Siirtyminen Microsoft Defender for Office 365 - vaihe 3: Laivaan siirtyminen
Vaihe 1: valmistele |
Vaihe 2: määritys |
Vaihe 3: käyttöönotto |
---|---|---|
Sinä olet täällä! |
Tervetuloa vaiheeseen 3: Perehdytyssiirtoosi Microsoft Defender for Office 365! Tämä siirtovaihe sisältää seuraavat vaiheet:
- Aloita suojausryhmien käyttöönotto
- (Valinnainen) Vapauta pilottikäyttäjiä suodattamasta olemassa olevan suojauspalvelun mukaan
- Hienosäädä spoof-älykkyyttä
- Tekeytymissuojauksen ja postilaatikon älykkyyden hienosäätäminen
- Mittaa ja säädä tietoja käyttäjän ilmoittamista viesteistä
- (Valinnainen) Lisää käyttäjiä pilottikokeilun käyttäjäksi ja iteroi
- Laajenna Microsoft 365 -suojaus kaikille käyttäjille ja poista käytöstä SCL=-1-postinkulun sääntö
- MX-tietueiden vaihtaminen
Vaihe 1: Aloita suojausryhmien käyttöönotto
Jos organisaatiossasi on suojausvastausryhmä, nyt on aika aloittaa Microsoft Defender for Office 365 integrointi vastausprosesseihin, kuten lippujärjestelmiin. Tämä prosessi on kokonainen aihe, mutta se jätetään joskus huomiotta. Kun otat suojausvastaustiimin mukaan aikaisessa vaiheessa, varmistat, että organisaatiosi on valmis käsittelemään uhkia, kun vaihdat MX-tietueita. Tapausten käsittelyn on oltava hyvin varustettu seuraavien tehtävien hoitamiseksi:
- Tutustu uusiin työkaluihin ja integroi ne olemassa oleviin työnkulkuihin. Esimerkki:
- Hallinta karanteeniin asetettujen viestien hallinta on tärkeää. Katso ohjeet kohdasta Karanteeniin asetettujen viestien ja tiedostojen hallinta järjestelmänvalvojana.
- Viestin jäljityksen avulla voit nähdä, mitä viesteille tapahtui, kun ne saapuvat Microsoft 365:een tai poistuvat siitä. Lisätietoja on artikkelissa Viestin jäljitys modernissa Exchange-hallintakeskuksessa Exchange Online.
- Tunnista riskit, jotka on saatettu päästää organisaatioon.
- Organisaation prosessien ilmoitusten hienosäätäminen ja mukauttaminen.
- Hallitse tapausjonoa ja korjaa mahdolliset riskit.
Jos organisaatiosi ostaa Microsoft Defender for Office 365 palvelupaketin 2, organisaation tulisi alkaa tutustua ominaisuuksiin, kuten Uhkienhallintaan, kehittyneeseen metsästykseen ja vaaratilanteisiin, ja käyttää niitä. Lisätietoja asiaan liittyvistä kouluista on kohdassa https://aka.ms/mdoninja.
Jos suojausvastausryhmäsi kerää ja analysoi suodattamattomia viestejä, voit määrittää SecOps-postilaatikon vastaanottamaan nämä suodattamattomat viestit. Katso ohjeet lisätoimituskäytännön osiosta SecOps-postilaatikoiden määrittäminen.
SIEM/SOAR
Lisätietoja siem/SOAR-integroinnista on seuraavissa artikkeleissa:
- Microsoft Defender XDR ohjelmointirajapintojen yleiskatsaus
- Suoratoiston ohjelmointirajapinta
- Kehittyneen metsästyksen ohjelmointirajapinta
- Tapausten ohjelmointirajapinnat
Jos organisaatiollasi ei ole suojausvastausryhmää tai olemassa olevia prosessityönkulkuja, voit tällä kertaa tutustua Defender for Office 365 perusmetsästys- ja vastausominaisuuksiin. Lisätietoja on artikkelissa Uhkatutkimus ja -vastaus.
RBAC-roolit
Defender for Office 365 käyttöoikeudet perustuvat roolipohjaiseen käytönvalvontaan (RBAC), ja ne on selitetty kohdassa Microsoft Defender portaalin käyttöoikeudet. Seuraavat tärkeät seikat on syytä pitää mielessä:
- Microsoft Entra roolit antavat käyttöoikeudet kaikkiin Microsoft 365:n kuormitusten käyttöön. Jos esimerkiksi lisäät käyttäjän suojauksen järjestelmänvalvojaan Azure-portaali, hänellä on suojauksen järjestelmänvalvojan oikeudet kaikkialla.
- Microsoft Defender-portaalin & yhteiskäyttöroolien sähköposti antaa käyttöoikeudet Microsoft Defender-portaaliin ja Microsoft Purview -yhteensopivuusportaali. Jos esimerkiksi lisäät käyttäjän suojauksen järjestelmänvalvojaan Microsoft Defender-portaalissa, hänellä on suojauksen järjestelmänvalvojan käyttöoikeus vain Microsoft Defender-portaalissa ja Microsoft Purview -yhteensopivuusportaali.
- Monet Microsoft Defender portaalin ominaisuudet perustuvat Exchange Online PowerShellin cmdlet-komentoihin, joten ne edellyttävät rooliryhmän jäsenyyttä vastaavissa rooleissa (teknisesti ja rooliryhmissä) Exchange Online (erityisesti, jotta pääset vastaavaan Exchange Online PowerShelliin cmdlet-komennot).
- Microsoft Defender-portaalissa on sähköpostin & yhteistyörooleja, jotka eivät vastaa Microsoft Entra rooleja ja jotka ovat tärkeitä suojaustoiminnoille (esimerkiksi esikatselurooli, Haku ja tyhjennysrooli).
Yleensä vain osa suojaushenkilöstöstä tarvitsee lisäoikeuksia viestien lataamiseen suoraan käyttäjien postilaatikoista. Tämä tarve edellyttää lisäkäyttöoikeutta, jota suojauksen lukijalla ei ole oletusarvoisesti.
Vaihe 2: (Valinnainen) Vapauta pilottikäyttäjät suodattamasta olemassa olevan suojauspalvelun mukaan
Vaikka tämä vaihe ei ole pakollinen, kannattaa harkita pilottikäyttäjien määrittämistä ohittamaan suodattaminen olemassa olevan suojauspalvelun mukaan. Tämän toiminnon avulla Defender for Office 365 voivat käsitellä pilottikäyttäjien kaikki suodatus- ja suojaustehtävät. Jos et vapauta pilottikäyttäjiä olemassa olevasta suojauspalvelusta, Defender for Office 365 toimii käytännössä vain toisen palvelun epäonnistumisissa (suodatettaessa viestejä, jotka on jo suodatettu).
Huomautus
Tämä vaihe on pakollinen, jos nykyinen suojauspalvelusi tarjoaa linkin rivityksen, mutta haluat pilotoida Turvalliset linkit -toimintoa. Linkkien kaksinkertaista rivitystä ei tueta.
Vaihe 3: Hienosäädä spoof-älykkyyttä
Tarkista spoof-tietojen merkitykselliset tiedot , jotta näet, mitä sallitaan tai estetään teksausnä, ja selvitäksesi, onko sinun kumottava järjestelmän huijauspäätös. Jotkin liiketoiminnan kannalta tärkeiden sähköpostiesi lähteet ovat saattaneet määrittää sähköpostin todennustietueet DNS:ssä (SPF, DKIM ja DMARC) väärin, ja saatat käyttää ohituksia olemassa olevassa suojauspalvelussa niiden toimialueongelmien peittämiseksi.
Spoof-tiedustelu voi pelastaa sähköpostia toimialueilta, joilla ei ole asianmukaisia sähköpostin todennustietueita DNS:ssä, mutta ominaisuus tarvitsee joskus apua hyvän huijarin ja huonon huijarin erottamisessa. Keskity seuraavantyyppisiin viestilähteisiin:
- Viestilähteet, jotka ovat liitinten parannetun suodatuksen IP-osoitealueiden ulkopuolella.
- Viestilähteet, joissa on eniten viestejä.
- Viestilähteet, joilla on suurin vaikutus organisaatioosi.
Spoof Intelligence virittyy lopulta, kun olet määrittänyt käyttäjän raportoidut asetukset, joten täydellisyyttä ei tarvita.
Vaihe 4: Tekeytymisen suojauksen ja postilaatikon älykkyyden hienosäätäminen
Kun sinulla on ollut tarpeeksi aikaa tarkkailla tekeytymissuojauksen tuloksia Älä käytä mitään toimintotilaa -toiminnossa, voit erikseen ottaa käyttöön jokaisen tekeytymisen suojaustoiminnon tietojenkalastelun vastaisissa käytännöissä:
- Käyttäjän tekeytymisen suojaus: Aseta sekä Standard- että Strict-viesti karanteeniin .
- Toimialueen tekeytymisen suojaus: Aseta sekä Standard- että Strict-viesti karanteeniin .
- Postilaatikon älykkyyden suojaus: Siirrä viesti vastaanottajien Roskaposti-kansioihin Standardille; Aseta Strict-viesti karanteeniin .
Mitä kauemmin valvot tekeytymisen suojaustuloksia toimimatta viestien kanssa, sitä enemmän tietoja sinun on tunnistettava, ja sitä enemmän tietoja voidaan tarvita. Harkitse viiveen käyttämistä jokaisen suojauksen käyttöön ottaminen, joka on niin merkittävä, että se mahdollistaa tarkkailun ja säätämisen.
Huomautus
Näiden suojausten säännöllinen ja jatkuva valvonta ja säätö on tärkeää. Jos epäilet false-positiivista, tutki syy ja käytä ohituksia vain tarpeen mukaan ja vain sitä edellyttäville tunnistusominaisuuksille.
Postilaatikon älykkyyden hienosäätäminen
Vaikka postilaatikon älykkyys on määritetty olemaan ryhtymättä toimiin viesteissä, jotka on määritetty tekeytymisyrityksiksi, se on käytössä ja oppii lähettämään ja vastaanottamaan pilottikäyttäjien malleja. Jos ulkoinen käyttäjä on yhteydessä pilottikäyttäjään, kyseisen ulkoisen käyttäjän viestejä ei tunnisteta postilaatikon älykkyyden tekeytymisyrityksiksi (mikä vähentää false-positiivisia arvoja).
Kun olet valmis, toimi seuraavasti, jotta postilaatikon älykkyys toimii viesteille, jotka tunnistetaan tekeytymisyrityksiksi:
Muuta tietojenkalastelun vastaisessa käytännössä vakiosuojausasetuksissa arvo If mailbox intelligence havaitsee tekeytyneen käyttäjänsiirtämään viestin vastaanottajien Roskaposti-kansioihin.
Muuta Tietojenkalastelun vastaisessa käytännössä, jossa on Tiukat suojausasetukset, Jos postilaatikon älykkyys havaitsee ja tekeytyy käyttäjäksi -arvon Karanteeniin.
Jos haluat muokata käytäntöjä, katso tietojenkalastelun vastaisten käytäntöjen määrittäminen Defender for Office 365.
Kun olet havainnut tulokset ja tehnyt muutoksia, siirry seuraavaan osioon käyttäjän tekeytymisen havaitsemiin karanteeniviesteihin.
Käyttäjäksi tekeytymisen suojauksen hienosäätäminen
Muuta molemmissa Standard- ja Strict-asetuksiin perustuvissa tietojenkalastelun torjuntakäytännöissä Jos viesti tunnistetaan käyttäjän tekeytymiseksikaranteeniin -arvo.
Tarkista tekeytymisen merkityksellinen tieto , jotta näet, mitä estetään, kun käyttäjäksi tekeytyminen yrittää.
Jos haluat muokata käytäntöjä, katso tietojenkalastelun vastaisten käytäntöjen määrittäminen Defender for Office 365.
Kun olet havainnut tulokset ja tehnyt muutoksia, siirry seuraavaan osioon karanteeniviesteihin, jotka toimialue tekeytyminen havaitsee.
Viritä toimialueen tekeytymissuojausta
Muuta molemmissa Vakio- ja Strict-asetuksiin perustuvissa tietojenkalastelun torjuntakäytännöissä Jos viesti tunnistetaan toimialue-tekeytymiseksi, arvoKsi Karanteeni.
Tarkista tekeytymisen merkityksellinen tieto , jotta näet, mitä toimialueen tekeytymisyrityksissä estetään.
Jos haluat muokata käytäntöjä, katso tietojenkalastelun vastaisten käytäntöjen määrittäminen Defender for Office 365.
Noudata tuloksia ja tee tarvittavat muutokset.
Vaihe 5: Mittaa ja säädä käyttäjän ilmoittamien viestien tietoja
Kun pilottikokeilun käyttäjät ilmoittavat false-positiivisista ja epätosi-negatiiveista, viestit näkyvät Lähetykset-sivunKäyttäjän raportoimat -välilehdellä Microsoft Defender portaalissa. Voit ilmoittaa virheelliset viestit Microsoftille analysointia varten ja muokata pilottikäytäntöjen asetuksia ja poikkeuksia tarpeen mukaan tietojen avulla.
Seuraavien ominaisuuksien avulla voit valvoa ja iteroida Defender for Office 365 suojausasetuksia:
- Karanteeni
- Uhkien hallinta (Explorer)
- Sähköpostin suojausraportit
- Defender for Office 365 raportteja
- Postinkulun merkitykselliset tiedot
- Postinkulun raportit
Jos organisaatiosi käyttää kolmannen osapuolen palvelua käyttäjien ilmoittamia viestejä varten, voit integroida nämä tiedot palautesilmukkaan.
Vaihe 6: (Valinnainen) Lisää käyttäjiä pilottikokeeseen ja iteroi
Kun löydät ja korjaat ongelmia, voit lisätä uusia käyttäjiä pilottiryhmiin (ja vastaavasti vapauttaa kyseiset uudet pilottikäyttäjät skannaamasta nykyistä suojauspalveluasi tarpeen mukaan). Mitä enemmän testausta nyt teet, sitä vähemmän käyttäjäongelmia sinun on käsiteltävä myöhemmin. Tämän vesiputousmenetelmän avulla voidaan säätää organisaation suurempia osia ja antaa tietoturvatiimeille aikaa sopeutua uusiin työkaluihin ja prosesseihin.
Microsoft 365 luo hälytyksiä, kun organisaation käytännöt sallivat tietojenkalastelun erittäin luotettavat viestit. Voit tunnistaa nämä viestit seuraavilla vaihtoehdoilla:
- Ohittaa Uhkien suojaamisen tila -raportissa olevat ohitukset.
- Suodata Threat Explorerissa viestien tunnistamiseksi.
- Suodata kehittyneessä metsästyksessä viestien tunnistamiseksi.
Ilmoita epätosi-positiiviset tiedot Microsoftille mahdollisimman aikaisin järjestelmänvalvojan lähettämien lähetysten kautta ja määritä turvalliset ohitukset näille epätosi-positiivisille toiminnoille Vuokraajan Salli/Estä luettelo - ominaisuuden avulla.
Kannattaa myös tutkia tarpeettomia ohituksia. Katso toisin sanoen tuomioita, jotka Microsoft 365 olisi antanut viesteihin. Jos Microsoft 365 teki oikean tuomion, ohituksen tarve vähenee huomattavasti tai poistetaan.
Vaihe 7: Laajenna Microsoft 365 -suojausta kaikille käyttäjille ja poista käytöstä SCL=-1-postinkulkusääntö
Toimi tämän osion ohjeiden mukaisesti, kun olet valmis vaihtamaan MX-tietueet osoittamaan Microsoft 365:een.
Laajenna pilottikäytännöt koskemaan koko organisaatiota. Käytäntöjä voi laajentaa eri tavoin:
Käytä ennalta määritettyjä suojauskäytäntöjä ja jaa käyttäjäsi Vakiosuojaus-profiilin ja Strict Protection -profiilin välillä (varmista, että kaikki on katettu). Ennalta määritettyjä suojauskäytäntöjä käytetään ennen luomiasi mukautettuja käytäntöjä tai oletuskäytäntöjä. Voit poistaa käytöstä omat pilottikäytännöt poistamatta niitä.
Ennalta määritettyjen suojauskäytäntöjen haittapuoli on se, että et voi muuttaa monia tärkeitä asetuksia niiden luomisen jälkeen.
Muuta luomiesi ja pilotin aikana muokkaamiesi käytäntöjen vaikutusaluetta siten, että se sisältää kaikki käyttäjät (esimerkiksi kaikki vastaanottajat kaikilla toimialueilla). Muista, että jos samaa tyyppiä olevat useat käytännöt (esimerkiksi tietojenkalastelun vastaiset käytännöt) koskevat samaa käyttäjää (yksitellen, ryhmän jäsenyyden tai sähköpostin toimialueen mukaan), käytetään vain sen käytännön asetuksia, jolla on suurin prioriteetti (pienin prioriteettinumero), ja kyseisen käytännön käsittely pysähtyy.
Poista käytöstä SCL=-1-postinkulun sääntö (voit poistaa sen käytöstä poistamatta sitä).
Varmista, että aiemmat muutokset ovat tulleet voimaan ja että Defender for Office 365 on nyt otettu käyttöön oikein kaikille käyttäjille. Tässä vaiheessa kaikki Defender for Office 365 suojausominaisuudet voivat nyt toimia kaikkien vastaanottajien sähköpostissa, mutta aiemmin luotu suojauspalvelu on jo tarkistanut kyseisen viestin.
Tässä vaiheessa voit keskeyttää suuren mittakaavan tietojen tallennuksen ja säätämisen.
Vaihe 8: MX-tietueiden vaihtaminen
Huomautus
- Kun vaihdat toimialueesi MX-tietuetta, voi kestää jopa 48 tuntia, ennen kuin muutokset leviävät internetissä.
- Suosittelemme DNS-tietueiden TTL-arvon alentamista, jotta vastaus olisi nopeampi ja mahdollinen palautus (tarvittaessa). Voit palauttaa alkuperäisen TTL-arvon, kun vaihto on valmis ja vahvistettu.
- Harkitse harvemmin käytettävien toimialueiden vaihtamista. Voit keskeyttää ja valvoa ennen siirtymistä suurempiin toimialueisiin. Vaikka tekisit näin, varmista kuitenkin, että käytännöt koskevat kaikkia käyttäjiä ja toimialueita, koska toissijaiset SMTP-toimialueet on ratkaistu ensisijaisiin toimialueisiin ennen käytäntösovellusta.
- Useita MX-tietueita yhdelle toimialueelle toimii teknisesti, joten voit käyttää jaettua reititystä, jos olet noudattanut kaikkia tämän artikkelin ohjeita. Varmista erityisesti, että käytäntöjä sovelletaan kaikille käyttäjille ja että SCL=-1-postinkulun sääntöä sovelletaan vain sähköpostiin, joka kulkee olemassa olevan suojauspalvelun kautta asennusvaiheen 3 mukaisesti: SCL=-1-postinkulun säännön ylläpitäminen tai luominen. Tämä määritys aiheuttaa kuitenkin toimintaa, joka vaikeuttaa vianmääritystä huomattavasti, joten emme yleensä suosittele sitä etenkään pitkäksi aikaa.
- Ennen kuin vaihdat MX-tietueita, varmista, että seuraavat asetukset eivät ole käytössä saapuvassa liittimessä suojauspalvelusta Microsoft 365:een. Yleensä liittimelle määritetään vähintään yksi seuraavista asetuksista:
- ja edellyttää, että varmenteen aihenimi, jota kumppani käyttää todentamiseen Office 365 vastaa tätä toimialuenimeä (RestrictDomainsToCertificate)
- Hylkää sähköpostiviestit, jos niitä ei lähetetä tältä IP-osoitealueelta (RestrictDomainsToIPAddresses) Jos yhdistimen tyyppi on Kumppani ja jompikumpi näistä asetuksista on otettu käyttöön, kaikki sähköpostin toimialueille toimialueisiin toimialueisiin toimialueet eivät toimi, kun vaihdat MX-tietueita. Nämä asetukset on poistettava käytöstä, ennen kuin jatkat. Jos liitin on paikallinen liitin, jota käytetään hybridinä, sinun ei tarvitse muokata paikallista liitintä. Voit kuitenkin tarkistaa kumppaniliittimen olemassaolon.
- Jos nykyinen sähköpostiyhdyskäytäväsi antaa myös vastaanottajan vahvistuksen, kannattaa ehkä tarkistaa, että toimialue on määritetty Microsoft 365 :ssä tärkeäksi . Tämä voi estää tarpeettomat pomppuviestit.
Kun olet valmis, vaihda toimialueesi MX-tietue. Voit siirtää kaikki toimialueet kerralla. Voit myös siirtää vähemmän usein käytetyt toimialueet ensin ja siirtää loput myöhemmin.
Voit pysähtyä ja arvioida täällä milloin tahansa. Muista kuitenkin, että kun poistat SCL=-1-postinkulkusäännön käytöstä, käyttäjillä voi olla kaksi eri käyttökokemusta epätosi-positiivisten tietojen tarkistamiseen. Mitä nopeammin voit tarjota yhden yhtenäisen käyttökokemuksen, sitä onnellisempia käyttäjät ja tukitiimit ovat, kun heidän on tehtävä puuttuvan viestin vianmääritys.
Seuraavat vaiheet
Onnittelut! Olet suorittanut siirron Microsoft Defender for Office 365! Koska noudatit tämän siirto-oppaan vaiheita, ensimmäisten päivien, jolloin sähköpostiviestit toimitetaan suoraan Microsoft 365:een, pitäisi olla paljon sujuvampia.
Nyt aloitat Defender for Office 365 normaalin toiminnan ja ylläpidon. Tarkkaile ja tarkkaile ongelmia, jotka ovat samanlaisia kuin pilottikokeilun aikana, mutta suuremmassa mittakaavassa. Tekeytymistiedoista ja tekeytymistiedoista on eniten hyötyä, mutta harkitse seuraavien toimintojen säännöllistä esiintymää:
- Tarkista käyttäjän ilmoittamat viestit, erityisesti käyttäjän ilmoittamat tietojenkalasteluviestit
- Tarkista ohituksia Threat Protection -tilaraportissa.
- Etsi lisämetsästyskyselyiden avulla viritysmahdollisuuksia ja riskialttiita viestejä.