Siirtyminen Microsoft Defender for Office 365 - vaihe 2: asennus

  • Artikkeli
  • 8 minuutin lukuaika

Koskee seuraavia:


Vaihe 1: Valmistele.
Vaihe 1: valmistele		 Vaihe 2: Määrittäminen.
Vaihe 2: määritys		 Vaihe 3: Perehdytys.
Vaihe 3: käyttöönotto
Sinä olet täällä!

Tervetuloa vaiheeseen 2:Microsoft Defender for Office 365 siirtymisen asetukset! Tämä siirtovaihe sisältää seuraavat vaiheet:

  1. Jakeluryhmien luominen pilottikäyttäjille
  2. Käyttäjän ilmoittaman viestiasetuksen määrittäminen
  3. SCL=-1-postinkulun säännön ylläpitäminen tai luominen
  4. Liittimien parannetun suodatuksen määrittäminen
  5. Pilottikokeilun suojauskäytäntöjen luominen

Vaihe 1: Jakeluryhmien luominen pilottikäyttäjille

Microsoft 365:ssä tarvitaan jakeluryhmiä seuraaviin siirtymisen näkökohtiin:

  • Poikkeukset SCL=-1-postinkulun säännössä: Haluat pilottikäyttäjien saavan Defender for Office 365 suojauksen täyden vaikutuksen, joten sinun on tarkistettava Defender for Office 365 heidän saapuvat viestinsä. Voit tehdä tämän määrittämällä pilottikäyttäjät asianmukaisissa jakeluryhmissä Microsoft 365:ssä ja määrittämällä nämä ryhmät poikkeuksiksi SCL=-1-postinkulkusääntöön.

    Kuten kohdassa Laivan vaihe 2: (Valinnainen) Vapauta pilottikäyttäjät suodattamasta olemassa olevan suojauspalvelun mukaan, harkitse näiden saman pilottikäyttäjän vapauttamista nykyisen suojauspalvelun suorittamasta tarkistuksesta. Poistamalla mahdollisuuden suodattaa olemassa olevan suojauspalvelun mukaan ja luottamalla yksinomaan Defender for Office 365 on paras ja lähin esitys siitä, mitä siirron jälkeen tapahtuu.

  • Tiettyjen Defender for Office 365 suojausominaisuuksien testaus: Et halua ottaa kaikkea käyttöön kerralla edes pilottikäyttäjille. Vaiheittaisen lähestymistavan käyttäminen pilottikokeilun käyttäjille käytössä oleville suojausominaisuuksille helpottaa vianmääritystä ja paljon helpompaa säätämistä. Tätä lähestymistapaa silmällä pitäen suosittelemme seuraavia jakeluryhmiä:

    • Turvalliset liitteet -pilottiryhmä: esimerkiksi MDOPilot_SafeAttachments
    • Safe Links -pilottiryhmä: esimerkiksi MDOPilot_SafeLinks
    • Pilottiryhmä tavallisille roskapostin ja tietojenkalastelun torjuntakäytännön asetuksille: esimerkiksi MDOPilot_SpamPhish_Standard
    • Pilottiryhmä tiukkaan roskapostin ja tietojenkalastelun torjuntaan käytäntöasetuksia varten: esimerkiksi MDOPilot_SpamPhish_Strict

Selvyyden vuoksi käytämme näitä ryhmien nimiä tässä artikkelissa, mutta voit vapaasti käyttää omaa nimeämiskäytäntöäsi.

Kun olet valmis aloittamaan testauksen, lisää nämä ryhmät poikkeuksina SCL=-1-postinkulun sääntöön. Kun luot käytäntöjä Defender for Office 365 eri suojausominaisuuksille, voit käyttää näitä ryhmiä ehdoina, jotka määrittävät, ketä käytäntö koskee.

Huomautukset:

  • Standard- ja Strict-termit ovat peräisin suositelluista suojausasetuksistamme, joita käytetään myös ennalta määritetyissä suojauskäytännöissä. Ihannetapauksessa suosittelemme määrittämään pilottikäyttäjät vakio- ja tiukat suojauskäytännöt -kohdassa, mutta emme voi tehdä sitä. Miksi? Et voi mukauttaa asetuksia valmiiksi määritetyissä suojauskäytännöissä (erityisesti viesteissä suoritettavissa toiminnoissa). Siirron testauksen aikana haluat nähdä, mitä Defender for Office 365 tekisi viesteille, varmistaa, että haluat tehdä niin, ja mahdollisesti muuttaa käytäntömäärityksiä niin, että ne sallivat tai estävät nämä tulokset.

    Ennalta määritettyjen suojauskäytäntöjen sijaan luot siis manuaalisesti mukautettuja käytäntöjä, joiden asetukset ovat hyvin samankaltaisia, mutta joissain tapauksissa erilaiset kuin vakio- ja tiukat ennalta määritetyt suojauskäytännöt.

  • Jos haluat kokeilla asetuksia, jotka eroavat merkittävästi standard- tai strict-suositusarvoista, sinun kannattaa harkita lisäjakaumaryhmien luomista ja käyttämistä pilottikäyttäjille näissä skenaarioissa. Määritysten analysointitoiminnon avulla voit tarkistaa, kuinka turvallisia asetuksesi ovat. Katso ohjeet artikkelista EOP:n ja Microsoft Defender for Office 365 suojauskäytäntöjen määritysanalysaattori.

    Useimmissa organisaatioissa kannattaa aloittaa käytännöillä, jotka ovat tiiviisti yhdenmukaisia suositeltujen vakioasetusten kanssa. Kun olet saanut niin paljon havaintoja ja palautetta kuin käytettävissäsi olevassa ajassa, voit siirtyä aggressiivisempiin asetuksiin myöhemmin. Tekeytymisen suojaus ja toimitus Roskaposti-kansioon vs. karanteeniin toimittaminen saattavat vaatia mukauttamista.

    Jos käytät mukautettuja käytäntöjä, varmista, että ne on otettu käyttöön ennen käytäntöjä, jotka sisältävät siirron suositellut asetukset. Jos käyttäjä tunnistetaan useista samaa tyyppiä olevista käytännöistä (esimerkiksi tietojenkalastelun torjunta), käyttäjään sovelletaan vain yhtä tämäntyyppistä käytäntöä (käytännön prioriteettiarvon perusteella). Lisätietoja on artikkelissa Sähköpostin suojauksen järjestys ja käsittelyjärjestys.

Vaihe 2: Määritä käyttäjän ilmoittaman viestin asetukset

Käyttäjien mahdollisuus ilmoittaa epätosi-positiivisista tai epätosi-negatiivisista Defender for Office 365 on tärkeä osa siirtoa.

Voit määrittää Exchange Online postilaatikon, jos haluat vastaanottaa viestejä, jotka käyttäjät ilmoittavat haitallisiksi tai jotka eivät ole haitallisia. Katso ohjeet kohdasta Käyttäjän raportoidut asetukset. Tämä postilaatikko voi vastaanottaa kopioita viesteistä, jotka käyttäjät ovat lähettäneet Microsoftille, tai postilaatikko voi siepata viestejä ilmoittamatta niistä Microsoftille (suojaustiimi voi analysoida ja lähettää viestit itse manuaalisesti). Sieppausmenetelmä ei kuitenkaan salli palvelun automaattisen virittämisen ja oppimisen oppimista.

Varmista myös, että kaikilla pilottikokeilun käyttäjillä on tuettu tapa ilmoittaa viesteistä, jotka saivat virheellisen tuomion Defender for Office 365. Näitä asetuksia ovat esimerkiksi seuraavat:

Älä aliarvioi tämän vaiheen tärkeyttä. Käyttäjän ilmoittamien viestien tiedot antavat sinulle palautesilmukan, joka sinun on varmistettava hyvä ja yhtenäinen loppukäyttäjäkokemus ennen siirtoa ja sen jälkeen. Tämän palautteen avulla voit tehdä tietoon perustuvia käytäntömäärityspäätöksiä sekä tarjota tietoihin perustuvia raportteja johdolle siitä, että siirto sujui sujuvasti.

Sen sijaan, että luottaisimme tietoihin, joita koko organisaation kokemus tukee, useampi kuin yksi siirto on johtanut tunnepitoiseen spekulaatioon yksittäisen negatiivisen käyttökokemuksen perusteella. Lisäksi tietojenkalastelusimulaatioita suorittaessasi voit käyttää käyttäjiesi palautetta ilmoittaaksesi, kun he näkevät jotain riskialtista, joka saattaa vaatia tutkimusta.

Vaihe 3: SCL=-1-postinkulun säännön ylläpitäminen tai luominen

Koska saapuva sähköpostiviestisi reititetään toiseen suojauspalveluun, joka sijaitsee Microsoft 365:n edessä, on hyvin todennäköistä, että sinulla on jo postinkulun sääntö (tunnetaan myös siirtosääntönä) Exchange Online joka määrittää kaikkien saapuvien sähköpostien luottamustason arvoon -1 (ohita roskapostisuodatus). Useimmat kolmannen osapuolen suojauspalvelut edistävät tätä SCL=-1-postinkulkusääntöä Microsoft 365 -asiakkaille, jotka haluavat käyttää palveluitaan.

Jos käytät jotakin muuta mekanismia Microsoftin suodatuspinon ohittamiseen (esimerkiksi SALLITTUJEN IP-osoitteiden luetteloa), suosittelemme vaihtamaan SCL=-1-postinkulkusäännön käyttöön , kunhan kaikki Microsoft 365:een saapuvat Internet-sähköpostit ovat peräisin kolmannen osapuolen suojauspalvelusta (ei sähköpostivirtoja suoraan Internetistä Microsoft 365:een).

SCL=-1-postinkulkusääntö on tärkeä siirron aikana seuraavista syistä:

  • Threat Explorerin avulla voit nähdä, mitkä Microsoft-pinon ominaisuudet olisivat toimineet viesteissä vaikuttamatta olemassa olevan suojauspalvelusi tuloksiin.

  • Voit vähitellen säätää Microsoft 365 -suodatuspinon suojaamaa käyttäjää määrittämällä poikkeukset SCL=-1-postinkulun sääntöön. Poikkeuksena ovat pilottijakeluryhmien jäsenet, joita suosittelemme myöhemmin tässä artikkelissa.

    Ennen kuin MX-tietue leikataan Microsoft 365:een tai sen aikana, tämä sääntö poistetaan käytöstä, jotta Microsoft 365 -suojauspino voidaan suojata kaikilta organisaatiosi vastaanottajilta.

Lisätietoja on artikkelissa Roskapostin luotettavuustason (SCL) määrittäminen viesteissä Exchange Online.

Huomautukset:

  • Jos aiot sallia Internet-sähköpostin kulun olemassa olevan suojauspalvelun kautta suoraan Microsoft 365:een samanaikaisesti, sinun on rajoitettava SCL=-1-postinkulun sääntöä (sähköposti, joka ohittaa roskapostisuodatuksen) sähköpostiin, joka on mennyt vain olemassa olevan suojauspalvelun läpi. Et halua suodattamattoman Internet-sähköpostin saapuvan käyttäjän postilaatikoihin Microsoft 365:ssä.

    Voit tunnistaa aiemmin luodun suojauspalvelun jo tarkistamat sähköpostit oikein lisäämällä ehdon SCL=-1-postinkulun sääntöön. Esimerkiksi:

    • Pilvipohjaisissa suojauspalveluissa: Voit käyttää otsikko- ja otsikkoarvoa, joka on yksilöllinen organisaatiollesi. Microsoft 365 ei tarkista viestejä, joissa on otsikko. Microsoft 365 tarkistaa viestit, joissa ei ole otsikkoa
    • Paikalliset suojauspalvelut tai -laitteet: Voit käyttää IP-lähdeosoitteita. Microsoft 365 ei tarkista lähde-IP-osoitteiden viestejä. Microsoft 365 tarkistaa viestit, jotka eivät ole peräisin IP-lähdeosoitteista.

  • Älä luota yksinomaan MX-tietueisiin sen hallitsemiseksi, suodatetaanko sähköpostia. Lähettäjät voivat helposti ohittaa MX-tietueen ja lähettää sähköpostia suoraan Microsoft 365:een.

Vaihe 4: Liittimien parannetun suodatuksen määrittäminen

Ensimmäiseksi sinun on määritettävä yhdistimien parannettu suodatus (eli ohita luettelo) liittimessä, jota käytetään postinkulussa olemassa olevasta suojauspalvelusta Microsoft 365:een. Voit tunnistaa liittimen saapuvien viestien raportin avulla.

Defender for Office 365 edellyttää parannettua liittimien suodatusta nähdäkseen, mistä Internet-viestit todella ovat peräisin. Parannettu liittimien suodatus parantaa huomattavasti Microsoftin suodatuspinon tarkkuutta (erityisesti huijaustiedot sekä murron jälkeiset ominaisuudet Threat Explorerissa ja Automaattisen tutkinnan & vasteessa (AIR).

Jotta voit ottaa liittimien parannetun suodatuksen käyttöön oikein, sinun on lisättävä **kaikkien** kolmansien osapuolten palvelujen ja/tai paikallisten sähköpostijärjestelmän isäntien julkiset IP-osoitteet, jotka reitittää saapuvan postin Microsoft 365:een.

Vahvista, että yhdistimien parannettu suodatus toimii, varmista, että saapuvat viestit sisältävät jommankumman tai molemmat seuraavista otsikoista:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

Vaihe 5: Pilottikokeilun suojauskäytäntöjen luominen

Luomalla tuotantokäytäntöjä, vaikka niitä ei sovelletakaan kaikkiin käyttäjiin, voit testata murron jälkeisiä ominaisuuksia, kuten Threat Exploreria, ja testata Defender for Office 365 integroinnin suojausvastaustiimisi prosesseihin.

Tärkeää

Käytännöt voidaan rajata käyttäjiin, ryhmiin tai toimialueisiin. Emme suosittele kaikkien kolmen sekoittamista yhteen käytäntöön, koska vain kaikkia kolmea vastaavat käyttäjät kuuluvat käytännön piiriin. Pilottikäytäntöjen osalta suosittelemme käyttämään ryhmiä tai käyttäjiä. Tuotantokäytännöissä suosittelemme käyttämään toimialueita. On erittäin tärkeää ymmärtää, että vain käyttäjän ensisijainen sähköpostitoimialue määrittää, kuuluuko käyttäjä käytännön piiriin. Jos siis vaihdat MX-tietueen käyttäjän toissijaiseen toimialueeseen, varmista, että käytäntö koskee myös hänen ensisijaista toimialuettaan.

Luo turvalliset liitteet -pilottikokeilun käytännöt

Turvalliset liitteet on helpoin Defender for Office 365 toiminto, joka on otettava käyttöön ja testattava ennen MX-tietueen vaihtamista. Turvalliset liitteet sisältävät seuraavat edut:

  • Vähimmäismääritys.
  • Erittäin pieni mahdollisuus vääriin positiivisiin.
  • Samanlainen käyttäytyminen kuin haittaohjelmien torjunta, joka on aina käytössä eikä siihen vaikuta SCL=-1-postinkulun sääntö.

Suositellut asetukset ovat kohdassa Suositellut turvalliset liitteet -käytäntöasetukset. Huomaa, että vakio- ja tiukat suositukset ovat samat. Jos haluat luoda käytännön, katso Turvallisten liitteiden käytäntöjen määrittäminen. Muista käyttää ryhmää MDOPilot_SafeAttachments käytännön ehtona (ketä käytäntö koskee).

Huomautus

Valmiiksi määritetty sisäinen suojauskäytäntö antaa turvalliset liitteet -suojauksen kaikille vastaanottajille, joita ei ole määritetty turvallisten liitteiden käytännöissä. Lisätietoja on artikkelissa Esiaseta suojauskäytännöt EOP:ssa ja Microsoft Defender for Office 365.

Huomautus

Emme tue linkkien paketointia tai uudelleenkirjoitusta. Jos nykyinen suojauspalvelusi jo rivittää tai kirjoittaa uudelleen sähköpostiviestien linkit, sinun on poistettava tämä ominaisuus käytöstä pilottikokeilun käyttäjiltä. Yksi tapa varmistaa, ettei näin tapahdu, on jättää toisen palvelun URL-toimialue pois Turvalliset linkit -käytännöstä.

Myös turvalliset linkit -toiminnon epätosipositiivisten positiivisten ominaisuuksien mahdollisuudet ovat melko pienet, mutta sinun kannattaa harkita ominaisuuden testaamista pienemmällä pilottikäyttäjämäärällä kuin Turvalliset liitteet -toiminnolla. Koska ominaisuus vaikuttaa käyttökokemukseen, harkitse suunnitelmaa käyttäjien kouluttamiseksi.

Suositellut asetukset ovat kohdassa Suositellut turvalliset linkit -käytäntöasetukset. Huomaa, että vakio- ja tiukat suositukset ovat samat. Jos haluat luoda käytännön, katso Turvallisten linkkien käytäntöjen määrittäminen. Muista käyttää ryhmän MDOPilot_SafeLinks käytännön ehtona (ketä käytäntö koskee).

Huomautus

Valmiiksi määritetty sisäinen suojauskäytäntö antaa Turvalliset linkit -suojauksen kaikille vastaanottajille, joita ei ole määritetty turvallisten linkkien käytännöissä. Lisätietoja on artikkelissa Esiaseta suojauskäytännöt EOP:ssa ja Microsoft Defender for Office 365.

Roskapostin torjuntaa koskevien pilottikäytäntöjen luominen

Luo kaksi roskapostin vastaista käytäntöä pilottikäyttäjille:

  • Käytäntö, joka käyttää vakioasetuksia. Käytä ryhmän MDOPilot_SpamPhish_Standard käytännön ehtona (ketä käytäntöä sovelletaan).
  • Käytäntö, joka käyttää Strict-asetuksia. Käytä ryhmän MDOPilot_SpamPhish_Strict käytännön ehtona (ketä käytäntöä sovelletaan). Tällä käytännöllä on oltava suurempi prioriteetti (pienempi määrä) kuin Vakio-asetuksissa käytettävällä käytännöllä.

Suositellut vakio- ja tiukat asetukset ovat kohdassa Suositellut roskapostin torjuntakäytännön asetukset. Jos haluat luoda käytäntöjä, katso Roskapostin torjuntakäytäntöjen määrittäminen.

Luo tietojenkalastelun torjuntaa koskevien pilottikäytäntöjen luominen

Luo kaksi tietojenkalastelun torjuntakäytäntöä pilottikäyttäjille:

  • Käytäntö, joka käyttää vakioasetuksia, lukuun ottamatta tekeytymisen tunnistustoimintoja alla kuvatulla tavalla. Käytä ryhmän MDOPilot_SpamPhish_Standard käytännön ehtona (ketä käytäntöä sovelletaan).
  • Käytäntö, joka käyttää Strict-asetuksia lukuun ottamatta tekeytymisen tunnistustoimintoja alla kuvatulla tavalla. Käytä ryhmän MDOPilot_SpamPhish_Strict käytännön ehtona (ketä käytäntöä sovelletaan). Tällä käytännöllä on oltava suurempi prioriteetti (pienempi määrä) kuin Vakio-asetuksissa käytettävällä käytännöllä.

Spoof-tunnistuksia varten suositeltu vakiotoiminto on Siirrä viesti vastaanottajien Roskaposti-kansioihin ja suositeltu Tiukka toiminto on Karanteeni. Käytä spoof intelligence insight -toimintoa tulosten tarkkailemiseen. Ohitukset selitetään seuraavassa osiossa. Lisätietoja on artikkelissa Spoof Intelligence Insight in EOP.

Ohita tekeytymistunnistuksille suositellut vakio- ja tiukat toimet pilottikäytännöille. Käytä sen sijaan arvoa Älä ota mitään toimintoa käyttöön seuraavissa asetuksissa:

  • Jos viesti tunnistetaan tekeytyneeksi käyttäjäksi
  • Jos viesti tunnistetaan tekeytyneeksi toimialueeksi
  • Jos postilaatikon älykkyys havaitsee tekeytyneen käyttäjän

Käytä tekeytymisen merkityksellistä tietoa tulosten tarkkailemiseen. Lisätietoja on Defender for Office 365 kohdassa Tekeytymisen merkityksellinen tieto.

Voit hienosäätää tekeytymissuojausta (säädä salli ja estää) ja ottaa jokaisen tekeytymisen suojaustoiminnon käyttöön karanteeniin tai siirtää viestit Roskaposti-kansioon (perustuen vakio- tai tiukkojin suosituksiin). Voit tarkkailla tuloksia ja säätää niiden asetuksia tarpeen mukaan.

Lisätietoja on seuraavissa artikkeleissa:

Seuraavat vaiheet

Onneksi olkoon! Olet suorittanut asennuksen vaiheen siirtymisen Microsoft Defender for Office 365!