Pilot und Bereitstellung von Defender für Office 365
Gilt für:
- Microsoft Defender XDR
Dieser Artikel enthält einen Workflow zum Pilotieren und Bereitstellen von Microsoft Defender für Office 365 in Ihrer Organisation. Sie können diese Empfehlungen verwenden, um Microsoft Defender für Office 365 als individuelles Cybersicherheitstool oder als Teil einer End-to-End-Lösung mit Microsoft Defender XDR zu integrieren.
In diesem Artikel wird davon ausgegangen, dass Sie über einen Microsoft 365-Produktionsmandanten verfügen und Microsoft Defender für Office 365 in dieser Umgebung pilotieren und bereitstellen. Bei dieser Vorgehensweise werden alle Einstellungen und Anpassungen beibehalten, die Sie während des Pilotprojekts für Ihre vollständige Bereitstellung konfigurieren.
Defender für Office 365 trägt zu einer Zero Trust-Architektur bei, indem es dazu beiträgt, Geschäftsschäden durch eine Sicherheitsverletzung zu verhindern oder zu reduzieren. Weitere Informationen finden Sie unter Verhindern oder Reduzieren von Geschäftsschäden durch eine Sicherheitsverletzung im Microsoft Zero Trust-Einführungsframework.
End-to-End-Bereitstellung für Microsoft Defender XDR
Dies ist Artikel 3 von 6 einer Reihe, die Sie bei der Bereitstellung der Komponenten von Microsoft Defender XDR unterstützt, einschließlich der Untersuchung und Reaktion auf Vorfälle.
Die Artikel in dieser Reihe entsprechen den folgenden Phasen der End-to-End-Bereitstellung:
Phase | Link |
---|---|
A. Starten des Pilotprojekts | Starten des Pilotprojekts |
B. Testen und Bereitstellen von Microsoft Defender XDR-Komponenten |
-
Pilot und Bereitstellung von Defender for Identity - Pilot und Bereitstellung von Defender für Office 365 (dieser Artikel) - Pilotversuch und Bereitstellung von Defender für Endpunkt - Testen und Bereitstellen von Microsoft Defender für Cloud-Apps |
C. Untersuchen und Reagieren auf Bedrohungen | Üben der Untersuchung und Reaktion auf Vorfälle |
Pilot- und Bereitstellungsworkflow für Defender für Office 365
Das folgende Diagramm veranschaulicht einen allgemeinen Prozess zum Bereitstellen eines Produkts oder Diensts in einer IT-Umgebung.
Sie beginnen damit, das Produkt oder den Dienst und dessen Funktionsweise in Ihrer Organisation zu bewerten. Anschließend pilotieren Sie das Produkt oder den Dienst mit einer entsprechend kleinen Teilmenge Ihrer Produktionsinfrastruktur zum Testen, Lernen und Anpassen. Erweitern Sie dann schrittweise den Umfang der Bereitstellung, bis Ihre gesamte Infrastruktur oder Organisation abgedeckt ist.
Hier sehen Sie den Workflow zum Pilotieren und Bereitstellen von Defender für Office 365 in Ihrer Produktionsumgebung.
Gehen Sie folgendermaßen vor:
- Überwachen und Überprüfen des öffentlichen MX-Eintrags
- Überwachen akzeptierter Domänen
- Überwachen eingehender Connectors
- Aktivieren der Auswertung
- Erstellen von Pilotgruppen
- Konfigurieren des Schutzes
- Funktionen ausprobieren
Hier finden Sie die empfohlenen Schritte für jede Bereitstellungsphase.
Bereitstellungsphase | Beschreibung |
---|---|
Auswerten | Durchführen der Produktauswertung für Defender für Office 365. |
Pilotprojekt | Führen Sie die Schritte 1 bis 7 für Pilotgruppen aus. |
Vollständige Bereitstellung | Konfigurieren Sie die Pilotbenutzergruppen in Schritt 5, oder fügen Sie Benutzergruppen hinzu, um über das Pilotprojekt hinaus zu erweitern und schließlich alle Ihre Benutzerkonten einzubeziehen. |
Architektur und Anforderungen von Defender für Office 365
Das folgende Diagramm veranschaulicht die Basisarchitektur für Microsoft Defender für Office 365, die ein SMTP-Gateway eines Drittanbieters oder eine lokale Integration umfassen kann. Hybride Koexistenzszenarien (d. h. Produktionspostfächer sind sowohl lokal als auch online) erfordern komplexere Konfigurationen und werden in diesem Artikel oder In diesem Evaluierungsleitfaden nicht behandelt.
In der folgenden Tabelle wird diese Abbildung beschrieben.
Aufruf | Beschreibung |
---|---|
1 | Der Hostserver für den externen Absender führt in der Regel eine öffentliche DNS-Suche für einen MX-Eintrag durch, der den Zielserver zum Weiterleiten der Nachricht bereitstellt. Bei dieser Empfehlung kann es sich entweder um Exchange Online (EXO) direkt oder um ein SMTP-Gateway handeln, das für ein Relay gegen EXO konfiguriert ist. |
2 | Exchange Online Protection verhandelt und überprüft die eingehende Verbindung und überprüft die Nachrichtenheader und -inhalte, um zu bestimmen, welche zusätzlichen Richtlinien, Tags oder Verarbeitungen erforderlich sind. |
3 | Exchange Online lässt sich in Microsoft Defender für Office 365 integrieren, um einen erweiterten Bedrohungsschutz, eine Minderung und Behebung zu bieten. |
4 | Eine Nachricht, die nicht böswillig, blockiert oder unter Quarantäne gestellt wird, wird verarbeitet und an den Empfänger in EXO übermittelt, wobei Benutzereinstellungen im Zusammenhang mit Junk-E-Mail, Postfachregeln oder anderen Einstellungen ausgewertet und ausgelöst werden. |
5 | Die Integration in lokales Active Directory kann mithilfe von Microsoft Entra Connect aktiviert werden, um E-Mail-aktivierte Objekte und Konten für Microsoft Entra ID und letztendlich Exchange Online zu synchronisieren und bereitzustellen. |
6 | Bei der Integration einer lokalen Umgebung empfiehlt es sich, einen Exchange-Server für die unterstützte Verwaltung und Verwaltung von E-Mail-bezogenen Attributen, Einstellungen und Konfigurationen zu verwenden. |
7 | Microsoft Defender für Office 365 gibt Signale an Microsoft Defender XDR zur erweiterten Erkennung und Reaktion (XDR) weiter. |
Die lokale Integration ist üblich, aber optional. Wenn Ihre Umgebung nur in der Cloud verfügbar ist, funktioniert dieser Leitfaden auch für Sie.
Für ein erfolgreiches Evaluierungs- oder Produktionspiloten für Defender für Office 365 sind die folgenden Voraussetzungen erforderlich:
- Alle Ihre Empfängerpostfächer befinden sich derzeit in Exchange Online.
- Ihr öffentlicher MX-Eintrag wird direkt in EOP oder ein SMTP-Gateway (Simple Mail Transfer Protocol) eines Drittanbieters aufgelöst, das dann eingehende externe E-Mails direkt an EOP weitergibt.
- Ihre primäre E-Mail-Domäne ist in Exchange Online als autoritativ konfiguriert.
- Sie haben die verzeichnisbasierte Edgeblockierung (Directory-Based Edge Blocking , DBEB) erfolgreich bereitgestellt und entsprechend konfiguriert. Weitere Informationen finden Sie unter Verwenden von Directory-Based Edge Blocking zum Ablehnen von Nachrichten, die an ungültige Empfänger gesendet werden.
Wichtig
Wenn diese Anforderungen nicht zutreffend sind oder Sie sich noch in einem hybriden Koexistenzszenario befinden, kann eine Microsoft Defender für Office 365-Auswertung komplexere oder erweiterte Konfigurationen erfordern, die in diesem Leitfaden nicht vollständig behandelt werden.
Schritt 1: Überwachen und Überprüfen des öffentlichen MX-Eintrags
Um Microsoft Defender für Office 365 effektiv auszuwerten, ist es wichtig, dass eingehende externe E-Mails über die Exchange Online Protection-Instanz (EOP) weitergeleitet werden, die Ihrem Mandanten zugeordnet ist.
- Erweitern Sie im M365-Verwaltungsportal unter https://admin.microsoft.com... Alle anzeigen, falls erforderlich, erweitern Sie Einstellungen, und wählen Sie dann Domänen aus. Oder verwenden Sie https://admin.microsoft.com/Adminportal/Home#/Domains, um direkt zur Seite Domänen zu wechseln.
- Wählen Sie auf der Seite Domänen Ihre überprüfte E-Mail-Domäne aus, indem Sie auf eine beliebige Stelle des Eintrags klicken, der nicht das Kontrollkästchen ist.
- Wählen Sie im daraufhin geöffneten Flyout mit den Domänendetails die Registerkarte DNS-Einträge aus . Notieren Sie sich den MX-Eintrag, der generiert und Ihrem EOP-Mandanten zugewiesen wird.
- Greifen Sie auf Ihre externe (öffentliche) DNS-Zone zu, und überprüfen Sie den primären MX-Eintrag, der Ihrer E-Mail-Domäne zugeordnet ist:
- Wenn Ihr öffentlicher MX-Eintrag derzeit mit der zugewiesenen EOP-Adresse übereinstimmt (z. B. contoso-com.mail.protection.outlook.com), sollten keine weiteren Routingänderungen erforderlich sein.
- Wenn Ihr öffentlicher MX-Eintrag derzeit in ein Drittanbieter- oder lokales SMTP-Gateway aufgelöst wird, sind möglicherweise zusätzliche Routingkonfigurationen erforderlich.
- Wenn Ihr öffentlicher MX-Eintrag derzeit in lokales Exchange aufgelöst wird, befinden Sie sich möglicherweise weiterhin in einem Hybridmodell, bei dem einige Empfängerpostfächer noch nicht zu EXO migriert wurden.
Schritt 2: Überwachen akzeptierter Domänen
- Erweitern Sie im Exchange Admin Center (EAC) unter https://admin.exchange.microsoft.comden Knoten Nachrichtenfluss, und klicken Sie dann auf Akzeptierte Domänen. Oder verwenden Sie https://admin.exchange.microsoft.com/#/accepteddomains, um direkt zur Seite Akzeptierte Domänen zu wechseln.
- Notieren Sie sich auf der Seite Akzeptierte Domänen den Wert domänentyp für Ihre primäre E-Mail-Domäne.
- Wenn der Domänentyp auf Autorisierend festgelegt ist, wird davon ausgegangen, dass sich alle Empfängerpostfächer für Ihre Organisation derzeit in Exchange Online befinden.
- Wenn der Domänentyp auf InternalRelay festgelegt ist, befinden Sie sich möglicherweise weiterhin in einem Hybridmodell, in dem sich einige Empfängerpostfächer noch lokal befinden.
Schritt 3: Überwachen eingehender Connectors
- Erweitern Sie im Exchange Admin Center (EAC) unter https://admin.exchange.microsoft.comden Knoten Nachrichtenfluss, und klicken Sie dann auf Connectors. Oder verwenden Sie https://admin.exchange.microsoft.com/#/connectors, um direkt zur Seite Connectors zu wechseln.
- Notieren Sie sich auf der Seite Connectors alle Connectors mit den folgenden Einstellungen:
- Der Wert Von ist Partner-Organisation , die möglicherweise mit einem SMTP-Gateway eines Drittanbieters korreliert.
- Der Wert Von ist Ihre Organisation , was darauf hindeutet, dass Sie sich noch in einem Hybridszenario befindet.
Schritt 4: Aktivieren der Auswertung
Verwenden Sie die anweisungen hier, um Ihre Microsoft Defender für Office 365-Evaluierung über das Microsoft Defender-Portal zu aktivieren.
Ausführliche Informationen finden Sie unter Testen von Microsoft Defender für Office 365.
Erweitern Sie im Microsoft Defender-Portal unter https://security.microsoft.comdie Option E-Mail & Zusammenarbeit>die Option Richtlinien & Regeln> auswählen Bedrohungsrichtlinien> auswählen scrollen Sie nach unten zum Abschnitt Andere, und wählen Sie dann Auswertungsmodus aus. Oder verwenden Sie https://security.microsoft.com/atpEvaluation, um direkt zur Seite Auswertungsmodus zu wechseln.
Klicken Sie auf der Seite Auswertungsmodus auf Auswertung starten.
Wählen Sie im Dialogfeld Schutz aktivieren die Option Nein, ich möchte nur Berichterstellung aus, und klicken Sie dann auf Weiter.
Wählen Sie im Dialogfeld Benutzer auswählen, die Sie einschließen möchten die Option Alle Benutzer aus, und klicken Sie dann auf Weiter.
Im Dialogfeld Helfen Sie uns, Ihren Nachrichtenfluss zu verstehen , wird basierend auf unserer Erkennung des MX-Eintrags für Ihre Domäne automatisch eine der folgenden Optionen ausgewählt:
Ich verwende nur Microsoft Exchange Online: Die MX-Einträge für Ihre Domäne verweisen auf Microsoft 365. Da nichts mehr zu konfigurieren ist, klicken Sie auf Fertig stellen.
Ich verwende einen Drittanbieter und/oder einen lokalen Dienstanbieter: Wählen Sie in den kommenden Bildschirmen den Anbieternamen zusammen mit dem eingehenden Connector aus, der E-Mails von dieser Lösung akzeptiert. Sie entscheiden auch, ob Sie eine Exchange Online-Nachrichtenflussregel (auch als Transportregel bezeichnet) benötigen, die die Spamfilterung für eingehende Nachrichten vom Schutzdienst oder Gerät des Drittanbieters überspringt. Klicken Sie nach Abschluss des Vorgangs auf Fertig stellen.
Schritt 5: Erstellen von Pilotgruppen
Wenn Sie Microsoft Defender für Office 365 pilotieren, können Sie bestimmte Benutzer pilotieren, bevor Sie Richtlinien für Ihre gesamte Organisation aktivieren und erzwingen. Das Erstellen von Verteilergruppen kann bei der Verwaltung der Bereitstellungsprozesse helfen. Erstellen Sie beispielsweise Gruppen wie Defender für Office 365-Benutzer – Standardschutz, Defender für Office 365-Benutzer – Strict Protection, Defender für Office 365-Benutzer – Benutzerdefinierter Schutz oder Defender für Office 365-Benutzer – Ausnahmen.
Es ist möglicherweise nicht offensichtlich, warum "Standard" und "Strict" die Begriffe sind, die für diese Gruppen verwendet werden, aber dies wird deutlich, wenn Sie mehr über Defender für Office 365-Sicherheitsvoreinstellungen erfahren. Die Benennungsgruppen "benutzerdefiniert" und "ausnahmen" sprechen für sich, und obwohl die meisten Ihrer Benutzer unter standard und streng fallen sollten, sammeln benutzerdefinierte Und Ausnahmegruppen wertvolle Daten für Sie zum Verwalten von Risiken.
Verteilergruppen können direkt in Exchange Online erstellt und definiert oder aus dem lokalen Active Directory synchronisiert werden.
Melden Sie sich beim Exchange Admin Center (EAC) unter https://admin.exchange.microsoft.com mit einem Konto an, dem die Rolle Empfängeradministrator zugewiesen wurde oder dem Gruppenverwaltungsberechtigungen delegiert wurden.
Wechseln Sie zu Empfängergruppen>.
Wählen Sie auf der Seite Gruppen das Fügen Sie eine Gruppe hinzu.
Wählen Sie für Gruppentyp die Option Verteilung aus, und klicken Sie dann auf Weiter.
Geben Sie der Gruppe einen Namen und optional eine Beschreibung, und klicken Sie dann auf Weiter.
Weisen Sie auf den restlichen Seiten einen Besitzer zu, fügen Sie mitglieder zur Gruppe hinzu, legen Sie die E-Mail-Adresse, Die Einschränkungen für die Teilnahme an der Abreise und andere Einstellungen fest.
Schritt 6: Konfigurieren des Schutzes
Einige Funktionen in Defender für Office 365 sind standardmäßig konfiguriert und aktiviert, aber Sicherheitsvorgänge möchten möglicherweise die Schutzebene von der Standardeinstellung heraufstufen.
Einige Funktionen sind noch nicht konfiguriert. Sie haben die folgenden Optionen zum Konfigurieren des Schutzes (die später einfach geändert werden können):
Zuweisen von Benutzern zu voreingestellten Sicherheitsrichtlinien: Voreingestellte Sicherheitsrichtlinien sind die empfohlene Methode, um schnell ein einheitliches Schutzniveau für alle Funktionen zuzuweisen. Sie können zwischen Standard - oder Strict-Schutz wählen. Die Einstellungen für Standard und Strict werden hier in den Tabellen beschrieben. Die Unterschiede zwischen Standard und Strict sind hier in der Tabelle zusammengefasst.
Die Vorteile von voreingestellten Sicherheitsrichtlinien sind, dass Sie Benutzergruppen so schnell wie möglich mithilfe der empfohlenen Einstellungen von Microsoft basierend auf Beobachtungen in den Rechenzentren schützen. Wenn neue Schutzfunktionen hinzugefügt werden und sich die Sicherheitslandschaft ändert, werden die Einstellungen in voreingestellten Sicherheitsrichtlinien automatisch auf unsere empfohlenen Einstellungen aktualisiert.
Der Nachteil von voreingestellten Sicherheitsrichtlinien besteht darin, dass Sie keine der Sicherheitseinstellungen in voreingestellten Sicherheitsrichtlinien anpassen können (Sie können z. B. keine Aktion von "In Junk" in "Junk" in "Quarantäne" oder umgekehrt ändern). Die Ausnahme sind Einträge und optionale Ausnahmen für den Benutzeridentitätswechsel und den Schutz vor Domänenidentitätswechseln, die Sie manuell konfigurieren müssen.
Beachten Sie außerdem, dass voreingestellte Sicherheitsrichtlinien immer vor benutzerdefinierten Richtlinien angewendet werden. Wenn Sie also benutzerdefinierte Richtlinien erstellen und verwenden möchten, müssen Sie Benutzer in diesen benutzerdefinierten Richtlinien von voreingestellten Sicherheitsrichtlinien ausschließen.
Konfigurieren von benutzerdefinierten Schutzrichtlinien: Wenn Sie die Umgebung lieber selbst konfigurieren möchten, vergleichen Sie die Standard-, Standard- und Strict-Einstellungen unter Empfohlene Einstellungen für EOP und Microsoft Defender für Office 365-Sicherheit. Behalten Sie eine Kalkulationstabelle bei, in der Ihr benutzerdefinierter Build abweicht.
Sie können auch das Konfigurationsanalysetool verwenden, um die Einstellungen in Ihren benutzerdefinierten Richtlinien mit den Werten Standard und Strict zu vergleichen.
Ausführliche Informationen zum Auswählen von voreingestellten Sicherheitsrichtlinien im Vergleich zu benutzerdefinierten Richtlinien finden Sie unter Bestimmen Ihrer Schutzrichtlinienstrategie.
Zuweisen voreingestellter Sicherheitsrichtlinien
Es wird empfohlen, mit den voreingestellten Sicherheitsrichtlinien in EOP und Defender für Office 365 schnell zu beginnen, indem Sie sie bestimmten Pilotbenutzern oder definierten Gruppen im Rahmen ihrer Auswertung zuweisen. Voreingestellte Richtlinien bieten eine grundlegende Standardschutzvorlage oder eine aggressivere Strict-Schutzvorlage , die unabhängig zugewiesen werden kann.
Beispielsweise könnte eine EOP-Bedingung für Pilotauswertungen angewendet werden, wenn die Empfänger Mitglieder einer definierten EOP Standard Protection-Gruppe sind und dann verwaltet werden, indem Sie der Gruppe Konten hinzufügen oder daraus entfernen.
Ebenso könnte eine Defender für Office 365-Bedingung für Pilotauswertungen angewendet werden, wenn die Empfänger Mitglieder einer definierten Defender für Office 365 Standard Protection-Gruppe sind und dann durch Hinzufügen oder Entfernen von Konten über die Gruppe verwaltet werden.
Eine vollständige Anleitung finden Sie unter Verwenden des Microsoft Defender-Portals, um Benutzern voreingestellte Sicherheitsrichtlinien "Standard" und "Strict" zuzuweisen.
Konfigurieren von benutzerdefinierten Schutzrichtlinien
Die vordefinierten Richtlinienvorlagen Standard oder Strict Defender für Office 365 bieten Ihren Pilotbenutzern den empfohlenen Basisschutz. Sie können jedoch auch benutzerdefinierte Schutzrichtlinien im Rahmen ihrer Auswertung erstellen und zuweisen.
Es ist wichtig , sich der Rangfolge bewusst zu sein, die diese Schutzrichtlinien bei der Anwendung und Durchsetzung einnehmen, wie unter Rangfolge für voreingestellte Sicherheitsrichtlinien und andere Richtlinien erläutert wird.
Die Erläuterung und Tabelle unter Konfigurieren von Schutzrichtlinien bieten eine praktische Referenz für die erforderlichen Konfigurationen.
Schritt 7: Testen von Funktionen
Nachdem Ihr Pilotprojekt eingerichtet und konfiguriert wurde, ist es hilfreich, sich mit den Tools für Berichterstellung, Überwachung und Angriffssimulation vertraut zu machen, die für Microsoft Defender für Microsoft 365 einzigartig sind.
Funktion | Beschreibung | Weitere Informationen |
---|---|---|
Sicherheitsrisiken-Explorer | Der Bedrohungs-Explorer ist ein leistungsstarkes Tool nahezu in Echtzeit, mit dem Sicherheitsteams Bedrohungen untersuchen und darauf reagieren können und Informationen zu erkannter Schadsoftware und Phishing in E-Mails und Dateien in Office 365 sowie andere Sicherheitsbedrohungen und Risiken für Ihre Organisation anzeigt. | Informationen zum Bedrohungs-Explorer |
Angriffssimulationstraining | Sie können das Training zur Angriffssimulation im Microsoft Defender-Portal verwenden, um realistische Angriffsszenarien in Ihrer Organisation auszuführen, die Ihnen helfen, anfällige Benutzer zu identifizieren und zu finden, bevor sich ein echter Angriff auf Ihre Umgebung auswirkt. | Erste Schritte mit dem Angriffssimulationstraining |
Dashboard "Berichte" | Klicken Sie im linken Navigationsmenü auf Berichte, und erweitern Sie die Überschrift E-Mail-& Zusammenarbeit. In den E-Mail-& Berichten zur Zusammenarbeit geht es darum, Sicherheitstrends zu erkennen, von denen einige ihnen das Ergreifen von Maßnahmen ermöglichen (über Schaltflächen wie "Zu Übermittlungen wechseln") und andere, die Trends zeigen. Diese Metriken werden automatisch generiert. |
Anzeigen von E-Mail-Sicherheitsberichten im Microsoft Defender-Portal Anzeigen von Defender für Office 365-Berichten im Microsoft Defender-Portal |
SIEM-Integration
Sie können Defender für Office 365 in Microsoft Sentinel oder einen generischen SIEM-Dienst (Security Information and Event Management) integrieren, um die zentralisierte Überwachung von Warnungen und Aktivitäten von verbundenen Apps zu ermöglichen. Mit Microsoft Sentinel können Sie Sicherheitsereignisse in Ihrer Organisation umfassender analysieren und Playbooks für eine effektive und sofortige Reaktion erstellen.
Microsoft Sentinel enthält einen Defender für Office 365-Connector. Weitere Informationen finden Sie unter Verbinden von Warnungen von Microsoft Defender für Office 365.
Microsoft Defender für Office 365 kann auch mithilfe der Office 365-Aktivitätsverwaltungs-API in andere SIEM-Lösungen integriert werden. Informationen zur Integration mit generischen SIEM-Systemen finden Sie unter Generische SIEM-Integration.
Nächster Schritt
Integrieren Sie die Informationen im Microsoft Defender für Office 365 Security Operations Guide in Ihre SecOps-Prozesse.
Nächster Schritt für die End-to-End-Bereitstellung von Microsoft Defender XDR
Setzen Sie Ihre End-to-End-Bereitstellung von Microsoft Defender XDR mit Pilot fort, und stellen Sie Defender für Endpunkt bereit.
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.