Siirtyminen Microsoft Defender for Office 365 - vaihe 2: asennus


Vaihe 1: Valmistele.
Vaihe 1: valmistele		 Vaihe 2: Määrittäminen.
Vaihe 2: määritys		 Vaihe 3: Perehdytys.
Vaihe 3: käyttöönotto
Sinä olet täällä!

Tervetuloa vaiheeseen 2:Microsoft Defender for Office 365 siirtymisen asetukset! Tämä siirtovaihe sisältää seuraavat vaiheet:

  1. Create jakeluryhmiä pilottikäyttäjille
  2. Käyttäjän ilmoittaman viestiasetuksen määrittäminen
  3. SCL=-1-postinkulun säännön ylläpitäminen tai luominen
  4. Liittimien parannetun suodatuksen määrittäminen
  5. Create pilottikokeilun suojauskäytännöt

Vaihe 1: Create jakeluryhmiä pilottikäyttäjille

Microsoft 365:ssä tarvitaan jakeluryhmiä seuraaviin siirtymisen näkökohtiin:

  • Poikkeukset SCL=-1-postinkulkusääntöön: Haluat pilottikäyttäjien saavan Defender for Office 365 suojauksen täyden vaikutuksen, joten sinun on Defender for Office 365 saapuvien viestien skannaamiseen. Saat tämän tuloksen määrittämällä pilottikäyttäjät asianmukaisissa jakeluryhmissä Microsoft 365:ssä ja määrittämällä nämä ryhmät poikkeuksiksi SCL=-1-postinkulkusääntöön.

    Kuten kohdassa Laivan vaihe 2: (Valinnainen) Vapauta pilottikäyttäjät suodattamasta olemassa olevan suojauspalvelun mukaan, harkitse näiden saman pilottikäyttäjän vapauttamista nykyisen suojauspalvelusi skannaamisesta. Poistamalla mahdollisuuden suodattaa olemassa olevan suojauspalvelun mukaan ja luottamalla yksinomaan Defender for Office 365 on paras ja lähin esitys siitä, mitä siirron jälkeen tapahtuu.

  • Tiettyjen Defender for Office 365 suojausominaisuuksien testaaminen: Et halua ottaa kaikkea käyttöön kerralla edes pilottikäyttäjille. Vaiheittaisen lähestymistavan käyttäminen pilottikokeilun käyttäjille käytössä oleville suojausominaisuuksille helpottaa vianmääritystä ja säätöä. Tätä lähestymistapaa silmällä pitäen suosittelemme seuraavia jakeluryhmiä:

    • Turvalliset liitteet -pilottiryhmä: esimerkiksi MDOPilot_SafeAttachments
    • Safe Links -pilottiryhmä: esimerkiksi MDOPilot_SafeLinks
    • Pilottiryhmä tavallisille roskapostin ja tietojenkalastelun torjuntakäytännön asetuksille: esimerkiksi MDOPilot_SpamPhish_Standard
    • Pilottiryhmä tiukkaan roskapostin ja tietojenkalastelun torjuntaan käytäntöasetuksia varten: esimerkiksi MDOPilot_SpamPhish_Strict

Selvyyden vuoksi käytämme näitä ryhmien nimiä tässä artikkelissa, mutta voit vapaasti käyttää omaa nimeämiskäytäntöäsi.

Kun olet valmis aloittamaan testauksen, lisää nämä ryhmät poikkeuksina SCL=-1-postinkulun sääntöön. Kun luot käytäntöjä Defender for Office 365 eri suojausominaisuuksille, käytä näitä ryhmiä ehdoina, jotka määrittävät, ketä käytäntö koskee.

Huomautukset:

  • Standard- ja Strict-termit ovat peräisin suositelluista suojausasetuksistamme, joita käytetään myös ennalta määritetyissä suojauskäytännöissä. Ihannetapauksessa suosittelemme määrittämään pilottikäyttäjät vakio- ja tiukat suojauskäytännöt -kohdassa, mutta emme voi tehdä sitä. Miksi? Et voi mukauttaa asetuksia ennalta määritetyissä suojauskäytännöissä (erityisesti viesteissä suoritettavissa toiminnoissa). Siirtotestauksen aikana haluat nähdä, mitä Defender for Office 365 tekisi viesteille, varmistaa, että tulos on haluamasi, ja mahdollisesti muuttaa käytäntömäärityksiä, jotta tulokset voidaan sallia tai estää.

    Esiasetusten suojauskäytäntöjen käyttämisen sijaan luot siis manuaalisesti mukautettuja käytäntöjä, joiden asetukset ovat samankaltaisia, mutta joissain tapauksissa erilaiset kuin vakio- ja tiukat ennalta määritetyt suojauskäytännöt.

  • Jos haluat kokeilla asetuksia, jotka eroavat merkittävästi standard- tai strict-suositusarvoista, sinun kannattaa harkita lisäjakaumaryhmien luomista ja käyttämistä pilottikäyttäjille näissä skenaarioissa. Määritysten analysointitoiminnon avulla voit tarkistaa, kuinka suojattu asetuksesi ovat. Katso ohjeet artikkelista EOP:n ja Microsoft Defender for Office 365 suojauskäytäntöjen määritysanalysaattori.

    Useimmissa organisaatioissa kannattaa aloittaa käytännöillä, jotka ovat tiiviisti yhdenmukaisia suositeltujen vakioasetusten kanssa. Kun olet saanut niin paljon havaintoja ja palautetta kuin käytettävissäsi olevassa ajassa, voit siirtyä aggressiivisempiin asetuksiin myöhemmin. Tekeytymisen suojaus ja toimitus Roskaposti-kansioon vs. karanteeniin toimittaminen saattavat vaatia mukauttamista.

    Jos käytät mukautettuja käytäntöjä, varmista, että ne on otettu käyttöön ennen käytäntöjä, jotka sisältävät siirron suositellut asetukset. Jos käyttäjä tunnistetaan useista samaa tyyppiä olevista käytännöistä (esimerkiksi tietojenkalastelun torjunta), käyttäjään sovelletaan vain yhtä tämäntyyppistä käytäntöä (käytännön prioriteettiarvon perusteella). Lisätietoja on artikkelissa Sähköpostin suojauksen järjestys ja käsittelyjärjestys.

Vaihe 2: Määritä käyttäjän ilmoittaman viestin asetukset

Käyttäjien mahdollisuus ilmoittaa epätosi-positiivisista tai epätosi-negatiivisista Defender for Office 365 on tärkeä osa siirtoa.

Voit määrittää Exchange Online postilaatikon, jos haluat vastaanottaa viestejä, jotka käyttäjät ilmoittavat haitallisiksi tai jotka eivät ole haitallisia. Katso ohjeet kohdasta Käyttäjän raportoidut asetukset. Tämä postilaatikko voi vastaanottaa kopioita viesteistä, jotka käyttäjät ovat lähettäneet Microsoftille, tai postilaatikko voi siepata viestejä ilmoittamatta niistä Microsoftille (suojaustiimisi voi analysoida ja lähettää viestit itse manuaalisesti). Sieppausmenetelmä ei kuitenkaan salli palvelun virittämistä ja oppimista automaattisesti.

Varmista myös, että kaikilla pilottikokeilun käyttäjillä on tuettu tapa ilmoittaa viesteistä, jotka saivat virheellisen tuomion Defender for Office 365. Näitä asetuksia ovat esimerkiksi seuraavat:

Älä aliarvioi tämän vaiheen tärkeyttä. Käyttäjän ilmoittamien viestien tiedot antavat sinulle palautesilmukan, joka sinun on varmistettava hyvä ja yhtenäinen loppukäyttäjäkokemus ennen siirtoa ja sen jälkeen. Tämän palautteen avulla voit tehdä tietoon perustuvia käytäntömäärityspäätöksiä ja tarjota tietoihin perustuvia raportteja hallintaan siitä, että siirto sujui sujuvasti.

Sen sijaan, että luottaisimme koko organisaation käyttökokemukseen pohjautuviin tietoihin, useampi kuin yksi siirto on johtanut tunnepitoiseen spekulaatioon yksittäisen negatiivisen käyttökokemuksen perusteella. Lisäksi tietojenkalastelusimulaatioita suorittaessasi voit käyttää käyttäjiesi palautetta ilmoittaaksesi, kun he näkevät jotain riskialtista, joka saattaa vaatia tutkimusta.

Vaihe 3: SCL=-1-postinkulun säännön ylläpitäminen tai luominen

Koska saapuva sähköpostiviestisi reititetään toiseen suojauspalveluun, joka sijaitsee Microsoft 365:n edessä, on todennäköistä, että sinulla on jo postinkulun sääntö (tunnetaan myös siirtosääntönä) Exchange Online joka määrittää kaikkien saapuvien sähköpostien suojaustasoksi -1 (ohita roskapostisuodatus). Useimmat kolmannen osapuolen suojauspalvelut edistävät tätä SCL=-1-postinkulkusääntöä Microsoft 365 -asiakkaille, jotka haluavat käyttää palveluitaan.

Jos käytät jotakin muuta mekanismia Microsoftin suodatuspinon ohittamiseen (esimerkiksi SALLITTUJEN IP-osoitteiden luetteloa), suosittelemme vaihtamaan SCL=-1-postinkulkusäännön käyttöön , kunhan kaikki Microsoft 365:een saapuvat Internet-sähköpostit ovat peräisin kolmannen osapuolen suojauspalvelusta (ei sähköpostivirtoja suoraan Internetistä Microsoft 365:een).

SCL=-1-postinkulkusääntö on tärkeä siirron aikana seuraavista syistä:

  • Uhkienhallinnan (Explorer) avulla voit nähdä, mitkä Microsoft-pinon ominaisuudet olisivat toimineet sanomille vaikuttamatta olemassa olevan suojauspalvelusi tuloksiin.

  • Voit vähitellen muuttaa Microsoft 365 -suodatuspinon suojaamaa käyttäjää määrittämällä poikkeukset SCL=-1-postinkulun sääntöön. Poikkeukset ovat pilottijakeluryhmien jäseniä, joita suosittelemme myöhemmin tässä artikkelissa.

    Ennen kuin MX-tietue leikataan Microsoft 365:een tai sen aikana, tämä sääntö poistetaan käytöstä, jotta Microsoft 365 -suojauspinon täysi suojaus voidaan ottaa käyttöön organisaation kaikille vastaanottajille.

Lisätietoja on artikkelissa Roskapostin luotettavuustason (SCL) määrittäminen viesteissä Exchange Online.

Huomautukset:

  • Jos aiot sallia Internet-sähköpostin kulun olemassa olevan suojauspalvelun kautta suoraan Microsoft 365:een samanaikaisesti, sinun on rajoitettava SCL=-1-postinkulkusääntöä (sähköposti, joka ohittaa roskapostisuodattimen) sähköpostiin, joka on mennyt vain olemassa olevan suojauspalvelun läpi. Et halua suodattamattoman Internet-sähköpostin saapuvan käyttäjän postilaatikoihin Microsoft 365:ssä.

    Voit tunnistaa aiemmin luodun suojauspalvelun jo tarkistamat sähköpostit oikein lisäämällä ehdon SCL=-1-postinkulun sääntöön. Esimerkki:

    • Pilvipohjaisissa suojauspalveluissa: Voit käyttää otsikko- ja otsikkoarvoa, joka on yksilöllinen organisaatiollesi. Microsoft 365 ei tarkista viestejä, joissa on otsikko. Microsoft 365 tarkistaa viestit, joissa ei ole otsikkoa
    • Paikalliset suojauspalvelut tai -laitteet: Voit käyttää IP-lähdeosoitteita. Microsoft 365 ei tarkista lähde-IP-osoitteiden viestejä. Microsoft 365 tarkistaa viestit, jotka eivät ole peräisin IP-lähdeosoitteista.

  • Älä luota yksinomaan MX-tietueisiin sen hallitsemiseksi, suodatetaanko sähköpostia. Lähettäjät voivat helposti ohittaa MX-tietueen ja lähettää sähköpostia suoraan Microsoft 365:een.

Vaihe 4: Liittimien parannetun suodatuksen määrittäminen

Ensimmäiseksi sinun on määritettävä yhdistimien parannettu suodatus (eli ohita luettelo) liittimessä, jota käytetään postinkulussa olemassa olevasta suojauspalvelusta Microsoft 365:een. Voit tunnistaa liittimen saapuvien viestien raportin avulla.

Defender for Office 365 edellyttää parannettua liittimien suodatusta nähdäkseen, mistä Internet-viestit todella ovat peräisin. Parannettu liittimien suodatus parantaa huomattavasti Microsoftin suodatuspinon tarkkuutta (erityisesti huijaustiedot ja murron jälkeiset ominaisuudet Threat Explorerissa ja automatisoidussa tutkimuksessa & Response (AIR) -toiminnossa.

Jotta voit ottaa liittimien parannetun suodatuksen käyttöön oikein, sinun on lisättävä **kaikkien** kolmansien osapuolten palvelujen ja/tai paikallisten sähköpostijärjestelmän isäntien julkiset IP-osoitteet, jotka reitittää saapuvan postin Microsoft 365:een.

Vahvista, että yhdistimien parannettu suodatus toimii, varmista, että saapuvat viestit sisältävät jommankumman tai molemmat seuraavista otsikoista:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

Vaihe 5: Create pilottikokeilun suojauskäytännöt

Luomalla tuotantokäytäntöjä, vaikka niitä ei sovelletakaan kaikkiin käyttäjiin, voit testata murron jälkeisiä ominaisuuksia, kuten Threat Exploreria, ja testata Defender for Office 365 integroinnin suojausvastaustiimisi prosesseihin.

Tärkeää

Käytännöt voidaan rajata käyttäjiin, ryhmiin tai toimialueisiin. Emme suosittele kaikkien kolmen sekoittamista yhteen käytäntöön, koska vain kaikkia kolmea vastaavat käyttäjät kuuluvat käytännön piiriin. Pilottikäytäntöjen osalta suosittelemme käyttämään ryhmiä tai käyttäjiä. Tuotantokäytännöissä suosittelemme käyttämään toimialueita. On erittäin tärkeää ymmärtää, että vain käyttäjän ensisijainen sähköpostitoimialue määrittää, kuuluuko käyttäjä käytännön piiriin. Jos siis vaihdat MX-tietueen käyttäjän toissijaiseen toimialueeseen, varmista, että käytäntö kattaa myös hänen ensisijaisen toimialueensa.

Create pilottikokeilun Turvalliset liitteet -käytännöt

Turvalliset liitteet on helpoin Defender for Office 365 toiminto, joka on otettava käyttöön ja testattava ennen MX-tietueen vaihtamista. Turvalliset liitteet sisältävät seuraavat edut:

  • Vähimmäismääritys.
  • Erittäin pieni mahdollisuus vääriin positiivisiin.
  • Samanlainen käyttäytyminen kuin haittaohjelmien torjunta, joka on aina käytössä eikä siihen vaikuta SCL=-1-postinkulun sääntö.

Suositellut asetukset ovat kohdassa Suositellut turvalliset liitteet -käytäntöasetukset. Vakio- ja Tiukat suositukset ovat samat. Jos haluat luoda käytännön, katso Turvallisten liitteiden käytäntöjen määrittäminen. Muista käyttää ryhmää MDOPilot_SafeAttachments käytännön ehtona (ketä käytäntö koskee).

Huomautus

Valmiiksi määritetty sisäinen suojauskäytäntö antaa turvalliset liitteet -suojauksen kaikille vastaanottajille, joita ei ole määritetty turvallisten liitteiden käytännöissä. Lisätietoja on artikkelissa Esiaseta suojauskäytännöt EOP:ssa ja Microsoft Defender for Office 365.

Huomautus

Emme tue linkkien paketointia tai uudelleenkirjoitusta. Jos nykyinen suojauspalvelusi jo rivittää tai kirjoittaa uudelleen sähköpostiviestien linkit, sinun on poistettava tämä ominaisuus käytöstä pilottikokeilun käyttäjiltä. Yksi tapa varmistaa, ettei näin tapahdu, on jättää toisen palvelun URL-toimialue pois Turvalliset linkit -käytännöstä.

Myös turvalliset linkit -toiminnon epätosipositiivisten positiivisten ominaisuuksien mahdollisuudet ovat melko pienet, mutta sinun kannattaa harkita ominaisuuden testaamista pienemmällä pilottikäyttäjämäärällä kuin Turvalliset liitteet -toiminnolla. Koska ominaisuus vaikuttaa käyttökokemukseen, harkitse suunnitelmaa käyttäjien kouluttamiseksi.

Suositellut asetukset ovat kohdassa Turvalliset linkit -käytäntöasetukset. Vakio- ja Tiukat suositukset ovat samat. Jos haluat luoda käytännön, katso Turvallisten linkkien käytäntöjen määrittäminen. Muista käyttää ryhmän MDOPilot_SafeLinks käytännön ehtona (ketä käytäntö koskee).

Huomautus

Valmiiksi määritetty sisäinen suojauskäytäntö antaa Turvalliset linkit -suojauksen kaikille vastaanottajille, joita ei ole määritetty turvallisten linkkien käytännöissä. Lisätietoja on artikkelissa Esiaseta suojauskäytännöt EOP:ssa ja Microsoft Defender for Office 365.

Create roskapostin torjuntaa koskevat käytännöt

Create kaksi roskapostin vastaista käytäntöä pilottikäyttäjille:

  • Käytäntö, joka käyttää vakioasetuksia. Käytä ryhmän MDOPilot_SpamPhish_Standard käytännön ehtona (ketä käytäntöä sovelletaan).
  • Käytäntö, joka käyttää Strict-asetuksia. Käytä ryhmän MDOPilot_SpamPhish_Strict käytännön ehtona (ketä käytäntöä sovelletaan). Tällä käytännöllä on oltava suurempi prioriteetti (pienempi määrä) kuin Vakio-asetuksissa käytettävällä käytännöllä.

Suositellut vakio- ja tiukat asetukset ovat kohdassa Suositellut roskapostin torjuntakäytännön asetukset. Jos haluat luoda käytäntöjä, katso Roskapostin torjuntakäytäntöjen määrittäminen.

Create tietojenkalastelun torjuntaa koskevat pilottihankkeet

Create kaksi tietojenkalastelun torjuntakäytäntöä pilottikäyttäjille:

  • Käytäntö, joka käyttää vakioasetuksia lukuun ottamatta tekeytymisen tunnistustoimintoja alla kuvatulla tavalla. Käytä ryhmän MDOPilot_SpamPhish_Standard käytännön ehtona (ketä käytäntöä sovelletaan).
  • Käytäntö, joka käyttää Strict-asetuksia lukuun ottamatta tekeytymisen tunnistustoimintoja alla kuvatulla tavalla. Käytä ryhmän MDOPilot_SpamPhish_Strict käytännön ehtona (ketä käytäntöä sovelletaan). Tällä käytännöllä on oltava suurempi prioriteetti (pienempi määrä) kuin Vakio-asetuksissa käytettävällä käytännöllä.

Spoof-tunnistuksia varten suositeltu vakiotoiminto on Siirrä viesti vastaanottajien Roskaposti-kansioihin ja suositeltu Strict-toiminto on Aseta viesti karanteeniin. Käytä spoof intelligence insight -toimintoa tulosten tarkkailemiseen. Ohitukset selitetään seuraavassa osiossa. Lisätietoja on artikkelissa Spoof Intelligence Insight in EOP.

Ohita tekeytymistunnistuksille suositellut vakio- ja tiukat toimet pilottikäytännöille. Käytä sen sijaan arvoa Älä ota mitään toimintoa käyttöön seuraavissa asetuksissa:

  • Jos viesti tunnistetaan käyttäjäksi tekeytymisenä
  • Jos viesti tunnistetaan tekeytyneeksi toimialueeksi
  • Jos postilaatikon älykkyys havaitsee tekeytyneen käyttäjän

Käytä tekeytymisen merkityksellistä tietoa tulosten tarkkailemiseen. Lisätietoja on Defender for Office 365 kohdassa Tekeytymisen merkityksellinen tieto.

Hienosäädä tekeytymissuojausta (säädä sallii ja estää) ja ota jokainen tekeytymisen suojaustoiminto käyttöön karanteeniin tai siirrä viestit Roskaposti-kansioon (perustuen Vakio- tai Strict-suosituksiin). Noudata tuloksia ja säädä niiden asetuksia tarpeen mukaan.

Lisätietoja on seuraavissa artikkeleissa:

Seuraavat vaiheet

Onneksi olkoon! Olet suorittanut asennuksen vaiheen siirtämisessä Microsoft Defender for Office 365!