Migrer vers Microsoft Defender pour Office 365 - Phase 2 : installation


Phase 1 : Préparation.
Phase 1 : préparation		 Phase 2 : Configuration.
Phase 2 : configuration		 Phase 3 : Intégration.
Phase 3 : intégration
Tu es là !

Bienvenue dans phase 2 : Configuration de votre migration vers Microsoft Defender pour Office 365 ! Cette phase de migration comprend les étapes suivantes :

  1. Create groupes de distribution pour les utilisateurs pilotes
  2. Configurer les paramètres des messages signalés par l’utilisateur
  3. Gérer ou créer la règle de flux de messagerie SCL=-1
  4. Configurer le filtrage amélioré pour les connecteurs
  5. Create stratégies de protection pilote

Étape 1 : Create groupes de distribution pour les utilisateurs pilotes

Les groupes de distribution sont requis dans Microsoft 365 pour les aspects suivants de votre migration :

  • Exceptions pour la règle de flux de courrier SCL=-1 : vous souhaitez que les utilisateurs pilotes obtiennent pleinement l’effet de la protection Defender for Office 365. Vous devez donc Defender for Office 365 analyser leurs messages entrants. Vous obtenez ce résultat en définissant vos utilisateurs pilotes dans les groupes de distribution appropriés dans Microsoft 365 et en configurant ces groupes en tant qu’exceptions à la règle de flux de messagerie SCL=-1.

    Comme nous l’avons décrit à l’étape 2 d’intégration : (facultatif) Exempter les utilisateurs pilotes du filtrage par votre service de protection existant, vous devez envisager d’exempter ces mêmes utilisateurs pilotes de l’analyse par votre service de protection existant. L’élimination de la possibilité de filtrage par votre service de protection existant et le fait de s’appuyer exclusivement sur Defender for Office 365 est la meilleure représentation de ce qui va se passer une fois la migration terminée.

  • Test des fonctionnalités de protection Defender for Office 365 spécifiques : Même pour les utilisateurs pilotes, vous ne souhaitez pas tout activer en même temps. L’utilisation d’une approche intermédiaire pour les fonctionnalités de protection qui sont en vigueur pour vos utilisateurs pilotes facilite la résolution des problèmes et l’ajustement. Avec cette approche à l’esprit, nous vous recommandons les groupes de distribution suivants :

    • Un groupe pilote pièces jointes fiables : par exemple, MDOPilot_SafeAttachments
    • Un groupe pilote de liens fiables : par exemple, MDOPilot_SafeLinks
    • Un groupe pilote pour les paramètres de stratégie anti-courrier indésirable et anti-hameçonnage standard : par exemple, MDOPilot_SpamPhish_Standard
    • Un groupe pilote pour les paramètres de stratégie anti-courrier indésirable et anti-hameçonnage stricts : par exemple, MDOPilot_SpamPhish_Strict

Pour plus de clarté, nous utilisons ces noms de groupes spécifiques tout au long de cet article, mais vous êtes libre d’utiliser votre propre convention de nommage.

Lorsque vous êtes prêt à commencer le test, ajoutez ces groupes en tant qu’exceptions à la règle de flux de messagerie SCL=-1. Lorsque vous créez des stratégies pour les différentes fonctionnalités de protection dans Defender for Office 365, utilisez ces groupes comme conditions qui définissent les personnes auxquelles la stratégie s’applique.

Remarques :

  • Les termes Standard et Strict proviennent de nos paramètres de sécurité recommandés, qui sont également utilisés dans les stratégies de sécurité prédéfinies. Dans l’idéal, nous vous conseillons de définir vos utilisateurs pilotes dans les stratégies de sécurité prédéfinies Standard et Strict, mais nous ne pouvons pas le faire. Pourquoi ? Parce que vous ne pouvez pas personnaliser les paramètres dans les stratégies de sécurité prédéfinies (en particulier, les actions effectuées sur les messages). Au cours de vos tests de migration, vous souhaitez voir ce que Defender for Office 365 ferait aux messages, vérifier que c’est le résultat souhaité et éventuellement ajuster les configurations de stratégie pour autoriser ou empêcher ces résultats.

    Par conséquent, au lieu d’utiliser des stratégies de sécurité prédéfinies, vous allez créer manuellement des stratégies personnalisées avec des paramètres similaires, mais dans certains cas différents des paramètres des stratégies de sécurité prédéfinies Standard et Strict.

  • Si vous souhaitez tester des paramètres qui diffèrent considérablement de nos valeurs recommandées Standard ou Strict, vous devez envisager de créer et d’utiliser des groupes de distribution supplémentaires et spécifiques pour les utilisateurs pilotes dans ces scénarios. Vous pouvez utiliser l’analyseur de configuration pour voir comment vos paramètres sont sécurisés. Pour obtenir des instructions, consultez Analyseur de configuration pour les stratégies de protection dans EOP et Microsoft Defender pour Office 365.

    Pour la plupart des organisations, la meilleure approche consiste à commencer par des stratégies qui s’alignent étroitement sur nos paramètres Standard recommandés. Après autant d’observation et de commentaires que vous pouvez le faire dans votre période disponible, vous pouvez passer à des paramètres plus agressifs ultérieurement. La protection contre l’emprunt d’identité et la remise dans le dossier Email indésirable par rapport à la remise en quarantaine peuvent nécessiter une personnalisation.

    Si vous utilisez des stratégies personnalisées, assurez-vous simplement qu’elles sont appliquées avant les stratégies qui contiennent nos paramètres recommandés pour la migration. Si un utilisateur est identifié dans plusieurs stratégies du même type (par exemple, anti-hameçonnage), une seule stratégie de ce type est appliquée à l’utilisateur (en fonction de la valeur de priorité de la stratégie). Pour plus d’informations, consultez Ordre et priorité de la protection des e-mails.

Étape 2 : Configurer les paramètres des messages signalés par l’utilisateur

La possibilité pour les utilisateurs de signaler des faux positifs ou des faux négatifs à partir de Defender for Office 365 est une partie importante de la migration.

Vous pouvez spécifier une boîte aux lettres Exchange Online pour recevoir les messages que les utilisateurs signalent comme malveillants ou non malveillants. Pour obtenir des instructions, consultez Paramètres signalés par l’utilisateur. Cette boîte aux lettres peut recevoir des copies des messages que vos utilisateurs ont envoyés à Microsoft, ou la boîte aux lettres peut intercepter des messages sans les signaler à Microsoft (votre équipe de sécurité peut analyser et envoyer manuellement les messages). Toutefois, l’approche d’interception ne permet pas au service de régler et d’apprendre automatiquement.

Vous devez également vérifier que tous les utilisateurs du pilote disposent d’un moyen pris en charge de signaler les messages qui ont reçu un verdict incorrect de Defender for Office 365. Ces options comprennent :

Ne sous-estimez pas l’importance de cette étape. Les données des messages signalés par l’utilisateur vous donnent la boucle de commentaires dont vous avez besoin pour vérifier une expérience de l’utilisateur final correcte et cohérente avant et après la migration. Ces commentaires vous aident à prendre des décisions éclairées en matière de configuration de stratégie et à fournir des rapports de données à la direction indiquant que la migration s’est déroulée sans heurts.

Au lieu de s’appuyer sur des données basées sur l’expérience de l’ensemble de l’organization, plusieurs migrations ont entraîné une spéculation émotionnelle basée sur une expérience utilisateur négative unique. En outre, si vous avez effectué des simulations de hameçonnage, vous pouvez utiliser les commentaires de vos utilisateurs pour vous informer lorsqu’ils voient quelque chose de risqué qui peut nécessiter une investigation.

Étape 3 : Gérer ou créer la règle de flux de messagerie SCL=-1

Étant donné que votre courrier entrant est routé via un autre service de protection qui se trouve devant Microsoft 365, il est probable que vous disposiez déjà d’une règle de flux de courrier (également appelée règle de transport) dans Exchange Online qui définit le niveau de confiance du courrier indésirable (SCL) de tous les messages entrants sur la valeur -1 (ignorer le filtrage du courrier indésirable). La plupart des services de protection tiers encouragent cette règle de flux de messagerie SCL=-1 pour les clients Microsoft 365 qui souhaitent utiliser leurs services.

Si vous utilisez un autre mécanisme pour remplacer la pile de filtrage Microsoft (par exemple, une liste d’adresses IP autorisées), nous vous recommandons de passer à l’utilisation d’une règle de flux de courrier SCL=-1 tant que tous les messages Internet entrants dans Microsoft 365 proviennent du service de protection tiers (aucun courrier ne circule directement d’Internet vers Microsoft 365).

La règle de flux de messagerie SCL=-1 est importante pendant la migration pour les raisons suivantes :

  • Vous pouvez utiliser threat Explorer (Explorer) pour voir quelles fonctionnalités de la pile Microsoft auraient agi sur les messages sans affecter les résultats de votre service de protection existant.

  • Vous pouvez ajuster progressivement qui est protégé par la pile de filtrage Microsoft 365 en configurant des exceptions à la règle de flux de messagerie SCL=-1. Les exceptions sont les membres des groupes de distribution pilotes que nous recommandons plus loin dans cet article.

    Avant ou pendant le basculement de votre enregistrement MX vers Microsoft 365, vous désactivez cette règle pour activer la protection complète de la pile de protection Microsoft 365 pour tous les destinataires de votre organization.

Pour plus d’informations, consultez Utiliser des règles de flux de courrier pour définir le niveau de confiance du courrier indésirable (SCL) dans les messages dans Exchange Online.

Remarques :

  • Si vous envisagez d’autoriser le flux du courrier Internet via votre service de protection existant et directement dans Microsoft 365 en même temps, vous devez limiter la règle de flux de courrier SCL=-1 (courrier qui contourne le filtrage du courrier indésirable) aux messages qui ont transité par votre service de protection existant uniquement. Vous ne souhaitez pas que le courrier Internet non filtré arrive dans les boîtes aux lettres utilisateur dans Microsoft 365.

    Pour identifier correctement les messages déjà analysés par votre service de protection existant, vous pouvez ajouter une condition à la règle de flux de courrier SCL=-1. Par exemple :

    • Pour les services de protection basés sur le cloud : vous pouvez utiliser un en-tête et une valeur d’en-tête propres à votre organization. Les messages qui ont l’en-tête ne sont pas analysés par Microsoft 365. Les messages sans en-tête sont analysés par Microsoft 365
    • Pour les appareils ou services de protection locaux : vous pouvez utiliser des adresses IP sources. Les messages provenant des adresses IP sources ne sont pas analysés par Microsoft 365. Les messages qui ne proviennent pas des adresses IP sources sont analysés par Microsoft 365.

  • Ne vous fiez pas exclusivement aux enregistrements MX pour contrôler si le courrier est filtré. Les expéditeurs peuvent facilement ignorer l’enregistrement MX et envoyer des e-mails directement dans Microsoft 365.

Étape 4 : Configurer le filtrage amélioré pour les connecteurs

La première chose à faire est de configurer le filtrage amélioré pour les connecteurs (également appelé liste ignorée) sur le connecteur utilisé pour le flux de messagerie de votre service de protection existant vers Microsoft 365. Vous pouvez utiliser le rapport messages entrants pour identifier le connecteur.

Le filtrage amélioré pour les connecteurs est requis par Defender for Office 365 pour voir d’où proviennent réellement les messages Internet. Le filtrage amélioré pour les connecteurs améliore considérablement la précision de la pile de filtrage Microsoft (en particulier le renseignement sur les usurpations d’identité et les fonctionnalités post-violation dans Threat Explorer et Automated Investigation & Response (AIR) .

Pour activer correctement le filtrage amélioré pour les connecteurs, vous devez ajouter les adresses IP publiques des **all** services tiers et/ou des hôtes de système de messagerie locaux qui acheminent le courrier entrant vers Microsoft 365.

Pour vérifier que le filtrage amélioré pour les connecteurs fonctionne, vérifiez que les messages entrants contiennent un ou les deux en-têtes suivants :

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

Étape 5 : Create stratégies de protection pilote

En créant des stratégies de production, même si elles ne sont pas appliquées à tous les utilisateurs, vous pouvez tester les fonctionnalités post-violation telles que le Explorer des menaces et tester l’intégration de Defender for Office 365 dans les processus de votre équipe de réponse à la sécurité.

Importante

Les stratégies peuvent être étendues à des utilisateurs, des groupes ou des domaines. Nous vous déconseillons de mélanger les trois dans une stratégie, car seuls les utilisateurs qui correspondent aux trois seront inclus dans l’étendue de la stratégie. Pour les stratégies pilotes, nous vous recommandons d’utiliser des groupes ou des utilisateurs. Pour les stratégies de production, nous vous recommandons d’utiliser des domaines. Il est extrêmement important de comprendre que seul le domaine de messagerie principal de l’utilisateur détermine si l’utilisateur entre dans l’étendue de la stratégie. Par conséquent, si vous basculez l’enregistrement MX pour le domaine secondaire d’un utilisateur, assurez-vous que son domaine principal est également couvert par une stratégie.

Create pilotes de stratégies de pièces jointes fiables

Pièces jointes sécurisées est la fonctionnalité Defender for Office 365 la plus simple à activer et à tester avant de changer votre enregistrement MX. Pièces jointes sécurisées présente les avantages suivants :

  • Configuration minimale.
  • Le risque de faux positifs est extrêmement faible.
  • Comportement similaire à la protection anti-programme malveillant, qui est toujours activée et n’est pas affectée par la règle de flux de messagerie SCL=-1.

Pour connaître les paramètres recommandés, consultez Paramètres de stratégie pièces jointes fiables recommandées. Les recommandations Standard et Strict sont les mêmes. Pour créer la stratégie, consultez Configurer des stratégies de pièces jointes fiables. Veillez à utiliser le groupe MDOPilot_SafeAttachments comme condition de la stratégie (à qui la stratégie s’applique).

Remarque

La stratégie de sécurité prédéfinie de protection intégrée offre une protection contre les pièces jointes fiables à tous les destinataires qui ne sont pas définis dans les stratégies de pièces jointes fiables. Pour plus d’informations, consultez Stratégies de sécurité prédéfinies dans EOP et Microsoft Defender pour Office 365.

Remarque

Nous ne prenons pas en charge l’habillage ou la réécriture de liens déjà encapsulés ou réécrits. Si votre service de protection actuel encapsule ou réécrit déjà des liens dans les e-mails, vous devez désactiver cette fonctionnalité pour vos utilisateurs pilotes. Une façon de s’assurer que cela ne se produit pas consiste à exclure le domaine d’URL de l’autre service dans la stratégie Liens fiables.

Les chances de faux positifs dans les liens fiables sont également assez faibles, mais vous devez envisager de tester la fonctionnalité sur un nombre plus réduit d’utilisateurs pilotes que les pièces jointes fiables. Étant donné que la fonctionnalité a un impact sur l’expérience utilisateur, vous devez envisager un plan pour éduquer les utilisateurs.

Pour connaître les paramètres recommandés, consultez Paramètres de stratégie liens fiables. Les recommandations Standard et Strict sont les mêmes. Pour créer la stratégie, consultez Configurer des stratégies de liens fiables. Veillez à utiliser le groupe MDOPilot_SafeLinks comme condition de la stratégie (à qui la stratégie s’applique).

Remarque

La stratégie de sécurité prédéfinie de protection intégrée offre une protection des liens fiables à tous les destinataires qui ne sont définis dans aucune stratégie de liens fiables. Pour plus d’informations, consultez Stratégies de sécurité prédéfinies dans EOP et Microsoft Defender pour Office 365.

Create stratégies anti-courrier indésirable pilotes

Create deux stratégies anti-courrier indésirable pour les utilisateurs pilotes :

  • Stratégie qui utilise les paramètres Standard. Utilisez le groupe MDOPilot_SpamPhish_Standard comme condition de la stratégie (à qui la stratégie s’applique).
  • Stratégie qui utilise les paramètres Strict. Utilisez le groupe MDOPilot_SpamPhish_Strict comme condition de la stratégie (à qui la stratégie s’applique). Cette stratégie doit avoir une priorité plus élevée (nombre inférieur) que la stratégie avec les paramètres Standard.

Pour connaître les paramètres Standard et Strict recommandés, consultez Paramètres de stratégie anti-courrier indésirable recommandés. Pour créer les stratégies, consultez Configurer des stratégies anti-courrier indésirable.

Create stratégies anti-hameçonnage pilotes

Create deux stratégies anti-hameçonnage pour les utilisateurs pilotes :

  • Stratégie qui utilise les paramètres Standard, à l’exception des actions de détection d’emprunt d’identité décrites ci-dessous. Utilisez le groupe MDOPilot_SpamPhish_Standard comme condition de la stratégie (à qui la stratégie s’applique).
  • Stratégie qui utilise les paramètres Strict, à l’exception des actions de détection d’emprunt d’identité décrites ci-dessous. Utilisez le groupe MDOPilot_SpamPhish_Strict comme condition de la stratégie (à qui la stratégie s’applique). Cette stratégie doit avoir une priorité plus élevée (nombre inférieur) que la stratégie avec les paramètres Standard.

Pour les détections d’usurpation d’identité, l’action Standard recommandée est Déplacer le message vers les dossiers d’Email indésirables des destinataires, et l’action Strict recommandée est Mettre en quarantaine le message. Utilisez l’insight d’usurpation d’identité pour observer les résultats. Les remplacements sont expliqués dans la section suivante. Si vous souhaitez en savoir plus, consultez Informations sur la veille contre l’usurpation d’identité dans EOP.

Pour les détections d’emprunt d’identité, ignorez les actions Standard et Strict recommandées pour les stratégies pilotes. Utilisez plutôt la valeur Ne pas appliquer d’action pour les paramètres suivants :

  • Si un message est détecté comme emprunt d’identité d’utilisateur
  • Si le message est détecté comme un domaine usurpé d’identité
  • Si l’intelligence des boîtes aux lettres détecte un utilisateur usurpé l’identité

Utilisez l’insight d’emprunt d’identité pour observer les résultats. Pour plus d’informations, consultez Informations sur l’emprunt d’identité dans Defender for Office 365.

Paramétrez la protection contre l’usurpation d’identité (ajustez les autorisations et les bloques) et activez chaque action de protection contre l’emprunt d’identité pour mettre en quarantaine ou déplacer les messages vers le dossier Email indésirable (en fonction des recommandations Standard ou Strict). Observez les résultats et ajustez leurs paramètres si nécessaire.

Si vous souhaitez en savoir plus, consultez les articles suivants :

Étape suivante

Félicitations ! Vous avez terminé la phase d’installation de votre migration vers Microsoft Defender pour Office 365 !