Megosztás a következőn keresztül:

Migrálás Office 365-höz készült Microsoft Defender – 2. fázis: Beállítás


1. fázis: Előkészítés.
1. fázis: Előkészítés		 2. fázis: Beállítás.
2. fázis: Beállítások		 3. fázis: Előkészítés.
3. fázis: Bevezetés
Ön itt van!

Üdvözli a 2. fázis: Amigrálás beállítása Office 365-höz készült Microsoft Defender! Ez a migrálási fázis a következő lépéseket tartalmazza:

  1. terjesztési csoportok Létrehozás próbafelhasználók számára
  2. Felhasználó által jelentett üzenet beállításainak konfigurálása
  3. Az SCL=-1 levélforgalmi szabály karbantartása vagy létrehozása
  4. Továbbfejlesztett szűrés konfigurálása összekötőkhöz
  5. Létrehozás kísérleti védelmi szabályzatok

1. lépés: terjesztési csoportok Létrehozás próbafelhasználók számára

A Microsoft 365-ben terjesztési csoportokra van szükség a migrálás alábbi szempontjaihoz:

  • Az SCL=-1 levelezési szabály kivételei: Azt szeretné, hogy a próbafelhasználók teljes mértékben kihasználhassák a Office 365-höz készült Defender védelmet, ezért Office 365-höz készült Defender kell beolvasniuk a bejövő üzeneteiket. Ezt az eredményt úgy érheti el, hogy a próbafelhasználókat a Megfelelő terjesztési csoportokban definiálja a Microsoft 365-ben, és ezeket a csoportokat az SCL=-1 levelezési szabály alóli kivételként konfigurálja.

    Amint azt a 2. lépés előkészítése: (Nem kötelező) A próbafelhasználóknak a meglévő védelmi szolgáltatás szerinti szűrés alóli mentesítése című szakaszban leírtak szerint érdemes lehet mentesíteni ezeket a próbafelhasználókat a meglévő védelmi szolgáltatás általi vizsgálat alól. A meglévő védelmi szolgáltatás szerinti szűrés lehetőségének kiküszöbölése és kizárólag a Office 365-höz készült Defender alapján történő szűrés a migrálás befejezése után a legjobb és legközelebbi ábrázolás.

  • Adott Office 365-höz készült Defender védelmi funkciók tesztelése: Még a próbafelhasználók számára sem szeretne mindent egyszerre bekapcsolni. A próbafelhasználók számára érvényben lévő védelmi funkciók szakaszos megközelítése megkönnyíti a hibaelhárítást és a módosítást. Ezt a megközelítést szem előtt tartva a következő terjesztési csoportokat javasoljuk:

    • Biztonságos mellékletek próbacsoport: Például MDOPilot_SafeAttachments
    • Biztonságos hivatkozások próbacsoport: Például MDOPilot_SafeLinks
    • A standard levélszemét- és adathalászat elleni szabályzat beállításainak próbacsoportja: Például MDOPilot_SpamPhish_Standard
    • Kísérleti csoport a szigorú levélszemét- és adathalászat elleni szabályzat beállításaihoz: Például MDOPilot_SpamPhish_Strict

Az egyértelműség kedvéért a jelen cikkben ezeket a csoportneveket használjuk, de szabadon használhatja a saját elnevezési konvencióját.

Ha készen áll a tesztelés megkezdésére, vegye fel ezeket a csoportokat kivételként az SCL=-1 levelezési szabályba. Amikor szabályzatokat hoz létre a Office 365-höz készült Defender különböző védelmi funkcióihoz, ezeket a csoportokat olyan feltételekként használja, amelyek meghatározzák, hogy kire vonatkozik a szabályzat.

Megjegyzések:

  • A Standard és a Strict kifejezés az ajánlott biztonsági beállításokból származik, amelyeket az előre beállított biztonsági szabályzatokban is használunk. Ideális esetben azt javasoljuk, hogy határozza meg a próbafelhasználókat a Standard és a Szigorú előzetes biztonsági szabályzatokban, de ezt nem tudjuk megtenni. Hogy ez mire jó? Mivel nem szabhatja testre az előre beállított biztonsági szabályzatok beállításait (különösen az üzeneteken végrehajtott műveleteket). A migrálási teszt során látni szeretné, hogy mit tenne Office 365-höz készült Defender az üzenetekkel, ellenőrizni szeretné, hogy ez a kívánt eredmény-e, és esetleg módosítani szeretné a szabályzatkonfigurációkat az eredmények engedélyezéséhez vagy megelőzéséhez.

    Ezért az előre beállított biztonsági szabályzatok használata helyett manuálisan fog egyéni szabályzatokat létrehozni, amelyek hasonló beállításokat használnak, de bizonyos esetekben eltérnek a Standard és a Szigorú előre beállított biztonsági házirendek beállításaitól.

  • Ha olyan beállításokkal szeretne kísérletezni, amelyek jelentősen eltérnek a Standard vagy a Szigorú ajánlott értékektől, érdemes lehet további és specifikus terjesztési csoportokat létrehozni és használni a próbafelhasználók számára ezekben a forgatókönyvekben. A Konfigurációelemző segítségével ellenőrizheti, hogy mennyire biztonságosak a beállítások. Útmutatásért lásd: Konfigurációelemző védelmi szabályzatokhoz az EOP-ban és Office 365-höz készült Microsoft Defender.

    A legtöbb szervezet esetében a legjobb módszer az, ha olyan szabályzatokkal kezdünk, amelyek szorosan összhangban illenek az ajánlott Standard beállításokhoz. Miután annyi megfigyelést és visszajelzést kaphat, amennyit a rendelkezésre álló időkeretben meg tud tenni, később agresszívebb beállításokra válthat. A megszemélyesítés elleni védelem és a Levélszemét Email mappába való kézbesítés és a karanténba történő kézbesítés testreszabást igényelhet.

    Ha testre szabott szabályzatokat használ, csak győződjön meg arról, hogy azokat a migráláshoz ajánlott beállításokat tartalmazó szabályzatok előtt alkalmazza. Ha egy felhasználót azonos típusú szabályzatok (például adathalászat elleni támadások) azonosítanak, a rendszer csak egy ilyen típusú házirendet alkalmaz a felhasználóra (a szabályzat prioritási értéke alapján). További információ: Az e-mailek védelmének sorrendje és elsőbbségi sorrendje.

2. lépés: A felhasználó által jelentett üzenet beállításainak konfigurálása

A migrálás fontos része, hogy a felhasználók hamis pozitív vagy hamis negatívumokat jelenthessenek Office 365-höz készült Defender.

Megadhat egy Exchange Online postaládát a felhasználók által rosszindulatúként vagy nem rosszindulatúként jelentett üzenetek fogadásához. Útmutatásért lásd: Felhasználó által jelentett beállítások. Ez a postaláda fogadhatja a felhasználók által a Microsoftnak küldött üzenetek másolatait, vagy a postaláda anélkül is elfoghatja az üzeneteket, hogy a Microsoftnak jelentenek (a biztonsági csapat manuálisan elemezheti és elküldheti az üzeneteket). Az elfogási megközelítés azonban nem teszi lehetővé, hogy a szolgáltatás automatikusan hangoljon és tanuljon.

Azt is meg kell erősítenie, hogy a próbaüzem összes felhasználója támogatja az olyan üzenetek jelentését, amelyek helytelen ítéletet kaptak Office 365-höz készült Defender. Ezek a lehetőségek a következők:

Ne becsülje alá ennek a lépésnek a fontosságát. A felhasználó által jelentett üzenetekből származó adatok olyan visszajelzési hurkot biztosítanak, amelyet a migrálás előtt és után ellenőriznie kell a megfelelő, konzisztens végfelhasználói élmény érdekében. Ez a visszajelzés segít megalapozott szabályzatkonfigurációs döntések meghozatalában, és adatalapú jelentéseket nyújt a felügyeletnek arról, hogy a migrálás zökkenőmentesen ment.

Ahelyett, hogy az egész szervezet tapasztalatain alapuló adatokra támaszkodott, több migrálás is érzelmi spekulációt eredményezett egyetlen negatív felhasználói élmény alapján. Továbbá, ha adathalász szimulációkat futtat, a felhasználók visszajelzései alapján tájékoztathatja Önt, ha olyan kockázatos elemet látnak, amely kivizsgálást igényelhet.

3. lépés: Az SCL=-1 levélforgalmi szabály karbantartása vagy létrehozása

Mivel a bejövő e-mailek egy másik védelmi szolgáltatáson keresztül vannak átirányítva, amely a Microsoft 365 előtt található, valószínű, hogy már rendelkezik egy levélforgalmi szabállyal (más néven átviteli szabállyal) az Exchange Online, amely az összes bejövő levél levélszemét-megbízhatósági szintjét (SCL) -1 értékre állítja (a levélszemétszűrés megkerülése). A legtöbb külső védelmi szolgáltatás ösztönzi ezt az SCL=-1 levelezési szabályt azon Microsoft 365-ügyfelek számára, akik szeretnék használni a szolgáltatásaikat.

Ha más mechanizmust használ a Microsoft-szűrési verem felülbírálásához (például egy IP-engedélyezési listát), javasoljuk, hogy váltson SCL=-1 levelezési szabály használatára, amennyiben a Microsoft 365-be bejövő összes bejövő internetes levél a külső védelmi szolgáltatásból érkezik (az internetről nem érkezik közvetlenül a Microsoft 365-be).

Az SCL=-1 levelezési szabály a migrálás során a következő okok miatt fontos:

  • A Threat Explorer (Explorer) segítségével megtekintheti, hogy a Microsoft-verem mely funkciói jártak volna el az üzeneteken anélkül, hogy befolyásolnák a meglévő védelmi szolgáltatás eredményeit.

  • Az SCL=-1 levelezési szabály kivételeinek konfigurálásával fokozatosan módosíthatja, hogy ki legyen védve a Microsoft 365-ös szűrési verem által. A kivételek a cikk későbbi részében javasolt próbaterjesztési csoportok tagjai.

    Az MX rekord Microsoft 365-be való átállása előtt vagy közben letiltja ezt a szabályt, hogy a szervezet összes címzettje számára bekapcsolja a Microsoft 365 védelmi verem teljes védelmét.

További információ: Levélforgalmi szabályok használata a levélszemét-megbízhatósági szint (SCL) beállításához az Exchange Online üzenetekben.

Megjegyzések:

  • Ha azt tervezi, hogy az internetes levelek a meglévő védelmi szolgáltatáson keresztül közvetlenül a Microsoft 365-be is átfolynak, korlátoznia kell az SCL=-1 levélforgalmi szabályt (a levélszemétszűrést megkerülő leveleket) azokra a levelekre, amelyek csak a meglévő védelmi szolgáltatáson keresztül haladnak át. Nem szeretné, hogy a szűretlen internetes levelek a Microsoft 365 felhasználói postaládáiba érkeznek.

    A meglévő védelmi szolgáltatás által már megvizsgált levelek helyes azonosításához hozzáadhat egy feltételt az SCL=-1 levélforgalmi szabályhoz. Például:

    • Felhőalapú védelmi szolgáltatások esetén: A szervezet számára egyedi fejléc- és fejlécértéket használhat. A fejlécet tartalmazó üzeneteket a Microsoft 365 nem vizsgálja. A fejléc nélküli üzeneteket a Microsoft 365 vizsgálja
    • Helyszíni védelmi szolgáltatásokhoz vagy eszközökhöz: Használhatja a forrás IP-címeket. A forrás IP-címekről érkező üzeneteket a Microsoft 365 nem vizsgálja. A nem a forrás IP-címekről érkező üzeneteket a Microsoft 365 vizsgálja.

  • Ne kizárólag MX rekordokra támaszkodjon annak szabályozásához, hogy a levelek szűrve legyenek-e. A feladók egyszerűen figyelmen kívül hagyhatják az MX rekordot, és közvetlenül a Microsoft 365-be küldhetnek e-maileket.

4. lépés: Továbbfejlesztett szűrés konfigurálása összekötőkhöz

Az első teendő az összekötők továbbfejlesztett szűrésének (más néven kihagyási lista) konfigurálása a meglévő védelmi szolgáltatásból a Microsoft 365-be irányuló levelezéshez használt összekötőn. A Bejövő üzenetek jelentés segítségével azonosíthatja az összekötőt.

Az Office 365-höz készült Defender továbbfejlesztett szűrést igényel az összekötőkhöz annak megtekintéséhez, hogy honnan származnak az internetes üzenetek. Az összekötők továbbfejlesztett szűrése nagyban javítja a Microsoft szűrési veremének pontosságát (különösen a hamis felderítést és a biztonsági incidens utáni képességeket a Threat Explorerben és az automatizált vizsgálatban & Válasz (AIR) esetében.

Az összekötők kibővített szűrésének megfelelő engedélyezéséhez hozzá kell adnia az **összes** külső szolgáltatás és/vagy helyszíni levelezőrendszer-gazdagépek nyilvános IP-címét, amelyek a bejövő leveleket a Microsoft 365-be irányítják.

Annak ellenőrzéséhez, hogy működik-e az összekötők továbbfejlesztett szűrése, ellenőrizze, hogy a bejövő üzenetek tartalmazzák-e az alábbi fejlécek egyikét vagy mindkettőt:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

5. lépés: A kísérleti védelmi szabályzatok Létrehozás

Éles szabályzatok létrehozásával még akkor is tesztelheti a biztonsági incidens utáni funkciókat, mint a Threat Explorer, és tesztelheti az Office 365-höz készült Defender a biztonsági reagálási csapat folyamatába való integrálását.

Fontos

A szabályzatok hatóköre felhasználókra, csoportokra vagy tartományokra terjedhet ki. Nem javasoljuk, hogy mindháromot egy szabályzatban keverje, mivel csak azok a felhasználók tartoznak a szabályzat hatókörébe, amelyek mind a háromhoz megfelelnek. A próbaszabályzatokhoz csoportok vagy felhasználók használatát javasoljuk. Éles szabályzatok esetén a tartományok használatát javasoljuk. Rendkívül fontos megérteni, hogy csak a felhasználó elsődleges e-mail-tartománya határozza meg, hogy a felhasználó a szabályzat hatókörébe tartozik-e. Ha tehát egy felhasználó másodlagos tartományának MX rekordját váltja át, győződjön meg arról, hogy az elsődleges tartományra is vonatkozik egy szabályzat.

Létrehozás próbaüzem biztonságos mellékletekre vonatkozó szabályzatai

A Biztonságos mellékletek a legegyszerűbb Office 365-höz készült Defender funkció, amelyet az MX rekord váltása előtt engedélyezhet és tesztelhet. A biztonságos mellékletek a következő előnyökkel járnak:

  • Minimális konfiguráció.
  • Rendkívül alacsony a vakriasztások esélye.
  • Hasonló viselkedés a kártevőirtók elleni védelemhez, amelyet az SCL=-1 levelezési szabály mindig bekapcsolva és nem érint.

Az ajánlott beállításokért lásd: Ajánlott biztonságos mellékletek házirend-beállításai. A standard és a szigorú javaslatok megegyeznek. A szabályzat létrehozásához lásd: Biztonságos mellékletek házirendjeinek beállítása. Ügyeljen arra, hogy a csoport MDOPilot_SafeAttachments használja a szabályzat feltételeként (hogy kire vonatkozik a szabályzat).

Megjegyzés:

A Beépített védelem beépített biztonsági szabályzata a Biztonságos mellékletek védelmet nyújt minden olyan címzettnek, aki nincs meghatározva a Biztonságos mellékletek házirendekben. További információ: Előre beállított biztonsági szabályzatok az EOP-ban és Office 365-höz készült Microsoft Defender.

Megjegyzés:

Nem támogatjuk a már burkolt vagy újraírt hivatkozások burkolását vagy újraírását. Ha a jelenlegi védelmi szolgáltatás már becsomagolja vagy újraírja a hivatkozásokat az e-mailekben, ki kell kapcsolnia ezt a funkciót a próbafelhasználók számára. Ennek egyik módja, ha kizárja a másik szolgáltatás URL-tartományát a Biztonságos hivatkozások szabályzatból.

A biztonságos hivatkozásokban a téves riasztások esélye is elég alacsony, de érdemes lehet a funkciót kisebb számú próbafelhasználón tesztelni, mint a Biztonságos mellékletek lehetőséget. Mivel a funkció hatással van a felhasználói élményre, érdemes megfontolni a felhasználók oktatásának tervét.

Az ajánlott beállításokért lásd: Biztonságos hivatkozások házirend-beállításai. A standard és a szigorú javaslatok megegyeznek. A szabályzat létrehozásához lásd: Biztonságos hivatkozások házirendjeinek beállítása. Ügyeljen arra, hogy a csoport MDOPilot_SafeLinks használja a szabályzat feltételeként (hogy kire vonatkozik a szabályzat).

Megjegyzés:

A Beépített védelem beépített biztonsági szabályzata biztonságos hivatkozásokat biztosít minden olyan címzettnek, aki nincs definiálva a Biztonságos hivatkozások házirendekben. További információ: Előre beállított biztonsági szabályzatok az EOP-ban és Office 365-höz készült Microsoft Defender.

Létrehozás levélszemét-ellenes szabályzatok próbaüzeme

Létrehozás két levélszemét elleni szabályzatot a próbafelhasználók számára:

  • A Standard beállításokat használó szabályzat. Használja a csoport MDOPilot_SpamPhish_Standard a szabályzat feltételeként (hogy kire vonatkozik a szabályzat).
  • A Szigorú beállításokat használó szabályzat. Használja a csoport MDOPilot_SpamPhish_Strict a szabályzat feltételeként (hogy kire vonatkozik a szabályzat). Ennek a szabályzatnak magasabb prioritásúnak (alacsonyabb számnak) kell lennie, mint a Standard beállításokkal rendelkező szabályzatnak.

Az ajánlott standard és szigorú beállításokért lásd: Ajánlott levélszemét-ellenes házirend-beállítások. A szabályzatok létrehozásához lásd: Levélszemét-ellenes szabályzatok konfigurálása.

az adathalászat elleni kísérleti szabályzatok Létrehozás

Létrehozás két adathalászat elleni szabályzatot a próbafelhasználók számára:

  • Olyan szabályzat, amely a Standard beállításokat használja, kivéve a megszemélyesítési észlelési műveleteket az alábbiakban leírtak szerint. Használja a csoport MDOPilot_SpamPhish_Standard a szabályzat feltételeként (hogy kire vonatkozik a szabályzat).
  • Olyan szabályzat, amely a Szigorú beállításokat használja, kivéve a megszemélyesítési észlelési műveleteket az alábbiakban leírtak szerint. Használja a csoport MDOPilot_SpamPhish_Strict a szabályzat feltételeként (hogy kire vonatkozik a szabályzat). Ennek a szabályzatnak magasabb prioritásúnak (alacsonyabb számnak) kell lennie, mint a Standard beállításokkal rendelkező szabályzatnak.

Hamis hamisítás észlelése esetén az ajánlott Szokásos művelet az Üzenet áthelyezése a címzettek Levélszemét Email mappáiba, az ajánlott Szigorú művelet pedig Az üzenet karanténba helyezése. Az eredmények megfigyeléséhez használja a hamisintelligencia-megállapítást. A felülbírálásokat a következő szakaszban ismertetjük. További információ: Hamisintelligencia-megállapítások az EOP-ban.

A megszemélyesítés észleléséhez hagyja figyelmen kívül a próbaszabályzatokhoz ajánlott Standard és Szigorú műveleteket. Ehelyett használja a Ne alkalmazzon semmilyen műveletet a következő beállításokhoz értéket:

  • Ha a rendszer felhasználói megszemélyesítésként észlel egy üzenetet
  • Ha az üzenet megszemélyesített tartományként van észlelve
  • Ha a postaláda-intelligencia megszemélyesített felhasználót észlel

Az eredmények megtekintéséhez használja a megszemélyesítési megállapítást. További információ: Megszemélyesítési megállapítások Office 365-höz készült Defender.

Hangolja a hamisítás elleni védelmet (állítsa be az engedélyezett és letiltott elemeket), és kapcsolja be az egyes megszemélyesítés elleni védelmi műveletet a karanténba helyezéshez, vagy helyezze át az üzeneteket a Levélszemét Email mappába (a Standard vagy a Szigorú javaslatok alapján). Figyelje meg az eredményeket, és szükség szerint módosítsa a beállításokat.

További információért olvassa el az alábbi témaköröket:

További lépés

Gratulálunk! Befejezte a migrálásbeállítási fázisát Office 365-höz készült Microsoft Defender!