 năm 2020, và bao gồm các thiết lập sau (cần cảnh giác cao với các cuộc tấn công lừa đảo):

Quyền truy cập tin nhắn người dùng:

  • phát hành thông điệp từ khu cách ly
  • Chặn người gửi (Danh sách người gửi bị chặn trong Outlook, cài đặt thư rác)
  • xóa tin nhắn
  • xem trước tin nhắn

Thông báo cách ly:

  • Disabled

Chính sách truy cập chỉ dành cho quản trị viên

Chính sách này là chính sách Chống Lừa đảo Có Độ Tin cậy Cao (HSPM) mặc định, không gán bất kỳ quyền truy cập nào cho các mục và bao gồm các cài đặt sau:

Quyền truy cập tin nhắn người dùng:

  • Không có hành động nào được cho phép

Thông báo cách ly:

  • Disabled

Chính sách truy cập đầy đủ mặc định kèm thông báo

Chính sách này có các thiết lập giống với chính sách cách ly DefaultFullAccessPolicy , nhưng có bật thông báo cách ly và bao gồm các thiết lập sau:

Quyền truy cập tin nhắn người dùng:

  • phát hành thông điệp từ khu cách ly
  • Chặn người gửi (Danh sách người gửi bị chặn trong Outlook, cài đặt thư rác)
  • xóa tin nhắn
  • xem trước tin nhắn

Thông báo cách ly:

  • Enabled

Cách Tạo chính sách cách ly tùy chỉnh

Trong một số trường hợp, bạn có thể muốn người dùng của mình có thể yêu cầu gỡ bỏ tin nhắn khỏi khu vực cách ly, thay vì tự gỡ bỏ. Để làm điều này, bạn có thể tạo chính sách cách ly tùy chỉnh bằng cách làm theo các bước dưới đây:

  1. Vào mục Chính sách cách ly trong Microsoft Defender XDR tại https://security.microsoft.com/quarantinePolicies.
  2. Nhấp vào Add custom policy
  3. Hãy chỉ định tên chính sách, ví dụ như DefaultRequestAccessWithNotificationPolicy.
  4. Trong mục Quyền truy cập tin nhắn người nhận, chọn Quyền truy cập hạn chế.

HÌNH ẢNH

Với tùy chọn Set specific access, bạn có thể bật hoặc tắt từng User message access action theo ý muốn, để cấu hình nâng cao hơn.

  1. Nếu muốn, bạn có thể bật thông báo cách ly.
  2. Hãy bảo vệ hợp đồng bảo hiểm của bạn.

Kết quả:

Các thao tác truy cập tin nhắn người dùng đối với chính sách cách ly tùy chỉnh đã tạo sẽ là:

  • yêu cầu giải phóng tin nhắn khỏi khu vực cách ly
  • Chặn người gửi (Danh sách người gửi bị chặn trong Outlook, cài đặt thư rác)
  • xóa tin nhắn
  • xem trước tin nhắn

Thông báo cách ly:

  • Enabled

Người dùng có thể yêu cầu gỡ bỏ các mục bị cách ly sau khi bạn gán chính sách cách ly cho một hành động trong một trong các chính sách về mối đe dọa, như đã mô tả ở trên:

HÌNH ẢNH

Quản trị viên người thuê (quyền Entra: Quản trị viên toàn cầu hoặc Quản trị viên bảo mật) hoặc Quản trị viên khu vực cách ly (quyền Cổng thông tin Defender) có thể phê duyệt hoặc từ chối yêu cầu giải phóng trong khu vực cách ly:

HÌNH ẢNH

LƯU Ý : Người dùng không thể tự mở khóa tin nhắn bị cách ly của mình trong các trường hợp sau, bất kể chính sách cách ly được cấu hình như thế nào: Tin nhắn bị cách ly là phần mềm độc hại bởi các chính sách chống phần mềm độc hại , Tin nhắn bị cách ly là phần mềm độc hại hoặc lừa đảo bởi các chính sách Tệp đính kèm an toàn và Tin nhắn bị cách ly là lừa đảo có độ tin cậy cao bởi các chính sách chống thư rác.

Tóm lại

Sau khi thiết lập các chính sách cách ly theo ý muốn, bạn có thể sử dụng các chính sách cách ly này trong các hành động của chính sách mối đe dọa. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.

Bài viết liên quan

zalo-icon
phone-icon