vejledning Microsoft Defender for Office 365 integration af ICES Vendor Ecosystem

Bemærk!

Oplysningerne i denne artikel vedrører funktioner, der er en del af ICES Vendor Ecosystem. Visse funktioner er dog muligvis endnu ikke tilgængelige for alle brugere. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til tidslinjen for tilgængelighed.

Ices-forhandlerøkosystemet (Integrated Cloud Email Security) gør det muligt for Microsoft Defender for Office 365 at integrere med pålidelige leverandører af mailsikkerhed, der ikke er tillid til fra Microsoft. Integration understøtter en forsvarsstrategi med flere lag. Det giver kunderne mulighed for at drage fordel af nichefunktioner fra eksterne partnere og opretholde en samlet oplevelse på Microsoft Defender portalen.

Fordelene ved ICES Vendor Ecosystem omfatter:

• Samlet karantæne: Få vist og administrer karantænemail fra både Defender for Office 365 og ikke-Microsoft-leverandører i en enkelt grænseflade.
• Konsoliderede dashboards: Få adgang til effektivitetsmålepunkter på tværs af alle integrerede løsninger for at forstå registreringsdækning og resultater.
• Dybdegående forsvar: Gør beskyttelsen bedre ved at lagdelte ikke-Microsoft-funktioner sammen med oprindelige forsvar i Defender for Office 365.
• Strømlinede handlinger: Problemfri integration med cloudbaseret, API-aktiverede mailsikkerhedsleverandører via konsoliderede arbejdsprocesser og indsigt i Defender-portalen.

I resten af denne artikel beskrives overvejelserne om handling, mål og udrulning for ICES Vendor Ecosystem.

Tip

I øjeblikket er specifikke API-oplysninger ikke tilgængelige.

Introduktion

1. Kontrollér licensberettigelse: Kontrollér, at din organisation har Defender for Office 365 Plan 2 eller Microsoft 365 E5 licenser. Du kan få flere oplysninger om Defender for Office 365 Plan 2 under Defender for Office 365 Funktioner i Plan 2.

2. Vælg en godkendt tredjepartssikkerhedsleverandør:

   • Mørksporing/MAIL
   • KnowBe4 Defend Platform

3. Aktivér integration: Når du har onboardet til tredjepartssikkerhedsleverandøren, inkorporeres deres løsning problemfrit og automatisk i din sikkerhedsarkitektur.

4. Overvåg og administrer: Brug de samlede dashboards og karantæne i Defender for Office 365 til at overvåge trusselsaktivitet og udføre handlinger.

Sådan fungerer integration

Integration gør det muligt for tredjepartsleverandøren at overføre oplysninger om en bestemt meddelelse via en privat Microsoft Graph API. Det kan f.eks. være:

• Dom.
• Konfidensniveau.
• Alle trusselsdetaljer, de gerne vil dele.

Defender for Office 365 bruger disse oplysninger i følgende trin:

• Bekræfter dommen.
• Bestemmer den højeste (mest alvorlige) dom i meddelelsen.
• Opdateringer meddelelsen og/eller logfilerne med dommens oplysninger.
• Flytter den registrerede meddelelse til den placering, der er angivet for politikken.

Du kan se resultaterne af denne integration i flere samlede oplevelser, som beskrevet senere i denne artikel. Det kan f.eks. være:

• Karantæne
• Threat Explorer (Explorer)
• Siden Mailenhed
• Avanceret jagt
• Rapporter

Konfigurer dine politikker

For at sikre optimal beskyttelse og ensartet funktionsmåde på tværs af integrerede løsninger er det vigtigt at konfigurere sikkerhedspolitikker korrekt i både Defender for Office 365 og alle deltagende tredjepartsleverandørplatforme.

Defender for Office 365 politikanbefalinger

Microsoft anbefaler, at du aktiverer de Standard og/eller Strengeforudindstillede sikkerhedspolitikker for alle brugere i din organisation. Disse forudindstillinger er designet til at give en grundlæggende beskyttelse, der er tilpasset den aktuelle trusselsintelligens og bedste praksis.

Tip

Du kan finde flere oplysninger om forudindstillede sikkerhedspolitikker i forhold til brugerdefinerede politikker under Fastlæg din strategi for beskyttelsespolitik.

Hvis du planlægger at bruge brugerdefinerede beskyttelsespolitikker i stedet for forudindstillede sikkerhedspolitikker, skal du jævnligt bruge Konfigurationsanalyse til at identificere og afhjælpe afvigelser fra anbefalede grundlæggende politikindstillinger.

Politikjustering med tredjepartsleverandører

Hvis du vil bevare ensartet håndtering af meddelelser og trusselsrespons på tværs af økosystemet, er det afgørende at justere politikkonfigurationer mellem Defender for Office 365 og den integrerede tredjepartsleverandør. Denne justering sikrer, at meddelelser udviser forudsigelig funktionsmåde og vises korrekt i samlede dashboards og karantænevisninger.

Når du har etableret politikjustering, kan du administrere resten af integrationslivscyklussen direkte på Defender-portalen. Det kan f.eks. være:

• Overvågning
• Rapportering
• Svar

Portaloplevelser

Defender-portalen giver en omfattende og integreret oplevelse til administration af både oprindelige og ikke-Microsoft-mailsikkerhedsløsninger. Mulighederne forbedres gennem deltagelse i ICES Vendor-økosystemet som beskrevet i følgende underafsnit.

Karantæne

Meddelelser, der er sat i karantæne af tredjepartsleverandører, vises i karantæneoplevelsen . Sikkerhedsteams kan søge efter, få vist, udgive, rapportere og udføre afhjælpningshandlinger på disse meddelelser ved hjælp af de samme arbejdsprocesser som Defender for Office 365 registreringer. Denne samlede visning reducerer driftsmæssig kompleksitet og sikrer ensartet håndtering af trusler på tværs af mailsikkerhedsstakken.

Trusselsoversigt

Threat Explorer (Explorer) giver indsigt i mailtrusler i realtid på tværs af organisationen. Meddelelser, der behandles af tredjepartsleverandører og vises gennem økosystemet, er inkluderet i Stifinder-visninger. Denne integration gør det muligt for sikkerhedsanalytikere at undersøge kampagner, spore leveringsstier for meddelelser og korrelere trusselssignaler på tværs af registreringskilder.

Siden Mailenhed

På enhedssiden Mail konsolideres alle tilgængelige metadata og telemetri for en given meddelelse. Det kan f.eks. være:

• Overskrifter
• Leveringshændelser
• Registreringsdomme
• Brugerhandlinger

For meddelelser, der behandles af økosystempartnere, indeholder siden leverandørspecifik registreringsteknologi. Denne integration giver en komplet kriminalteknisk visning i en enkelt rude.

Avanceret jagt

Sikkerhedsteams kan bruge avancerede jagtfunktioner i Defender for Office 365 til at forespørge på og korrelere data på tværs af registreringer af oprindelige leverandører og tredjepartsleverandører. Meddelelser sendt af leverandører er repræsenteret i tabellerne EmailEvents og EmailPostDeliveryEvents . Udvidet skemasupport er tilgængelig for partnerspecifikke attributter, herunder leverandørspecifikke trusselsoplysninger.

Brug denne eksempelforespørgsel til at få vist tredjepartsleverandørregistreringer i Avanceret jagt:

EmailEvents
| where Timestamp > ago(7d)
//List email detected by a third-party vendor
| where DetectionMethods contains "Thirdparty"
| project NetworkMessageId, RecipientEmailAddress, ThreatTypes, DetectionMethods, AdditionalFields, LatestDeliveryLocation 

Rapporter

Microsoft 365 Defender-portalen giver en central rapporteringsoplevelse, der konsoliderer oplysninger fra både Defender for Office 365 og integrerede tredjepartsleverandører. Denne samlede visning gør det muligt for sikkerhedsteams at vurdere effektiviteten af hele deres mailsikkerhedsstak ét sted.

Følgende dashboards viser disse oplysninger:

• Mailregistreringer:

  • Defender-registreringer af mailflow: Meddelelser Defender for Office 365 registreret under mailflow. Disse entydige meddelelser blev ikke opdaget af tredjepartsleverandøren.
  • Defender-registreringer efter levering: Meddelelser Defender for Office 365 registreret efter levering via automatisk tømning på nul timer (ZAP). Disse entydige meddelelser blev ikke opdaget af tredjepartsleverandøren.
  • Registrering efter levering fra Microsoft: Meddelelser, som tredjepartsleverandøren har registreret.
  • Registrering af dubletter: Meddelelser Defender for Office 365 registreret under et mailflow, hvor tredjepartsleverandøren også leverede en dom.
  • Duplikerede registreringer efter levering: Meddelelser Defender for Office 365 registreret efter levering via ZAP, hvor tredjepartsleverandøren også leverede en dom.

• Ikke-Microsoft-registreringer:

  • Registreringer efter levering: Viser domstyperne for meddelelser, der leveres af tredjepartsleverandøren. Denne rapport er en opdeling af feltet Registreringer efter levering fra ikke Microsoft i rapporten Mailregistreringer .
  • Effektivitet: Beregner de unikke registreringer, der ikke er fra Microsoft efter levering, over det samlede antal Defender for Office-registreringer. Dette viser merværdien fra din tredjepartsløsning.

Ofte stillede spørgsmål

Spørgsmål: Jeg har flere ICES/CAPES-løsninger. Hvordan virker det?

Svar: Integration med flere ICES/CAPES-leverandører er tilgængelig, så længe de er en del af ICES Vendor Ecosystem-partnerskabet.

Integrationen fungerer på samme måde: Hver tredjepartsleverandør kan give dom over meddelelser i din organisation. Du kan se registreringer fra tredjepart og identificere den tredjepartsleverandør, der er ansvarlig for registreringen i Defender Portal-oplevelserne.

Hvis flere tredjepartsleverandører sender domme på samme meddelelse, bliver dommene og forklaringer logført. Den højeste (mest alvorlige) dom mellem tredjepartsleverandører bestemmer den handling, der udføres på meddelelsen.

Spørgsmål: Hvilken dom har forrang?

Svar: Den højeste dom har forrang efter følgende rækkefølge (fra mest alvorlige til mindst alvorlige):

1. Malware
2. Phishing med høj genkendelsessikkerhed
3. Phishing
4. Spam med høj genkendelsessikkerhed
5. Spam
6. Slettet
7. Junke
8. Ren eller Ikke spam

Spørgsmål: Hvad gør jeg, hvis jeg bruger en anden tredjepartsleverandør?

Svar: I øjeblikket er integration af ICES Vendor Ecosystem kun tilgængelig for Darktrace og KnowBe4. Hvis du bruger en anden ICES/CAPES-leverandør, kan du ikke drage fordel af denne integration.

Spørgsmål: Er der et gebyr for tredjeparts domsdata og handlinger ved Defender for Office 365 politikker?

Svar: Nej, det er gratis at integrere. Understøttelsen af integration og Graph API er inkluderet som en del af dine Defender for Office 365 Plan 2-licenser.

Spørgsmål: Hvorfor kan jeg ikke se de samlede registreringstotaler og aktiviteter efter levering fra ikke-Microsoft-løsningsrapporter?**

Svar: Rapporterne vises kun, hvis du har aktivitet fra en af de autoriserede tredjepartsleverandører inden for de seneste 90 dage.

Feedback og support

Hvis du vil give feedback eller anmode om support, skal du kontakte dit Microsoft-kontoteam eller bruge feedbacklinket på Defender-portalen.