Офис Microsoft обнаружил возможную брешь в системе безопасности, как отключить
Обновлено: 20.11.2024
Обнаружение конечных точек и реагирование (EDR) в блочном режиме обеспечивает дополнительную защиту от вредоносных артефактов, когда антивирусная программа Microsoft Defender не является основным антивирусным продуктом и работает в пассивном режиме. EDR в блочном режиме работает за кулисами для устранения вредоносных артефактов, обнаруженных с помощью возможностей EDR. Такие артефакты могли быть пропущены основным антивирусным продуктом стороннего производителя. Для устройств, использующих антивирусную программу "защитник Майкрософт" в качестве основного антивируса, EDR в блочном режиме обеспечивает дополнительный уровень защиты, позволяя антивирусной программе "защитник Майкрософт" выполнять автоматические действия при обнаружении EDR после взлома и поведении.
EDR в блочном режиме не обеспечивает всей защиты, доступной при включенной защите в режиме реального времени антивирусной программы Microsoft Defender. Все функции, которые зависят от антивирусной программы Microsoft Defender в качестве активного антивирусного решения, не будут работать, включая следующие ключевые примеры:
Защита в режиме реального времени, включая сканирование при доступе, недоступна, когда антивирусная программа Microsoft Defender находится в пассивном режиме. Дополнительные сведения о параметрах политики защиты в режиме реального времени см. в статье Включение и настройка постоянной защиты Microsoft Defender Antivirus.
Такие функции, как защита сети и правила сокращения направлений атак, доступны только в том случае, если антивирусная программа Microsoft Defender работает в активном режиме.
Ожидается, что антивирусное решение стороннего производителя предоставляет эти возможности.
EDR в блочном режиме интегрирован с управлением угрозами и уязвимостями. Группа безопасности вашей организации получит рекомендацию по безопасности включить EDR в блочном режиме, если он еще не включен.
Чтобы получить наилучшую защиту, обязательно разверните базовые версии Microsoft Defender for Endpoint.
Что происходит, когда что-то обнаруживается?
При включении EDR в блочном режиме и обнаружении вредоносного артефакта Microsoft Defender for Endpoint блокирует и исправляет этот артефакт. Ваша команда по обеспечению безопасности увидит в Центре уведомлений статус обнаружения «Заблокировано» или «Предотвращено» в списке выполненных действий.
На следующем изображении показан экземпляр нежелательного ПО, обнаруженного и заблокированного с помощью EDR в блочном режиме:
Включить EDR в блочном режиме
Начиная с версии платформы 4.18.2202.X теперь вы можете настроить EDR в блочном режиме для целевых групп устройств с помощью Intune CSP. Вы можете продолжать устанавливать EDR в блочном режиме для всего клиента на портале Microsoft 365 Defender. EDR в блочном режиме в первую очередь рекомендуется для устройств, на которых антивирус Microsoft Defender работает в пассивном режиме (на устройстве установлено и активно антивирусное решение стороннего производителя).
Перед включением EDR в блочном режиме убедитесь, что требования соблюдены.
Портал безопасности
Выберите «Настройки» > «Конечные точки» > «Основные» > «Дополнительные функции».
Прокрутите вниз и включите параметр Включить EDR в блочном режиме.
Intune
Для получения дополнительной информации о Defender CSP, используемом для EDR в блочном режиме, см. раздел «Конфигурация/PassiveRemediation» в Defender CSP.
Требования к EDR в блочном режиме
В следующей таблице перечислены требования для EDR в блочном режиме:
Чтобы обеспечить наилучшую защиту, убедитесь, что ваше антивирусное решение настроено на получение регулярных обновлений и основных функций, а также настроены исключения. EDR в блочном режиме учитывает исключения, определенные для антивирусной программы Microsoft Defender, но не индикаторы, определенные для Microsoft Defender for Endpoint.
Часто задаваемые вопросы
Можно ли указать исключения для EDR в блочном режиме?
Если вы получили ложное срабатывание, вы можете отправить файл для анализа на сайте Microsoft Security Intelligence.
Вы также можете определить исключение для антивирусной программы Microsoft Defender. См. раздел Настройка и проверка исключений для сканирования антивирусной программой Microsoft Defender.
Нужно ли включать EDR в блочном режиме, если на моих устройствах работает антивирус Microsoft Defender?
Основной целью EDR в блочном режиме является исправление обнаружений после взлома, которые были пропущены антивирусным продуктом стороннего производителя. Однако мы рекомендуем оставить EDR в блочном режиме включенным независимо от того, работает ли антивирусная программа Microsoft Defender в пассивном или активном режиме.
Когда антивирусная программа Microsoft Defender находится в пассивном режиме, EDR в блочном режиме вместе с Microsoft Defender for Endpoint обеспечивает еще один уровень защиты.
Когда антивирусная программа Microsoft Defender находится в активном режиме, EDR в блочном режиме не обеспечивает дополнительного сканирования, но позволяет антивирусной программе Microsoft Defender выполнять автоматические действия при обнаружении поведенческих EDR после взлома.
Повлияет ли EDR в блочном режиме на антивирусную защиту пользователя?
EDR в блочном режиме не влияет на стороннюю антивирусную защиту, работающую на устройствах пользователей. EDR в блочном режиме работает, если основное антивирусное решение что-то упускает или если происходит обнаружение взлома. EDR в блочном режиме работает так же, как антивирус Microsoft Defender в пассивном режиме, за исключением того, что EDR в блочном режиме также блокирует и исправляет обнаруженные вредоносные артефакты или поведение.
Почему мне необходимо постоянно обновлять антивирусную программу Microsoft Defender?
Поскольку антивирусная программа Microsoft Defender обнаруживает и устраняет вредоносные объекты, важно поддерживать ее в актуальном состоянии. Чтобы EDR в блочном режиме был эффективным, в нем используются новейшие модели обучения устройств, поведенческие обнаружения и эвристика. Стек возможностей Defender for Endpoint работает интегрированным образом. Чтобы получить наилучшую защиту, вы должны регулярно обновлять антивирусную программу Microsoft Defender. См. раздел Управление обновлениями антивирусной программы Microsoft Defender и применение базовых показателей.
Зачем нам нужна облачная защита (MAPS)?
Облачная защита необходима для включения этой функции на устройстве. Облачная защита позволяет Defender for Endpoint обеспечивать новейшую и наилучшую защиту на основе наших обширных и глубоких аналитических данных о безопасности, а также моделей поведения и обучения устройств.
В чем разница между активным и пассивным режимом?
Для конечных точек под управлением Windows 10, Windows 11, Windows Server версии 1803 или более поздней, Windows Server 2019 или Windows Server 2022, когда антивирусная программа Microsoft Defender находится в активном режиме, она используется в качестве основного антивируса на устройстве. При работе в пассивном режиме антивирусная программа Microsoft Defender не является основным антивирусным продуктом. В этом случае антивирусная программа Microsoft Defender не устраняет угрозы в режиме реального времени.
Антивирусная программа Microsoft Defender может работать в пассивном режиме, только если устройство подключено к Microsoft Defender for Endpoint.
Как убедиться, что антивирусная программа Microsoft Defender находится в активном или пассивном режиме?
Чтобы убедиться, что антивирусная программа Microsoft Defender работает в активном или пассивном режиме, вы можете использовать командную строку или PowerShell на устройстве под управлением Windows.
<р>2. Введите Get-MpComputerStatus . <р>3. В списке результатов в строке AMRunningMode найдите одно из следующих значений:- Обычный
- Пассивный режим <р>2. Введите sc запрос windefend .
Как убедиться, что EDR в блочном режиме включена с антивирусной программой Microsoft Defender в пассивном режиме?
Вы можете использовать PowerShell, чтобы убедиться, что EDR в блочном режиме включена, когда антивирусная программа Microsoft Defender работает в пассивном режиме.
Выберите меню «Пуск», начните вводить PowerShell , а затем в результатах откройте Windows PowerShell.
Введите Get-MPComputerStatus|выберите AMRunningMode .
Убедитесь, что отображается результат EDR Block Mode .
Если антивирусная программа Microsoft Defender находится в активном режиме, вы увидите Обычный вместо Блокированный режим EDR. Дополнительные сведения см. в статье Get-MpComputerStatus.
Поддерживается ли EDR в блочном режиме в Windows Server 2016 и Windows Server 2012 R2?
Если антивирусная программа Microsoft Defender работает в активном или пассивном режиме, EDR в блочном режиме поддерживается в следующих версиях Windows:
- Windows 11
- Windows 10 (все выпуски)
- Windows Server версии 1803 или новее
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016 и Windows Server 2012 R2 (с новым унифицированным клиентским решением)
Благодаря новому унифицированному клиентскому решению для Windows Server 2016 и Windows Server 2012 R2 вы можете запускать EDR в блочном режиме как в пассивном, так и в активном режиме.
Чтобы эта функция работала, Windows Server 2016 и Windows Server 2012 R2 должны быть встроены в соответствии с инструкциями в разделе Встроенные серверы Windows.
Сколько времени требуется для отключения EDR в блочном режиме?
Если вы решите отключить EDR в блочном режиме, системе может потребоваться до 30 минут, чтобы отключить эту возможность.
Office 365 профессиональный плюс переименовывается в Приложения Microsoft 365 для предприятий. Для получения дополнительной информации об этом изменении прочитайте эту запись в блоге.
Проблема
У вас могут возникнуть проблемы при попытке войти в Microsoft Office 365. Или вы заметите, что в вашей учетной записи происходят подозрительные действия, например большое количество спама, исходящего из вашей учетной записи.
Вы также можете столкнуться с одной или несколькими из следующих проблем:
- Папки "Отправленные" и "Удаленные" в Microsoft Outlook или в Microsoft Outlook Web App содержат распространенные сообщения о взломанных аккаунтах, например "Я застрял в Лондоне, пришлите деньги".
- Необычные изменения профиля, такие как имя, номер телефона или почтовый индекс, были обновлены.
- Необходимы необычные изменения учетных данных, такие как многократная смена пароля.
- Недавно была добавлена переадресация почты.
- Недавно была добавлена необычная подпись, например поддельная банковская подпись или подпись рецептурного лекарства.
Решение
Даже после того, как вы восстановили доступ к своей учетной записи, злоумышленник мог добавить лазейки, позволяющие злоумышленнику восстановить контроль над учетной записью.
Чтобы помочь решить эти проблемы, вы должны выполнить все следующие шаги в течение пяти минут после восстановления доступа к вашей учетной записи, чтобы убедиться, что угонщик не возобновит контроль над вашей учетной записью. Эти шаги помогут вам удалить все лазейки, которые злоумышленник мог добавить в вашу учетную запись. После выполнения этих действий мы рекомендуем запустить сканирование на вирусы, чтобы убедиться, что ваш компьютер не скомпрометирован.
Шаг 1. Убедитесь, что ваш компьютер не взломан
- Убедитесь, что у вас включен Центр обновления Windows.
- Если на вашем компьютере не установлено антивирусное программное обеспечение, мы рекомендуем вам установить антивирусное программное обеспечение, а затем запустить сканирование, чтобы убедиться, что на компьютере не установлено вредоносное программное обеспечение. Вы можете бесплатно загрузить антивредоносное или антивирусное программное обеспечение от Microsoft.
Шаг 2. Убедитесь, что злоумышленник не может войти в вашу учетную запись Office 365
- Немедленно измените свой пароль. Убедитесь, что пароль надежный и содержит буквы верхнего и нижнего регистра, по крайней мере одну цифру и хотя бы один специальный символ.
- Не используйте повторно ни один из пяти последних паролей. Несмотря на то, что требование истории паролей позволяет вам повторно использовать более новый пароль, вы должны выбрать пароль, который злоумышленник не сможет угадать.
- Если ваше локальное удостоверение объединено с Office 365, вы должны изменить свой пароль локально, а затем уведомить администратора о компрометации.
Шаг 3. Убедитесь, что злоумышленник не может возобновить доступ к вашему аккаунту
Убедитесь, что учетная запись Exchange не выполняет автоматическую переадресацию адресов. Для получения дополнительной информации перейдите на следующую веб-страницу:
Убедитесь, что сервер Exchange не отправляет автоматические ответы.
Убедитесь, что ваша контактная информация, такая как номера телефонов и адреса, верна.
Шаг 4. Дополнительные меры предосторожности
- Убедитесь, что вы подтвердили отправленные вами элементы. Возможно, вам придется сообщить людям из вашего списка контактов, что ваша учетная запись была скомпрометирована. Злоумышленник мог попросить у них деньги, подделав, например, то, что вы застряли в другой стране или регионе и нуждаетесь в деньгах, или злоумышленник может отправить им вирус, чтобы также захватить их компьютеры.
- Любая другая служба, которая использовала эту учетную запись Exchange в качестве альтернативной учетной записи электронной почты, могла быть скомпрометирована. Сначала выполните эти действия для своей подписки на Office 365, а затем — для других своих учетных записей.
Подробнее
Эти проблемы могут возникнуть, если ваша подписка на Office 365 была скомпрометирована. В этом случае ваши взломанные учетные записи могут быть заблокированы, чтобы защитить вас и ваши контакты и помочь вам восстановить учетную запись.
Для получения дополнительной информации о фишинге и мошеннических сообщениях электронной почты посетите следующие веб-сайты:
Microsoft Forms позволяет автоматически проверять машины, чтобы заблаговременно обнаруживать злонамеренный сбор конфиденциальных данных в формах и временно блокировать эти формы от сбора ответов. Узнайте больше о Microsoft Forms и проактивной защите от фишинга.
Действия, описанные в этом документе, также применимы к Dynamics 365 Customer Voice (ранее известному как Forms Pro). Обратите внимание, что для разблокировки опросов Dynamics 365 Customer Voice требуется лицензия Dynamics 365 Customer Voice. Узнать больше.
Просмотр предупреждений на портале Microsoft 365 Defender
Если вы являетесь глобальным администратором или администратором безопасности, вы будете получать оповещения на портале Защитника Microsoft 365 о потенциальных фишинговых формах, с которыми вы можете принять меры.
Если вы являетесь глобальным администратором, вы будете получать сообщения о конфиденциальности данных для вашей организации, в том числе ежедневные уведомления о любой форме, созданной в вашем клиенте, которая была обнаружена и заблокирована из-за возможного фишинга. Вы увидите эти уведомления в центре сообщений, выполнив поиск уведомлений о фишинге Microsoft Forms. (Если вы не видите это уведомление на вкладке/представлении «Все активные сообщения», вы можете найти его на вкладке/представлении «Отклоненные сообщения».) Для каждого уведомления выберите URL-ссылку для просмотра администратором форм или ссылки для просмотра заблокированных форм.< /p>
Чтобы администраторы безопасности также могли получать уведомления о потенциальных фишинговых формах, глобальные администраторы должны назначить им роль читателя конфиденциальности центра сообщений. Чтобы узнать больше о Центре сообщений, ознакомьтесь с часто задаваемыми вопросами.Также узнайте, как настроить параметры электронной почты для сообщений о конфиденциальности данных.
Выберите Инциденты и оповещения > Оповещения. Вы можете увидеть одно или все следующие оповещения для Форм:
Пользователю запрещено делиться формами и собирать ответы
Форма помечена и подтверждена как фишинг
Форма заблокирована из-за возможной попытки фишинга
Выберите оповещение, чтобы просмотреть его. Чтобы просмотреть помеченную форму, коснитесь или щелкните три точки в правом нижнем углу рядом с кнопкой «Управление оповещением», а затем выберите «Просмотреть эту форму».
Разблокировать форму или подтвердить попытку фишинга
Для каждой формы, которую вы просматриваете, вы можете выбрать, следует ли разблокировать ее или подтвердить фишинг.
Разблокировать
Выберите Разблокировать, если вы не считаете, что форма имеет злонамеренные намерения.
Если кто-то из вашего клиента просит вас разблокировать его форму, мы предлагаем вам запросить конкретную информацию формы (например, дату и время блокировки, заголовок), чтобы более эффективно идентифицировать уведомление в центре администрирования. Поскольку уведомления отправляются ежедневно и включают все обнаруженные формы за последние 24 часа, будет полезна идентифицирующая информация для формы.
Подтвердить фишинг
Выберите Подтвердить фишинг, если считаете, что форма имеет злонамеренный характер. Форма будет заблокирована навсегда, и ее владелец больше не сможет редактировать или удалять ее.
После того как вы выбрали Подтвердить фишинг, нажмите или коснитесь Удалить форму, чтобы безвозвратно удалить форму из вашего клиента. Мы настоятельно рекомендуем немедленно сбросить пароль для учетной записи вашего клиента, которая, по вашему мнению, была взломана.
Выбранный вами параметр Подтвердить фишинг помогает Microsoft Forms повысить точность обнаружения.
Часто задаваемые вопросы
Когда я просматриваю заблокированную форму, почему я не вижу вариантов ее разблокировки или подтверждения фишинга?
После проверки вы можете увидеть, что блокировка формы уже снята. Это означает, что в промежутке между моментом блокировки формы и моментом ее просмотра владелец формы удалил ключевые слова, помеченные как потенциально фишинговые. В этом случае от вас не требуется никаких дальнейших действий.
Если форма была заблокирована из-за подтвержденного фишинга, могу ли я удалить ее?
Если форма уже заблокирована из-за подтвержденного фишинга, выберите Удалить форму, чтобы удалить ее из своего клиента.
Что делать, если я не предприму никаких действий с заблокированной формой?
Если вы решите не предпринимать никаких действий (разблокировать форму или подтвердить намерение фишинга), форма останется заблокированной. Владелец формы по-прежнему может редактировать форму и удалять ключевые слова, помеченные как потенциальные фишинговые.
Что делать, если я хочу отредактировать или удалить заблокированный контент в форме?
Если вы предпочитаете редактировать и/или удалять заблокированный контент, вы можете создать страницу совместного редактирования и управлять формой в качестве соавтора. Для этого нажмите на ссылку открытия страницы совместного редактирования, расположенную в сообщении над формой, которую вы рецензируете.
Снять ограничения для заблокированных пользователей Microsoft Forms
Microsoft Forms блокирует пользователей, которые неоднократно пытались собрать личную или конфиденциальную информацию при распространении форм и сборе ответов. Глобальные администраторы будут уведомлены об этих заблокированных пользователях через центр сообщений. Если вы считаете, что заблокированный пользователь не служит злым умыслам и его учетная запись защищена, вы можете предпринять следующие шаги, чтобы разблокировать его.
Администраторы безопасности также могут получать уведомления о потенциальных фишинговых формах после того, как глобальный администратор назначит им роль читателя конфиденциальности центра сообщений.
Перейдите в Центр сообщений и найдите уведомление Предотвратить/исправить: Microsoft Forms Detected Potential Phishing.
Если вы не видите это уведомление на вкладке/представлении "Все активные сообщения", вы можете найти его на вкладке/представлении "Отклоненные сообщения".
Это уведомление содержит список пользователей в вашем клиенте, которым запрещено делиться формами и собирать ответы.
Нажмите на ссылку в уведомлении, чтобы просмотреть заблокированных пользователей.
Для каждого пользователя, который, по вашему мнению, не имеет злонамеренных намерений, вы можете щелкнуть ссылку Разблокировать в столбце Действия, связанном с этим пользователем.
Если вы считаете, что у пользователя есть злой умысел, от вас не требуется никаких дальнейших действий.
Как обработчик данных, Office 365 гарантирует, что наши клиенты смогут выполнить требования GDPR к уведомлению о нарушениях в качестве контролеров данных. С этой целью мы обязуемся предпринять следующие действия:
- Предоставление клиентам возможности указать специальное контактное лицо для обеспечения конфиденциальности, которое будет уведомлено в случае нарушения. Клиенты могут указать этот контакт, используя настройки роли читателя конфиденциальности для Центра сообщений.
- Уведомление клиентов об утечке персональных данных в течение 72 часов с момента объявления об утечке.Уведомления будут публиковаться в Центре сообщений, доступном через центр администрирования Microsoft 365. Во-вторых, уведомления по электронной почте отправляются указанным контактам, указывающие на то, что новое сообщение в Центре сообщений было опубликовано.
- Первоначальное уведомление будет включать как минимум описание характера нарушения, приблизительное влияние на пользователя и меры по смягчению последствий (если применимо). Если наше расследование не завершено на момент первоначального уведомления, мы укажем следующие шаги и сроки для последующего сообщения в нашем первоначальном уведомлении.
Microsoft признает, что контролеры данных несут ответственность за проведение оценки рисков и определение того, требует ли нарушения уведомление DPA клиента, и наше уведомление клиентов предоставит информацию, необходимую для проведения такой оценки. Поэтому Microsoft будет уведомлять клиентов о любой утечке личных данных, за исключением тех случаев, когда подтверждено, что личные данные неразборчивы (например, зашифрованные данные, где подтверждена целостность ключей).
Инвестиции Office 365 в безопасность данных
В дополнение к нашему обязательству своевременно уведомлять об утечке, Office 365 активно инвестирует в системы, процессы и персонал, чтобы снизить вероятность утечки личных данных и быстро обнаружить и смягчить последствия утечки, если она все же произойдет. р>
Вот описание некоторых наших инвестиций в это пространство:
Системы контроля доступа. Office 365 поддерживает политику «нулевого постоянного доступа», что означает, что инженеры не имеют доступа к службе, если только он не предоставлен явным образом в ответ на конкретный инцидент, требующий повышения уровня доступа. Всякий раз, когда доступ предоставляется, он осуществляется в соответствии с принципом наименьших привилегий: разрешение, предоставленное для определенного запроса, допускает только минимальный набор действий, необходимых для обслуживания этого запроса. Для этого в Office 365 поддерживается строгое разделение «ролей повышения прав», при этом каждая роль позволяет выполнять только определенные заранее определенные действия. Роль «Доступ к данным клиента» отличается от других ролей, которые чаще используются для администрирования службы, и подвергается наиболее тщательной проверке перед утверждением. В совокупности эти инвестиции в контроль доступа значительно снижают вероятность того, что инженер Office 365 неправомерно получит доступ к данным клиентов.
Системы мониторинга безопасности и автоматизация. Office 365 поддерживает надежные системы мониторинга безопасности в режиме реального времени. Помимо прочего, эти системы выдают предупреждения о попытках незаконного доступа к данным клиентов или о попытках незаконной передачи данных за пределы нашего сервиса. Что касается пунктов об управлении доступом, упомянутых ранее, наши системы мониторинга безопасности ведут подробные записи о сделанных запросах на повышение прав и о действиях, предпринятых для данного запроса на повышение прав. Office 365 также поддерживает инвестиции в автоматическое разрешение, которые автоматически действуют для смягчения угроз в ответ на обнаруженные нами проблемы, и специальные группы для реагирования на предупреждения, которые не могут быть устранены автоматически. Чтобы проверить наши системы мониторинга безопасности, Office 365 регулярно проводит учения красной команды, в ходе которых внутренняя группа тестирования на проникновение моделирует поведение злоумышленника в реальной среде. Эти упражнения приводят к регулярному совершенствованию наших возможностей мониторинга безопасности и реагирования.
Персонал и процессы. В дополнение к автоматизации, описанной ранее, Office 365 поддерживает процессы и группы, ответственные как за информирование более широкой организации о процессах управления конфиденциальностью и инцидентами, так и за выполнение этих процессов во время нарушения. Например, поддерживается подробная стандартная операционная процедура (СОП) по нарушению конфиденциальности, которая предоставляется командам по всей организации. В этой СОП подробно описаны роли и обязанности как отдельных групп в Office 365, так и централизованных групп реагирования на инциденты безопасности. Эти обязанности охватывают как то, что командам необходимо сделать для улучшения собственного состояния безопасности (проведение проверок безопасности, интеграция с центральными системами мониторинга безопасности и другие передовые методы), так и то, что командам необходимо будет сделать в случае фактического нарушения (быстрая эскалация до реагирования на инциденты). , поддерживать и предоставлять конкретные источники данных, которые будут использоваться для ускорения процесса ответа). Команды также регулярно проходят обучение по классификации данных и правильным процедурам обработки и хранения личных данных.
Основной вывод заключается в том, что Office 365 активно инвестирует в снижение вероятности и последствий утечки персональных данных, затрагивающих наших клиентов. Если утечка персональных данных все же произойдет, мы обязуемся оперативно уведомить наших клиентов, как только такая утечка будет подтверждена.
Что ожидать в случае нарушения
В разделе выше описаны инвестиции, которые Office 365 предпринимает для снижения вероятности утечки данных.В том маловероятном случае, если нарушение все же произойдет, клиенты должны ожидать предсказуемый опыт с точки зрения следующих ответов:
Последовательный жизненный цикл реагирования на инциденты в Office 365. Как описано выше, Office 365 поддерживает подробные СОП реагирования на инциденты, описывающие, как команды должны подготовиться к нарушению безопасности и как они должны действовать, если нарушение все же произойдет. Это гарантирует, что наши средства защиты и процессы будут применяться во всем сервисе.
Последовательные критерии для уведомления клиентов. Наши критерии уведомления сосредоточены на конфиденциальности, целостности и доступности данных клиентов. Office 365 будет напрямую уведомлять клиентов о нарушении конфиденциальности или целостности данных клиентов. То есть мы будем уведомлять клиентов в случае доступа к их данным без надлежащего разрешения или в случае ненадлежащего уничтожения или потери данных. Office 365 также сообщает о проблемах, влияющих на доступность данных, хотя это действие обычно выполняется с помощью панели мониторинга работоспособности службы (SHD).
Последовательные сведения об уведомлениях. Когда Office 365 сообщает об утечке данных, клиенты могут ожидать, что будут сообщены конкретные сведения: как минимум мы предоставим следующие сведения:
- Время нарушения и время получения информации о нарушении
- Приблизительное количество затронутых пользователей.
- Тип пользовательских данных, которые были взломаны
- Действия, необходимые для устранения нарушения со стороны контроллера или процессора.
Клиенты также должны учитывать, что Office 365 как обработчик данных не будет определять риск утечки данных. Всякий раз, когда будет обнаружена утечка персональных данных, мы уведомим наших клиентов и предоставим им подробную информацию, необходимую им для точного определения риска для затронутых пользователей и принятия решения о необходимости дополнительной отчетности в регулирующие органы. С этой целью ожидается, что контролеры данных определят следующее об инциденте:
- Серьезность нарушения (т. е. определение риска)
- Нужно ли уведомлять конечных пользователей?
- Нужно ли уведомлять регулирующие органы (DPA)?
- Конкретные шаги, которые предпримет контролер, чтобы смягчить последствия нарушения
Обращение в Microsoft
В некоторых случаях клиент может узнать о взломе и уведомить об этом Microsoft. Текущий протокол предназначен для клиентов, чтобы уведомить службу поддержки Microsoft, которая затем свяжется с инженерными группами для получения дополнительной информации. В этом сценарии группы инженеров Microsoft также стремятся своевременно предоставлять необходимую информацию клиентам через службу поддержки.
Призыв к действию для клиентов
Как отмечалось ранее, Office 365 обязуется уведомлять клиентов в течение 72 часов с момента объявления о нарушении. Администратор клиента клиента будет уведомлен. Кроме того, Office 365 рекомендует клиентам назначать псевдоним глобального контакта по вопросам конфиденциальности, что можно сделать на портале Azure Active Directory. В случае утечки персональных данных этот псевдоним может быть отправлен по электронной почте в дополнение к уведомлению, которое будет отправлено администраторам.
Контактным лицом клиента может быть физическое лицо в организации, список рассылки (DL) или кто-то полностью за пределами организации. Office 365 требует, чтобы клиенты предоставили только адрес электронной почты для этого контакта, и клиенты смогут указать этот адрес на портале Azure Active Directory в поле «Глобальный контакт для обеспечения конфиденциальности». Это поле связано с существующим полем «Технический контакт» в Azure Active Directory, но отличается от него. Если клиенты решат указать список рассылки для этого контакта, они должны убедиться, что список рассылки настроен на получение сообщений от внешних отправителей.
Подводя итог, Office 365 просит клиентов сделать следующее, чтобы воспользоваться преимуществами наших процессов уведомления о нарушениях:
Читайте также: