Freigeben über


Erzielen des besten Sicherheitswerts aus Microsoft Defender für Office 365, wenn Sie E-Mail-Filterung von Drittanbietern haben

Diese Anleitung ist für Sie geeignet, wenn:

  • Sie sind für Microsoft Defender für Office 365 lizenziert und hosten Ihre Postfächer in Office 365
  • Sie verwenden auch einen Drittanbieter für Ihre E-Mail-Sicherheit

In den folgenden Informationen erfahren Sie, wie Sie Das Beste aus Ihrer Investition herauszuholen, aufgeschlüsselt in einfach zu befolgende Schritte.

Was Sie benötigen

  • In Office 365 gehostete Postfächer
  • Eine oder mehrere der folgenden:
    • Microsoft Defender für Office 365 Plan 1 für Schutzfeatures
    • Microsoft Defender für Office 365 Plan 2 für die meisten anderen Features (in E5-Plänen enthalten)
    • Microsoft Defender für Office 365-Testversion (für alle Kunden auf aka.ms/tryMDO verfügbar)
  • Ausreichende Berechtigungen zum Konfigurieren der unten beschriebenen Features

Schritt 1 – Verstehen des Werts, den Sie bereits haben

Integrierte Schutzfeatures

  • Der integrierte Schutz bietet eine Basisebene für unaufdringlichen Schutz und umfasst Schadsoftware, Zero Day (sichere Anlagen) und URL-Schutz (sichere Links) in E-Mails (einschließlich interner E-Mails), SharePoint Online, OneDrive und Teams. Der in diesem Zustand bereitgestellte URL-Schutz erfolgt nur über API-Aufruf. UrLs werden nicht umgebrochen oder neu geschrieben, es ist jedoch ein unterstützter Outlook-Client erforderlich. Sie können ihre eigenen benutzerdefinierten Richtlinien erstellen, um Ihren Schutz zu erweitern.

Lesen Sie mehr & sehen Sie sich hier ein Übersichtsvideo zu sicheren Links an:Vollständige Übersicht über sichere Links

Weitere Informationen zu sicheren Anlagen finden Sie hier:Sichere Anlagen

Erkennungs-, Untersuchungs-, Reaktions- und Huntingfeatures

  • Wenn Warnungen in Microsoft Defender für Office 365 ausgelöst werden, werden sie automatisch korreliert und zu Incidents kombiniert, um die Warnungsmüdigkeit für Sicherheitsmitarbeiter zu reduzieren. Die automatisierte Untersuchung und Reaktion (Automated Investigation and Response, AIR) löst Untersuchungen aus, um Bedrohungen zu beheben und einzudämten.

Lesen Sie mehr, sehen Sie sich ein Übersichtsvideo an und beginnen Sie hier:Reaktion auf Vorfälle mit Microsoft Defender XDR

  • Threat Analytics ist unsere produktinterne, detaillierte Threat Intelligence-Lösung von experten Microsoft-Sicherheitsexperten. Threat Analytics enthält detaillierte Berichte, die Sie über die neuesten Bedrohungsgruppen, Angriffstechniken, den Schutz Ihrer Organisation mit Indikatoren für Kompromittierung (Indicators of Compromise, IOC) und vieles mehr informieren.

Lesen Sie mehr, sehen Sie sich ein Übersichtsvideo an und beginnen Sie hier:Bedrohungsanalyse in Microsoft Defender XDR

  • Der Explorer kann verwendet werden, um Bedrohungen zu suchen, Nachrichtenflussmuster zu visualisieren, Trends zu erkennen und die Auswirkungen von Änderungen zu identifizieren, die Sie während der Optimierung von Defender für Office 365 vornehmen. Sie können Nachrichten aus Ihrer Organisation auch schnell mit wenigen mausklicks löschen.

Weitere Informationen und erste Schritte finden Sie hier:Bedrohungs-Explorer und Echtzeiterkennungen

Schritt 2 – Verbessern Sie den Wert mit diesen einfachen Schritten weiter

Zusätzliche Schutzfunktionen

  • Erwägen Sie die Aktivierung von Richtlinien, die über den integrierten Schutz hinausgehen. Aktivieren des Time-of-Click-Schutzes oder des Identitätswechselschutzes, um z. B. zusätzliche Ebenen hinzuzufügen oder Lücken zu schließen, die in Ihrem Schutz von Drittanbietern fehlen. Wenn Sie über eine Nachrichtenflussregel (auch als Transportregel bezeichnet) oder einen Verbindungsfilter verfügen, der Urteile überschreibt (auch als SCL=-1-Regel bezeichnet), müssen Sie diese Konfiguration berücksichtigen, bevor Sie andere Schutzfeatures aktivieren.

Weitere Informationen finden Sie hier:Anti-Phishing-Richtlinien

  • Wenn Ihr aktueller Sicherheitsanbieter so konfiguriert ist, dass Nachrichten in irgendeiner Weise geändert werden, ist es wichtig zu beachten, dass Authentifizierungssignale sich auf die Fähigkeit von Defender für Office 365 auswirken können, Sie vor Angriffen wie Spoofing zu schützen. Wenn Ihr Drittanbieter authentifizierte empfangene Kette (Authenticated Received Chain, ARC) unterstützt, ist die Aktivierung dieses Schritts ein dringend empfohlener Schritt auf dem Weg zur erweiterten dualen Filterung. Das Verschieben von Nachrichtenänderungskonfigurationen in Defender für Office 365 ist ebenfalls eine Alternative.

Weitere Informationen finden Sie hier:Konfigurieren vertrauenswürdiger ARC-Versiegelungen.

  • Die erweiterte Filterung für Connectors ermöglicht es, IP-Adress- und Absenderinformationen über den Drittanbieter beizubehalten. Dieses Feature verbessert die Genauigkeit für den Filter(Schutz)-Stapel, die Funktionen nach Sicherheitsverletzungen & Authentifizierungsverbesserungen.

Weitere Informationen finden Sie hier:Erweiterte Filterung für Connectors in Exchange Online

  • Der Prioritätskontoschutz bietet eine verbesserte Sichtbarkeit für Konten in Tools sowie zusätzlichen Schutz, wenn sie sich in einem erweiterten tiefgehenden Konfigurationszustand für den Schutz befinden.

Weitere Informationen finden Sie hier:Prioritätskontoschutz

  • Advanced Delivery sollte so konfiguriert werden, dass phish-Simulationen von Drittanbietern ordnungsgemäß übermittelt werden. Wenn Sie über ein Security Operations-Postfach verfügen, sollten Sie es als SecOps-Postfach definieren, um sicherzustellen, dass E-Mails nicht aufgrund von Bedrohungen aus dem Postfach entfernt werden.

Weitere Informationen finden Sie hier:Erweiterte Übermittlung

  • Sie können vom Benutzer gemeldete Einstellungen so konfigurieren, dass Benutzer gute oder schlechte Nachrichten an Microsoft, an ein bestimmtes Berichtspostfach (zur Integration in aktuelle Sicherheitsworkflows) oder beides melden können. Administratoren können die Registerkarte Vom Benutzer gemeldet auf der Seite Übermittlungen verwenden, um falsch positive und falsch negative Benutzermeldungen zu selektieren.

Weitere Informationen finden Sie hier:Bereitstellen und Konfigurieren des Berichtsnachrichten-Add-Ins für Benutzer.

Erkennungs-, Untersuchungs-, Reaktions- und Huntingfeatures

  • Die erweiterte Suche kann verwendet werden, um proaktiv nach Bedrohungen in Ihrer Organisation zu suchen, indem Sie freigegebene Abfragen aus der Community verwenden, um Ihnen den Einstieg zu erleichtern. Sie können auch benutzerdefinierte Erkennungen verwenden, um Warnungen einzurichten, wenn personalisierte Kriterien erfüllt sind.

Lesen Sie mehr, sehen Sie sich ein Übersichtsvideo an und beginnen Sie hier:Übersicht – Erweiterte Suche

Education-Features

  • Mit dem Training zur Angriffssimulation können Sie realistische, aber harmlose Cyberangriffsszenarien in Ihrer Organisation ausführen. Wenn Sie noch nicht über Phishingsimulationsfunktionen von Ihrem primären E-Mail-Sicherheitsanbieter verfügen, können Die simulierten Angriffe von Microsoft Ihnen helfen, anfällige Benutzer, Richtlinien und Methoden zu identifizieren und zu finden. Diese Funktion enthält wichtige Kenntnisse, die Sie haben und korrigieren müssen, bevor sich ein echter Angriff auf Ihre Organisation auswirkt. Nach der Simulation weisen wir in Produkt- oder benutzerdefinierten Schulungen zu, um Benutzer über die bedrohungen aufzuklären, die sie verpasst haben, und letztendlich das Risikoprofil Ihrer Organisation zu reduzieren. Mit dem Angriffssimulationstraining übermitteln wir Nachrichten direkt in den Posteingang, sodass die Benutzererfahrung reichhaltig ist. Dies bedeutet auch, dass keine Sicherheitsänderungen wie Außerkraftsetzungen erforderlich sind, um Simulationen ordnungsgemäß zu liefern.

Erste Schritte hier:Erste Schritte mit der Angriffssimulation.

Hier können Sie direkt mit der Bereitstellung einer Simulation beginnen:Einrichten automatisierter Angriffe und Training innerhalb des Angriffssimulationstrainings

Schritt 3 und darüber hinaus zum Helden mit doppeltem Einsatz

  • Viele der zuvor beschriebenen Erkennungs-, Untersuchungs-, Reaktions- und Hunting-Aktivitäten sollten von Ihren Sicherheitsteams wiederholt werden. Dieser Leitfaden enthält eine detaillierte Beschreibung der Aufgaben, des Rhythmus und der Teamzuweisungen, die wir empfehlen würden.

Weitere Informationen:Sicherheitsbetriebshandbuch für Defender für Office 365

  • Berücksichtigen Sie Benutzeroberflächen wie den Zugriff auf mehrere Quarantänen oder die Übermittlung/Berichterstattung von falsch positiven und falsch negativen Ergebnissen. Sie können vom Drittanbieterdienst erkannte Nachrichten mit einem benutzerdefinierten X-Header markieren. Beispielsweise können Sie Nachrichtenflussregeln verwenden, um E-Mails zu erkennen und zu isolieren, die den X-Header enthalten. Dieses Ergebnis bietet Benutzern auch einen zentralen Ort für den Zugriff auf isolierte E-Mails.

Weitere Informationen:Konfigurieren von Quarantäneberechtigungen und -richtlinien

  • Der Migrationsleitfaden enthält viele nützliche Anleitungen zur Vorbereitung und Optimierung Ihrer Umgebung, um sie für eine Migration vorzubereiten. Viele der Schritte gelten jedoch auch für ein Dual-Use-Szenario. Ignorieren Sie einfach die Mx-Switch-Anleitung in den letzten Schritten.

Lesen Sie es hier:Migrieren von einem Schutzdienst eines Drittanbieters zu Microsoft Defender für Office 365 – Office 365 | Microsoft-Dokumentation.

Weitere Informationen

Migrieren von einem Schutzdienst eines Drittanbieters zu Microsoft Defender für Office 365

Sicherheitsbetriebshandbuch für Defender für Office 365

Nutzen Sie Microsoft Defender für Office 365 mit Microsoft Defender XDR.