Få den bedste sikkerhedsværdi fra Microsoft Defender for Office 365, når du har filtrering via mail fra tredjepart

Artikel
04/26/2024

Denne vejledning er til dig, hvis:

Du har licens til Microsoft Defender for Office 365 og hoster dine postkasser i Office 365
Du bruger også en tredjepart til din mailsikkerhed

Følgende oplysninger indeholder oplysninger om, hvordan du får mest ud af din investering opdelt i trin, der er nemme at følge.

Det har du brug for

Postkasser, der hostes i Office 365
En eller flere af:
- Microsoft Defender for Office 365 Plan 1 til beskyttelsesfunktioner
- Microsoft Defender for Office 365 Plan 2 for de fleste andre funktioner (inkluderet i E5-planer)
- Microsoft Defender for Office 365 prøveversion (tilgængelig for alle kunder på aka.ms/tryMDO)
Tilstrækkelige tilladelser til at konfigurere de funktioner, der beskrives nedenfor

Trin 1 – forstå den værdi, du allerede har

Indbyggede beskyttelsesfunktioner

Indbygget beskyttelse giver et grundlæggende niveau af diskret beskyttelse og omfatter malware, nuldag (Sikre vedhæftede filer) og URL-beskyttelse (Sikre links) i mail (herunder intern mail), SharePoint Online, OneDrive og Teams. URL-beskyttelse, der er angivet i denne tilstand, sker kun via API-kald. URL-adresser ombrydes eller omskrives ikke, men kræver en understøttet Outlook-klient. Du kan oprette dine egne brugerdefinerede politikker for at udvide beskyttelsen.

Læs mere & se en oversigtsvideo om Sikre links her:Komplet oversigt over sikre links

Læs mere om Sikre vedhæftede filer her:Sikre vedhæftede filer

Opdagelses-, undersøgelses-, svar- og jagtfunktioner

Når vigtige beskeder udløses i Microsoft Defender for Office 365, korreleres de automatisk og kombineres i Hændelser for at hjælpe med at reducere advarselstræthed hos sikkerhedspersonalet. Air (Automated Investigation and Response) udløser undersøgelser for at hjælpe med at afhjælpe og indeholde trusler.

Læs mere, se en oversigtsvideo, og kom i gang her :Svar på hændelse med Microsoft Defender XDR

Threat Analytics er vores detaljerede løsning til trusselsintelligens fra ekspertforskere i Microsoft-sikkerhed. Threat Analytics indeholder detaljerede rapporter, der er designet til at sætte fart på de nyeste trusselsgrupper, angrebsteknikker, hvordan du beskytter din organisation med indikatorer for kompromis (IOC) og meget mere.

Læs mere, se en oversigtsvideo, og kom i gang her :Threat Analytics i Microsoft Defender XDR

Explorer kan bruges til at jage trusler, visualisere mailflowmønstre, spotte tendenser og identificere virkningen af ændringer, du foretager under justering Defender for Office 365. Du kan også hurtigt slette meddelelser fra din organisation med nogle få enkle klik.

Læs mere, og kom i gang her:Trusselsoversigt og registreringer i realtid

Trin 2 – Optimer værdien yderligere med disse enkle trin

Yderligere beskyttelsesfunktioner

Overvej at aktivere politikker ud over den indbyggede beskyttelse. Aktivering af beskyttelsestid for klik eller repræsentationsbeskyttelse, f.eks. for at tilføje ekstra lag eller udfylde huller, der mangler i beskyttelse fra tredjepart. Hvis du har en regel for mailflow (også kaldet en transportregel) eller et forbindelsesfilter, der tilsidesætter domme (også kendt som en SCL=-1-regel), skal du håndtere denne konfiguration, før du aktiverer andre beskyttelsesfunktioner.

Læs mere her:Anti-phishing-politikker

Hvis din aktuelle sikkerhedsudbyder er konfigureret til at ændre meddelelser på nogen måde, er det vigtigt at bemærke, at godkendelsessignaler kan påvirke muligheden for Defender for Office 365 at beskytte dig mod angreb, f.eks. spoofing. Hvis din tredjepart understøtter Godkendt modtaget kæde (ARC), er aktivering af dette et kraftigt anbefalet trin i din rejse til avanceret dobbeltfiltrering. Du kan også flytte en meddelelsesændringskonfiguration til Defender for Office 365.

Læs mere her:Konfigurer ARC-sealere, der er tillid til.

Forbedret filtrering af connectors gør det muligt at bevare IP-adresse og afsenderoplysninger via tredjepart. Denne funktion forbedrer nøjagtigheden af filtreringsstakken (beskyttelse), funktionerne efter sikkerhedsbrud & forbedringer af godkendelse.

Læs mere her:Forbedret filtrering af forbindelser i Exchange Online

Prioritetskontobeskyttelse giver forbedret synlighed for konti i værktøjer samt yderligere beskyttelse, når de er i en avanceret konfigurationstilstand med dybdegående forsvar.

Læs mere her:Prioritetskontobeskyttelse

Avanceret levering skal konfigureres til at levere phish-simuleringer fra tredjepart korrekt, og hvis du har en sikkerhedshandlingspostkasse, kan du overveje at definere den som en SecOps-postkasse for at sikre, at mails ikke fjernes fra postkassen på grund af trusler.

Læs mere her:Avanceret levering

Du kan konfigurere brugerrapporterede indstillinger, så brugerne kan rapportere gode eller forkerte meddelelser til Microsoft, til en udpeget rapporteringspostkasse (for at integrere med aktuelle sikkerhedsarbejdsprocesser) eller begge dele. Administratorer kan bruge fanen Brugerrapporteret på siden Indsendelser til at sortere falske positiver og falske negative brugerrapporterede meddelelser.

Læs mere her:Udrul og konfigurer tilføjelsesprogrammet til rapportmeddelelsen til brugere.

Opdagelses-, undersøgelses-, svar- og jagtfunktioner

Avanceret jagt kan bruges til proaktivt at jage efter trusler i din organisation ved hjælp af delte forespørgsler fra community'et for at hjælpe dig med at komme i gang. Du kan også bruge brugerdefinerede registreringer til at konfigurere beskeder, når tilpassede kriterier er opfyldt.

Læs mere, se en oversigtsvideo, og kom i gang her:Oversigt – Avanceret jagt

Uddannelsesfunktioner

Simuleringstræning af angreb giver dig mulighed for at køre realistiske, men godartede cyberangrebsscenarier i din organisation. Hvis du ikke allerede har funktioner til phishingsimulering fra din primære mailsikkerhedsudbyder, kan Microsofts simulerede angreb hjælpe dig med at identificere og finde sårbare brugere, politikker og fremgangsmåder. Denne funktion indeholder vigtig viden, der skal haves og rettes , før et reelt angreb påvirker din organisation. Efter simulering tildeler vi i produkt- eller brugerdefineret træning for at uddanne brugerne om de trusler, de gik glip af, og i sidste ende reducere din organisations risikoprofil. Med Simuleringstræning af angreb leverer vi meddelelser direkte i indbakken, så brugeroplevelsen er omfattende. Det betyder også, at der ikke er nogen sikkerhedsændringer, f.eks. tilsidesættelser, der er nødvendige for at få simuleringer leveret korrekt.

Kom i gang her:Kom i gang med at bruge simulering af angreb.

Spring direkte ind i leveringen af en simulering her:Sådan konfigurerer du automatiserede angreb og oplæring i Simuleringstræning af angreb

Trin 3 og derefter bliver en helt med dobbelt brug

Mange af de opdagelses-, undersøgelses-, svar- og jagtaktiviteter, som tidligere er beskrevet, bør gentages af dine sikkerhedsteams. Denne vejledning indeholder en detaljeret beskrivelse af opgaver, kadence og teamtildelinger, som vi vil anbefale.

Læs mere:Vejledning til sikkerhedshandlinger for Defender for Office 365

Overvej brugeroplevelser, f.eks. adgang til flere karantæner eller indsendelse/rapportering af falske positiver og falske negativer. Du kan markere meddelelser, der er registreret af tredjepartstjenesten, med en brugerdefineret X-header . Du kan f.eks. bruge regler for mailflow til at registrere og sætte mails, der indeholder X-headeren, i karantæne. Dette resultat giver også brugerne et enkelt sted at få adgang til mails, der er sat i karantæne.

Læs mere:Sådan konfigurerer du karantænetilladelser og -politikker

Migreringsvejledningen indeholder en masse nyttige vejledninger i, hvordan du forbereder og tilpasser dit miljø, så det er klar til en migrering. Men mange af trinnene gælder også for et scenarie med dobbelt anvendelse. Du skal blot ignorere vejledningen til MX-skift i de sidste trin.

Læs det her:Overfør fra en beskyttelsestjeneste fra tredjepart til Microsoft Defender for Office 365 – Office 365 | Microsoft Docs.