Migrieren zu Microsoft Defender for Office 365 – Phase 2: Setup


Phase 1: Vorbereiten.
Phase 1: Vorbereiten		 Phase 2: Einrichten.
Phase 2: Einrichten		 Phase 3: Onboarding.
Phase 3: Onboarding
Sie sind hier!

Willkommen bei Phase 2: Einrichten Ihrer Migration zu Microsoft Defender for Office 365! Diese Migrationsphase umfasst die folgenden Schritte:

  1. Create Verteilergruppen für Pilotbenutzer
  2. Konfigurieren von Einstellungen für vom Benutzer gemeldete Nachrichten
  3. Verwalten oder Erstellen der Nachrichtenflussregel "SCL=-1"
  4. Konfigurieren der erweiterten Filterung für Connectors
  5. Create von Pilotschutzrichtlinien

Schritt 1: Create Verteilergruppen für Pilotbenutzer

Verteilergruppen sind in Microsoft 365 für die folgenden Aspekte Ihrer Migration erforderlich:

  • Ausnahmen für die SCL=-1-Nachrichtenflussregel: Sie möchten, dass Pilotbenutzer die volle Wirkung des Defender for Office 365 Schutzes erhalten, sodass Sie Defender for Office 365 benötigen, um ihre eingehenden Nachrichten zu überprüfen. Sie erhalten dieses Ergebnis, indem Sie Ihre Pilotbenutzer in den entsprechenden Verteilergruppen in Microsoft 365 definieren und diese Gruppen als Ausnahmen von der SCL=-1-Nachrichtenflussregel konfigurieren.

    Wie unter Onboardingschritt 2: (Optional) Ausnehmen von Pilotbenutzern von der Filterung nach Ihrem vorhandenen Schutzdienst beschrieben, sollten Sie erwägen, dieselben Pilotbenutzer von der Überprüfung durch Ihren vorhandenen Schutzdienst auszunehmen. Die Möglichkeit, nach Ihrem vorhandenen Schutzdienst zu filtern und sich ausschließlich auf Defender for Office 365 zu verlassen, ist die beste und beste Darstellung dessen, was nach Abschluss der Migration geschehen wird.

  • Testen bestimmter Defender for Office 365 Schutzfeatures: Selbst für die Pilotbenutzer möchten Sie nicht alles auf einmal aktivieren. Die Verwendung eines mehrstufigen Ansatzes für die Schutzfeatures, die für Ihre Pilotbenutzer wirksam sind, erleichtert die Problembehandlung und Anpassung. Bei diesem Ansatz empfehlen wir die folgenden Verteilergruppen:

    • Pilotgruppe "Sichere Anlagen": Beispiel: MDOPilot_SafeAttachments
    • Eine Pilotgruppe für sichere Links: beispielweise MDOPilot_SafeLinks
    • Eine Pilotgruppe für Standardeinstellungen für Antispam- und Antiphishingrichtlinien: MDOPilot_SpamPhish_Standard
    • Eine Pilotgruppe für Richtlinieneinstellungen für strikte Antispam- und Phishing-Richtlinien: z. B. MDOPilot_SpamPhish_Strict

Aus Gründen der Übersichtlichkeit verwenden wir diese spezifischen Gruppennamen in diesem Artikel, aber Sie können Ihre eigene Benennungskonvention verwenden.

Wenn Sie mit dem Testen beginnen möchten, fügen Sie diese Gruppen der Nachrichtenflussregel SCL=-1 als Ausnahmen hinzu. Wenn Sie Richtlinien für die verschiedenen Schutzfeatures in Defender for Office 365 erstellen, verwenden Sie diese Gruppen als Bedingungen, die definieren, für wen die Richtlinie gilt.

Hinweise:

  • Die Begriffe Standard und Strict stammen aus unseren empfohlenen Sicherheitseinstellungen, die auch in voreingestellten Sicherheitsrichtlinien verwendet werden. Im Idealfall würden wir Ihnen mitteilen, dass Sie Ihre Pilotbenutzer in den voreingestellten Sicherheitsrichtlinien Standard und Strict definieren, aber dies ist nicht möglich. Warum? Da Sie die Einstellungen in voreingestellten Sicherheitsrichtlinien nicht anpassen können (insbesondere Aktionen, die für Nachrichten ausgeführt werden). Während Ihrer Migrationstests möchten Sie sehen, was Defender for Office 365 mit Nachrichten tun, überprüfen, ob dies das gewünschte Ergebnis ist, und möglicherweise die Richtlinienkonfigurationen anpassen, um diese Ergebnisse zuzulassen oder zu verhindern.

    Anstatt also voreingestellte Sicherheitsrichtlinien zu verwenden, erstellen Sie manuell benutzerdefinierte Richtlinien mit Einstellungen, die den Einstellungen der voreingestellten Sicherheitsrichtlinien Standard und Strict ähneln, sich aber in einigen Fällen unterscheiden.

  • Wenn Sie mit Einstellungen experimentieren möchten, die sich erheblich von unseren empfohlenen Werten vom Typ Standard oder Strict unterscheiden, sollten Sie erwägen, zusätzliche und bestimmte Verteilergruppen für die Pilotbenutzer in diesen Szenarien zu erstellen und zu verwenden. Sie können die Konfigurationsanalyse verwenden, um zu sehen, wie sicher Ihre Einstellungen sind. Anweisungen finden Sie unter Konfigurationsanalyse für Schutzrichtlinien in EOP und Microsoft Defender for Office 365.

    Für die meisten Organisationen besteht der beste Ansatz darin, mit Richtlinien zu beginnen, die eng mit unseren empfohlenen Standardeinstellungen übereinstimmen. Nach so viel Beobachtung und Feedback wie in Ihrem verfügbaren Zeitrahmen können Sie später zu aggressiveren Einstellungen wechseln. Der Identitätswechselschutz und die Übermittlung an den Junk-Email-Ordner im Vergleich zur Übermittlung unter Quarantäne erfordern möglicherweise eine Anpassung.

    Wenn Sie benutzerdefinierte Richtlinien verwenden, stellen Sie einfach sicher, dass sie vor den Richtlinien angewendet werden, die unsere empfohlenen Einstellungen für die Migration enthalten. Wenn ein Benutzer in mehreren Richtlinien desselben Typs (z. B. Antiphishing) identifiziert wird, wird nur eine Richtlinie dieses Typs auf den Benutzer angewendet (basierend auf dem Prioritätswert der Richtlinie). Weitere Informationen finden Sie unter Reihenfolge und Rangfolge des E-Mail-Schutzes.

Schritt 2: Konfigurieren der Einstellungen für vom Benutzer gemeldete Nachrichten

Die Möglichkeit für Benutzer, falsch positive oder falsch negative Ergebnisse aus Defender for Office 365 zu melden, ist ein wichtiger Teil der Migration.

Sie können ein Exchange Online Postfach angeben, um Nachrichten zu empfangen, die Benutzer als böswillig oder nicht bösartig melden. Anweisungen finden Sie unter Vom Benutzer gemeldete Einstellungen. Dieses Postfach kann Kopien von Nachrichten empfangen, die Ihre Benutzer an Microsoft übermittelt haben, oder das Postfach kann Nachrichten abfangen, ohne sie an Microsoft zu melden (Ihr Sicherheitsteam kann die Nachrichten manuell analysieren und übermitteln). Der Abfangansatz ermöglicht es dem Dienst jedoch nicht, automatisch zu optimieren und zu lernen.

Sie sollten auch sicherstellen, dass alle Benutzer im Pilotprojekt über eine unterstützte Möglichkeit zum Melden von Nachrichten verfügen, die eine falsche Bewertung von Defender for Office 365 erhalten haben. Diese Optionen umfassen:

Unterschätzen Sie nicht die Bedeutung dieses Schritts. Daten aus vom Benutzer gemeldeten Nachrichten bieten Ihnen die Feedbackschleife, die Sie benötigen, um eine gute, konsistente Endbenutzererfahrung vor und nach der Migration zu überprüfen. Dieses Feedback hilft Ihnen dabei, fundierte Richtlinienkonfigurationsentscheidungen zu treffen und der Verwaltung datengestützte Berichte zur Reibungslosen Migration bereitzustellen.

Anstatt sich auf Daten zu verlassen, die auf der Erfahrung des gesamten organization basieren, haben mehr als eine Migration zu emotionalen Spekulationen geführt, die auf einer einzelnen negativen Benutzererfahrung basieren. Darüber hinaus können Sie, wenn Sie Phishingsimulationen ausgeführt haben, feedback von Ihren Benutzern verwenden, um Sie darüber zu informieren, wenn sie etwas Riskantes sehen, das möglicherweise untersucht werden muss.

Schritt 3: Verwalten oder Erstellen der SCL=-1-Nachrichtenflussregel

Da Ihre eingehenden E-Mails über einen anderen Schutzdienst weitergeleitet werden, der sich vor Microsoft 365 befindet, ist es wahrscheinlich, dass Sie bereits über eine Nachrichtenflussregel (auch als Transportregel bezeichnet) in Exchange Online verfügen, die den Spam-Konfidenzgrad (SCL) aller eingehenden E-Mails auf den Wert -1 festlegt (Spamfilterung umgehen). Die meisten Schutzdienste von Drittanbietern empfehlen diese SCL=-1-Nachrichtenflussregel für Microsoft 365-Kunden, die ihre Dienste verwenden möchten.

Wenn Sie einen anderen Mechanismus zum Überschreiben des Microsoft-Filterstapels (z. B. eine Liste zugelassener IP-Adressen) verwenden, empfehlen wir, zur Verwendung einer SCL=-1-E-Mail-Flussregel zu wechseln, solange alle eingehenden Internet-E-Mails in Microsoft 365 vom Schutzdienst eines Drittanbieters stammen (keine E-Mails werden direkt aus dem Internet in Microsoft 365 übertragen).

Die Nachrichtenflussregel SCL=-1 ist während der Migration aus den folgenden Gründen wichtig:

  • Sie können Threat Explorer (Explorer) verwenden, um zu sehen, welche Features im Microsoft-Stapel auf Nachrichten reagiert hätten, ohne die Ergebnisse Ihres vorhandenen Schutzdiensts zu beeinträchtigen.

  • Sie können schrittweise anpassen, wer durch den Microsoft 365-Filterstapel geschützt ist, indem Sie Ausnahmen für die SCL=-1-Nachrichtenflussregel konfigurieren. Ausnahmen sind die Mitglieder der Pilotverteilergruppen, die weiter unten in diesem Artikel empfohlen werden.

    Vor oder während der Übernahme Ihres MX-Eintrags auf Microsoft 365 deaktivieren Sie diese Regel, um den vollständigen Schutz des Microsoft 365-Schutzstapels für alle Empfänger in Ihrem organization zu aktivieren.

Weitere Informationen finden Sie unter Verwenden von Nachrichtenflussregeln zum Festlegen des Spam-Konfidenzniveaus (SCL) in Nachrichten in Exchange Online.

Hinweise:

  • Wenn Sie planen, internetbasierte E-Mails gleichzeitig über Ihren vorhandenen Schutzdienst und direkt in Microsoft 365 zu übertragen, müssen Sie die SCL=-1-Nachrichtenflussregel (E-Mails, die die Spamfilterung umgehen) nur auf E-Mails beschränken, die ihren vorhandenen Schutzdienst durchlaufen. Sie möchten nicht, dass ungefilterte Internet-E-Mails in Benutzerpostfächern in Microsoft 365 landen.

    Um E-Mails, die bereits von Ihrem vorhandenen Schutzdienst gescannt wurden, ordnungsgemäß zu identifizieren, können Sie der Nachrichtenflussregel SCL=-1 eine Bedingung hinzufügen. Zum Beispiel:

    • Für cloudbasierte Schutzdienste: Sie können einen Header- und Headerwert verwenden, der für Ihre organization eindeutig ist. Nachrichten mit dem Header werden von Microsoft 365 nicht gescannt. Nachrichten ohne Header werden von Microsoft 365 gescannt.
    • Für lokale Schutzdienste oder -geräte: Sie können Quell-IP-Adressen verwenden. Nachrichten von den Quell-IP-Adressen werden von Microsoft 365 nicht überprüft. Nachrichten, die nicht von den Quell-IP-Adressen stammen, werden von Microsoft 365 gescannt.

  • Verlassen Sie sich nicht ausschließlich auf MX-Einträge, um zu steuern, ob E-Mails gefiltert werden. Absender können den MX-Eintrag leicht ignorieren und E-Mails direkt an Microsoft 365 senden.

Schritt 4: Konfigurieren der erweiterten Filterung für Connectors

Zunächst müssen Sie die erweiterte Filterung für Connectors (auch als Skip Listing bezeichnet) für den Connector konfigurieren, der für den E-Mail-Fluss von Ihrem vorhandenen Schutzdienst zu Microsoft 365 verwendet wird. Sie können den Bericht Eingehende Nachrichten verwenden, um den Connector zu identifizieren.

Die erweiterte Filterung für Connectors ist für Defender for Office 365 erforderlich, um zu sehen, woher Internetnachrichten tatsächlich stammen. Die verbesserte Filterung für Connectors verbessert die Genauigkeit des Microsoft-Filterstapels erheblich (insbesondere Spoofintelligenz und Funktionen nach Sicherheitsverletzungen in Threat Explorer and Automated Investigation & Response (AIR)).

Um die erweiterte Filterung für Connectors ordnungsgemäß zu aktivieren, müssen Sie die öffentlichen IP-Adressen von **all** -Drittanbieterdiensten und/oder lokalen E-Mail-Systemhosts hinzufügen, die eingehende E-Mails an Microsoft 365 weiterleiten.

Um zu bestätigen, dass die erweiterte Filterung für Connectors funktioniert, überprüfen Sie, ob eingehende Nachrichten einen oder beide der folgenden Header enthalten:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

Schritt 5: Create Pilotschutzrichtlinien

Durch das Erstellen von Produktionsrichtlinien können Sie Features Explorer nach sicherheitsrelevanten Sicherheitsverletzungen testen und die Integration von Defender for Office 365 in die Prozesse Ihres Sicherheitsreaktionsteams testen, auch wenn sie nicht auf alle Benutzer angewendet werden.

Wichtig

Richtlinien können auf Benutzer, Gruppen oder Domänen beschränkt werden. Es wird nicht empfohlen, alle drei in einer Richtlinie zu kombinieren, da nur Benutzer, die mit allen drei übereinstimmen, in den Geltungsbereich der Richtlinie fallen. Für Pilotrichtlinien empfehlen wir die Verwendung von Gruppen oder Benutzern. Für Produktionsrichtlinien wird die Verwendung von Domänen empfohlen. Es ist äußerst wichtig zu verstehen, dass nur die primäre E-Mail-Domäne des Benutzers bestimmt, ob der Benutzer in den Geltungsbereich der Richtlinie fällt. Wenn Sie also den MX-Eintrag für die sekundäre Domäne eines Benutzers ändern, stellen Sie sicher, dass seine primäre Domäne auch von einer Richtlinie abgedeckt wird.

Create Pilotrichtlinien für sichere Anlagen

Sichere Anlagen ist das einfachste Defender for Office 365 Feature, das Sie aktivieren und testen können, bevor Sie Ihren MX-Eintrag wechseln. Sichere Anlagen bietet die folgenden Vorteile:

  • Minimale Konfiguration.
  • Extrem geringe Wahrscheinlichkeit falsch positiver Ergebnisse.
  • Ähnliches Verhalten wie der Schutz vor Antischadsoftware, der immer aktiviert ist und nicht von der SCL=-1-Nachrichtenflussregel betroffen ist.

Die empfohlenen Einstellungen finden Sie unter Empfohlene Richtlinieneinstellungen für sichere Anlagen. Die Empfehlungen Standard und Strict sind identisch. Informationen zum Erstellen der Richtlinie finden Sie unter Einrichten von Richtlinien für sichere Anlagen. Achten Sie darauf, die Gruppen-MDOPilot_SafeAttachments als Bedingung der Richtlinie zu verwenden (für wen die Richtlinie gilt).

Hinweis

Die voreingestellte Sicherheitsrichtlinie " Integrierter Schutz " bietet schutzsicheren Anlagen für alle Empfänger, die nicht in Richtlinien für sichere Anlagen definiert sind. Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.

Hinweis

Das Umschließen oder Umschreiben bereits umschlossener oder umgeschriebener Links wird nicht unterstützt. Wenn Ihr aktueller Schutzdienst bereits Links in E-Mail-Nachrichten umschließt oder neu schreibt, müssen Sie dieses Feature für Ihre Pilotbenutzer deaktivieren. Eine Möglichkeit, dies nicht zu gewährleisten, besteht darin, die URL-Domäne des anderen Diensts in der Richtlinie für sichere Links auszuschließen.

Die Wahrscheinlichkeit für falsch positive Ergebnisse in sicheren Links ist ebenfalls ziemlich gering, aber Sie sollten erwägen, das Feature auf einer kleineren Anzahl von Pilotbenutzern als sichere Anlagen zu testen. Da sich das Feature auf die Benutzererfahrung auswirkt, sollten Sie einen Plan zur Schulung der Benutzer in Betracht ziehen.

Die empfohlenen Einstellungen finden Sie unter Richtlinieneinstellungen für sichere Links. Die Empfehlungen Standard und Strict sind identisch. Informationen zum Erstellen der Richtlinie finden Sie unter Einrichten von Richtlinien für sichere Links. Achten Sie darauf, die Gruppen-MDOPilot_SafeLinks als Bedingung der Richtlinie zu verwenden (für die die Richtlinie gilt).

Hinweis

Die voreingestellte Sicherheitsrichtlinie für den integrierten Schutz bietet Schutz für sichere Links für alle Empfänger, die nicht in Richtlinien für sichere Links definiert sind. Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.

Create Antispam-Pilotrichtlinien

Create zwei Antispamrichtlinien für Pilotbenutzer:

  • Eine Richtlinie, die die Standardeinstellungen verwendet. Verwenden Sie die Gruppen-MDOPilot_SpamPhish_Standard als Bedingung der Richtlinie (für die die Richtlinie gilt).
  • Eine Richtlinie, die die Strict-Einstellungen verwendet. Verwenden Sie die Gruppen-MDOPilot_SpamPhish_Strict als Bedingung der Richtlinie (für wen die Richtlinie gilt). Diese Richtlinie sollte eine höhere Priorität (niedrigere Zahl) als die Richtlinie mit den Standardeinstellungen haben.

Die empfohlenen Einstellungen "Standard" und "Strict" finden Sie unter Empfohlene Antispamrichtlinieneinstellungen. Informationen zum Erstellen der Richtlinien finden Sie unter Konfigurieren von Antispamrichtlinien.

Create Pilot-Antiphishingrichtlinien

Create zwei Antiphishingrichtlinien für Pilotbenutzer:

  • Eine Richtlinie, die die Standardeinstellungen verwendet, mit Ausnahme von Aktionen zur Erkennung von Identitätswechseln, wie unten beschrieben. Verwenden Sie die Gruppen-MDOPilot_SpamPhish_Standard als Bedingung der Richtlinie (für die die Richtlinie gilt).
  • Eine Richtlinie, die die Strict-Einstellungen verwendet, mit Ausnahme von Aktionen zur Erkennung von Identitätswechseln, wie unten beschrieben. Verwenden Sie die Gruppen-MDOPilot_SpamPhish_Strict als Bedingung der Richtlinie (für wen die Richtlinie gilt). Diese Richtlinie sollte eine höhere Priorität (niedrigere Zahl) als die Richtlinie mit den Standardeinstellungen haben.

Für Spooferkennungen ist die empfohlene Standardaktion Verschieben der Nachricht in die Junk-Email Ordner der Empfänger, und die empfohlene Strict-Aktion ist Quarantäne der Nachricht. Verwenden Sie die Erkenntnisse zur Spoofintelligenz, um die Ergebnisse zu beobachten. Außerkraftsetzungen werden im nächsten Abschnitt erläutert. Weitere Informationen finden Sie unter Spoofintelligenz-Erkenntnisse in EOP.

Ignorieren Sie bei Identitätswechselerkennungen die empfohlenen Aktionen Standard und Strict für die Pilotrichtlinien. Verwenden Sie stattdessen den Wert Keine Aktion anwenden für die folgenden Einstellungen:

  • Wenn eine Nachricht als Benutzeridentitätswechsel erkannt wird
  • Wenn die Nachricht als Identitätswechseldomäne erkannt wird
  • Wenn Postfachintelligenz einen benutzeridentitätswechsel erkennt

Verwenden Sie die Identitätswechsel-Erkenntnis, um die Ergebnisse zu beobachten. Weitere Informationen finden Sie unter Identitätswechsel in Defender for Office 365.

Optimieren Sie den Spoofingschutz (Anpassen von Zu- und Sperrungen), und aktivieren Sie jede Aktion zum Schutz vor Identitätswechseln, um die Nachrichten unter Quarantäne zu stellen oder in den Ordner Junk-Email zu verschieben (basierend auf den Empfehlungen Standard oder Strict). Beobachten Sie die Ergebnisse, und passen Sie ihre Einstellungen nach Bedarf an.

Weitere Informationen finden Sie in den folgenden Artikeln:

Nächster Schritt

Herzlichen Glückwunsch! Sie haben die Setupphase Ihrer Migration zu Microsoft Defender for Office 365 abgeschlossen!