Obtenir la meilleure valeur de sécurité de Microsoft Defender pour Office 365 lorsque vous disposez d’un filtrage de courrier tiers
Ce guide est pour vous si :
- Vous disposez d’une licence Microsoft Defender pour Office 365 et hébergez vos boîtes aux lettres dans Office 365
- Vous utilisez également un tiers pour la sécurité de votre messagerie
Les informations suivantes expliquent comment tirer le meilleur parti de votre investissement, réparties en étapes faciles à suivre.
Informations nécessaires
- Boîtes aux lettres hébergées dans Office 365
- Un ou plusieurs des éléments suivants :
- Microsoft Defender pour Office 365 Plan 1 pour les fonctionnalités de protection
- Microsoft Defender pour Office 365 Plan 2 pour la plupart des autres fonctionnalités (incluses dans les offres E5)
- Version d’évaluation de Microsoft Defender pour Office 365 (disponible pour tous les clients sur aka.ms/tryMDO)
- Autorisations suffisantes pour configurer les fonctionnalités décrites ci-dessous
Étape 1 : Comprendre la valeur dont vous disposez déjà
Fonctionnalités de protection intégrées
- La protection intégrée offre un niveau de base de protection discrète, et inclut les programmes malveillants, zéro jour (pièces jointes fiables) et la protection d’URL (liens fiables) dans les e-mails (y compris la messagerie interne), SharePoint Online, OneDrive et Teams. La protection d’URL fournie dans cet état s’effectue uniquement via un appel d’API. Il n’encapsule pas ou ne réécrit pas les URL, mais nécessite un client Outlook pris en charge. Vous pouvez créer vos propres stratégies personnalisées pour étendre votre protection.
En savoir plus & regardez une vidéo de vue d’ensemble des liens fiables ici :Vue d’ensemble complète des liens fiables
En savoir plus sur les pièces jointes fiables ici :Pièces jointes fiables
Fonctionnalités de détection, d’investigation, de réponse et de chasse
- Lorsque des alertes se déclenchent dans Microsoft Defender pour Office 365, elles sont automatiquement corrélées et combinées en incidents pour aider à réduire la fatigue des alertes sur le personnel de sécurité. L’investigation et la réponse automatisées (AIR) déclenchent des investigations pour aider à corriger et à contenir les menaces.
En savoir plus, regardez une vidéo de présentation et commencez ici :Réponse aux incidents avec Microsoft Defender XDR
- Threat Analytics est notre solution de renseignement sur les menaces détaillée intégrée au produit, issue de chercheurs experts en sécurité Microsoft. Threat Analytics contient des rapports détaillés qui sont conçus pour vous aider à vous familiariser avec les groupes de menaces les plus récents, les techniques d’attaque, la façon de protéger votre organisation avec des indicateurs de compromission (IOC) et bien plus encore.
En savoir plus, regardez une vidéo de présentation et commencez ici :Analyse des menaces dans Microsoft Defender XDR
- L’Explorateur peut être utilisé pour chasser les menaces, visualiser les modèles de flux de courrier, repérer les tendances et identifier l’impact des modifications que vous apportez lors du paramétrage de Defender pour Office 365. Vous pouvez également supprimer rapidement des messages de votre organisation en quelques clics.
En savoir plus et bien démarrer ici :Explorateur de menaces et détections en temps réel
Étape 2 : améliorer la valeur avec ces étapes simples
Fonctionnalités de protection supplémentaires
- Envisagez d’activer des stratégies au-delà de la protection intégrée. Activation de la protection en temps de clic ou de la protection contre l’emprunt d’identité, par exemple, pour ajouter des couches supplémentaires ou combler les lacunes manquantes dans votre protection tierce. Si vous avez une règle de flux de courrier (également appelée règle de transport) ou un filtre de connexion qui remplace les verdicts (également appelés règle SCL=-1), vous devez traiter cette configuration avant d’activer d’autres fonctionnalités de protection.
En savoir plus ici :Stratégies anti-hameçonnage
- Si votre fournisseur de sécurité actuel est configuré pour modifier les messages de quelque manière que ce soit, il est important de noter que les signaux d’authentification peuvent avoir un impact sur la capacité de Defender pour Office 365 à vous protéger contre les attaques telles que l’usurpation d’identité. Si votre tiers prend en charge la chaîne de réception authentifiée (ARC), l’activation de cette étape est fortement recommandée dans votre parcours vers le filtrage double avancé. Le déplacement d’une configuration de modification de message vers Defender pour Office 365 est également une alternative.
En savoir plus ici :Configurer des scellants ARC approuvés.
- Le filtrage amélioré pour les connecteurs permet de conserver les informations d’adresse IP et d’expéditeur par le biais du tiers. Cette fonctionnalité améliore la précision de la pile de filtrage (protection), les fonctionnalités post-violation & les améliorations de l’authentification.
En savoir plus ici :Filtrage amélioré pour les connecteurs dans Exchange Online
- La protection des comptes prioritaires offre une visibilité améliorée pour les comptes dans les outils, ainsi qu’une protection supplémentaire lorsqu’ils sont dans un état de configuration avancé de défense en profondeur.
En savoir plus ici :Protection des comptes prioritaires
- La remise avancée doit être configurée pour fournir correctement toutes les simulations d’hameçonnage tierces, et si vous avez une boîte aux lettres d’opérations de sécurité, envisagez de la définir comme une boîte aux lettres SecOps pour vous assurer que les e-mails ne sont pas supprimés de la boîte aux lettres en raison de menaces.
En savoir plus ici :Livraison avancée
- Vous pouvez configurer les paramètres signalés par l’utilisateur pour permettre aux utilisateurs de signaler des messages bons ou incorrects à Microsoft, à une boîte aux lettres de création de rapports désignée (pour s’intégrer aux flux de travail de sécurité actuels) ou les deux. Les administrateurs peuvent utiliser l’onglet Utilisateur signalé sur la page Soumissions pour trier les faux positifs et les messages signalés par les utilisateurs faux négatifs.
En savoir plus ici :Déployer et configurer le complément de message de rapport pour les utilisateurs.
Fonctionnalités de détection, d’investigation, de réponse et de chasse
- La chasse avancée peut être utilisée pour rechercher de manière proactive les menaces dans votre organisation, en utilisant des requêtes partagées de la communauté pour vous aider à commencer. Vous pouvez également utiliser des détections personnalisées pour configurer des alertes lorsque des critères personnalisés sont remplis.
En savoir plus, regardez une vidéo de présentation et commencez ici :Vue d’ensemble - Repérage avancé
Fonctionnalités d’éducation
- La formation sur la simulation d’attaque vous permet d’exécuter des scénarios de cyberattaque réalistes mais sans gravité dans votre organisation. Si vous ne disposez pas déjà des fonctionnalités de simulation d’hameçonnage de votre principal fournisseur de sécurité de messagerie, les attaques simulées de Microsoft peuvent vous aider à identifier et à trouver les utilisateurs, les stratégies et les pratiques vulnérables. Cette fonctionnalité contient des connaissances importantes à avoir et à corriger avant qu’une attaque réelle n’affecte votre organisation. Après la simulation que nous affectons dans un produit ou une formation personnalisée pour éduquer les utilisateurs sur les menaces qu’ils ont manquées, ce qui réduit le profil de risque de votre organisation. Avec la formation sur la simulation d’attaque, nous livrons les messages directement dans la boîte de réception, afin que l’expérience utilisateur soit riche. Cela signifie également qu’aucune modification de sécurité, telle que les remplacements, n’est nécessaire pour que les simulations soient fournies correctement.
Prise en main ici :Prise en main de la simulation d’attaque.
Passez directement à la fourniture d’une simulation ici :Comment configurer des attaques automatisées et une formation dans la formation sur la simulation d’attaque
Étape 3 et au-delà, devenir un héros à double usage
- La plupart des activités de détection, d’investigation, de réponse et de chasse décrites précédemment doivent être répétées par vos équipes de sécurité. Ce guide fournit une description détaillée des tâches, de la cadence et des affectations d’équipe que nous recommandons.
En savoir plus :Guide des opérations de sécurité pour Defender pour Office 365
- Considérez les expériences utilisateur telles que l’accès à plusieurs quarantaines, ou la soumission/la création de rapports de faux positifs et de faux négatifs. Vous pouvez marquer les messages détectés par le service tiers avec un en-tête X personnalisé. Par exemple, vous pouvez utiliser des règles de flux de messagerie pour détecter et mettre en quarantaine les e-mails qui contiennent l’en-tête X . Ce résultat donne également aux utilisateurs un emplacement unique pour accéder aux messages mis en quarantaine.
En savoir plus :Comment configurer des autorisations et des stratégies de mise en quarantaine
- Le guide de migration contient de nombreux conseils utiles sur la préparation et le réglage de votre environnement pour le préparer à une migration. Toutefois, la plupart des étapes s’appliquent également à un scénario à double utilisation. Ignorez simplement les instructions relatives au commutateur MX dans les dernières étapes.
Lisez-le ici :Migrer d’un service de protection tiers vers Microsoft Defender pour Office 365 - Office 365 | Microsoft Docs.
Plus d’informations
Migrer d’un service de protection tiers vers Microsoft Defender pour Office 365
Guide des opérations de sécurité pour Defender pour Office 365
Tirer le meilleur parti de Microsoft Defender pour Office 365 avec Microsoft Defender XDR.