Partager via

Piloter et déployer Defender pour Office 365

  • Article

S’applique à :

  • Microsoft Defender XDR

Cet article fournit un flux de travail pour le pilotage et le déploiement de Microsoft Defender pour Office 365 dans votre organisation. Vous pouvez utiliser ces recommandations pour intégrer Microsoft Defender pour Office 365 en tant qu’outil de cybersécurité individuel ou dans le cadre d’une solution de bout en bout avec Microsoft Defender XDR.

Cet article suppose que vous disposez d’un client Microsoft 365 de production et que vous pilotez et déployez Microsoft Defender pour Office 365 dans cet environnement. Cette pratique conserve tous les paramètres et personnalisations que vous configurez pendant votre pilote pour votre déploiement complet.

Defender pour Office 365 contribue à une architecture Confiance Zéro en aidant à prévenir ou à réduire les dommages causés à l’entreprise par une violation. Pour plus d’informations, consultez le scénario Empêcher ou réduire les dommages pour l’entreprise d’une violation de l’entreprise dans le framework d’adoption de la Confiance Zéro microsoft.

Déploiement de bout en bout pour Microsoft Defender XDR

Il s’agit de l’article 3 sur 6 d’une série qui vous aide à déployer les composants de Microsoft Defender XDR, y compris l’examen et la réponse aux incidents.

Diagramme montrant Microsoft Defender pour Office 365 dans le processus pilote et de déploiement de Microsoft Defender XDR.

Les articles de cette série correspondent aux phases suivantes du déploiement de bout en bout :

Phase Liens
A. Démarrer le pilote Démarrer le pilote
B. Piloter et déployer des composants Microsoft Defender XDR - Piloter et déployer Defender pour Identity

- Piloter et déployer Defender pour Office 365 (cet article)

- Piloter et déployer Defender pour point de terminaison

- Piloter et déployer Microsoft Defender for Cloud Apps
C. Examiner les menaces et y répondre Pratiquez l’investigation et la réponse aux incidents

Piloter et déployer un flux de travail pour Defender pour Office 365

Le diagramme suivant illustre un processus courant de déploiement d’un produit ou d’un service dans un environnement informatique.

Diagramme des phases d’adoption du pilote, de l’évaluation et du déploiement complet.

Vous commencez par évaluer le produit ou le service et la façon dont il fonctionnera au sein de votre organisation. Ensuite, vous pilotez le produit ou le service avec un sous-ensemble convenablement petit de votre infrastructure de production à des fins de test, d’apprentissage et de personnalisation. Ensuite, augmentez progressivement l’étendue du déploiement jusqu’à ce que l’ensemble de votre infrastructure ou organisation soit couvert.

Voici le flux de travail pour le pilotage et le déploiement de Defender pour Office 365 dans votre environnement de production.

Diagramme montrant les étapes de pilote et de déploiement de Microsoft Defender pour Office 365.

Procédez comme suit :

  1. Auditer et vérifier l’enregistrement MX public
  2. Auditer les domaines acceptés
  3. Auditer les connecteurs entrants
  4. Activer l’évaluation
  5. Créer des groupes pilotes
  6. Configurer la protection
  7. Tester les fonctionnalités

Voici les étapes recommandées pour chaque étape de déploiement.

Phase de déploiement Description
Évaluation Effectuer une évaluation de produit pour Defender pour Office 365.
Pilote Effectuez les étapes 1 à 7 pour les groupes pilotes.
Déploiement complet Configurez les groupes d’utilisateurs pilotes à l’étape 5 ou ajoutez des groupes d’utilisateurs pour les étendre au-delà du pilote et éventuellement inclure tous vos comptes d’utilisateur.

Architecture et configuration requise de Defender pour Office 365

Le diagramme suivant illustre l’architecture de base pour Microsoft Defender pour Office 365, qui peut inclure une passerelle SMTP tierce ou une intégration locale. Les scénarios de coexistence hybride (autrement dit, les boîtes aux lettres de production sont à la fois locales et en ligne) nécessitent des configurations plus complexes et ne sont pas abordés dans cet article ou ce guide d’évaluation.

Diagramme de l’architecture de Microsoft Defender pour Office 365.

Le tableau suivant décrit cette illustration.

Appel Description
1 Le serveur hôte de l’expéditeur externe effectue généralement une recherche DNS publique pour un enregistrement MX, ce qui permet au serveur cible de relayer le message. Cette référence peut être Exchange Online (EXO) directement ou une passerelle SMTP configurée pour être relayée sur EXO.
2 Exchange Online Protection négocie et valide la connexion entrante et inspecte les en-têtes de message et le contenu pour déterminer quelles stratégies, balises ou traitements supplémentaires sont nécessaires.
3 Exchange Online s’intègre à Microsoft Defender pour Office 365 pour offrir une protection, une atténuation et une correction plus avancées contre les menaces.
4 Un message qui n’est pas malveillant, bloqué ou mis en quarantaine est traité et remis au destinataire dans EXO, où les préférences utilisateur relatives au courrier indésirable, aux règles de boîte aux lettres ou à d’autres paramètres sont évaluées et déclenchées.
5 L’intégration à Active Directory local peut être activée à l’aide de Microsoft Entra Connect pour synchroniser et provisionner des objets et des comptes à extension messagerie avec l’ID Microsoft Entra et, finalement, Exchange Online.
6 Lors de l’intégration d’un environnement local, il est préférable d’utiliser un serveur Exchange pour la gestion et l’administration prises en charge des attributs, paramètres et configurations liés à la messagerie.
7 Microsoft Defender pour Office 365 partage des signaux à Microsoft Defender XDR pour la détection et la réponse étendues (XDR).

L’intégration locale est courante, mais facultative. Si votre environnement est cloud uniquement, ces conseils vous conviennent également.

Un pilote d’évaluation ou de production de Defender pour Office 365 réussi nécessite les conditions préalables suivantes :

  • Toutes vos boîtes aux lettres de destinataire se trouvent actuellement dans Exchange Online.
  • Votre enregistrement MX public est résolu directement en EOP ou une passerelle SMTP (Simple Mail Transfer Protocol) tierce qui relaie ensuite le courrier externe entrant directement vers EOP.
  • Votre domaine de messagerie principal est configuré comme faisant autorité dans Exchange Online.
  • Vous avez correctement déployé et configuré le blocage de périphérie basé sur les répertoires (DBEB) comme il convient. Pour plus d’informations, consultez Utiliser le blocage Directory-Based Edge pour rejeter les messages envoyés à des destinataires non valides.

Importante

Si ces exigences ne sont pas applicables ou si vous êtes toujours dans un scénario de coexistence hybride, une évaluation de Microsoft Defender pour Office 365 peut nécessiter des configurations plus complexes ou avancées qui ne sont pas entièrement couvertes dans ce guide.

Étape 1 : Auditer et vérifier l’enregistrement MX public

Pour évaluer efficacement Microsoft Defender pour Office 365, il est important que le courrier externe entrant soit relayé via l’instance Exchange Online Protection (EOP) associée à votre locataire.

  1. Dans le portail d’administration M365 à l’adresse https://admin.microsoft.com, développez ... Affichez tout si nécessaire, développez Paramètres, puis sélectionnez Domaines. Ou, pour accéder directement à la page Domaines , utilisez https://admin.microsoft.com/Adminportal/Home#/Domains.
  2. Dans la page Domaines , sélectionnez votre domaine de messagerie vérifié en cliquant n’importe où sur l’entrée autre que la case à cocher.
  3. Dans le menu volant détails du domaine qui s’ouvre, sélectionnez l’onglet Enregistrements DNS . Notez l’enregistrement MX qui est généré et affecté à votre locataire EOP.
  4. Accédez à votre zone DNS externe (publique) et vérifiez l’enregistrement MX principal associé à votre domaine de messagerie :
    • Si votre enregistrement MX public correspond actuellement à l’adresse EOP attribuée (par exemple, contoso-com.mail.protection.outlook.com), aucune autre modification de routage ne doit être nécessaire.
    • Si votre enregistrement MX public est actuellement résolu en passerelle SMTP tierce ou locale, des configurations de routage supplémentaires peuvent être nécessaires.
    • Si votre enregistrement MX public est actuellement résolu en exchange local, vous êtes peut-être toujours dans un modèle hybride où certaines boîtes aux lettres de destinataire n’ont pas encore été migrées vers EXO.

Étape 2 : Auditer les domaines acceptés

  1. Dans le Centre d’administration Exchange (EAC) à https://admin.exchange.microsoft.com, développez Flux de courrier, puis cliquez sur Domaines acceptés. Ou, pour accéder directement à la page Domaines acceptés , utilisez https://admin.exchange.microsoft.com/#/accepteddomains.
  2. Dans la page Domaines acceptés , notez la valeur Type de domaine pour votre domaine de messagerie principal.
    • Si le type de domaine est défini sur Autorité, il est supposé que toutes les boîtes aux lettres de destinataires de votre organisation résident actuellement dans Exchange Online.
    • Si le type de domaine est défini sur InternalRelay, il se peut que vous soyez toujours dans un modèle hybride où certaines boîtes aux lettres de destinataire résident toujours localement.

Étape 3 : Auditer les connecteurs entrants

  1. Dans le Centre d’administration Exchange (EAC) à https://admin.exchange.microsoft.com, développez Flux de courrier, puis cliquez sur Connecteurs. Ou, pour accéder directement à la page Connecteurs, utilisez https://admin.exchange.microsoft.com/#/connectors.
  2. Dans la page Connecteurs , notez tous les connecteurs avec les paramètres suivants :
    • La valeur De est l’organisation partenaire qui peut être corrélée à une passerelle SMTP tierce.
    • La valeur De est Votre organisation , ce qui peut indiquer que vous êtes toujours dans un scénario hybride.

Étape 4 : Activer l’évaluation

Suivez les instructions fournies ici pour activer votre évaluation de Microsoft Defender pour Office 365 à partir du portail Microsoft Defender.

Pour plus d’informations, voir Essayer Microsoft Defender pour Office 365.

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, développez e-mail & collaboration> , sélectionnez Stratégies & règles> sélectionnez Stratégies> de menace faites défiler vers le bas jusqu’à la section Autres , puis sélectionnez Mode d’évaluation. Ou, pour accéder directement à la page Mode d’évaluation , utilisez https://security.microsoft.com/atpEvaluation.

  2. Dans la page Mode d’évaluation , cliquez sur Démarrer l’évaluation.

    Capture d’écran de la page Mode d’évaluation et du bouton Démarrer l’évaluation sur lequel cliquer.

  3. Dans la boîte de dialogue Activer la protection , sélectionnez Non, Je veux uniquement créer des rapports, puis cliquez sur Continuer.

    Capture d’écran de la boîte de dialogue Activer la protection et de l’option Non, je veux uniquement la création de rapports à sélectionner.

  4. Dans la boîte de dialogue Sélectionner les utilisateurs que vous souhaitez inclure , sélectionnez Tous les utilisateurs, puis cliquez sur Continuer.

    Capture d’écran de la boîte de dialogue Sélectionner les utilisateurs que vous souhaitez inclure et de l’option Tous les utilisateurs à sélectionner.

  5. Dans la boîte de dialogue Aidez-nous à comprendre votre flux de messagerie , l’une des options suivantes est automatiquement sélectionnée en fonction de notre détection de l’enregistrement MX pour votre domaine :

    • J’utilise uniquement Microsoft Exchange Online : les enregistrements MX de votre domaine pointent vers Microsoft 365. Il ne reste plus rien à configurer. Cliquez donc sur Terminer.

      Capture d’écran de la boîte de dialogue Aidez-nous à comprendre votre flux de courrier avec l’option J’utilise uniquement Microsoft Exchange Online sélectionnée.

    • J’utilise un fournisseur de services tiers et/ou local : dans les écrans à venir, sélectionnez le nom du fournisseur ainsi que le connecteur entrant qui accepte les messages de cette solution. Vous décidez également si vous avez besoin d’une règle de flux de messagerie Exchange Online (également appelée règle de transport) qui ignore le filtrage du courrier indésirable pour les messages entrants provenant du service ou de l’appareil de protection tiers. Lorsque vous avez terminé, cliquez sur Terminer.

Étape 5 : Créer des groupes pilotes

Lorsque vous pilotez Microsoft Defender pour Office 365, vous pouvez choisir de piloter des utilisateurs spécifiques avant d’activer et d’appliquer des stratégies pour l’ensemble de votre organisation. La création de groupes de distribution peut aider à gérer les processus de déploiement. Par exemple, créez des groupes tels que Defender pour les utilisateurs Office 365 - Protection standard, Defender pour les utilisateurs Office 365 - Protection stricte, Defender pour les utilisateurs Office 365 - Protection personnalisée ou Defender pour Les utilisateurs Office 365 - Exceptions.

Il n’est peut-être pas évident que les termes « Standard » et « Strict » sont utilisés pour ces groupes, mais cela deviendra clair lorsque vous explorerez plus en détail les présélections de sécurité de Defender pour Office 365. Les groupes de noms « personnalisé » et « exceptions » parlent d’eux-mêmes, et bien que la plupart de vos utilisateurs doivent être soumis à des groupes standard et stricts, les groupes personnalisés et d’exceptions collectent des données précieuses pour vous concernant la gestion des risques.

Les groupes de distribution peuvent être créés et définis directement dans Exchange Online ou synchronisés à partir d’Active Directory local.

  1. Connectez-vous au Centre d’administration Exchange (EAC) à https://admin.exchange.microsoft.com l’aide d’un compte auquel le rôle Administrateur de destinataire a été attribué ou des autorisations de gestion de groupe déléguées.

  2. Accédez à Groupes de destinataires>.

    Capture d’écran de l’élément de menu Groupes.

  3. Dans la page Groupes , sélectionnez Ajouter une icône de groupe.Ajoutez un groupe.

    Capture d’écran de l’option Ajouter un groupe.

  4. Pour type de groupe, sélectionnez Distribution, puis cliquez sur Suivant.

    Capture d’écran de la section Choisir un type de groupe.

  5. Donnez au groupe un nom et une description facultative, puis cliquez sur Suivant.

    Capture d’écran de la section Configurer les informations de base.

  6. Sur les pages restantes, affectez un propriétaire, ajoutez des membres au groupe, définissez l’adresse e-mail, les restrictions de jonction/départ et d’autres paramètres.

Étape 6 : Configurer la protection

Certaines fonctionnalités de Defender pour Office 365 sont configurées et activées par défaut, mais les opérations de sécurité peuvent vouloir augmenter le niveau de protection par défaut.

Certaines fonctionnalités ne sont pas encore configurées. Vous disposez des options suivantes pour configurer la protection (qui sont faciles à modifier ultérieurement) :

  • Affecter des utilisateurs à des stratégies de sécurité prédéfinies : les stratégies de sécurité prédéfinies sont la méthode recommandée pour attribuer rapidement un niveau de protection uniforme sur toutes les fonctionnalités. Vous pouvez choisir une protection standard ou une protection stricte . Les paramètres pour Standard et Strict sont décrits dans les tableaux ici. Les différences entre Standard et Strict sont résumées dans le tableau ici.

    Les avantages des stratégies de sécurité prédéfinies sont que vous protégez des groupes d’utilisateurs aussi rapidement que possible à l’aide des paramètres recommandés par Microsoft en fonction des observations dans les centres de données. À mesure que de nouvelles fonctionnalités de protection sont ajoutées et que le paysage de la sécurité change, les paramètres des stratégies de sécurité prédéfinies sont automatiquement mis à jour vers nos paramètres recommandés.

    L’inconvénient des stratégies de sécurité prédéfinies est que vous ne pouvez personnaliser pratiquement aucun des paramètres de sécurité dans les stratégies de sécurité prédéfinies (par exemple, vous ne pouvez pas modifier une action de remise en courrier indésirable en quarantaine, ou inversement). L’exception concerne les entrées et les exceptions facultatives pour l’emprunt d’identité utilisateur et la protection contre l’emprunt d’identité de domaine, que vous devez configurer manuellement.

    Gardez également à l’esprit que les stratégies de sécurité prédéfinies sont toujours appliquées avant les stratégies personnalisées. Par conséquent, si vous souhaitez créer et utiliser des stratégies personnalisées, vous devez exclure les utilisateurs de ces stratégies personnalisées des stratégies de sécurité prédéfinies.

  • Configurer des stratégies de protection personnalisées : si vous préférez configurer l’environnement vous-même, comparez les paramètres par défaut, Standard et Strict dans Paramètres recommandés pour la sécurité EOP et Microsoft Defender pour Office 365. Conservez une feuille de calcul indiquant où votre build personnalisée s’écarte.

    Vous pouvez également utiliser l’analyseur de configuration pour comparer les paramètres de vos stratégies personnalisées aux valeurs Standard et Strict.

Pour plus d’informations sur le choix des stratégies de sécurité prédéfinies et des stratégies personnalisées, consultez Déterminer votre stratégie de protection.

Attribuer des stratégies de sécurité prédéfinies

Nous vous recommandons de commencer rapidement avec les stratégies de sécurité prédéfinies dans EOP et Defender pour Office 365 en les affectant à des utilisateurs pilotes spécifiques ou à des groupes définis dans le cadre de votre évaluation. Les stratégies prédéfinies offrent un modèle de protection standard de base ou un modèle de protection Strict plus agressif, qui peut être attribué indépendamment.

Par exemple, une condition EOP pour les évaluations pilotes peut être appliquée si les destinataires sont membres d’un groupe EOP Standard Protection défini, puis géré en ajoutant des comptes au groupe ou en supprimant le compte du groupe.

De même, une condition Defender pour Office 365 pour les évaluations pilotes peut être appliquée si les destinataires sont membres d’un groupe De protection Standard Defender pour Office 365 défini, puis gérés en ajoutant ou en supprimant des comptes via le groupe.

Pour obtenir des instructions complètes, consultez Utiliser le portail Microsoft Defender pour attribuer des stratégies de sécurité prédéfinies Standard et Strict aux utilisateurs.

Configurer des stratégies de protection personnalisées

Les modèles de stratégie Standard ou Strict Defender pour Office 365 prédéfinis offrent à vos utilisateurs pilotes la protection de base recommandée. Toutefois, vous pouvez également créer et affecter des stratégies de protection personnalisées dans le cadre de votre évaluation.

Il est important de connaître la priorité de ces stratégies de protection lorsqu’elles sont appliquées et appliquées, comme expliqué dans Ordre de priorité pour les stratégies de sécurité prédéfinies et d’autres stratégies.

L’explication et le tableau dans Configurer les stratégies de protection fournissent une référence pratique pour ce que vous devez configurer.

Étape 7 : Tester les fonctionnalités

Maintenant que votre pilote est configuré et configuré, il est utile de vous familiariser avec les outils de création de rapports, de surveillance et de simulation d’attaque qui sont propres à Microsoft Defender pour Microsoft 365.

Fonctionnalité Description Plus d’informations
Threat Explorer L’Explorateur de menaces est un puissant outil en quasi-temps réel qui permet aux équipes des opérations de sécurité d’examiner et de répondre aux menaces et d’afficher des informations sur les programmes malveillants détectés et le hameçonnage dans les e-mails et les fichiers dans Office 365, ainsi que d’autres menaces et risques de sécurité pour votre organisation. À propos de l’Explorateur de menaces
Formation à la simulation d'attaque Vous pouvez utiliser la formation sur la simulation d’attaque dans le portail Microsoft Defender pour exécuter des scénarios d’attaque réalistes dans votre organisation, qui vous aident à identifier et à trouver les utilisateurs vulnérables avant qu’une attaque réelle n’affecte votre environnement. Commencer à utiliser la formation à la simulation d’attaque
Tableau de bord rapports Dans le menu de navigation de gauche, cliquez sur Rapports et développez le titre e-mail & collaboration. Les rapports de collaboration e-mail & concernent la détection des tendances en matière de sécurité, dont certaines vous permettent d’agir (par le biais de boutons tels que « Accéder aux soumissions »), et d’autres qui affichent des tendances. Ces métriques sont générées automatiquement. Afficher les rapports de sécurité des e-mails dans le portail Microsoft Defender

Afficher les rapports Defender pour Office 365 dans le portail Microsoft Defender

Intégration SIEM

Vous pouvez intégrer Defender pour Office 365 à Microsoft Sentinel ou à un service SIEM (Security Information and Event Management) générique pour permettre une surveillance centralisée des alertes et des activités à partir d’applications connectées. Avec Microsoft Sentinel, vous pouvez analyser de manière plus complète les événements de sécurité au sein de votre organisation et créer des playbooks pour une réponse efficace et immédiate.

Diagramme montrant l’architecture de Microsoft Defender pour Office 365 avec l’intégration SIEM.

Microsoft Sentinel inclut un connecteur Defender pour Office 365. Pour plus d’informations, voir Connecter des alertes à partir de Microsoft Defender pour Office 365.

Microsoft Defender pour Office 365 peut également être intégré à d’autres solutions SIEM à l’aide de l’API gestion des activités Office 365. Pour plus d’informations sur l’intégration avec les systèmes SIEM génériques, consultez Intégration SIEM générique.

Étape suivante

Incorporez les informations du Guide des opérations de sécurité de Microsoft Defender pour Office 365 dans vos processus SecOps.

Étape suivante pour le déploiement de bout en bout de Microsoft Defender XDR

Poursuivez votre déploiement de bout en bout de Microsoft Defender XDR avec Pilote et déployez Defender pour point de terminaison.

Diagramme montrant Microsoft Defender pour point de terminaison dans le processus pilote et de déploiement de Microsoft Defender XDR.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.