Security

Безопасность email: тест Microsoft Defender и ICES

3 мин. чтения

Кратко

Microsoft опубликовала обновлённый эталонный анализ защиты электронной почты, показав, что Defender for Office 365 остаётся ключевым уровнем защиты: функция ZAP в среднем удаляла 70,8% вредоносных писем уже после доставки, а по угрозам высокой серьёзности Defender показал лучшие результаты, чем протестированные SEG-решения. При этом инструменты ICES дают заметную дополнительную пользу в фильтрации маркетинговых и массовых рассылок, но их вклад в блокировку спама и вредоносной почты остаётся минимальным, что важно для команд безопасности при выборе многоуровневой стратегии защиты Microsoft 365.

Нужна помощь с Security?Поговорить с экспертом

Введение

Последний эталонный анализ безопасности электронной почты от Microsoft предлагает полезные данные для команд безопасности, оценивающих встроенную защиту, secure email gateways (SEGs) и инструменты integrated cloud email security (ICES). Для администраторов, отвечающих за состояние безопасности Microsoft 365, это обновление помогает точнее понять, где многоуровневая защита добавляет ценность, а где основную работу выполняет Microsoft Defender for Office 365.

Что нового в эталонном анализе

Новые данные телеметрии Microsoft за последние месяцы подтверждают несколько тенденций в развертываниях средств защиты электронной почты:

  • Постдоставочная ремедиация Microsoft Defender остаётся значимой: функция Zero-hour Auto Purge (ZAP) в Defender удаляла в среднем 70,8% вредоносных писем после доставки.
  • Решения ICES дают дополнительную выгоду: в сочетании с Defender партнёры ICES улучшали фильтрацию маркетинговых и массовых писем в среднем на 13,7%.
  • Ограниченный прирост для спама и вредоносной почты: дополнительное улучшение фильтрации от инструментов ICES было меньшим для категорий писем с более высоким риском и составило в среднем 0,29% для спама и 0,24% для вредоносных сообщений в последнем отчётном периоде.
  • Сравнение с SEG остаётся в пользу Defender: Microsoft заявляет, что Defender пропустил меньше угроз высокой серьёзности, чем продукты SEG, оценённые в исследовании.

Расширение экосистемы ICES

Microsoft также использовала это объявление, чтобы подтвердить поддержку своей партнёрской экосистемы ICES. В настоящее время интегрированными партнёрами являются:

  • Darktrace
  • KnowBe4
  • Cisco
  • VIPRE Security Group

Эти интеграции выводят обнаружения партнёров напрямую в Microsoft Defender portal, включая такие области, как Quarantine, Explorer, страницы сущностей электронной почты, advanced hunting и отчётность. Практическая цель заключается в поддержке defense-in-depth без необходимости для команд SOC переключаться между отдельными консолями.

Почему это важно для IT- и security-администраторов

Для администраторов Microsoft 365 и специалистов по безопасности эталонные данные указывают на несколько очевидных выводов:

  • Постдоставочная защита важна, потому что угрозы всё ещё попадают во входящие, несмотря на фильтрацию до доставки.
  • Многоуровневый подход с инструментами может помочь, но выгода зависит от типа сообщений и может быть более полезной с операционной точки зрения для уменьшения загруженности входящих, чем для заметного улучшения обнаружения вредоносных писем.
  • Единые рабочие процессы снижают трение для аналитиков, особенно когда обнаружения сторонних решений видны в Defender, а не изолированы в другой плоскости управления.

Рекомендуемые следующие шаги

Администраторам стоит рассмотреть следующие действия:

  1. Проверьте текущую конфигурацию Microsoft Defender for Office 365, включая ZAP, Safe Links, Safe Attachments и отчётность.
  2. Оцените, даёт ли развертывание ICES измеримую ценность помимо Defender, особенно в части спама, вредоносной почты и продуктивности пользователей.
  3. Используйте эталонные данные при продлении контрактов или пересмотре архитектуры, чтобы проверить, соответствуют ли существующие инвестиции в SEG или ICES профилю угроз вашей организации.
  4. Следите за экосистемой Defender ICES, если ваша команда хочет использовать партнёрские средства защиты без потери удобства единого окна управления.

Microsoft заявляет, что продолжит регулярно публиковать обновления эталонных показателей, предоставляя организациям больше прозрачности в отношении того, как средства защиты электронной почты работают в масштабе.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Jeff Pinkston
SecurityMicrosoft Defender for Office 365email securityICESSEG

Похожие статьи

Security

Компрометация цепочки поставок Trivy: рекомендации Defender

Microsoft опубликовала рекомендации по обнаружению, расследованию и смягчению последствий компрометации цепочки поставок Trivy в марте 2026 года, затронувшей бинарный файл Trivy и связанные GitHub Actions. Инцидент важен тем, что доверенный инструмент безопасности CI/CD был использован для кражи учетных данных из пайплайнов сборки, облачных сред и систем разработчиков, при этом внешне работая как обычно.

Security

Управление AI Agent: выравнивание намерений для безопасности

Microsoft описывает модель управления для AI agents, которая выравнивает намерения пользователя, разработчика, роли и организации. Эта структура помогает компаниям сохранять полезность, безопасность и соответствие требованиям, задавая поведенческие границы и понятный порядок приоритета при возникновении конфликтов.

Security

Predictive shielding в Microsoft Defender против GPO-шифровальщика

Microsoft описала реальный случай ransomware, в котором predictive shielding в Defender обнаружил вредоносное злоупотребление Group Policy Objects (GPO) до начала шифрования. За счёт усиления защиты распространения GPO и блокировки скомпрометированных учётных записей Defender остановил около 97% попыток шифрования и не позволил зашифровать ни одно устройство через путь доставки GPO.

Security

Защита agentic AI: новые решения Microsoft на RSAC

На RSAC 2026 Microsoft представила комплексный набор решений для защиты agentic AI, включая Agent 365, который станет общедоступным 1 мая и позволит централизованно управлять, защищать и контролировать AI-агентов в связке с Defender, Entra и Purview. Это важно, потому что по мере массового внедрения AI-агентов компаниям нужны новые инструменты для выявления теневого использования AI, снижения риска утечек данных и управления доступом в масштабе всей организации.

Security

Microsoft open source CTI-REALM для AI detection engineering

Microsoft открыла CTI-REALM — бенчмарк, который проверяет, могут ли AI-агенты реально выполнять задачи detection engineering: анализировать CTI-отчёты, сопоставлять техники MITRE ATT&CK и создавать/валидировать правила обнаружения. Это важно для SOC и security-команд, потому что инструмент смещает оценку ИИ от теоретических ответов к практическим операционным результатам в Linux, AKS и Azure-средах.

Security

Zero Trust for AI от Microsoft: воркшоп и архитектура

Microsoft представила подход Zero Trust for AI и обновила Zero Trust Workshop, добавив отдельный AI-столп для оценки и проектирования защиты моделей, агентов, данных и автоматизированных решений. Это важно для компаний, внедряющих AI: новые рекомендации помогают системно учитывать риски вроде prompt injection и data poisoning, а также согласовать меры безопасности между IT, ИБ и бизнесом.