Migrer vers Microsoft Defender pour Office 365 - Phase 3 : Intégration
Phase 1 : préparation |
Phase 2 : configuration |
Phase 3 : intégration |
---|---|---|
Tu es là ! |
Bienvenue à la phase 3 : Intégration de votre migration vers Microsoft Defender pour Office 365 ! Cette phase de migration comprend les étapes suivantes :
- Commencer l’intégration d’équipes de sécurité
- (Facultatif) Exempter les utilisateurs pilotes du filtrage par votre service de protection existant
- Optimiser l’intelligence contre l’usurpation d’identité
- Optimiser la protection contre l’emprunt d’identité et l’intelligence des boîtes aux lettres
- Utiliser les données des messages signalés par l’utilisateur pour mesurer et ajuster
- (Facultatif) Ajouter d’autres utilisateurs à votre pilote et effectuer une itération
- Étendre la protection Microsoft 365 à tous les utilisateurs et désactiver la règle de flux de messagerie SCL=-1
- Changer vos enregistrements MX
Étape 1 : Commencer l’intégration d’Équipes de sécurité
Si votre organization dispose d’une équipe de réponse de sécurité, le moment est venu de commencer à intégrer Microsoft Defender pour Office 365 dans vos processus de réponse, y compris les systèmes de tickets. Ce processus est un sujet entier en soi, mais il est parfois négligé. L’implication précoce de l’équipe de réponse de sécurité garantit que votre organization est prêt à faire face aux menaces lorsque vous changez vos enregistrements MX. La réponse aux incidents doit être bien équipée pour gérer les tâches suivantes :
- Découvrez les nouveaux outils et intégrez-les à des flux existants. Par exemple :
- Administration gestion des messages mis en quarantaine est importante. Pour obtenir des instructions, consultez Gérer les messages et les fichiers mis en quarantaine en tant qu’administrateur.
- Le suivi des messages vous permet de voir ce qui est arrivé aux messages à mesure qu’ils entrent ou quittent Microsoft 365. Pour plus d’informations, consultez Suivi des messages dans le centre d’administration Exchange moderne dans Exchange Online.
- Identifiez les risques qui ont pu être laissés dans le organization.
- Paramétrez et personnalisez les alertes pour les processus organisationnels.
- Gérez la file d’attente des incidents et corrigez les risques potentiels.
Si votre organization acheté Microsoft Defender pour Office 365 Plan 2, il doit commencer à se familiariser avec les fonctionnalités telles que le Explorer des menaces, la chasse avancée et les incidents. Pour obtenir des formations pertinentes, consultez https://aka.ms/mdoninja.
Si votre équipe de réponse de sécurité collecte et analyse les messages non filtrés, vous pouvez configurer une boîte aux lettres SecOps pour recevoir ces messages non filtrés. Pour obtenir des instructions, consultez Configurer des boîtes aux lettres SecOps dans la stratégie de remise avancée.
SIEM/SOAR
Pour plus d’informations sur l’intégration à votre SIEM/SOAR, consultez les articles suivants :
- Vue d’ensemble des API Microsoft Defender XDR
- API de diffusion en continu
- API de chasse avancée
- API d’incidents
Si votre organization n’a pas d’équipe de réponse de sécurité ou de flux de processus existants, vous pouvez utiliser cette période pour vous familiariser avec les fonctionnalités de chasse et de réponse de base dans Defender for Office 365. Pour plus d’informations, consultez Investigation et réponse aux menaces.
Rôles RBAC
Les autorisations dans Defender for Office 365 sont basées sur le contrôle d’accès en fonction du rôle (RBAC) et sont expliquées dans Autorisations dans le portail Microsoft Defender. Voici les points importants à garder à l’esprit :
- Microsoft Entra rôles accordent des autorisations à toutes les charges de travail dans Microsoft 365. Par exemple, si vous ajoutez un utilisateur à l’administrateur de la sécurité dans le Portail Azure, il dispose des autorisations d’administrateur de la sécurité partout.
- Email & rôles de collaboration dans le portail Microsoft Defender accordent des autorisations au portail Microsoft Defender et au portail de conformité Microsoft Purview. Par exemple, si vous ajoutez un utilisateur à l’administrateur de sécurité dans le portail Microsoft Defender, il dispose d’un accès Administrateur de la sécurité uniquement dans le portail Microsoft Defender et le portail de conformité Microsoft Purview.
- De nombreuses fonctionnalités du portail Microsoft Defender sont basées sur Exchange Online applets de commande PowerShell et nécessitent donc l’appartenance au groupe de rôles dans les rôles correspondants (techniquement, groupes de rôles) dans Exchange Online (en particulier, pour l’accès aux Exchange Online PowerShell correspondants applets de commande).
- Il existe Email & rôles de collaboration dans le portail Microsoft Defender qui n’ont pas d’équivalent aux rôles Microsoft Entra et qui sont importants pour les opérations de sécurité (par exemple, le rôle Préversion et le rôle Recherche et Purger).
En règle générale, seul un sous-ensemble du personnel de sécurité a besoin de droits supplémentaires pour télécharger des messages directement à partir des boîtes aux lettres des utilisateurs. Ce besoin nécessite une autorisation supplémentaire qui n’a pas par défaut Security Reader.
Étape 2 : (Facultatif) Exempter les utilisateurs pilotes du filtrage par votre service de protection existant
Bien que cette étape ne soit pas obligatoire, vous devez envisager de configurer vos utilisateurs pilotes pour contourner le filtrage par votre service de protection existant. Cette action permet aux Defender for Office 365 de gérer toutes les tâches de filtrage et de protection pour les utilisateurs pilotes. Si vous n’exemptez pas vos utilisateurs pilotes de votre service de protection existant, Defender for Office 365 fonctionne efficacement uniquement en cas d’absence de l’autre service (filtrage des messages qui ont déjà été filtrés).
Remarque
Cette étape est explicitement requise si votre service de protection actuel fournit un wrapper de liens, mais que vous souhaitez tester la fonctionnalité Liens fiables. L’habillage double des liens n’est pas pris en charge.
Étape 3 : Régler l’intelligence contre l’usurpation d’identité
Vérifiez les informations de renseignement sur l’usurpation d’identité pour voir ce qui est autorisé ou bloqué en tant qu’usurpation d’identité, et pour déterminer si vous devez remplacer le verdict système pour l’usurpation d’identité. Certaines sources de vos e-mails critiques pour l’entreprise peuvent avoir des enregistrements d’authentification de messagerie mal configurés dans DNS (SPF, DKIM et DMARC) et vous pouvez utiliser des remplacements dans votre service de protection existant pour masquer leurs problèmes de domaine.
L’intelligence de l’usurpation d’identité peut récupérer des e-mails à partir de domaines sans enregistrements d’authentification de messagerie appropriés dans DNS, mais la fonctionnalité a parfois besoin d’aide pour distinguer une bonne usurpation de l’usurpation incorrecte. Concentrez-vous sur les types de sources de messages suivants :
- Sources de messages en dehors des plages d’adresses IP définies dans Filtrage amélioré pour les connecteurs.
- Sources de messages qui ont le plus grand nombre de messages.
- Sources de messages qui ont l’impact le plus élevé sur votre organization.
L’intelligence contre l’usurpation d’identité finira par s’ajuster une fois que vous avez configuré les paramètres signalés par l’utilisateur, de sorte qu’il n’est pas nécessaire de perfection.
Étape 4 : Optimiser la protection contre l’emprunt d’identité et l’intelligence des boîtes aux lettres
Une fois que vous avez eu suffisamment de temps pour observer les résultats de la protection contre l’emprunt d’identité dans Ne pas appliquer de mode d’action , vous pouvez activer individuellement chaque action de protection contre l’emprunt d’identité dans les stratégies anti-hameçonnage :
- Protection contre l’emprunt d’identité de l’utilisateur : mettez en quarantaine le message pour Standard et Strict.
- Protection contre l’emprunt d’identité de domaine : mettez en quarantaine le message pour Standard et Strict.
- Protection de l’intelligence des boîtes aux lettres : déplacez le message vers les dossiers de Email indésirables des destinataires pour Standard ; Mettez le message en quarantaine pour Strict.
Plus vous surveillez les résultats de la protection contre l’emprunt d’identité sans agir sur les messages, plus vous avez de données pour identifier les autorisations ou les blocs qui peuvent être nécessaires. Envisagez d’utiliser un délai entre l’activation de chaque protection qui est suffisamment important pour permettre l’observation et l’ajustement.
Remarque
La surveillance et le réglage fréquents et continus de ces protections sont importants. Si vous soupçonnez un faux positif, examinez la cause et utilisez les remplacements uniquement si nécessaire et uniquement pour la fonctionnalité de détection qui l’exige.
Optimiser l’intelligence des boîtes aux lettres
Bien que l’intelligence de boîte aux lettres soit configurée pour n’effectuer aucune action sur les messages qui ont été déterminés comme des tentatives d’emprunt d’identité, elle est activée et l’apprentissage des modèles d’envoi et de réception des e-mails des utilisateurs pilotes. Si un utilisateur externe est en contact avec l’un de vos utilisateurs pilotes, les messages de cet utilisateur externe ne sont pas identifiés comme des tentatives d’emprunt d’identité par l’intelligence de boîte aux lettres (ce qui réduit les faux positifs).
Lorsque vous êtes prêt, procédez comme suit pour permettre à l’intelligence des boîtes aux lettres d’agir sur les messages détectés comme des tentatives d’emprunt d’identité :
Dans la stratégie anti-hameçonnage avec les paramètres de protection Standard, modifiez la valeur si l’intelligence de boîte aux lettres détecte un utilisateur usurpé d’identité pour Déplacer le message vers les dossiers Email indésirables des destinataires.
Dans la stratégie anti-hameçonnage avec les paramètres De protection stricte, modifiez la valeur si l’intelligence de boîte aux lettres détecte et emprunte l’identité de l’utilisateur de à Mettre en quarantaine le message.
Pour modifier les stratégies, consultez Configurer des stratégies anti-hameçonnage dans Defender for Office 365.
Après avoir observé les résultats et apporté des ajustements, passez à la section suivante pour mettre en quarantaine les messages détectés par l’emprunt d’identité de l’utilisateur.
Optimiser la protection contre l’emprunt d’identité utilisateur
Dans vos deux stratégies anti-hameçonnage basées sur les paramètres Standard et Strict, modifiez la valeur si un message est détecté comme emprunt d’identité utilisateur pour mettre en quarantaine le message.
Vérifiez l’insight d’emprunt d’identité pour voir ce qui est bloqué lors des tentatives d’emprunt d’identité de l’utilisateur.
Pour modifier les stratégies, consultez Configurer des stratégies anti-hameçonnage dans Defender for Office 365.
Après avoir observé les résultats et effectué des ajustements, passez à la section suivante pour mettre en quarantaine les messages détectés par l’emprunt d’identité de domaine.
Optimiser la protection contre l’emprunt d’identité de domaine
Dans vos deux stratégies anti-hameçonnage basées sur les paramètres Standard et Strict, modifiez la valeur si un message est détecté comme emprunt d’identité de domaine pour mettre en quarantaine le message.
Vérifiez les informations d’emprunt d’identité pour voir ce qui est bloqué en tant que tentatives d’emprunt d’identité de domaine.
Pour modifier les stratégies, consultez Configurer des stratégies anti-hameçonnage dans Defender for Office 365.
Observez les résultats et apportez les ajustements nécessaires.
Étape 5 : Utiliser les données des messages signalés par l’utilisateur pour mesurer et ajuster
À mesure que vos utilisateurs pilotes signalent des faux positifs et des faux négatifs, les messages s’affichent sous l’onglet Utilisateur signalé de la page Soumissions dans le portail Microsoft Defender. Vous pouvez signaler les messages mal identifiés à Microsoft à des fins d’analyse et utiliser les informations pour ajuster les paramètres et les exceptions dans vos stratégies pilotes si nécessaire.
Utilisez les fonctionnalités suivantes pour surveiller et itérer les paramètres de protection dans Defender for Office 365 :
- Mise en quarantaine
- Explorer des menaces (Explorer)
- Email rapports de sécurité
- Rapports Defender pour Office 365
- Insights sur le flux de messagerie
- Rapports de flux de messagerie
Si votre organization utilise un service tiers pour les messages signalés par l’utilisateur, vous pouvez intégrer ces données dans votre boucle de commentaires.
Étape 6 : (Facultatif) Ajouter d’autres utilisateurs à votre pilote et effectuer une itération
À mesure que vous trouvez et résolvez les problèmes, vous pouvez ajouter des utilisateurs aux groupes pilotes (et, par conséquent, exempter ces nouveaux utilisateurs pilotes de l’analyse par votre service de protection existant, le cas échéant). Plus vous effectuez de tests, moins il y a de problèmes utilisateur que vous devrez traiter ultérieurement. Cette approche « en cascade » permet de s’adapter à de plus grandes parties du organization et donne à vos équipes de sécurité le temps de s’adapter aux nouveaux outils et processus.
Microsoft 365 génère des alertes lorsque les messages d’hameçonnage à haute confiance sont autorisés par les stratégies de l’organisation. Pour identifier ces messages, vous disposez des options suivantes :
- Remplacements dans le rapport de status protection contre les menaces.
- Filtrez dans Threat Explorer pour identifier les messages.
- Filtrez dans Repérage avancé pour identifier les messages.
Signalez les faux positifs à Microsoft le plus tôt possible par le biais des soumissions d’administrateur, et utilisez la fonctionnalité Liste verte/liste bloquée des locataires pour configurer des remplacements sécurisés pour ces faux positifs.
Il est également judicieux d’examiner les remplacements inutiles. En d’autres termes, examinez les verdicts que Microsoft 365 aurait fournis sur les messages. Si Microsoft 365 a rendu le verdict correct, le besoin de remplacement est considérablement réduit ou éliminé.
Étape 7 : Étendre la protection Microsoft 365 à tous les utilisateurs et désactiver la règle de flux de messagerie SCL=-1
Effectuez les étapes décrites dans cette section lorsque vous êtes prêt à basculer vos enregistrements MX pour qu’ils pointent vers Microsoft 365.
Étendez les stratégies pilotes à l’ensemble du organization. Fondamentalement, il existe différentes façons d’étendre les stratégies :
Utilisez des stratégies de sécurité prédéfinies et répartissez vos utilisateurs entre le profil de protection Standard et le profil de protection Strict (assurez-vous que tout le monde est couvert). Les stratégies de sécurité prédéfinies sont appliquées avant les stratégies personnalisées que vous avez créées ou les stratégies par défaut. Vous pouvez désactiver vos stratégies de pilote individuelles sans les supprimer.
L’inconvénient des stratégies de sécurité prédéfinies est que vous ne pouvez pas modifier la plupart des paramètres importants une fois que vous les avez créés.
Modifiez l’étendue des stratégies que vous avez créées et ajustées pendant le pilote pour inclure tous les utilisateurs (par exemple, tous les destinataires dans tous les domaines). N’oubliez pas que si plusieurs stratégies du même type (par exemple, les stratégies anti-hameçonnage) s’appliquent au même utilisateur (individuellement, par appartenance à un groupe ou domaine de messagerie), seuls les paramètres de la stratégie avec la priorité la plus élevée (numéro de priorité la plus faible) sont appliqués et le traitement s’arrête pour ce type de stratégie.
Désactivez la règle de flux de messagerie SCL=-1 (vous pouvez la désactiver sans la supprimer).
Vérifiez que les modifications précédentes ont pris effet et que Defender for Office 365 est désormais correctement activé pour tous les utilisateurs. À ce stade, toutes les fonctionnalités de protection de Defender for Office 365 sont désormais autorisées à agir sur la messagerie pour tous les destinataires, mais ce courrier a déjà été analysé par votre service de protection existant.
À ce stade, vous pouvez suspendre l’enregistrement et le réglage des données à plus grande échelle.
Étape 8 : Changer vos enregistrements MX
Remarque
- Lorsque vous basculez l’enregistrement MX pour votre domaine, la propagation des modifications sur Internet peut prendre jusqu’à 48 heures.
- Nous vous recommandons de réduire la valeur de durée de vie de vos enregistrements DNS pour permettre une réponse plus rapide et une restauration possible (si nécessaire). Vous pouvez revenir à la valeur TTL d’origine une fois le basculement terminé et vérifié.
- Vous devez envisager de commencer par changer les domaines qui sont utilisés moins fréquemment. Vous pouvez suspendre et surveiller avant de passer à des domaines plus grands. Toutefois, même si vous procédez ainsi, vous devez toujours vous assurer que tous les utilisateurs et domaines sont couverts par des stratégies, car les domaines SMTP secondaires sont résolus en domaines principaux avant l’application de stratégie.
- Plusieurs enregistrements MX pour un même domaine fonctionnent techniquement, ce qui vous permet d’avoir un routage fractionné, à condition que vous ayez suivi toutes les instructions de cet article. Plus précisément, vous devez vous assurer que les stratégies sont appliquées à tous les utilisateurs, que la règle de flux de messagerie SCL=-1 est appliquée uniquement aux messages qui transitent par votre service de protection existant, comme décrit dans l’étape 3 d’installation : Gérer ou créer la règle de flux de courrier SCL=-1. Toutefois, cette configuration introduit un comportement qui rend la résolution des problèmes beaucoup plus difficile, et par conséquent, nous ne le recommandons généralement pas, en particulier pour les périodes prolongées.
- Avant de basculer vos enregistrements MX, vérifiez que les paramètres suivants ne sont pas activés sur le connecteur entrant du service de protection vers Microsoft 365. En règle générale, un ou plusieurs des paramètres suivants sont configurés pour le connecteur :
- et exiger que le nom de l’objet sur le certificat que le partenaire utilise pour s’authentifier auprès de Office 365 corresponde à ce nom de domaine (RestrictDomainsToCertificate)
- Rejeter les messages électroniques s’ils ne sont pas envoyés à partir de cette plage d’adresses IP (RestrictDomainsToIPAddresses) Si le type de connecteur est Partenaire et que l’un de ces paramètres est activé, tous les messages envoyés à vos domaines échouent une fois que vous avez basculé vos enregistrements MX. Vous devez désactiver ces paramètres avant de continuer. Si le connecteur est un connecteur local utilisé pour l’hybride, vous n’avez pas besoin de modifier le connecteur local. Toutefois, vous pouvez toujours case activée pour la présence d’un connecteur partenaire.
- Si votre passerelle de messagerie actuelle fournit également la validation du destinataire, vous pouvez case activée que le domaine est configuré comme faisant autorité dans Microsoft 365. Cela peut empêcher les messages de rebond inutiles.
Lorsque vous êtes prêt, basculez l’enregistrement MX pour vos domaines. Vous pouvez migrer tous vos domaines à la fois. Vous pouvez également migrer d’abord des domaines moins fréquemment utilisés, puis migrer le reste ultérieurement.
N’hésitez pas à faire une pause et à évaluer ici à tout moment. Mais rappelez-vous : une fois que vous désactivez la règle de flux de messagerie SCL=-1, les utilisateurs peuvent avoir deux expériences différentes pour vérifier les faux positifs. Plus tôt vous pourrez fournir une expérience unique et cohérente, plus vos utilisateurs et vos équipes de support technique seront heureux lorsqu’ils auront à résoudre un message manquant.
Étapes suivantes
Félicitations ! Vous avez terminé votre migration vers Microsoft Defender pour Office 365 ! Étant donné que vous avez suivi les étapes de ce guide de migration, les premiers jours où le courrier est remis directement dans Microsoft 365 devraient être beaucoup plus fluides.
Maintenant, vous commencez le fonctionnement normal et la maintenance de Defender for Office 365. Surveillez et watch des problèmes similaires à ceux que vous avez rencontrés pendant le pilote, mais à plus grande échelle. L’insight d’usurpation d’identité et l’insightd’emprunt d’identité sont les plus utiles, mais envisagez de faire des activités suivantes une occurrence régulière :
- Passer en revue les messages signalés par l’utilisateur, en particulier les messages d’hameçonnage signalés par l’utilisateur
- Passez en revue les remplacements dans le rapport de status protection contre les menaces.
- Utilisez les requêtes de repérage avancé pour rechercher les opportunités de paramétrage et les messages à risque.