שתף באמצעות


מעבר ל- Microsoft Defender עבור Office 365 - שלב 2: הגדרה


שלב 1: התכונן.
שלב 1: הכנה
שלב 2: הגדרה.
שלב 2: הגדרה
שלב 3: צירוף.
שלב 3: הטמעה
אתה נמצא כאן!

ברוך הבא לשלב 2: הגדרתההעברה שלך ל- Microsoft Defender עבור Office 365! שלב העברה זה כולל את השלבים הבאים:

  1. Create תפוצה עבור משתמשי ניסיון
  2. קביעת תצורה של הגדרות הודעה שדווחו על-ידי המשתמש
  3. שמירה או יצירה של כלל זרימת הדואר SCL=-1
  4. קביעת תצורה של סינון משופר עבור מחברים
  5. Create מדיניות הגנה בפריסת ניסיון

שלב 1: Create קבוצות תפוצה עבור משתמשי ניסיון

קבוצות תפוצה נדרשות ב- Microsoft 365 עבור ההיבטים הבאים של ההעברה שלך:

  • חריגים עבור כלל זרימת הדואר SCL=-1: אתה מעוניין שמשתמשי פיילוט יקבלו את ההשפעה המלאה של Defender עבור Office 365, כך שעליך Defender עבור Office 365 לסרוק את ההודעות הנכנסות שלהם. אתה מקבל תוצאה זו על-ידי הגדרת משתמשי הניסיון שלך בקבוצות התפוצה המתאימות ב- Microsoft 365, והגדרה של קבוצות אלה כהגדרות חריגות לכלל זרימת הדואר SCL=-1.

    כפי שתיארנו בשלב 2: (אופציונלי) פטור ממשתמשי ניסיון מסינון על-ידי שירות ההגנה הקיים שלך, עליך לשקול לפטור את אותם משתמשי ניסיון מפני סריקה על-ידי שירות ההגנה הקיים שלך. ביטול האפשרות לסינון על-ידי שירות ההגנה הקיים שלך וסתמיכת בלעדית על Defender עבור Office 365 הוא הייצוג הטוב והקרוב ביותר של מה שיקרה לאחר השלמת ההעברה.

  • בדיקת תכונות Defender עבור Office 365 ספציפיות: אפילו עבור משתמשי הפיילוט, אינך מעוניין להפעיל הכל בבת אחת. שימוש בגישה בשלבים עבור תכונות ההגנה התוקף עבור משתמשי הפיילוט שלך מאפשר לך לפתור בעיות ולהתאים פריטים ביתר קלות. עם גישה זו בחשבון, אנו ממליצים על קבוצות התפוצה הבאות:

    • קבוצת ניסיון של קבצים מצורפים בטוחים: לדוגמה, MDOPilot_SafeAttachments
    • קבוצת ניסיון של קישורים בטוחים: לדוגמה, MDOPilot_SafeLinks
    • קבוצת פיילוט עבור הגדרות מדיניות סטנדרטית למניעת דואר זבל ומדיניות למניעת דיוג: לדוגמה, MDOPilot_SpamPhish_Standard
    • קבוצת פיילוט להגדרות מדיניות הקפדה על מניעת דואר זבל ומדיניות למניעת דיוג: לדוגמה, MDOPilot_SpamPhish_Strict

לבהירות, אנו משתמשים בשמות קבוצות ספציפיים אלה לאורך מאמר זה, אך אתה חופשי להשתמש במוסכמה משלך למתן שמות.

כאשר תהיה מוכן להתחיל בבדיקה, הוסף קבוצות אלה כהגדרות חריגות לכלל זרימת הדואר SCL=-1. בעת יצירת פריטי מדיניות עבור תכונות ההגנה השונות ב- Defender עבור Office 365, השתמש בקבוצות אלה כתנאים המגדירים על מי המדיניות חלה.

הערות:

  • המונחים רגיל וקפדן מגיעים מהגדרות האבטחה המומלצות שלנו, המשמשות גם במדיניות אבטחה קבועה מראש. מומלץ להגדיר את משתמשי הפיילוט שלך במדיניות האבטחה הקבועה מראש הרגילה והקפדרת, אך לא נוכל לעשות זאת. מדוע? מאחר שלא ניתן להתאים אישית את ההגדרות במדיניות אבטחה קבועה מראש (בפרט, פעולות הננקטות בהודעות). במהלך בדיקת ההעברה, ברצונך לראות מה Defender עבור Office 365 בהודעות, לוודא כי זו התוצאה הרצויה ואולי להתאים את תצורות המדיניות כדי לאפשר או למנוע תוצאות אלה.

    לכן, במקום להשתמש במדיניות אבטחה קבועה מראש, תיצור באופן ידני פריטי מדיניות מותאמים אישית עם הגדרות הדומות להגדרות, אך במקרים מסוימים שונות מהגדרות מדיניות האבטחה הקבועות מראש הרגילות והקפדיות.

  • אם ברצונך להתנסות בהגדרות השונות באופן משמעותי מהערכים המומלצים הרגילים או הקפדנים שלנו, שקול ליצור קבוצות תפוצה נוספות וספציפית ומשתמשים אותן עבור משתמשי הפיילוט בתרחישים אלה. באפשרותך להשתמש במנתח התצורה כדי לראות עד כמה ההגדרות שלך מאובטחות. לקבלת הוראות, ראה מנתח התצורה עבור מדיניות הגנה ב- EOP ו- Microsoft Defender עבור Office 365.

    עבור רוב הארגונים, הגישה הטובה ביותר היא להתחיל עם פריטי מדיניות המתאימים באופן דומה להגדרות הסטנדרטיות המומלצות שלנו. לאחר שתצפיות ומשוב רבים ככל שתוכל לעשות במסגרת הזמן הזמינה, תוכל לעבור להגדרות אגרסיביות יותר מאוחר יותר. הגנה מפני התחזות ומסירה לתיקיית דואר הזבל לעומת מסירה להסגר עשויות לדרוש התאמה אישית.

    אם אתה משתמש במדיניות מותאמת אישית, פשוט ודא שהם מוחלים לפני פריטי המדיניות המכילים את ההגדרות המומלצות שלנו עבור ההעברה. אם משתמש מזוהה במדיניות מרובה מאותו סוג (לדוגמה, למניעת דיוג), רק מדיניות אחת מסוג זה מוחלת על המשתמש (בהתבסס על ערך העדיפות של המדיניות). לקבלת מידע נוסף, ראה סדר וקדימות של הגנה על דואר אלקטרוני.

שלב 2: קביעת תצורה של הגדרות הודעה שדווחו על-ידי המשתמש

היכולת של המשתמשים לדווח על תוצאות חיוביות מוטעות או תוצאות שליליות Defender עבור Office 365 היא חלק חשוב מההעברה.

באפשרותך לציין תיבת דואר Exchange Online כדי לקבל הודעות שהמשתמשים מדווחים על תוכנות זדוניות או לא זדוניות. לקבלת הוראות, ראה הגדרות המשתמש שדווח. תיבת דואר זו יכולה לקבל עותקים של הודעות שהמשתמשים שלך הג לשלוח ל- Microsoft, או שתיבת הדואר יכולה ליירט הודעות מבלי לדווח עליהן ל- Microsoft (צוות האבטחה שלך יכול לנתח ולשלוח את ההודעות עצמן באופן ידני). עם זאת, הגישה ליירוט אינה מאפשרת לשירות לכוונן וללמוד באופן אוטומטי.

בנוסף, עליך לוודא של כל המשתמשים בפריסת הניסיון יש דרך נתמכת לדווח על הודעות שקיבלו פסק דין שגוי Defender עבור Office 365. אפשרויות אלה כוללות:

אל תמעיט בחשיבותו של שלב זה. נתונים מהודעות שדווחו על-ידי משתמש יספקו לך את לולאת המשוב הדרושה לך כדי לאמת חוויית משתמש קצה טובה ועקבית לפני ואחרי ההעברה. משוב זה עוזר לך לקבל החלטות מושכלות של תצורת מדיניות ולספק דוחות עם גיבוי נתונים לניהול שההעברה עברה בצורה חלקה.

במקום להשתמש בנתונים המבוססים על החוויה של הארגון כולו, יותר מהעברה אחת גורמת לשערות רגשיות המבוססות על חוויית משתמש שלילית אחת. יתר על כן, אם אתה מפעיל הדמיות דיוג, באפשרותך להשתמש במשוב מהמשתמשים שלך כדי ליידע אותך כאשר הם רואים משהו מסוכן שעשוי לדרוש חקירה.

שלב 3: שמירה או יצירה של כלל זרימת הדואר SCL=-1

מאחר שהודעת הדואר האלקטרוני הנכנסת מנותבת דרך שירות הגנה אחר שיושב לפני Microsoft 365, ייתכן שכבר יש לך כלל זרימת דואר (המכונה גם כלל תעבורה) ב- Exchange Online שמגדיר את רמת הביטחון של דואר הזבל (SCL) של כל הדואר הנכנס לערך -1 (עקיפת סינון דואר זבל). רוב שירותי ההגנה של ספקים חיצוניים מעודדים כלל זה של זרימת דואר SCL=-1 עבור לקוחות Microsoft 365 שברצונך להשתמש בשירותים שלהם.

אם אתה משתמש במנגנון אחר כדי לעקוף את ערימת הסינון של Microsoft (לדוגמה, רשימת היתרי IP), מומלץ לעבור לשימוש בכלל זרימת דואר SCL=-1 כל עוד כל דואר האינטרנט הנכנס ל- Microsoft 365 מגיע משירות ההגנה של ספק חיצוני (אין זרימת דואר ישירות מהאינטרנט אל Microsoft 365).

כלל זרימת הדואר SCL=-1 חשוב במהלך ההעברה מהסיבות הבאות:

  • באפשרותך להשתמש ב - Threat Explorer (Explorer) כדי לראות אילו תכונות ב- Microsoft Stack פעלו על הודעות מבלי להשפיע על התוצאות של שירות ההגנה הקיים שלך.

  • באפשרותך לקבוע בהדרגה מי מוגן באמצעות ערימת הסינון של Microsoft 365 על-ידי קביעת התצורה של חריגים לכלל זרימת הדואר SCL=-1. החריגים הם החברים בקבוצות תפוצה פיילוט שאנו ממליצים בהמשך מאמר זה.

    לפני או במהלך ההעברה של רשומת ה- MX ל- Microsoft 365, תבטל כלל זה כדי להפעיל את ההגנה המלאה של ערימת ההגנה של Microsoft 365 עבור כל הנמענים בארגון שלך.

לקבלת מידע נוסף, ראה שימוש בכללי זרימת דואר כדי להגדיר את רמת הביטחון של דואר הזבל (SCL) בהודעות Exchange Online.

הערות:

  • אם בכוונתך לאפשר לדואר אינטרנט לזרום דרך שירות ההגנה הקיים שלך, ישירות לתוך Microsoft 365 בו-זמנית, עליך להגביל את כלל זרימת הדואר SCL=-1 (דואר העוקף סינון הודעות זבל) לדואר שהנו דרך שירות ההגנה הקיים בלבד. אינך מעוניין לדואר אינטרנט לא מסונן בתיבות דואר של משתמשים ב- Microsoft 365.

    כדי לזהות כראוי דואר שכבר נסרק על-ידי שירות ההגנה הקיים שלך, באפשרותך להוסיף תנאי לכלל זרימת הדואר SCL=-1. לדוגמה:

    • עבור שירותי הגנה מבוססי ענן: באפשרותך להשתמש בערך כותרת עליונה וכותרת עליונה ייחודי לארגון שלך. הודעות הכוללות את הכותרת העליונה אינן נסרקים על-ידי Microsoft 365. הודעות ללא הכותרת העליונה נסרקים על-ידי Microsoft 365
    • עבור שירותי הגנה או מכשירים מקומיים: באפשרותך להשתמש בכתובות IP המשמשות כמקור. הודעות מכתובות ה- IP המשמשות כמקור אינן נסרקים על-ידי Microsoft 365. הודעות שאינן מכתובות ה- IP המשמשות כמקור נסרקים על-ידי Microsoft 365.
  • אל תסתכם באופן בלעדי על רשומות MX כדי לקבוע אם דואר מסונן. שולחים יכולים להתעלם בקלות מרשומת ה- MX ולשלוח דואר אלקטרוני ישירות ל- Microsoft 365.

שלב 4: קביעת התצורה של סינון משופר עבור מחברים

הדבר הראשון שעליך לעשות הוא לקבוע את התצורה של סינון משופר עבור מחברים (המכונה גם רישום דלג) במחבר המשמש לזרימת דואר מתוך שירות ההגנה הקיים שלך ל- Microsoft 365. באפשרותך להשתמש בדוח הודעות נכנסות כדי לסייע בזיהוי המחבר.

סינון משופר עבור מחברים נדרש על Defender עבור Office 365 כדי לראות מהיכן הגיעו הודעות אינטרנט בפועל. סינון משופר עבור מחברים משפר ביעילות את הדיוק של ערימת הסינון של Microsoft (במיוחד בינת התחזות , ויכולות לאחר הפרה ב- Threat Explorer וב- Automated Investigation & Response (AIR).

כדי להפוך כראוי סינון משופר לזמין עבור מחברים, עליך להוסיף את כתובות ה - IP הציבוריות של **all** שירותים של ספקים חיצוניים ו/או מארחים של מערכת הדואר האלקטרוני המקומית המנתבים דואר נכנס אל Microsoft 365.

כדי לוודא ש'סינון משופר עבור מחברים' פועל, ודא שהודעות נכנסות מכילות אחת מהכותרות הבאות או את שתיהן:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

שלב 5: Create הגנה בפריסת ניסיון

על-ידי יצירת מדיניות ייצור, גם אם הם אינם חלים על כל המשתמשים, באפשרותך לבדוק תכונות לאחר הפרה כגון Threat Explorer ולבחון את שילוב Defender עבור Office 365 לתהליכים של צוות תגובת האבטחה שלך.

חשוב

ניתן להתאים פריטי מדיניות למשתמשים, קבוצות או תחומים. איננו ממליצים לשלב את כל השלושה במדיניות אחת, כי רק משתמשים התואמים לכל השלושה ייכללו בטווח המדיניות. עבור מדיניות ניסיון, מומלץ להשתמש בקבוצות או במשתמשים. עבור מדיניות ייצור, מומלץ להשתמש תחומים. חשוב מאוד להבין שרק תחום הדואר האלקטרוני הראשי של המשתמש קובע אם המשתמש נמצא בתוך טווח המדיניות. לכן, אם אתה מחליף את רשומת ה- MX עבור התחום המשני של משתמש, ודא שהתחום הראשי שלו מכוסה גם הוא על-ידי מדיניות.

Create מדיניות קבצים מצורפים בטוחים בפריסת ניסיון

קבצים מצורפים בטוחים היא התכונה הקלה Defender עבור Office 365 ביותר כדי להפוך לזמינה ולבדיקה לפני החלפת רשומת ה- MX. קבצים מצורפים בטוחים כוללת את היתרונות הבאים:

  • תצורה מינימלית.
  • סיכוי נמוך מאוד לתוצאה חיובית מוטעית.
  • אופן פעולה דומה להגנה מפני תוכנות זדוניות, שתמיד מופעלת ולא מושפעת מכלל זרימת הדואר SCL=-1.

לקבלת ההגדרות המומלצות, ראה הגדרות מדיניות מומלצות של קבצים מצורפים בטוחים. ההמלצות הסטנדרטיות והקפדן זהות. כדי ליצור את המדיניות, ראה הגדרת מדיניות קבצים מצורפים בטוחים. הקפד להשתמש בקבוצה MDOPilot_SafeAttachments כתנונה של המדיניות (על מי המדיניות חלה).

הערה

מדיניות האבטחה הקבועה מראש של ההגנה המוכללת מעניקה הגנה על קבצים מצורפים בטוחים לכל הנמענים שאינם מוגדרים במדיניות קבצים מצורפים בטוחים. לקבלת מידע נוסף, ראה מדיניות אבטחה קבועה מראש ב- EOP ו- Microsoft Defender עבור Office 365.

הערה

איננו תומכים בגלישה או בשכתוב של קישורים שכבר גולשים או כתובים מחדש. אם שירות ההגנה הנוכחי שלך כבר גולש או משכתב קישורים בהודעות דואר אלקטרוני, עליך לבטל תכונה זו עבור משתמשי הפיילוט שלך. דרך אחת להבטיח שזה לא יקרה היא לא לכלול את תחום כתובת ה- URL של השירות האחר במדיניות קישורים בטוחים.

סיכויים לתוצאה חיובית מוטעית בקישורים בטוחים גם הם שפל, אך עליך לשקול לבדוק את התכונה במספר קטן יותר של משתמשי ניסיון מאשר קבצים מצורפים בטוחים. מאחר שהתכונה משפיעה על חוויית המשתמש, עליך לשקול תוכנית להחנת משתמשים.

לקבלת ההגדרות המומלצות, ראה הגדרות מדיניות קישורים בטוחים. ההמלצות הסטנדרטיות והקפדן זהות. כדי ליצור את המדיניות, ראה הגדרת מדיניות קישורים בטוחים. הקפד להשתמש בהגדרות MDOPilot_SafeLinks כתנונה של המדיניות (על מי המדיניות חלה).

הערה

מדיניות האבטחה הקבועה מראש של ההגנה המוכללת מעניקה הגנה על קישורים בטוחים לכל הנמענים שאינם מוגדרים במדיניות קישורים בטוחים. לקבלת מידע נוסף, ראה מדיניות אבטחה קבועה מראש ב- EOP ו- Microsoft Defender עבור Office 365.

Create מדיניות למניעת דואר זבל בפריסת ניסיון

Create שני פריטי מדיניות למניעת דואר זבל עבור משתמשי ניסיון:

  • מדיניות המשתמשת בהגדרות הרגילות. השתמש בהגדרות MDOPilot_SpamPhish_Standard כתנונה של המדיניות (על מי המדיניות חלה).
  • מדיניות המשתמשת בהגדרות הקפדה. השתמש בתיבת MDOPilot_SpamPhish_Strict כתנונה של המדיניות (על מי המדיניות חלה). למדיניות זו צריכה להיות עדיפות גבוהה יותר (מספר נמוך יותר) מאשר המדיניות עם ההגדרות הרגילות.

לקבלת ההגדרות המומלצות רגיל וקפדן, ראה הגדרות מדיניות מומלצות למניעת דואר זבל. כדי ליצור את המדיניות, ראה קביעת תצורה של מדיניות למניעת דואר זבל.

Create מדיניות למניעת דיוג בפריסת ניסיון

Create מדיניות למניעת דיוג עבור משתמשי ניסיון:

  • מדיניות המשתמשת בהגדרות הרגילות, למעט פעולות זיהוי התחזות כמתואר להלן. השתמש בהגדרות MDOPilot_SpamPhish_Standard כתנונה של המדיניות (על מי המדיניות חלה).
  • מדיניות המשתמשת בהגדרות הקפדה, למעט פעולות זיהוי התחזות כמתואר להלן. השתמש בתיבת MDOPilot_SpamPhish_Strict כתנונה של המדיניות (על מי המדיניות חלה). למדיניות זו צריכה להיות עדיפות גבוהה יותר (מספר נמוך יותר) מאשר המדיניות עם ההגדרות הרגילות.

לזיהוי התחזות, הפעולה הרגילה המומלצת היא העבר את ההודעה לתיקיות דואר הזבל של הנמענים , והפעולה המחמירה המומלצת היא העבר את ההודעה להסגר. השתמש בתובנות של בינה התחזות כדי לבחון את התוצאות. עקיפות מוסברות בסעיף הבא. לקבלת מידע נוסף, ראה תובנות לגבי בינת התחזות ב- EOP.

לזיהוי התחזות, התעלם מהפעולות הסטנדרטיות והקפדן המומלצות עבור מדיניות הפיילוט. במקום זאת, השתמש בערך אל תחיל פעולה כלשהי על ההגדרות הבאות:

  • אם זוהתה הודעה כהחזות משתמש
  • אם ההודעה זוהתה כתחום מתחזה
  • אם בינת תיבת הדואר מזהה משתמש מתחזה

השתמש בתובנות התחזות כדי לבחון את התוצאות. לקבלת מידע נוסף, ראה תובנות התחזות ב- Defender עבור Office 365.

כוונון הגנה מפני התחזות (התאמת מאפשרת ובלוקים) והפעל כל פעולת הגנה של התחזות כדי להעביר את ההודעות להסגר או להעביר את ההודעות לתיקיית דואר הזבל (בהתאם להמלצות רגילות או קפדניות). בדוק את התוצאות והתאם את ההגדרות לפי הצורך.

לקבלת מידע נוסף, עיין במאמרים הבאים:

השלב הבא

מזל טוב! השלמת את שלב ההתקנה של ההעברה ל- Microsoft Defender עבור Office 365!