Test en implementeer Defender voor Office 365
Van toepassing op:
- Microsoft Defender XDR
Dit artikel bevat een werkstroom voor het testen en implementeren van Microsoft Defender voor Office 365 in uw organisatie. U kunt deze aanbevelingen gebruiken om Microsoft Defender voor Office 365 te onboarden als een individueel cyberbeveiligingshulpprogramma of als onderdeel van een end-to-end-oplossing met Microsoft Defender XDR.
In dit artikel wordt ervan uitgegaan dat u een Productie-Microsoft 365-tenant hebt en Microsoft Defender voor Office 365 in deze omgeving uitvoert en implementeert. In deze procedure worden alle instellingen en aanpassingen die u tijdens de testfase configureert, behouden voor uw volledige implementatie.
Defender voor Office 365 draagt bij aan een Zero Trust-architectuur door bedrijfsschade door een inbreuk te voorkomen of te beperken. Zie bedrijfsschade door een bedrijfsscenario voorkomen of beperken in het Microsoft Zero Trust adoption framework voor meer informatie.
End-to-end-implementatie voor Microsoft Defender XDR
Dit is artikel 3 van 6 in een reeks om u te helpen bij het implementeren van de onderdelen van Microsoft Defender XDR, inclusief het onderzoeken van en reageren op incidenten.
De artikelen in deze reeks komen overeen met de volgende fasen van end-to-end-implementatie:
| Fase | Koppelen |
|---|---|
| A. Start de testfase | Start de testfase |
| B. Test en implementeer Microsoft Defender XDR onderdelen |
-
Defender for Identity piloten en implementeren - Test en implementeer Defender voor Office 365 (dit artikel) - Defender voor Eindpunt testen en implementeren - Test en implementeer Microsoft Defender for Cloud Apps |
| C. Bedreigingen onderzoeken en hierop reageren | Incidentonderzoek en -reactie oefenen |
Werkstroom voor Defender voor Office 365 testen en implementeren
In het volgende diagram ziet u een algemeen proces voor het implementeren van een product of service in een IT-omgeving.
U begint met het evalueren van het product of de service en de werking ervan binnen uw organisatie. Vervolgens test u het product of de service met een geschikte kleine subset van uw productie-infrastructuur voor testen, leren en aanpassen. Vergroot vervolgens geleidelijk het bereik van de implementatie totdat uw hele infrastructuur of organisatie wordt gedekt.
Dit is de werkstroom voor het testen en implementeren van Defender voor Office 365 in uw productieomgeving.
Volg deze stappen:
- De openbare MX-record controleren en controleren
- Geaccepteerde domeinen controleren
- Binnenkomende connectors controleren
- De evaluatie activeren
- Testgroepen maken
- Beveiliging configureren
- Mogelijkheden uitproberen
Dit zijn de aanbevolen stappen voor elke implementatiefase.
| Implementatiefase | Beschrijving |
|---|---|
| Evalueren | Productevaluatie uitvoeren voor Defender voor Office 365. |
| Pilot | Voer stap 1-7 uit voor testgroepen. |
| Volledige implementatie | Configureer de testgebruikersgroepen in stap 5 of voeg gebruikersgroepen toe om verder te gaan dan de testfase en uiteindelijk al uw gebruikersaccounts op te nemen. |
Defender voor Office 365 architectuur en vereisten
In het volgende diagram ziet u de basisarchitectuur voor Microsoft Defender voor Office 365, die een SMTP-gateway van derden of on-premises integratie kan bevatten. Hybride co-existentiescenario's (productiepostvakken zijn zowel on-premises als online) vereisen complexere configuraties en worden niet behandeld in dit artikel of in de evaluatierichtlijnen.
In de volgende tabel wordt deze afbeelding beschreven.
| Bijschrift | Omschrijving |
|---|---|
| 1 | De hostserver voor de externe afzender voert doorgaans een openbare DNS-zoekopdracht uit voor een MX-record, waarmee de doelserver het bericht kan doorgeven. Deze verwijzing kan rechtstreeks worden Exchange Online (EXO) of een SMTP-gateway die is geconfigureerd voor relay tegen EXO. |
| 2 | Exchange Online Protection onderhandelt en valideert de binnenkomende verbinding en inspecteert de berichtkoppen en inhoud om te bepalen welke extra beleidsregels, tags of verwerking vereist zijn. |
| 3 | Exchange Online integreert met Microsoft Defender voor Office 365 om geavanceerdere bescherming tegen bedreigingen, risicobeperking en herstel te bieden. |
| 4 | Een bericht dat niet schadelijk, geblokkeerd of in quarantaine is geplaatst, wordt verwerkt en bezorgd bij de ontvanger in EXO, waar gebruikersvoorkeuren met betrekking tot ongewenste e-mail, postvakregels of andere instellingen worden geëvalueerd en geactiveerd. |
| 5 | Integratie met on-premises Active Directory kan worden ingeschakeld met behulp van Microsoft Entra Connect om objecten en accounts met e-mail te synchroniseren en in te richten voor Microsoft Entra ID en uiteindelijk Exchange Online. |
| 6 | Wanneer u een on-premises omgeving integreert, kunt u het beste een Exchange-server gebruiken voor ondersteund beheer en beheer van e-mailgerelateerde kenmerken, instellingen en configuraties. |
| 7 | Microsoft Defender voor Office 365 deelt signalen met Microsoft Defender XDR voor uitgebreide detectie en respons (XDR). |
On-premises integratie is gebruikelijk, maar optioneel. Als uw omgeving alleen in de cloud is, werkt deze richtlijnen ook voor u.
Voor een geslaagde Defender voor Office 365 evaluatie of productiefase zijn de volgende vereisten vereist:
- Al de postvakken van uw geadresseerden bevinden zich momenteel in Exchange Online.
- Uw openbare MX-record wordt rechtstreeks omgezet naar EOP of een SMTP-gateway (Simple Mail Transfer Protocol) van derden die vervolgens binnenkomende externe e-mail rechtstreeks naar EOP doorsturen.
- Uw primaire e-maildomein is geconfigureerd als gezaghebbend in Exchange Online.
- U hebt DBEB (Directory-Based Edge Blocking ) geïmplementeerd en geconfigureerd. Zie Use Directory-Based Edge Blocking to reject messages sent to invalid recipients (Blokkeren Directory-Based Edge gebruiken om berichten te weigeren die zijn verzonden naar ongeldige geadresseerden) voor meer informatie.
Belangrijk
Als deze vereisten niet van toepassing zijn of als u zich nog steeds in een hybride co-existentiescenario bevindt, kan een Microsoft Defender voor Office 365 evaluatie complexere of geavanceerdere configuraties vereisen die niet volledig worden behandeld in deze richtlijnen.
Stap 1: de openbare MX-record controleren en controleren
Als u Microsoft Defender voor Office 365 effectief wilt evalueren, is het belangrijk dat binnenkomende externe e-mail wordt doorgegeven via het EOP-exemplaar (Exchange Online Protection) dat is gekoppeld aan uw tenant.
- Vouw in de M365 Beheer Portal uit ...https://admin.microsoft.com Alles weergeven indien nodig, instellingen uitvouwen en vervolgens Domeinen selecteren. Als u rechtstreeks naar de pagina Domeinen wilt gaan, gebruikt u https://admin.microsoft.com/Adminportal/Home#/Domains.
- Selecteer op de pagina Domeinen uw geverifieerde e-maildomein door op een andere plaats dan het selectievakje in de vermelding te klikken.
- Selecteer in de flyout voor domeindetails die wordt geopend het tabblad DNS-records . Noteer de MX-record die is gegenereerd en toegewezen aan uw EOP-tenant.
- Open uw externe (openbare) DNS-zone en controleer de primaire MX-record die is gekoppeld aan uw e-maildomein:
- Als uw openbare MX-record momenteel overeenkomt met het toegewezen EOP-adres (bijvoorbeeld contoso-com.mail.protection.outlook.com), zijn er geen verdere routeringswijzigingen vereist.
- Als uw openbare MX-record momenteel wordt omgezet naar een externe of on-premises SMTP-gateway, zijn mogelijk aanvullende routeringsconfiguraties vereist.
- Als uw openbare MX-record momenteel wordt omgezet in on-premises Exchange, bevindt u zich mogelijk nog steeds in een hybride model waarbij sommige postvakken van geadresseerden nog niet zijn gemigreerd naar EXO.
Stap 2: Geaccepteerde domeinen controleren
- Vouw in het Exchange-beheercentrum (EAC) op https://admin.exchange.microsoft.comE-mailstroom uit en klik vervolgens op Geaccepteerde domeinen. Als u rechtstreeks naar de pagina Geaccepteerde domeinen wilt gaan, gebruikt u https://admin.exchange.microsoft.com/#/accepteddomains.
- Noteer op de pagina Geaccepteerde domeinen de waarde van het domeintype voor uw primaire e-maildomein.
- Als het domeintype is ingesteld op Gezaghebbend, wordt ervan uitgegaan dat alle postvakken van geadresseerden voor uw organisatie zich momenteel in Exchange Online bevinden.
- Als het domeintype is ingesteld op InternalRelay, bevindt u zich mogelijk nog steeds in een hybride model waarin sommige postvakken van geadresseerden zich nog steeds on-premises bevinden.
Stap 3: Binnenkomende connectors controleren
- Vouw in het Exchange-beheercentrum (EAC) op https://admin.exchange.microsoft.comE-mailstroom uit en klik vervolgens op Connectors. Als u rechtstreeks naar de pagina Connectors wilt gaan, gebruikt u https://admin.exchange.microsoft.com/#/connectors.
- Noteer op de pagina Connectors alle connectors met de volgende instellingen:
- De waarde Van is partnerorganisatie die kan correleren met een SMTP-gateway van derden.
- De waarde Van is Uw organisatie die kan aangeven dat u zich nog steeds in een hybride scenario bevindt.
Stap 4: de evaluatie activeren
Gebruik de instructies hier om uw Microsoft Defender voor Office 365 evaluatie te activeren vanuit de Microsoft Defender-portal.
Zie Microsoft Defender voor Office 365 uitproberen voor gedetailleerde informatie.
Vouw in de Microsoft Defender portal op https://security.microsoft.comuit Email & samenwerking>selecteer Beleid & regels> selecteer Bedreigingsbeleid> schuif omlaag naar de sectie Overige en selecteer vervolgens Evaluatiemodus. Als u rechtstreeks naar de pagina Evaluatiemodus wilt gaan, gebruikt https://security.microsoft.com/atpEvaluationu .
Klik op de pagina Evaluatiemodus op Evaluatie starten.
Selecteer in het dialoogvenster Beveiliging inschakelende optie Nee, ik wil alleen rapportage en klik vervolgens op Doorgaan.
Selecteer in het dialoogvenster Selecteer de gebruikers die u wilt opnemende optie Alle gebruikers en klik vervolgens op Doorgaan.
In het dialoogvenster Meer informatie over uw e-mailstroom wordt automatisch een van de volgende opties geselecteerd op basis van onze detectie van de MX-record voor uw domein:
Ik gebruik alleen Microsoft Exchange Online: De MX-records voor uw domein verwijzen naar Microsoft 365. Er hoeft niets meer te worden geconfigureerd, dus klik op Voltooien.
Ik gebruik een externe en/of on-premises serviceprovider: selecteer in de komende schermen de naam van de leverancier, samen met de binnenkomende connector die e-mail van die oplossing accepteert. U bepaalt ook of u een Exchange Online-e-mailstroomregel (ook wel transportregel genoemd) nodig hebt waarmee spamfilters voor inkomende berichten van de beveiligingsservice of het apparaat van derden worden overgeslagen. Wanneer u klaar bent, klikt u op Voltooien.
Stap 5: Testgroepen maken
Wanneer u Microsoft Defender voor Office 365 test, kunt u ervoor kiezen om specifieke gebruikers te laten testen voordat u beleidsregels inschakelt en afdwingt voor uw hele organisatie. Het maken van distributiegroepen kan helpen bij het beheren van de implementatieprocessen. Maak bijvoorbeeld groepen zoals Defender voor Office 365 Gebruikers - Standaardbeveiliging, Defender voor Office 365 Gebruikers - Strikte beveiliging, Defender voor Office 365 Gebruikers - Aangepaste beveiliging, of Defender voor Office 365 gebruikers - Uitzonderingen.
Het is misschien niet duidelijk waarom 'Standard' en 'Strict' de termen zijn die voor deze groepen worden gebruikt, maar dat wordt duidelijk wanneer u meer informatie over Defender voor Office 365 beveiligingsinstellingen. Het benoemen van groepen 'aangepast' en 'uitzonderingen' spreken voor zich, en hoewel de meeste van uw gebruikers onder standaard en strikt moeten vallen, verzamelen aangepaste en uitzonderingsgroepen waardevolle gegevens voor u met betrekking tot het beheren van risico's.
Distributiegroepen kunnen rechtstreeks in Exchange Online worden gemaakt en gedefinieerd of vanuit on-premises Active Directory worden gesynchroniseerd.
Meld u aan bij het Exchange Beheer Center (EAC) met https://admin.exchange.microsoft.com behulp van een account waaraan de rol Ontvangerbeheerder is verleend of waaraan groepsbeheermachtigingen zijn gedelegeerd.
Ga naar Geadresseerden>Groepen.
Selecteer op de pagina Groepen
Voeg een groep toe.
Voor groepstype selecteert u Distributie en klikt u vervolgens op Volgende.
Geef de groep een naam en optionele beschrijving en klik vervolgens op Volgende.
Wijs op de resterende pagina's een eigenaar toe, voeg leden toe aan de groep, stel het e-mailadres in, beperkingen voor deelname en vertrek en andere instellingen.
Stap 6: beveiliging configureren
Sommige mogelijkheden in Defender voor Office 365 zijn standaard geconfigureerd en ingeschakeld, maar beveiligingsbewerkingen willen mogelijk het niveau van beveiliging verhogen van het standaardniveau.
Sommige mogelijkheden zijn nog niet geconfigureerd. U hebt de volgende opties voor het configureren van beveiliging (die u later eenvoudig kunt wijzigen):
Gebruikers toewijzen aan vooraf ingesteld beveiligingsbeleid: Vooraf ingesteld beveiligingsbeleid is de aanbevolen methode om snel een uniform beveiligingsniveau toe te wijzen voor alle mogelijkheden. U kunt kiezen uit Standaard - of Strikte beveiliging. De instellingen voor Standard en Strict worden beschreven in de tabellen hier. De verschillen tussen Standard en Strict worden hier samengevat in de tabel.
De voordelen van vooraf ingesteld beveiligingsbeleid zijn dat u groepen gebruikers zo snel mogelijk beveiligt met behulp van de aanbevolen instellingen van Microsoft op basis van waarnemingen in de datacenters. Wanneer er nieuwe beveiligingsmogelijkheden worden toegevoegd en het beveiligingslandschap verandert, worden de instellingen in vooraf ingesteld beveiligingsbeleid automatisch bijgewerkt naar de aanbevolen instellingen.
Het nadeel van vooraf ingesteld beveiligingsbeleid is dat u vrijwel geen van de beveiligingsinstellingen in vooraf ingesteld beveiligingsbeleid kunt aanpassen (u kunt bijvoorbeeld een actie niet wijzigen van bezorgen in ongewenste e-mail in quarantaine of omgekeerd). De uitzondering zijn vermeldingen en optionele uitzonderingen voor beveiliging tegen gebruikersimitatie en domeinimitatie, die u handmatig moet configureren.
Houd er ook rekening mee dat vooraf ingesteld beveiligingsbeleid altijd wordt toegepast vóór aangepast beleid. Als u aangepaste beleidsregels wilt maken en gebruiken, moet u gebruikers in die aangepaste beleidsregels uitsluiten van vooraf ingesteld beveiligingsbeleid.
Aangepast beveiligingsbeleid configureren: als u de omgeving liever zelf configureert, vergelijkt u de standaardinstellingen, Standaardinstellingen en Strikte instellingen in Aanbevolen instellingen voor EOP- en Microsoft Defender voor Office 365-beveiliging. Houd een spreadsheet bij waarin uw aangepaste build afwijkt.
U kunt ook configuratieanalyse gebruiken om de instellingen in uw aangepaste beleid te vergelijken met de standaardwaarden en strikte waarden.
Zie Uw beveiligingsbeleidsstrategie bepalen voor gedetailleerde informatie over het kiezen van vooraf ingesteld beveiligingsbeleid versus aangepaste beleidsregels.
Vooraf ingesteld beveiligingsbeleid toewijzen
We raden u aan om te beginnen met het vooraf ingestelde beveiligingsbeleid in EOP en Defender voor Office 365 snel door deze toe te wijzen aan specifieke testgebruikers of gedefinieerde groepen als onderdeel van uw evaluatie. Vooraf ingesteld beleid biedt een standaardbeveiligingssjabloon of een agressievere sjabloon voor strikte beveiliging, die onafhankelijk kan worden toegewezen.
Een EOP-voorwaarde voor testevaluaties kan bijvoorbeeld worden toegepast als de geadresseerden lid zijn van een gedefinieerde EOP Standard Protection-groep en vervolgens worden beheerd door accounts toe te voegen aan of te verwijderen uit de groep.
Op dezelfde manier kan een Defender voor Office 365 voorwaarde voor proefevaluaties worden toegepast als de geadresseerden lid zijn van een gedefinieerde Defender voor Office 365 Standard Protection-groep en vervolgens worden beheerd door accounts toe te voegen of te verwijderen via de groep.
Zie Use the Microsoft Defender portal to assign standard and Strict preset security policies to assign standard and Strict preset security policies to users (De Microsoft Defender portal gebruiken om standaard- en strikt vooraf ingesteld beveiligingsbeleid toe te wijzen aan gebruikers) voor volledige instructies.
Aangepast beveiligingsbeleid configureren
De vooraf gedefinieerde standaard- of strikte Defender voor Office 365 beleidssjablonen bieden uw testgebruikers de aanbevolen basisbeveiliging. U kunt echter ook aangepast beveiligingsbeleid maken en toewijzen als onderdeel van uw evaluatie.
Het is belangrijk dat u zich bewust bent van de prioriteit die dit beveiligingsbeleid heeft wanneer deze worden toegepast en afgedwongen, zoals wordt uitgelegd in Volgorde van prioriteit voor vooraf ingestelde beveiligingsbeleidsregels en andere beleidsregels.
De uitleg en tabel in Beveiligingsbeleid configureren biedt een handige referentie voor wat u moet configureren.
Stap 7: Mogelijkheden uitproberen
Nu uw testfase is ingesteld en geconfigureerd, is het handig om vertrouwd te raken met de hulpprogramma's voor rapportage, bewaking en aanvalssimulatie die uniek zijn voor Microsoft Defender voor Microsoft 365.
| Mogelijkheid | Beschrijving | Meer informatie |
|---|---|---|
| Bedreigingsverkenner | Bedreigingsverkenner is een krachtig hulpprogramma in bijna realtime waarmee Security Operations-teams bedreigingen kunnen onderzoeken en erop kunnen reageren en informatie weergeeft over gedetecteerde malware en phishing in e-mail en bestanden in Office 365, evenals andere beveiligingsrisico's en risico's voor uw organisatie. | Over Bedreigingsverkenner |
| Aanvalssimulatietraining | U kunt training voor aanvalssimulatie in de Microsoft Defender portal gebruiken om realistische aanvalsscenario's in uw organisatie uit te voeren, waarmee u kwetsbare gebruikers kunt identificeren en vinden voordat een echte aanval van invloed is op uw omgeving. | Aan de slag met aanvalssimulatietraining |
| Rapportendashboard | Klik in het linkernavigatiemenu op Rapporten en vouw de kop Email & samenwerking uit. De Email & samenwerkingsrapporten gaan over het herkennen van beveiligingstrends, waarvan sommige u in staat stellen actie te ondernemen (via knoppen zoals 'Ga naar inzendingen' en andere waarmee trends worden weergegeven. Deze metrische gegevens worden automatisch gegenereerd. |
Beveiligingsrapporten voor e-mail weergeven in de Microsoft Defender-portal Defender voor Office 365-rapporten weergeven in de Microsoft Defender-portal |
SIEM-integratie
U kunt Defender voor Office 365 integreren met Microsoft Sentinel of een algemene SIEM-service (Security Information and Event Management) om gecentraliseerde bewaking van waarschuwingen en activiteiten van verbonden apps mogelijk te maken. Met Microsoft Sentinel kunt u beveiligingsevenementen in uw organisatie uitgebreider analyseren en playbooks bouwen voor een effectieve en onmiddellijke reactie.
Microsoft Sentinel bevat een Defender voor Office 365-connector. Zie Waarschuwingen verbinden vanuit Microsoft Defender voor Office 365 voor meer informatie.
Microsoft Defender voor Office 365 kan ook worden geïntegreerd in andere SIEM-oplossingen met behulp van de Office 365 Activity Management-API. Zie Algemene SIEM-integratie voor informatie over integratie met algemene SIEM-systemen.
Volgende stap
Neem de informatie in Microsoft Defender voor Office 365 Security Operations Guide op in uw SecOps-processen.
Volgende stap voor de end-to-end-implementatie van Microsoft Defender XDR
Ga verder met de end-to-end-implementatie van Microsoft Defender XDR met Pilot en implementeer Defender voor Eindpunt.
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.