Delen via


Migreren naar Microsoft Defender voor Office 365 - Fase 3: Onboarden


Fase 1: Voorbereiden.
Fase 1: Voorbereiden
Fase 2: Instellen.
Fase 2: Instellen
Fase 3: Onboarden.
Fase 3: Onboarden
Je bent hier!

Welkom bij Fase 3: Onboarding van uw migratie naar Microsoft Defender voor Office 365! Deze migratiefase omvat de volgende stappen:

  1. Beginnen met het onboarden van beveiligingsteams
  2. (Optioneel) Testgebruikers uitsluiten van filteren door uw bestaande beveiligingsservice
  3. Spoof intelligence afstemmen
  4. Imitatiebeveiliging en postvakinformatie afstemmen
  5. Gegevens van door de gebruiker gerapporteerde berichten gebruiken om te meten en aan te passen
  6. (Optioneel) Meer gebruikers toevoegen aan uw testfase en herhalen
  7. Microsoft 365-beveiliging uitbreiden naar alle gebruikers en de regel SCL=-1-e-mailstroom uitschakelen
  8. Uw MX-records wijzigen

Stap 1: beginnen met het onboarden van beveiligingsteams

Als uw organisatie een beveiligingsteam heeft, is het nu tijd om Microsoft Defender voor Office 365 te integreren in uw reactieprocessen, inclusief ticketsystemen. Dit proces is een heel onderwerp op zich, maar het wordt soms over het hoofd gezien. Als u het beveiligingsresponsteam vroegtijdig inschakelt, zorgt u ervoor dat uw organisatie klaar is om bedreigingen aan te pakken wanneer u uw MX-records overschakelt. Incidentrespons moet goed zijn uitgerust om de volgende taken uit te voeren:

Als uw organisatie Microsoft Defender voor Office 365 Abonnement 2 heeft aangeschaft, moeten ze vertrouwd raken met functies zoals Threat Explorer, Geavanceerde opsporing en Incidenten. Zie voor relevante trainingen https://aka.ms/mdoninja.

Als uw beveiligingsteam ongefilterde berichten verzamelt en analyseert, kunt u een SecOps-postvak configureren om deze ongefilterde berichten te ontvangen. Zie SecOps-postvakken configureren in het geavanceerde bezorgingsbeleid voor instructies.

SIEM/SOAR

Zie de volgende artikelen voor meer informatie over integratie met uw SIEM/SOAR:

Als uw organisatie geen beveiligingsteam of bestaande processtromen heeft, kunt u deze tijd gebruiken om vertrouwd te raken met eenvoudige opsporings- en antwoordfuncties in Defender voor Office 365. Zie Bedreigingsonderzoek en -reactie voor meer informatie.

RBAC-rollen

Machtigingen in Defender voor Office 365 zijn gebaseerd op op rollen gebaseerd toegangsbeheer (RBAC) en worden uitgelegd in Machtigingen in de Microsoft Defender portal. Dit zijn de belangrijke punten om rekening mee te houden:

  • Microsoft Entra rollen geven machtigingen voor alle workloads in Microsoft 365. Als u bijvoorbeeld een gebruiker toevoegt aan de beveiligingsbeheerder in de Azure Portal, heeft deze overal beveiligingsbeheerdersmachtigingen.
  • Email & samenwerkingsrollen in de Microsoft Defender portal machtigingen verlenen aan de Microsoft Defender portal en de Microsoft Purview-nalevingsportal. Als u bijvoorbeeld een gebruiker toevoegt aan Beveiligingsbeheerder in de Microsoft Defender portal, heeft deze alleen toegang tot beveiligingsbeheerder in de Microsoft Defender portal en de Microsoft Purview-nalevingsportal.
  • Veel functies in de Microsoft Defender portal zijn gebaseerd op Exchange Online PowerShell-cmdlets en vereisen daarom rolgroepslidmaatschap in de bijbehorende rollen (technisch gezien rolgroepen) in Exchange Online (met name voor toegang tot de bijbehorende Exchange Online PowerShell cmdlets).
  • Er zijn Email & samenwerkingsrollen in de Microsoft Defender portal die niet gelijkwaardig zijn aan Microsoft Entra rollen en die belangrijk zijn voor beveiligingsbewerkingen (bijvoorbeeld de preview-rol en de rol Search en Opschonen).

Normaal gesproken heeft alleen een subset beveiligingspersoneel aanvullende rechten nodig om berichten rechtstreeks uit postvakken van gebruikers te downloaden. Hiervoor is een extra machtiging vereist die beveiligingslezer niet standaard heeft.

Stap 2: (optioneel) Testgebruikers uitsluiten van filteren door uw bestaande beveiligingsservice

Hoewel deze stap niet vereist is, kunt u overwegen uw testgebruikers zo te configureren dat het filteren door uw bestaande beveiligingsservice wordt overgeslagen. Met deze actie kunnen Defender voor Office 365 alle filter- en beveiligingstaken voor de testgebruikers afhandelen. Als u uw testgebruikers niet vrijwaart van uw bestaande beveiligingsservice, werkt Defender voor Office 365 effectief alleen bij missers van de andere service (berichten filteren die al zijn gefilterd).

Opmerking

Deze stap is expliciet vereist als uw huidige beveiligingsservice koppelingsterugloop biedt, maar u de functionaliteit van Veilige koppelingen wilt testen. Dubbele wrapping van koppelingen wordt niet ondersteund.

Stap 3: Spoof intelligence afstemmen

Controleer het inzicht in Spoof Intelligence om te zien wat is toegestaan of geblokkeerd als spoofing en om te bepalen of u het systeemoordeel voor adresvervalsing moet overschrijven. Sommige bronnen van uw bedrijfskritieke e-mail hebben mogelijk onjuist geconfigureerde e-mailverificatierecords in DNS (SPF, DKIM en DMARC) en u gebruikt mogelijk onderdrukkingen in uw bestaande beveiligingsservice om hun domeinproblemen te maskeren.

Spoof intelligence kan e-mail redden van domeinen zonder de juiste e-mailverificatierecords in DNS, maar de functie heeft soms hulp nodig bij het onderscheiden van goede spoofing van slechte adresvervalsing. Richt u op de volgende typen berichtbronnen:

  • Berichtbronnen die zich buiten de IP-adresbereiken bevinden die zijn gedefinieerd in Uitgebreide filtering voor connectors.
  • Berichtbronnen met het hoogste aantal berichten.
  • Berichtbronnen die de grootste impact hebben op uw organisatie.

Spoof intelligence wordt uiteindelijk afgestemd nadat u door de gebruiker gerapporteerde instellingen hebt geconfigureerd, zodat er geen behoefte is aan perfectie.

Stap 4: imitatiebeveiliging en postvakintelligentie afstemmen

Nadat u voldoende tijd hebt gehad om de resultaten van imitatiebeveiliging te bekijken in de modus Geen actie toepassen , kunt u elke imitatiebeveiligingsactie afzonderlijk inschakelen in het antiphishingbeleid:

  • Beveiliging tegen gebruikersimitatie: plaats het bericht in quarantaine voor zowel Standard als Strict.
  • Beveiliging tegen domeinimitatie: het bericht in quarantaine plaatsen voor zowel Standard als Strict.
  • Beveiliging van postvakinformatie: verplaats het bericht naar de mappen ongewenste Email van de geadresseerden voor Standard; Het bericht in quarantaine plaatsen voor Strikt.

Hoe langer u de resultaten van de imitatiebeveiliging bewaakt zonder op de berichten te reageren, hoe meer gegevens u nodig hebt om toegestaan of blokken te identificeren. Overweeg een vertraging te gebruiken tussen het inschakelen van elke beveiliging die significant genoeg is om observatie en aanpassing mogelijk te maken.

Opmerking

Regelmatige en continue controle en afstemming van deze beveiligingen is belangrijk. Als u een fout-positief vermoedt, onderzoekt u de oorzaak en gebruikt u alleen onderdrukkingen als dat nodig is en alleen voor de detectiefunctie waarvoor dit is vereist.

Postvakintelligentie afstemmen

Hoewel postvakintelligentie is geconfigureerd om geen actie te ondernemen op berichten waarvan is vastgesteld dat ze imitatiepogingen zijn, wordt het ingeschakeld en worden de patronen voor het verzenden en ontvangen van e-mail van de testgebruikers geleerd. Als een externe gebruiker contact heeft met een van uw testgebruikers, worden berichten van die externe gebruiker niet geïdentificeerd als imitatiepogingen door postvakinformatie (waardoor fout-positieven worden verminderd).

Wanneer u klaar bent, voert u de volgende stappen uit om postvakintelligentie toe te staan te reageren op berichten die zijn gedetecteerd als imitatiepogingen:

  • Wijzig in het antiphishingbeleid met de standaardbeveiligingsinstellingen de waarde van Als postvakintelligentie een geïmiteerde gebruiker detecteert in Bericht verplaatsen naar ongewenste Email mappen van geadresseerden.

  • Wijzig in het antiphishingbeleid met de instellingen voor strikte beveiliging de waarde van Als postvakintelligentie de gebruiker detecteert en imiteert van in Het bericht in quarantaine plaatsen.

Zie Antiphishingbeleid configureren in Defender voor Office 365 om het beleid te wijzigen.

Nadat u de resultaten hebt waargenomen en eventuele aanpassingen hebt aangebracht, gaat u verder met de volgende sectie om berichten in quarantaine te plaatsen die zijn gedetecteerd door gebruikersimitatie.

Beveiliging van gebruikersimitatie afstemmen

Wijzig in beide antiphishingbeleidsregels op basis van standaard- en strikte instellingen de waarde van Als een bericht wordt gedetecteerd als gebruikersimitatie in Het bericht in quarantaine plaatsen.

Controleer het imitatie-inzicht om te zien wat er wordt geblokkeerd als imitatiepogingen van gebruikers.

Zie Antiphishingbeleid configureren in Defender voor Office 365 om het beleid te wijzigen.

Nadat u de resultaten hebt waargenomen en eventuele aanpassingen hebt aangebracht, gaat u verder met de volgende sectie om berichten in quarantaine te plaatsen die zijn gedetecteerd door domeinimitatie.

Beveiliging voor domeinimitatie afstemmen

Wijzig in beide antiphishingbeleidsregels op basis van de standaard- en strikte instellingen de waarde van Als een bericht wordt gedetecteerd als domeinimitatie in Het bericht in quarantaine plaatsen.

Controleer het imitatie-inzicht om te zien wat er wordt geblokkeerd als domeinimitatiepogingen.

Zie Antiphishingbeleid configureren in Defender voor Office 365 om het beleid te wijzigen.

Bekijk de resultaten en breng indien nodig aanpassingen aan.

Stap 5: Gegevens van door de gebruiker gerapporteerde berichten gebruiken om te meten en aan te passen

Wanneer uw testgebruikers fout-positieven en fout-negatieven melden, worden de berichten weergegeven op het tabblad Gebruiker gerapporteerd van de pagina Inzendingen in de Microsoft Defender portal. U kunt de verkeerd geïdentificeerde berichten rapporteren aan Microsoft voor analyse en de informatie gebruiken om de instellingen en uitzonderingen in uw testbeleid zo nodig aan te passen.

Gebruik de volgende functies om de beveiligingsinstellingen in Defender voor Office 365 te controleren en te herhalen:

Als uw organisatie een service van derden gebruikt voor door de gebruiker gerapporteerde berichten, kunt u die gegevens integreren in uw feedbacklus.

Stap 6: (optioneel) Meer gebruikers toevoegen aan uw testfase en herhalen

Wanneer u problemen ontdekt en oplost, kunt u meer gebruikers toevoegen aan de testgroepen (en die nieuwe testgebruikers dienovereenkomstig uitsluiten van scannen door uw bestaande beveiligingsservice, indien van toepassing). Hoe meer tests u nu uitvoert, hoe minder gebruikersproblemen u later moet oplossen. Deze watervalbenadering maakt afstemming mogelijk voor grotere delen van de organisatie en geeft uw beveiligingsteams de tijd om zich aan te passen aan de nieuwe hulpprogramma's en processen.

  • Microsoft 365 genereert waarschuwingen wanneer phishingberichten met een hoge betrouwbaarheid zijn toegestaan door het organisatiebeleid. U hebt de volgende opties om deze berichten te identificeren:

    • Onderdrukkingen in het rapport Bedreigingsbeveiligingsstatus.
    • Filter in Bedreigingsverkenner om de berichten te identificeren.
    • Filter in Geavanceerde opsporing om de berichten te identificeren.

    Meld eventuele fout-positieven zo vroeg mogelijk aan Microsoft via beheerdersinzendingen en gebruik de functie Tenant toestaan/blokkeren om veilige onderdrukkingen voor deze fout-positieven te configureren.

  • Het is ook een goed idee om onnodige onderdrukkingen te onderzoeken. Met andere woorden, bekijk de uitspraken die Microsoft 365 zou hebben gegeven voor de berichten. Als Microsoft 365 het juiste oordeel heeft weergegeven, is de noodzaak van onderdrukking aanzienlijk verminderd of geëlimineerd.

Stap 7: Microsoft 365-beveiliging uitbreiden naar alle gebruikers en de regel SCL=-1-e-mailstroom uitschakelen

Voer de stappen in deze sectie uit wanneer u klaar bent om uw MX-records te laten verwijzen naar Microsoft 365.

  1. Breid het testbeleid uit naar de hele organisatie. In wezen zijn er verschillende manieren om het beleid uit te breiden:

    • Gebruik vooraf ingestelde beveiligingsbeleidsregels en verdeel uw gebruikers tussen het standaardbeveiligingsprofiel en het strikte beveiligingsprofiel (zorg ervoor dat iedereen wordt gedekt). Vooraf ingesteld beveiligingsbeleid wordt toegepast voordat u aangepaste beleidsregels hebt gemaakt of eventuele standaardbeleidsregels. U kunt uw afzonderlijke testbeleid uitschakelen zonder ze te verwijderen.

      Het nadeel van vooraf ingesteld beveiligingsbeleid is dat u niet veel van de belangrijke instellingen kunt wijzigen nadat u ze hebt gemaakt.

    • Wijzig het bereik van de beleidsregels die u tijdens de test hebt gemaakt en aangepast, zodat alle gebruikers (bijvoorbeeld alle ontvangers in alle domeinen) worden opgenomen. Houd er rekening mee dat als meerdere beleidsregels van hetzelfde type (bijvoorbeeld antiphishingbeleid) van toepassing zijn op dezelfde gebruiker (afzonderlijk, op basis van groepslidmaatschap of e-maildomein), alleen de instellingen van het beleid met de hoogste prioriteit (het laagste prioriteitsnummer) worden toegepast en de verwerking stopt voor dat type beleid.

  2. Schakel de E-mailstroomregel SCL=-1 uit (u kunt deze uitschakelen zonder deze te verwijderen).

  3. Controleer of de vorige wijzigingen van kracht zijn geworden en of Defender voor Office 365 nu juist is ingeschakeld voor alle gebruikers. Op dit moment mogen alle beveiligingsfuncties van Defender voor Office 365 nu reageren op e-mail voor alle geadresseerden, maar die e-mail is al gescand door uw bestaande beveiligingsservice.

U kunt in deze fase pauzeren voor het opnemen en afstemmen van gegevens op grotere schaal.

Stap 8: uw MX-records wijzigen

Opmerking

  • Wanneer u de MX-record voor uw domein wijzigt, kan het tot 48 uur duren voordat de wijzigingen via internet worden doorgegeven.
  • We raden u aan de TTL-waarde van uw DNS-records te verlagen om sneller te reageren en terug te draaien (indien nodig). U kunt terugkeren naar de oorspronkelijke TTL-waarde nadat de overschakeling is voltooid en geverifieerd.
  • U moet overwegen om te beginnen met het wijzigen van domeinen die minder vaak worden gebruikt. U kunt pauzeren en controleren voordat u naar grotere domeinen gaat. Zelfs als u dit doet, moet u er echter nog steeds voor zorgen dat alle gebruikers en domeinen worden gedekt door beleid, omdat secundaire SMTP-domeinen vóór de beleidstoepassing worden omgezet in primaire domeinen.
  • Meerdere MX-records voor één domein werken technisch gezien, zodat u gesplitste routering hebt, mits u alle richtlijnen in dit artikel hebt gevolgd. U moet er met name voor zorgen dat beleid wordt toegepast op alle gebruikers, dat de regel SCL=-1-e-mailstroom alleen wordt toegepast op e-mail die uw bestaande beveiligingsservice passeert, zoals beschreven in Installatiestap 3: De regel voor de SCL=-1-e-mailstroom onderhouden of maken. Deze configuratie introduceert echter gedrag dat het oplossen van problemen veel moeilijker maakt en daarom raden we dit meestal niet aan, met name voor langere perioden.
  • Voordat u uw MX-records wijzigt, controleert u of de volgende instellingen niet zijn ingeschakeld op de binnenkomende connector van de beveiligingsservice naar Microsoft 365. Normaal gesproken heeft de connector een of meer van de volgende instellingen geconfigureerd:
    • en vereisen dat de onderwerpnaam op het certificaat dat de partner gebruikt om te verifiëren met Office 365 overeenkomt met deze domeinnaam (RestrictDomainsToCertificate)
    • E-mailberichten weigeren als ze niet worden verzonden vanuit dit IP-adresbereik (RestrictDomainsToIPAddresses) Als het connectortype Partner is en een van deze instellingen is ingeschakeld, mislukt alle e-mailbezorging naar uw domeinen nadat u uw MX-records hebt gewijzigd. U moet deze instellingen uitschakelen voordat u doorgaat. Als de connector een on-premises connector is die wordt gebruikt voor hybride, hoeft u de on-premises connector niet te wijzigen. Maar u kunt nog steeds controleren op de aanwezigheid van een Partner-connector .
  • Als uw huidige e-mailgateway ook validatie van geadresseerden biedt, kunt u controleren of het domein is geconfigureerd als gezaghebbend in Microsoft 365. Dit kan onnodige bounce-berichten voorkomen.

Wanneer u klaar bent, schakelt u de MX-record voor uw domeinen over. U kunt al uw domeinen tegelijk migreren. U kunt ook eerst minder vaak gebruikte domeinen migreren en de rest later migreren.

U kunt hier op elk gewenst moment pauzeren en evalueren. Maar onthoud: zodra u de regel SCL=-1-e-mailstroom hebt uitgeschakeld, kunnen gebruikers twee verschillende ervaringen hebben voor het controleren van fout-positieven. Hoe eerder u één consistente ervaring kunt bieden, hoe blijer uw gebruikers en helpdeskteams zijn wanneer ze problemen met een ontbrekend bericht moeten oplossen.

Volgende stappen

Gefeliciteerd! U hebt de migratie naar Microsoft Defender voor Office 365! Omdat u de stappen in deze migratiehandleiding hebt gevolgd, moeten de eerste dagen waarop e-mail rechtstreeks in Microsoft 365 wordt bezorgd, veel soepeler verlopen.

Nu begint u met de normale werking en het onderhoud van Defender voor Office 365. Bewaak en watch op problemen die vergelijkbaar zijn met wat u tijdens de test hebt ervaren, maar op grotere schaal. Het inzicht in spoof intelligence en het imitatie-inzicht zijn het nuttigst, maar overweeg om de volgende activiteiten regelmatig voor te stellen: