Pilot og udrul Defender til Office 365
Gælder for:
- Microsoft Defender XDR
Denne artikel indeholder en arbejdsproces til pilotering og installation af Microsoft Defender til Office 365 i din organisation. Du kan bruge disse anbefalinger til at onboarde Microsoft Defender til Office 365 som et individuelt cybersikkerhedsværktøj eller som en del af en end-to-end-løsning med Microsoft Defender XDR.
I denne artikel antages det, at du har en Microsoft 365-produktionslejer og piloterer og udruller Microsoft Defender til Office 365 i dette miljø. Denne praksis bevarer alle indstillinger og tilpasninger, du konfigurerer under pilotprojektet for din fulde udrulning.
Defender for Office 365 bidrager til en Zero Trust-arkitektur ved at hjælpe med at forhindre eller reducere forretningsskader som følge af et brud. Du kan få flere oplysninger under Forbyd eller reducer forretningsskader fra et forretningsscenarie for brud i Microsoft Zero Trust-adoptionsstrukturen.
End-to-end-installation af Microsoft Defender XDR
Dette er artikel 3 af 6 i en serie, der hjælper dig med at udrulle komponenterne i Microsoft Defender XDR, herunder undersøgelse og svar på hændelser.
Artiklerne i denne serie svarer til følgende faser i end-to-end-udrulningen:
Fase | Sammenkæde |
---|---|
En. Start piloten | Start piloten |
B. Pilot og udrul Microsoft Defender XDR-komponenter |
-
Pilot og udrul Defender for Identity - Pilot og udrul Defender til Office 365 (denne artikel) - Pilot og udrul Defender for Endpoint - Pilot og udrul Microsoft Defender for Cloud Apps |
C. Undersøg og reager på trusler | Øvelse af undersøgelse og svar på hændelser |
Pilot og udrul arbejdsproces til Defender til Office 365
I følgende diagram illustreres en almindelig proces til installation af et produkt eller en tjeneste i et it-miljø.
Du starter med at evaluere produktet eller tjenesten, og hvordan det fungerer i din organisation. Derefter kan du teste produktet eller tjenesten med et passende lille undersæt af din produktionsinfrastruktur til test, læring og tilpasning. Derefter skal du gradvist øge omfanget af udrulningen, indtil hele din infrastruktur eller organisation er dækket.
Her er arbejdsprocessen til pilotering og installation af Defender til Office 365 i dit produktionsmiljø.
Følg disse trin:
- Overvåg og bekræft den offentlige MX-post
- Overvåg accepterede domæner
- Overvåg indgående connectors
- Aktivér evalueringen
- Opret pilotgrupper
- Konfigurer beskyttelse
- Prøv funktioner
Her er de anbefalede trin for hver udrulningsfase.
Udrulningsfase | Beskrivelse |
---|---|
Evaluere | Udfør produktevaluering for Defender til Office 365. |
Pilot | Udfør trin 1-7 for pilotgrupper. |
Fuld udrulning | Konfigurer pilotbrugergrupperne i trin 5, eller tilføj brugergrupper for at udvide ud over pilotprojektet og til sidst inkludere alle dine brugerkonti. |
Defender for Office 365-arkitektur og -krav
I følgende diagram illustreres den oprindelige arkitektur for Microsoft Defender til Office 365, som kan omfatte en SMTP-gateway fra tredjepart eller integration i det lokale miljø. Hybride scenarier for samliv (dvs. produktionspostkasser er både i det lokale miljø og online) kræver mere komplekse konfigurationer og er ikke omfattet af denne artikel eller vejledning til evaluering.
I følgende tabel beskrives denne illustration.
Opkald | Beskrivelse |
---|---|
1 | Værtsserveren for den eksterne afsender udfører typisk et offentligt DNS-opslag for en MX-post, som gør det muligt for destinationsserveren at videresende meddelelsen. Denne henvisning kan enten være Exchange Online (EXO) direkte eller en SMTP-gateway, der er konfigureret til at blive videresendt til EXO. |
2 | Exchange Online Protection forhandler og validerer den indgående forbindelse og undersøger brevhovederne og indholdet for at bestemme, hvilke ekstra politikker, mærkning eller behandling der kræves. |
3 | Exchange Online kan integreres med Microsoft Defender til Office 365 for at tilbyde mere avanceret trusselsbeskyttelse, afhjælpning og afhjælpning. |
4 | En meddelelse, der ikke er skadelig, blokeret eller sat i karantæne, behandles og leveres til modtageren i EXO, hvor brugerindstillinger, der er relateret til regler for uønsket mail, postkasseregler eller andre indstillinger, evalueres og udløses. |
5 | Integration med Active Directory i det lokale miljø kan aktiveres ved hjælp af Microsoft Entra Connect for at synkronisere og klargøre mailaktiverede objekter og konti til Microsoft Entra ID og i sidste ende Exchange Online. |
6 | Når du integrerer et lokalt miljø, er det bedst at bruge en Exchange-server til understøttet administration og administration af mailrelaterede attributter, indstillinger og konfigurationer. |
7 | Microsoft Defender til Office 365 deler signaler til Microsoft Defender XDR for udvidet registrering og svar (XDR). |
Integration i det lokale miljø er almindelig, men valgfri. Hvis dit miljø kun er skybaseret, fungerer denne vejledning også for dig.
En vellykket Defender for Office 365-evaluerings- eller produktionspilot kræver følgende forudsætninger:
- Alle dine modtagerpostkasser findes i øjeblikket i Exchange Online.
- Din offentlige MX-post oversættes direkte til EOP eller en smtp-gateway (Simple Mail Transfer Protocol), der derefter videresender indgående eksterne mails direkte til EOP.
- Dit primære maildomæne er konfigureret som autoritativt i Exchange Online.
- Du har installeret og konfigureret DBEB (Directory-Based Edge Blocking ) efter behov. Du kan få flere oplysninger under Brug Directory-Based Edge Blocking til at afvise meddelelser, der er sendt til ugyldige modtagere.
Vigtigt!
Hvis disse krav ikke er gældende, eller du stadig befinder dig i et scenarie med hybrid sameksistens, kan en Microsoft Defender for Office 365-evaluering kræve mere komplekse eller avancerede konfigurationer, som ikke er fuldt dækket i denne vejledning.
Trin 1: Overvåg og bekræft den offentlige MX-post
Hvis du vil evaluere Microsoft Defender til Office 365 effektivt, er det vigtigt, at indgående eksterne mails videresendes via forekomsten af Exchange Online Protection (EOP), der er knyttet til din lejer.
- På M365-administrationsportalen på https://admin.microsoft.comskal du udvide ... Vis alle , hvis det er nødvendigt, udvid Indstillinger, og vælg derefter Domæner. Du kan også gå direkte til siden Domæner ved at bruge https://admin.microsoft.com/Adminportal/Home#/Domains.
- På siden Domæner skal du vælge dit bekræftede maildomæne ved at klikke et andet sted på posten end afkrydsningsfeltet.
- I pop op-vinduet med domæneoplysninger, der åbnes, skal du vælge fanen DNS-poster . Notér dig den MX-post, der er genereret og tildelt din EOP-lejer.
- Få adgang til din eksterne (offentlige) DNS-zone, og kontrollér den primære MX-post, der er knyttet til dit maildomæne:
- Hvis din offentlige MX-post i øjeblikket stemmer overens med den tildelte EOP-adresse (f.eks. contoso-com.mail.protection.outlook.com), skal der ikke kræves yderligere distributionsændringer.
- Hvis din offentlige MX-post i øjeblikket fortolkes som en SMTP-gateway fra tredjepart eller i det lokale miljø, kan der kræves yderligere konfigurationer af routing.
- Hvis din offentlige MX-post i øjeblikket omsættes til Exchange i det lokale miljø, er du måske stadig i en hybrid model, hvor nogle modtagerpostkasser endnu ikke er blevet overført til EXO.
Trin 2: Overvåg accepterede domæner
- Udvid Mailflow i Exchange Administration (EAC) på https://admin.exchange.microsoft.com, og klik derefter på Accepterede domæner. Du kan også gå direkte til siden Accepterede domæner ved at bruge https://admin.exchange.microsoft.com/#/accepteddomains.
- På siden Accepterede domæner skal du notere dig værdien Domænetype for dit primære maildomæne.
- Hvis domænetypen er angivet til Autoritativ, antages det, at alle modtagerpostkasser for din organisation i øjeblikket er placeret i Exchange Online.
- Hvis domænetypen er angivet til InternalRelay, er du måske stadig i en hybridmodel, hvor nogle modtagerpostkasser stadig er placeret i det lokale miljø.
Trin 3: Overvåg indgående connectors
- Udvid Mailflow i Exchange Administration (EAC) på https://admin.exchange.microsoft.com, og klik derefter på Connectors. Du kan også gå direkte til siden Forbindelser ved at bruge https://admin.exchange.microsoft.com/#/connectors.
- Notér eventuelle forbindelser med følgende indstillinger på siden Forbindelser :
- Værdien fra er Partner-organisation , der muligvis korrelerer med en SMTP-gateway fra tredjepart.
- Værdien fra er Din organisation , der kan indikere, at du stadig befinder dig i et hybridscenarie.
Trin 4: Aktivér evalueringen
Brug vejledningen her til at aktivere din Microsoft Defender til Office 365-evaluering fra Microsoft Defender-portalen.
Du kan finde detaljerede oplysninger under Prøv Microsoft Defender til Office 365.
På Microsoft Defender-portalen på https://security.microsoft.comskal du udvide Mail & samarbejde> vælge Politikker & regler> vælge Rulle ned til afsnittet Andreog> derefter vælge Evalueringstilstand. Du kan også gå direkte til siden Evalueringstilstand ved at bruge https://security.microsoft.com/atpEvaluation.
Klik på Start evaluering på siden Evalueringstilstand.
I dialogboksen Slå beskyttelse til skal du vælge Nej, Jeg vil kun rapportere og derefter klikke på Fortsæt.
I dialogboksen Vælg de brugere, du vil medtage skal du vælge Alle brugere og derefter klikke på Fortsæt.
I dialogboksen Hjælp os med at forstå dit mailflow vælges en af følgende indstillinger automatisk baseret på vores registrering af MX-posten for dit domæne:
Jeg bruger kun Microsoft Exchange Online: MX-posterne for dit domæne peger på Microsoft 365. Der er ikke mere at konfigurere, så klik på Udfør.
Jeg bruger en tredjepartsudbyder og/eller en tjenesteudbyder i det lokale miljø: På de kommende skærmbilleder skal du vælge leverandørnavnet sammen med den indgående connector, der accepterer mail fra den pågældende løsning. Du bestemmer også, om du har brug for en Exchange Online-mailflowregel (også kendt som en transportregel), der springer spamfiltrering over for indgående meddelelser fra beskyttelsestjeneste fra tredjepart eller enhed. Klik på Udfør, når du er færdig.
Trin 5: Opret pilotgrupper
Når du styrer Microsoft Defender til Office 365, kan du vælge at styre bestemte brugere, før du aktiverer og gennemtvinger politikker for hele organisationen. Oprettelse af distributionsgrupper kan hjælpe med at administrere udrulningsprocesserne. Opret f.eks. grupper som Defender for Office 365-brugere – Standardbeskyttelse, Defender for Office 365-brugere – Strict Protection, Defender for Office 365-brugere – Brugerdefineret beskyttelse eller Defender for Office 365-brugere – undtagelser.
Det er muligvis ikke tydeligt, hvorfor "Standard" og "Strict" er de vilkår, der bruges til disse grupper, men det bliver tydeligt, når du udforsker mere om forudindstillede sikkerhedsindstillinger i Defender for Office 365. Navngivningsgrupperne "brugerdefinerede" og "undtagelser" taler for sig selv, og selvom de fleste af dine brugere bør falde ind under standardgrupper og strenge, vil brugerdefinerede grupper og undtagelsesgrupper indsamle værdifulde data for dig vedrørende administration af risici.
Distributionsgrupper kan oprettes og defineres direkte i Exchange Online eller synkroniseres fra Active Directory i det lokale miljø.
Log på Exchange Administration ved https://admin.exchange.microsoft.com hjælp af en konto, der har fået tildelt rollen Modtageradministrator eller er blevet tildelt tilladelser til gruppeadministration.
Gå til Modtagergrupper>.
På siden Grupper skal du vælge Tilføj en gruppe.
Vælg Distribution som gruppetype, og klik derefter på Næste.
Giv gruppen et navn og en valgfri Beskrivelse, og klik derefter på Næste.
På de resterende sider skal du tildele en ejer, føje medlemmer til gruppen, angive mailadressen, begrænsninger for deltagelse og andre indstillinger.
Trin 6: Konfigurer beskyttelse
Nogle funktioner i Defender til Office 365 er konfigureret og slået til som standard, men sikkerhedshandlinger kan øge beskyttelsesniveauet fra standarden.
Nogle funktioner er endnu ikke konfigureret. Du har følgende muligheder for at konfigurere beskyttelse (som er let at ændre senere):
Tildel brugere til forudindstillede sikkerhedspolitikker: Forudindstillede sikkerhedspolitikker er den anbefalede metode til hurtigt at tildele et ensartet beskyttelsesniveau på tværs af alle funktionerne. Du kan vælge mellem Standard eller Strict protection. Indstillingerne for Standard og Strict er beskrevet i tabellerne her. Forskellene mellem Standard og Strict opsummeres i tabellen her.
Fordelene ved forudindstillede sikkerhedspolitikker er, at du beskytter grupper af brugere så hurtigt som muligt ved hjælp af Microsofts anbefalede indstillinger baseret på observationer i datacentrene. Efterhånden som der tilføjes nye beskyttelsesfunktioner, og i takt med at sikkerhedslandskabet ændres, opdateres indstillingerne i forudindstillede sikkerhedspolitikker automatisk til vores anbefalede indstillinger.
Ulempen ved forudindstillede sikkerhedspolitikker er, at du ikke kan tilpasse stort set alle sikkerhedsindstillingerne i forudindstillede sikkerhedspolitikker (du kan f.eks. ikke ændre en handling fra levering til uønsket til karantæne eller omvendt). Undtagelsen er poster og valgfrie undtagelser for brugerpræsentation og beskyttelse af domæne repræsentation, som du skal konfigurere manuelt.
Vær også opmærksom på, at forudindstillede sikkerhedspolitikker altid anvendes før brugerdefinerede politikker. Så hvis du vil oprette og bruge brugerdefinerede politikker, skal du udelukke brugere i disse brugerdefinerede politikker fra forudindstillede sikkerhedspolitikker.
Konfigurer brugerdefinerede beskyttelsespolitikker: Hvis du selv foretrækker at konfigurere miljøet, skal du sammenligne standard-, Standard- og Strict-indstillingerne under Anbefalede indstillinger for EOP og Microsoft Defender til Office 365-sikkerhed. Bevar et regneark, hvor dit brugerdefinerede build afviger.
Du kan også bruge Konfigurationsanalyse til at sammenligne indstillingerne i dine brugerdefinerede politikker med værdierne Standard og Strict.
Du kan finde detaljerede oplysninger om, hvordan du vælger forudindstillede sikkerhedspolitikker i forhold til brugerdefinerede politikker, under Fastlæg din strategi for beskyttelsespolitik.
Tildel forudindstillede sikkerhedspolitikker
Vi anbefaler, at du begynder med de forudindstillede sikkerhedspolitikker i EOP og Defender for Office 365 hurtigt ved at tildele dem til bestemte pilotbrugere eller definerede grupper som en del af din evaluering. Forudindstillede politikker tilbyder en grundlæggende standardbeskyttelsesskabelon eller en mere aggressiv Strict-beskyttelsesskabelon, som kan tildeles uafhængigt af hinanden.
Der kan f.eks. anvendes en EOP-betingelse for pilotevalueringer, hvis modtagerne er medlemmer af en defineret EOP Standard Protection-gruppe og derefter administreres ved at føje konti til eller fjerne kontoen fra gruppen.
På samme måde kan der anvendes en Defender for Office 365-betingelse for pilotevalueringer, hvis modtagerne er medlemmer af en defineret Defender for Office 365 Standard Protection-gruppe og derefter administreres ved at tilføje eller fjerne konti via gruppen.
Du kan finde komplette instruktioner under Brug Microsoft Defender-portalen til at tildele standard- og strenge forudindstillede sikkerhedspolitikker til brugere.
Konfigurer brugerdefinerede beskyttelsespolitikker
De foruddefinerede standard - eller Strict Defender for Office 365-politikskabeloner giver dine pilotbrugere den anbefalede grundlæggende beskyttelse. Du kan dog også oprette og tildele brugerdefinerede beskyttelsespolitikker som en del af din evaluering.
Det er vigtigt at være opmærksom på, hvilken prioritet disse beskyttelsespolitikker har, når de anvendes og håndhæves, som forklaret i prioriteret rækkefølge for forudindstillede sikkerhedspolitikker og andre politikker.
Forklaringen og tabellen i Konfigurer beskyttelsespolitikker indeholder en praktisk reference til det, du skal konfigurere.
Trin 7: Prøv funktioner
Nu, hvor din pilot er konfigureret og konfigureret, er det nyttigt at blive fortrolig med rapporterings-, overvågnings- og angrebssimuleringsværktøjer, der er unikke for Microsoft Defender til Microsoft 365.
Kapacitet | Beskrivelse | Flere oplysninger |
---|---|---|
Trusselsoversigt | Threat Explorer er et effektivt værktøj i næsten realtid, der hjælper sikkerhedsteams med at undersøge og reagere på trusler og viser oplysninger om registreret malware og phishing i mail og filer i Office 365 samt andre sikkerhedstrusler og risici for din organisation. | Om Threat Explorer |
Oplæring i angrebssimulering | Du kan bruge oplæring i simulering af angreb på Microsoft Defender-portalen til at køre realistiske angrebsscenarier i din organisation, som hjælper dig med at identificere og finde sårbare brugere, før et reelt angreb påvirker dit miljø. | Kom i gang med at bruge kursus i angrebssimulering |
Dashboard for rapporter | Klik på Rapporter i navigationsruden til venstre, og udvid overskriften Mail & samarbejde. Mail-&-samarbejdsrapporter handler om at spotte sikkerhedstendenser, hvoraf nogle giver dig mulighed for at handle (via knapper som f.eks. 'Gå til indsendelser'), og andre, der viser tendenser. Disse målepunkter genereres automatisk. |
Få vist mailsikkerhedsrapporter på Microsoft Defender-portalen Få vist Defender for Office 365-rapporter på Microsoft Defender-portalen |
SIEM-integration
Du kan integrere Defender for Office 365 med Microsoft Sentinel eller en generisk SIEM-tjeneste (Security Information and Event Management) for at aktivere central overvågning af beskeder og aktiviteter fra forbundne apps. Med Microsoft Sentinel kan du analysere sikkerhedshændelser mere omfattende på tværs af din organisation og oprette playbooks, så du kan reagere effektivt og øjeblikkeligt.
Microsoft Sentinel indeholder en Defender for Office 365-connector. Du kan få flere oplysninger under Opret forbindelse til beskeder fra Microsoft Defender til Office 365.
Microsoft Defender til Office 365 kan også integreres i andre SIEM-løsninger ved hjælp af API'en til Office 365 Activity Management. Du kan finde oplysninger om integration med generiske SIEM-systemer under Generisk SIEM-integration.
Næste trin
Inkorporer oplysningerne i Microsoft Defender for Office 365 Security Operations Guide i dine SecOps-processer.
Næste trin i installationen af Microsoft Defender XDR fra slutpunkt til slutpunkt
Fortsæt din komplette installation af Microsoft Defender XDR med Pilot, og udrul Defender for Endpoint.
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.