Overfør til Microsoft Defender for Office 365 – fase 2: Oppsett


Fase 1: Forbered deg.
Fase 1: Forbered		 Fase 2: Konfigurer.
Fase 2: Konfigurere		 Fase 3: Ombord.
Fase 3: Ombord
Du er her!

Velkommen til fase 2: Konfigureroverføringen til Microsoft Defender for Office 365! Denne overføringsfasen inkluderer følgende trinn:

  1. Opprett distribusjonsgrupper for pilotbrukere
  2. Konfigurer brukerrapporterte meldingsinnstillinger
  3. Vedlikeholde eller opprette SCL=-1-regelen for e-postflyt
  4. Konfigurer utvidet filtrering for koblinger
  5. Opprett pilotbeskyttelsespolicyer

Trinn 1: Opprett distribusjonsgrupper for pilotbrukere

Distribusjonsgrupper kreves i Microsoft 365 for følgende aspekter ved overføringen:

  • Unntak for SCL=-1-regelen for e-postflyt: Du vil at pilotbrukere skal få full effekt av Defender for Office 365 beskyttelse, så du må Defender for Office 365 for å skanne innkommende meldinger. Du får dette resultatet ved å definere pilotbrukerne i de aktuelle distribusjonsgruppene i Microsoft 365, og konfigurere disse gruppene som unntak fra SCL=-1-regelen for e-postflyt.

    Som vi beskrev i trinn 2: (Valgfritt) Fritatt pilotbrukere fra filtrering etter eksisterende beskyttelsestjeneste, bør du vurdere å unnta de samme pilotbrukerne fra å skanne av den eksisterende beskyttelsestjenesten. Å eliminere muligheten for filtrering av den eksisterende beskyttelsestjenesten og stole utelukkende på Defender for Office 365 er den beste og nærmeste representasjonen av hva som kommer til å skje etter at overføringen er fullført.

  • Testing av bestemte Defender for Office 365 beskyttelsesfunksjoner: Selv for pilotbrukerne ønsker du ikke å aktivere alt samtidig. Hvis du bruker en trinnvis fremgangsmåte for beskyttelsesfunksjonene som gjelder for pilotbrukerne, blir feilsøking og justering enklere. Med denne fremgangsmåten i tankene anbefaler vi følgende distribusjonsgrupper:

    • En pilotgruppe for klarerte vedlegg: for eksempel MDOPilot_SafeAttachments
    • En pilotgruppe for klarerte koblinger: For eksempel MDOPilot_SafeLinks
    • En pilotgruppe for standard innstillinger for søppelpost og anti-phishing-policy: for eksempel MDOPilot_SpamPhish_Standard
    • En pilotgruppe for strenge innstillinger for søppelpost og anti-phishing-policyer: For eksempel MDOPilot_SpamPhish_Strict

Vi bruker disse spesifikke gruppenavnene gjennom hele denne artikkelen, men du kan bruke din egen navnekonvensjon.

Når du er klar til å starte testingen, kan du legge til disse gruppene som unntak fra SCL=-1-regelen for e-postflyt. Når du oppretter policyer for de ulike beskyttelsesfunksjonene i Defender for Office 365, kan du bruke disse gruppene som betingelser som definerer hvem policyen gjelder for.

Notater:

  • Vilkårene Standard og Strict kommer fra våre anbefalte sikkerhetsinnstillinger, som også brukes i forhåndsinnstilte sikkerhetspolicyer. Ideelt sett ville vi be deg om å definere pilotbrukerne i standard- og strenge forhåndsinnstilte sikkerhetspolicyer, men vi kan ikke gjøre det. Hvorfor? Fordi du ikke kan tilpasse innstillingene i forhåndsinnstilte sikkerhetspolicyer (spesielt handlinger som utføres på meldinger). Under overføringstestingen vil du se hva Defender for Office 365 vil gjøre med meldinger, kontrollere at det er resultatet du ønsker, og eventuelt justere policykonfigurasjonene for å tillate eller forhindre disse resultatene.

    Så i stedet for å bruke forhåndsinnstilte sikkerhetspolicyer, skal du manuelt opprette egendefinerte policyer med innstillinger som ligner på, men i noen tilfeller er annerledes enn innstillingene for standard og strenge forhåndsinnstilte sikkerhetspolicyer.

  • Hvis du vil eksperimentere med innstillinger som er vesentlig forskjellige fra våre standardverdier eller strenge anbefalte verdier, bør du vurdere å opprette og bruke flere og spesifikke distribusjonsgrupper for pilotbrukerne i disse scenariene. Du kan bruke Configuration Analyzer til å se hvor sikre innstillingene er. Hvis du vil ha instruksjoner, kan du se Konfigurasjonsanalyse for beskyttelsespolicyer i EOP og Microsoft Defender for Office 365.

    For de fleste organisasjoner er den beste fremgangsmåten å starte med policyer som samsvarer tett med våre anbefalte standardinnstillinger. Etter så mye observasjon og tilbakemelding som du kan gjøre i den tilgjengelige tidsrammen, kan du flytte til mer aggressive innstillinger senere. Representasjonsbeskyttelse og levering til Søppelpost-mappen kontra levering til karantene kan kreve tilpassing.

    Hvis du bruker tilpassede policyer, må du bare kontrollere at de brukes før policyene som inneholder våre anbefalte innstillinger for overføringen. Hvis en bruker identifiseres i flere policyer av samme type (for eksempel anti-phishing), brukes bare én policy av denne typen for brukeren (basert på prioritetsverdien for policyen). Hvis du vil ha mer informasjon, kan du se Ordre og prioritet for e-postbeskyttelse.

Trinn 2: Konfigurere brukerrapporterte meldingsinnstillinger

Muligheten for brukere til å rapportere falske positiver eller falske negativer fra Defender for Office 365 er en viktig del av overføringen.

Du kan angi en Exchange Online postboks for å motta meldinger som brukere rapporterer som skadelige eller ikke skadelige. Hvis du vil ha instruksjoner, kan du se Brukerrapporterte innstillinger. Denne postboksen kan motta kopier av meldinger som brukerne har sendt til Microsoft, eller postboksen kan fange opp meldinger uten å rapportere dem til Microsoft (sikkerhetsteamet kan manuelt analysere og sende meldingene selv). Avskjæringstilnærmingen tillater imidlertid ikke at tjenesten automatisk justerer og lærer.

Du bør også bekrefte at alle brukerne i prøveprosjektet har en støttet måte å rapportere meldinger som mottok en feilaktig dom fra Defender for Office 365. Disse alternativene omfatter:

Ikke undervurder viktigheten av dette trinnet. Data fra brukerrapporterte meldinger gir deg tilbakemeldingssløyfen som du må bekrefte en god, konsekvent sluttbrukeropplevelse før og etter overføringen. Denne tilbakemeldingen hjelper deg med å ta informerte beslutninger om policykonfigurasjon, og gi datastøttede rapporter til administrasjon om at overføringen gikk problemfritt.

I stedet for å stole på data som er basert på hele organisasjonens opplevelse, har mer enn én overføring ført til følelsesmessige spekulasjoner basert på en enkelt negativ brukeropplevelse. Hvis du har kjørt phishing-simuleringer, kan du bruke tilbakemeldinger fra brukerne til å informere deg når de ser noe risikabelt som kan kreve undersøkelse.

Trinn 3: Vedlikeholde eller opprette SCL=-1-regelen for e-postflyt

Siden den inngående e-posten din rutes gjennom en annen beskyttelsestjeneste som er foran Microsoft 365, er det sannsynlig at du allerede har en regel for e-postflyt (også kjent som en transportregel) i Exchange Online som angir søppelpostkontonivået (SCL) for all innkommende e-post til verdien -1 (omgå filtrering av søppelpost). De fleste tredjeparts beskyttelsestjenester oppfordrer denne SCL=-1-regelen for e-postflyt for Microsoft 365-kunder som ønsker å bruke tjenestene sine.

Hvis du bruker en annen mekanisme til å overstyre Microsoft-filtreringsstakken (for eksempel en ip-tillatelsesliste), anbefaler vi at du bytter til å bruke en SCL=-1-regel for e-postflyt så lenge all inngående Internett-e-post til Microsoft 365 kommer fra tredjeparts beskyttelsestjeneste (ingen e-postflyter direkte fra Internett til Microsoft 365).

SCL=-1-e-postflytregelen er viktig under overføringen av følgende årsaker:

  • Du kan bruke Trusselutforsker (Explorer) til å se hvilke funksjoner i Microsoft-stakken som ville ha handlet på meldinger uten å påvirke resultatene fra den eksisterende beskyttelsestjenesten.

  • Du kan gradvis justere hvem som er beskyttet av Microsoft 365-filtreringsstakken ved å konfigurere unntak fra SCL=-1-regelen for e-postflyt. Unntakene er medlemmer av testdistribusjonsgruppene som vi anbefaler senere i denne artikkelen.

    Før eller under fullstendig gjenoppretting av MX-posten til Microsoft 365 deaktiverer du denne regelen for å aktivere full beskyttelse av Beskyttelsesstakken for Microsoft 365 for alle mottakere i organisasjonen.

Hvis du vil ha mer informasjon, kan du se Bruke regler for e-postflyt til å angi søppelpostnivå (SCL) i meldinger i Exchange Online.

Notater:

  • Hvis du planlegger å tillate at Internett-e-post flyter gjennom den eksisterende beskyttelsestjenesten og direkte inn i Microsoft 365 samtidig, må du begrense SCL=-1-regelen for e-postflyt (e-post som omgår filtrering av søppelpost) til e-post som bare har gått gjennom den eksisterende beskyttelsestjenesten. Du vil ikke ha ufiltrert internett-e-postlanding i brukerpostbokser i Microsoft 365.

    Hvis du vil identifisere e-post som allerede er skannet av den eksisterende beskyttelsestjenesten, kan du legge til en betingelse i SCL=-1-regelen for e-postflyt. Eksempel:

    • For skybaserte beskyttelsestjenester: Du kan bruke en topptekst- og topptekstverdi som er unik for organisasjonen. Meldinger som har toppteksten, skannes ikke av Microsoft 365. Meldinger uten topptekst skannes av Microsoft 365
    • For lokale beskyttelsestjenester eller enheter: Du kan bruke kilde-IP-adresser. Meldinger fra kilde-IP-adressene skannes ikke av Microsoft 365. Meldinger som ikke er fra kilde-IP-adressene, skannes av Microsoft 365.

  • Ikke stol utelukkende på MX-poster for å kontrollere om e-post filtreres. Avsendere kan enkelt ignorere MX-posten og sende e-post direkte til Microsoft 365.

Trinn 4: Konfigurer utvidet filtrering for koblinger

Det første du må gjøre er å konfigurere utvidet filtrering for koblinger (også kalt hopp over oppføring) på koblingen som brukes til e-postflyt fra den eksisterende beskyttelsestjenesten til Microsoft 365. Du kan bruke rapporten for innkommende meldinger til å identifisere koblingen.

Forbedret filtrering for koblinger kreves av Defender for Office 365 for å se hvor Internett-meldinger faktisk kom fra. Forbedret filtrering for koblinger forbedrer nøyaktigheten til Microsoft-filtreringsstakken (spesielt forfalskingsintelligens og funksjoner etter brudd i Trusselutforsker og Automatisert undersøkelse & Response (AIR).

Hvis du vil aktivere utvidet filtrering for koblinger på riktig måte, må du legge til de offentlige IP-adressene til **alle** tredjepartstjenester og/eller lokale e-postsystemverter som ruter inngående e-post til Microsoft 365.

Hvis du vil bekrefte at utvidet filtrering for koblinger fungerer, må du kontrollere at innkommende meldinger inneholder én eller begge av følgende overskrifter:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

Trinn 5: Opprett policyer for pilotbeskyttelse

Ved å opprette produksjonspolicyer, selv om de ikke brukes for alle brukere, kan du teste funksjoner etter brudd som Trusselutforsker og teste integrering av Defender for Office 365 i prosessene til sikkerhetsresponsteamet.

Viktig

Policyer kan begrenses til brukere, grupper eller domener. Vi anbefaler ikke å blande alle tre i én policy, da bare brukere som samsvarer med alle tre, vil falle innenfor omfanget av policyen. For pilotpolicyer anbefaler vi at du bruker grupper eller brukere. For produksjonspolicyer anbefaler vi at du bruker domener. Det er svært viktig å forstå at bare brukerens primære e-postdomene bestemmer om brukeren faller innenfor omfanget av policyen. Så hvis du bytter MX-posten for en brukers sekundære domene, må du kontrollere at det primære domenet også dekkes av en policy.

Opprett pilotpolicyer for klarerte vedlegg

Klarerte vedlegg er den enkleste Defender for Office 365 funksjonen for å aktivere og teste før du bytter MX-post. Klarerte vedlegg har følgende fordeler:

  • Minimal konfigurasjon.
  • Ekstremt lav sjanse for falske positiver.
  • Lignende virkemåte som beskyttelse mot skadelig programvare, som alltid er aktivert og ikke påvirkes av SCL=-1-regelen for e-postflyt.

Se policyinnstillingene for anbefalte klarerte vedlegg for de anbefalte innstillingene. Standard- og Strenge-anbefalingene er de samme. Hvis du vil opprette policyen, kan du se Konfigurere policyer for klarerte vedlegg. Pass på at du bruker gruppen MDOPilot_SafeAttachments som betingelsen for policyen (hvem policyen gjelder for).

Obs!

Den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse gir beskyttelse av klarerte vedlegg til alle mottakere som ikke er definert i policyer for klarerte vedlegg. Hvis du vil ha mer informasjon, kan du se Forhåndsinnstilte sikkerhetspolicyer i EOP og Microsoft Defender for Office 365.

Obs!

Vi støtter ikke tekstbryting eller omskriving av koblinger som allerede er pakket eller omskrevet. Hvis den gjeldende beskyttelsestjenesten allerede bryter eller omskriver koblinger i e-postmeldinger, må du deaktivere denne funksjonen for pilotbrukerne. Én måte å sikre at dette ikke skjer på, er å utelate nettadressedomenet til den andre tjenesten i policyen for klarerte koblinger.

Sjansene for falske positiver i klarerte koblinger er også ganske lave, men du bør vurdere å teste funksjonen på et mindre antall pilotbrukere enn Klarerte vedlegg. Fordi funksjonen påvirker brukeropplevelsen, bør du vurdere en plan for å lære opp brukere.

Se policyinnstillingene for klarerte koblinger for de anbefalte innstillingene. Standard- og Strenge-anbefalingene er de samme. Hvis du vil opprette policyen, kan du se Konfigurere policyer for klarerte koblinger. Pass på at du bruker gruppen MDOPilot_SafeLinks som betingelsen for policyen (hvem policyen gjelder for).

Obs!

Den innebygde sikkerhetspolicyen for beskyttelse gir beskyttelse av klarerte koblinger til alle mottakere som ikke er definert i policyer for klarerte koblinger. Hvis du vil ha mer informasjon, kan du se Forhåndsinnstilte sikkerhetspolicyer i EOP og Microsoft Defender for Office 365.

Opprett pilotpolicyer for søppelpost

Opprett to policyer for søppelpost for pilotbrukere:

  • En policy som bruker standardinnstillingene. Bruk gruppen MDOPilot_SpamPhish_Standard som betingelsen for policyen (hvem policyen gjelder for).
  • En policy som bruker strenge innstillinger. Bruk gruppen MDOPilot_SpamPhish_Strict som betingelsen for policyen (hvem policyen gjelder for). Denne policyen bør ha høyere prioritet (lavere tall) enn policyen med standardinnstillingene.

Hvis du vil se anbefalte standardinnstillinger og strenge innstillinger, kan du se Anbefalte innstillinger for søppelpostpolicy. Hvis du vil opprette policyene, kan du se Konfigurere policyer for søppelpost.

Opprett pilotpolicyer for anti-phishing

Opprett to policyer for anti-phishing for pilotbrukere:

  • En policy som bruker standardinnstillingene, bortsett fra gjenkjenningshandlinger for representasjon, som beskrevet nedenfor. Bruk gruppen MDOPilot_SpamPhish_Standard som betingelsen for policyen (hvem policyen gjelder for).
  • En policy som bruker strenge innstillinger, bortsett fra gjenkjenningshandlinger for representasjon, som beskrevet nedenfor. Bruk gruppen MDOPilot_SpamPhish_Strict som betingelsen for policyen (hvem policyen gjelder for). Denne policyen bør ha høyere prioritet (lavere tall) enn policyen med standardinnstillingene.

For forfalskningsgjenkjenning er den anbefalte standardhandlingen å flytte meldingen til mottakernes søppelpostmapper, og den anbefalte strenge handlingen er karantenemeldingen. Bruk innsikten om forfalskningsintelligens til å observere resultatene. Overstyringer forklares i neste del. Hvis du vil ha mer informasjon, kan du se Spoof Intelligence Insight i EOP.

Ignorer de anbefalte standard- og strenge handlingene for forsøkspolicyene for etterligningsregistreringer. Bruk i stedet verdien Ikke bruk noen handling for følgende innstillinger:

  • Hvis en melding oppdages som brukerrepresentasjon
  • Hvis meldingen oppdages som representert domene
  • Hvis postboksintelligens oppdager en representert bruker

Bruk representasjonsinnsikten til å observere resultatene. Hvis du vil ha mer informasjon, kan du se Representasjonsinnsikt i Defender for Office 365.

Tune spoofing protection (adjust allows and blocks) and turn on each impersonation protection action to quarantine or move the messages to the Junk Email folder (based on the Standard or Strict recommendations). Se resultatene, og juster innstillingene etter behov.

Hvis du vil ha mer informasjon, kan du se følgende artikler:

Neste trinn:

Gratulerer! Du har fullført installasjonsfasen av overføringen til Microsoft Defender for Office 365!