Delen via


Test en implementeer Defender voor Office 365

Van toepassing op:

  • Microsoft Defender XDR

Dit artikel bevat een werkstroom voor het testen en implementeren van Microsoft Defender voor Office 365 in uw organisatie. U kunt deze aanbevelingen gebruiken om Microsoft Defender voor Office 365 te onboarden als een individueel cyberbeveiligingshulpprogramma of als onderdeel van een end-to-end-oplossing met Microsoft Defender XDR.

In dit artikel wordt ervan uitgegaan dat u een Productie-Microsoft 365-tenant hebt en Microsoft Defender voor Office 365 in deze omgeving uitvoert en implementeert. In deze procedure worden alle instellingen en aanpassingen die u tijdens de testfase configureert, behouden voor uw volledige implementatie.

Defender voor Office 365 draagt bij aan een Zero Trust-architectuur door bedrijfsschade door een inbreuk te voorkomen of te beperken. Zie bedrijfsschade door een bedrijfsscenario voorkomen of beperken in het Microsoft Zero Trust adoption framework voor meer informatie.

End-to-end-implementatie voor Microsoft Defender XDR

Dit is artikel 3 van 6 in een reeks om u te helpen bij het implementeren van de onderdelen van Microsoft Defender XDR, inclusief het onderzoeken van en reageren op incidenten.

Een diagram met Microsoft Defender voor Office 365 in de testfase en het implementeren van Microsoft Defender XDR proces.

De artikelen in deze reeks komen overeen met de volgende fasen van end-to-end-implementatie:

Fase Koppelen
A. Start de testfase Start de testfase
B. Test en implementeer Microsoft Defender XDR onderdelen - Defender for Identity piloten en implementeren

- Test en implementeer Defender voor Office 365 (dit artikel)

- Defender voor Eindpunt testen en implementeren

- Test en implementeer Microsoft Defender for Cloud Apps
C. Bedreigingen onderzoeken en hierop reageren Incidentonderzoek en -reactie oefenen

Werkstroom voor Defender voor Office 365 testen en implementeren

In het volgende diagram ziet u een algemeen proces voor het implementeren van een product of service in een IT-omgeving.

Diagram van de fasen van de testfase, de evaluatie en de volledige implementatie.

U begint met het evalueren van het product of de service en de werking ervan binnen uw organisatie. Vervolgens test u het product of de service met een geschikte kleine subset van uw productie-infrastructuur voor testen, leren en aanpassen. Vergroot vervolgens geleidelijk het bereik van de implementatie totdat uw hele infrastructuur of organisatie wordt gedekt.

Dit is de werkstroom voor het testen en implementeren van Defender voor Office 365 in uw productieomgeving.

Een diagram met de stappen voor het uitvoeren en implementeren van Microsoft Defender voor Office 365.

Volg deze stappen:

  1. De openbare MX-record controleren en controleren
  2. Geaccepteerde domeinen controleren
  3. Binnenkomende connectors controleren
  4. De evaluatie activeren
  5. Testgroepen maken
  6. Beveiliging configureren
  7. Mogelijkheden uitproberen

Dit zijn de aanbevolen stappen voor elke implementatiefase.

Implementatiefase Beschrijving
Evalueren Productevaluatie uitvoeren voor Defender voor Office 365.
Pilot Voer stap 1-7 uit voor testgroepen.
Volledige implementatie Configureer de testgebruikersgroepen in stap 5 of voeg gebruikersgroepen toe om verder te gaan dan de testfase en uiteindelijk al uw gebruikersaccounts op te nemen.

Defender voor Office 365 architectuur en vereisten

In het volgende diagram ziet u de basisarchitectuur voor Microsoft Defender voor Office 365, die een SMTP-gateway van derden of on-premises integratie kan bevatten. Hybride co-existentiescenario's (productiepostvakken zijn zowel on-premises als online) vereisen complexere configuraties en worden niet behandeld in dit artikel of in de evaluatierichtlijnen.

Een diagram voor de architectuur voor de Microsoft Defender voor Office 365.

In de volgende tabel wordt deze afbeelding beschreven.

Bijschrift Omschrijving
1 De hostserver voor de externe afzender voert doorgaans een openbare DNS-zoekopdracht uit voor een MX-record, waarmee de doelserver het bericht kan doorgeven. Deze verwijzing kan rechtstreeks worden Exchange Online (EXO) of een SMTP-gateway die is geconfigureerd voor relay tegen EXO.
2 Exchange Online Protection onderhandelt en valideert de binnenkomende verbinding en inspecteert de berichtkoppen en inhoud om te bepalen welke extra beleidsregels, tags of verwerking vereist zijn.
3 Exchange Online integreert met Microsoft Defender voor Office 365 om geavanceerdere bescherming tegen bedreigingen, risicobeperking en herstel te bieden.
4 Een bericht dat niet schadelijk, geblokkeerd of in quarantaine is geplaatst, wordt verwerkt en bezorgd bij de ontvanger in EXO, waar gebruikersvoorkeuren met betrekking tot ongewenste e-mail, postvakregels of andere instellingen worden geëvalueerd en geactiveerd.
5 Integratie met on-premises Active Directory kan worden ingeschakeld met behulp van Microsoft Entra Connect om objecten en accounts met e-mail te synchroniseren en in te richten voor Microsoft Entra ID en uiteindelijk Exchange Online.
6 Wanneer u een on-premises omgeving integreert, kunt u het beste een Exchange-server gebruiken voor ondersteund beheer en beheer van e-mailgerelateerde kenmerken, instellingen en configuraties.
7 Microsoft Defender voor Office 365 deelt signalen met Microsoft Defender XDR voor uitgebreide detectie en respons (XDR).

On-premises integratie is gebruikelijk, maar optioneel. Als uw omgeving alleen in de cloud is, werkt deze richtlijnen ook voor u.

Voor een geslaagde Defender voor Office 365 evaluatie of productiefase zijn de volgende vereisten vereist:

Belangrijk

Als deze vereisten niet van toepassing zijn of als u zich nog steeds in een hybride co-existentiescenario bevindt, kan een Microsoft Defender voor Office 365 evaluatie complexere of geavanceerdere configuraties vereisen die niet volledig worden behandeld in deze richtlijnen.

Stap 1: de openbare MX-record controleren en controleren

Als u Microsoft Defender voor Office 365 effectief wilt evalueren, is het belangrijk dat binnenkomende externe e-mail wordt doorgegeven via het EOP-exemplaar (Exchange Online Protection) dat is gekoppeld aan uw tenant.

  1. Vouw in de M365 Beheer Portal uit ...https://admin.microsoft.com Alles weergeven indien nodig, instellingen uitvouwen en vervolgens Domeinen selecteren. Als u rechtstreeks naar de pagina Domeinen wilt gaan, gebruikt u https://admin.microsoft.com/Adminportal/Home#/Domains.
  2. Selecteer op de pagina Domeinen uw geverifieerde e-maildomein door op een andere plaats dan het selectievakje in de vermelding te klikken.
  3. Selecteer in de flyout voor domeindetails die wordt geopend het tabblad DNS-records . Noteer de MX-record die is gegenereerd en toegewezen aan uw EOP-tenant.
  4. Open uw externe (openbare) DNS-zone en controleer de primaire MX-record die is gekoppeld aan uw e-maildomein:
    • Als uw openbare MX-record momenteel overeenkomt met het toegewezen EOP-adres (bijvoorbeeld contoso-com.mail.protection.outlook.com), zijn er geen verdere routeringswijzigingen vereist.
    • Als uw openbare MX-record momenteel wordt omgezet naar een externe of on-premises SMTP-gateway, zijn mogelijk aanvullende routeringsconfiguraties vereist.
    • Als uw openbare MX-record momenteel wordt omgezet in on-premises Exchange, bevindt u zich mogelijk nog steeds in een hybride model waarbij sommige postvakken van geadresseerden nog niet zijn gemigreerd naar EXO.

Stap 2: Geaccepteerde domeinen controleren

  1. Vouw in het Exchange-beheercentrum (EAC) op https://admin.exchange.microsoft.comE-mailstroom uit en klik vervolgens op Geaccepteerde domeinen. Als u rechtstreeks naar de pagina Geaccepteerde domeinen wilt gaan, gebruikt u https://admin.exchange.microsoft.com/#/accepteddomains.
  2. Noteer op de pagina Geaccepteerde domeinen de waarde van het domeintype voor uw primaire e-maildomein.
    • Als het domeintype is ingesteld op Gezaghebbend, wordt ervan uitgegaan dat alle postvakken van geadresseerden voor uw organisatie zich momenteel in Exchange Online bevinden.
    • Als het domeintype is ingesteld op InternalRelay, bevindt u zich mogelijk nog steeds in een hybride model waarin sommige postvakken van geadresseerden zich nog steeds on-premises bevinden.

Stap 3: Binnenkomende connectors controleren

  1. Vouw in het Exchange-beheercentrum (EAC) op https://admin.exchange.microsoft.comE-mailstroom uit en klik vervolgens op Connectors. Als u rechtstreeks naar de pagina Connectors wilt gaan, gebruikt u https://admin.exchange.microsoft.com/#/connectors.
  2. Noteer op de pagina Connectors alle connectors met de volgende instellingen:
    • De waarde Van is partnerorganisatie die kan correleren met een SMTP-gateway van derden.
    • De waarde Van is Uw organisatie die kan aangeven dat u zich nog steeds in een hybride scenario bevindt.

Stap 4: de evaluatie activeren

Gebruik de instructies hier om uw Microsoft Defender voor Office 365 evaluatie te activeren vanuit de Microsoft Defender-portal.

Zie Microsoft Defender voor Office 365 uitproberen voor gedetailleerde informatie.

  1. Vouw in de Microsoft Defender portal op https://security.microsoft.comuit Email & samenwerking>selecteer Beleid & regels> selecteer Bedreigingsbeleid> schuif omlaag naar de sectie Overige en selecteer vervolgens Evaluatiemodus. Als u rechtstreeks naar de pagina Evaluatiemodus wilt gaan, gebruikt https://security.microsoft.com/atpEvaluationu .

  2. Klik op de pagina Evaluatiemodus op Evaluatie starten.

    Schermopname van de pagina Evaluatiemodus en de knop Evaluatie starten om op te klikken.

  3. Selecteer in het dialoogvenster Beveiliging inschakelende optie Nee, ik wil alleen rapportage en klik vervolgens op Doorgaan.

    Schermopname van het dialoogvenster Beveiliging inschakelen en de optie Nee, ik wil alleen rapportage selecteren.

  4. Selecteer in het dialoogvenster Selecteer de gebruikers die u wilt opnemende optie Alle gebruikers en klik vervolgens op Doorgaan.

    Schermopname van het dialoogvenster Selecteer de gebruikers die u wilt opnemen en de optie Alle gebruikers die u wilt selecteren.

  5. In het dialoogvenster Meer informatie over uw e-mailstroom wordt automatisch een van de volgende opties geselecteerd op basis van onze detectie van de MX-record voor uw domein:

    • Ik gebruik alleen Microsoft Exchange Online: De MX-records voor uw domein verwijzen naar Microsoft 365. Er hoeft niets meer te worden geconfigureerd, dus klik op Voltooien.

      Schermopname van het dialoogvenster Help ons inzicht te geven in uw e-mailstroom met de optie Ik gebruik alleen Microsoft Exchange Online geselecteerd.

    • Ik gebruik een externe en/of on-premises serviceprovider: selecteer in de komende schermen de naam van de leverancier, samen met de binnenkomende connector die e-mail van die oplossing accepteert. U bepaalt ook of u een Exchange Online-e-mailstroomregel (ook wel transportregel genoemd) nodig hebt waarmee spamfilters voor inkomende berichten van de beveiligingsservice of het apparaat van derden worden overgeslagen. Wanneer u klaar bent, klikt u op Voltooien.

Stap 5: Testgroepen maken

Wanneer u Microsoft Defender voor Office 365 test, kunt u ervoor kiezen om specifieke gebruikers te laten testen voordat u beleidsregels inschakelt en afdwingt voor uw hele organisatie. Het maken van distributiegroepen kan helpen bij het beheren van de implementatieprocessen. Maak bijvoorbeeld groepen zoals Defender voor Office 365 Gebruikers - Standaardbeveiliging, Defender voor Office 365 Gebruikers - Strikte beveiliging, Defender voor Office 365 Gebruikers - Aangepaste beveiliging, of Defender voor Office 365 gebruikers - Uitzonderingen.

Het is misschien niet duidelijk waarom 'Standard' en 'Strict' de termen zijn die voor deze groepen worden gebruikt, maar dat wordt duidelijk wanneer u meer informatie over Defender voor Office 365 beveiligingsinstellingen. Het benoemen van groepen 'aangepast' en 'uitzonderingen' spreken voor zich, en hoewel de meeste van uw gebruikers onder standaard en strikt moeten vallen, verzamelen aangepaste en uitzonderingsgroepen waardevolle gegevens voor u met betrekking tot het beheren van risico's.

Distributiegroepen kunnen rechtstreeks in Exchange Online worden gemaakt en gedefinieerd of vanuit on-premises Active Directory worden gesynchroniseerd.

  1. Meld u aan bij het Exchange Beheer Center (EAC) met https://admin.exchange.microsoft.com behulp van een account waaraan de rol Ontvangerbeheerder is verleend of waaraan groepsbeheermachtigingen zijn gedelegeerd.

  2. Ga naar Geadresseerden>Groepen.

    Schermopname van het menu-item Groepen.

  3. Selecteer op de pagina Groepende optie Een groepspictogram toevoegen.Voeg een groep toe.

    Schermopname van de optie Een groep toevoegen.

  4. Voor groepstype selecteert u Distributie en klikt u vervolgens op Volgende.

    Schermopname van de sectie Een groepstype kiezen.

  5. Geef de groep een naam en optionele beschrijving en klik vervolgens op Volgende.

    Schermopname van de sectie Basisbeginselen instellen.

  6. Wijs op de resterende pagina's een eigenaar toe, voeg leden toe aan de groep, stel het e-mailadres in, beperkingen voor deelname en vertrek en andere instellingen.

Stap 6: beveiliging configureren

Sommige mogelijkheden in Defender voor Office 365 zijn standaard geconfigureerd en ingeschakeld, maar beveiligingsbewerkingen willen mogelijk het niveau van beveiliging verhogen van het standaardniveau.

Sommige mogelijkheden zijn nog niet geconfigureerd. U hebt de volgende opties voor het configureren van beveiliging (die u later eenvoudig kunt wijzigen):

  • Gebruikers toewijzen aan vooraf ingesteld beveiligingsbeleid: Vooraf ingesteld beveiligingsbeleid is de aanbevolen methode om snel een uniform beveiligingsniveau toe te wijzen voor alle mogelijkheden. U kunt kiezen uit Standaard - of Strikte beveiliging. De instellingen voor Standard en Strict worden beschreven in de tabellen hier. De verschillen tussen Standard en Strict worden hier samengevat in de tabel.

    De voordelen van vooraf ingesteld beveiligingsbeleid zijn dat u groepen gebruikers zo snel mogelijk beveiligt met behulp van de aanbevolen instellingen van Microsoft op basis van waarnemingen in de datacenters. Wanneer er nieuwe beveiligingsmogelijkheden worden toegevoegd en het beveiligingslandschap verandert, worden de instellingen in vooraf ingesteld beveiligingsbeleid automatisch bijgewerkt naar de aanbevolen instellingen.

    Het nadeel van vooraf ingesteld beveiligingsbeleid is dat u vrijwel geen van de beveiligingsinstellingen in vooraf ingesteld beveiligingsbeleid kunt aanpassen (u kunt bijvoorbeeld een actie niet wijzigen van bezorgen in ongewenste e-mail in quarantaine of omgekeerd). De uitzondering zijn vermeldingen en optionele uitzonderingen voor beveiliging tegen gebruikersimitatie en domeinimitatie, die u handmatig moet configureren.

    Houd er ook rekening mee dat vooraf ingesteld beveiligingsbeleid altijd wordt toegepast vóór aangepast beleid. Als u aangepaste beleidsregels wilt maken en gebruiken, moet u gebruikers in die aangepaste beleidsregels uitsluiten van vooraf ingesteld beveiligingsbeleid.

  • Aangepast beveiligingsbeleid configureren: als u de omgeving liever zelf configureert, vergelijkt u de standaardinstellingen, Standaardinstellingen en Strikte instellingen in Aanbevolen instellingen voor EOP- en Microsoft Defender voor Office 365-beveiliging. Houd een spreadsheet bij waarin uw aangepaste build afwijkt.

    U kunt ook configuratieanalyse gebruiken om de instellingen in uw aangepaste beleid te vergelijken met de standaardwaarden en strikte waarden.

Zie Uw beveiligingsbeleidsstrategie bepalen voor gedetailleerde informatie over het kiezen van vooraf ingesteld beveiligingsbeleid versus aangepaste beleidsregels.

Vooraf ingesteld beveiligingsbeleid toewijzen

We raden u aan om te beginnen met het vooraf ingestelde beveiligingsbeleid in EOP en Defender voor Office 365 snel door deze toe te wijzen aan specifieke testgebruikers of gedefinieerde groepen als onderdeel van uw evaluatie. Vooraf ingesteld beleid biedt een standaardbeveiligingssjabloon of een agressievere sjabloon voor strikte beveiliging, die onafhankelijk kan worden toegewezen.

Een EOP-voorwaarde voor testevaluaties kan bijvoorbeeld worden toegepast als de geadresseerden lid zijn van een gedefinieerde EOP Standard Protection-groep en vervolgens worden beheerd door accounts toe te voegen aan of te verwijderen uit de groep.

Op dezelfde manier kan een Defender voor Office 365 voorwaarde voor proefevaluaties worden toegepast als de geadresseerden lid zijn van een gedefinieerde Defender voor Office 365 Standard Protection-groep en vervolgens worden beheerd door accounts toe te voegen of te verwijderen via de groep.

Zie Use the Microsoft Defender portal to assign standard and Strict preset security policies to assign standard and Strict preset security policies to users (De Microsoft Defender portal gebruiken om standaard- en strikt vooraf ingesteld beveiligingsbeleid toe te wijzen aan gebruikers) voor volledige instructies.

Aangepast beveiligingsbeleid configureren

De vooraf gedefinieerde standaard- of strikte Defender voor Office 365 beleidssjablonen bieden uw testgebruikers de aanbevolen basisbeveiliging. U kunt echter ook aangepast beveiligingsbeleid maken en toewijzen als onderdeel van uw evaluatie.

Het is belangrijk dat u zich bewust bent van de prioriteit die dit beveiligingsbeleid heeft wanneer deze worden toegepast en afgedwongen, zoals wordt uitgelegd in Volgorde van prioriteit voor vooraf ingestelde beveiligingsbeleidsregels en andere beleidsregels.

De uitleg en tabel in Beveiligingsbeleid configureren biedt een handige referentie voor wat u moet configureren.

Stap 7: Mogelijkheden uitproberen

Nu uw testfase is ingesteld en geconfigureerd, is het handig om vertrouwd te raken met de hulpprogramma's voor rapportage, bewaking en aanvalssimulatie die uniek zijn voor Microsoft Defender voor Microsoft 365.

Mogelijkheid Beschrijving Meer informatie
Bedreigingsverkenner Bedreigingsverkenner is een krachtig hulpprogramma in bijna realtime waarmee Security Operations-teams bedreigingen kunnen onderzoeken en erop kunnen reageren en informatie weergeeft over gedetecteerde malware en phishing in e-mail en bestanden in Office 365, evenals andere beveiligingsrisico's en risico's voor uw organisatie. Over Bedreigingsverkenner
Aanvalssimulatietraining U kunt training voor aanvalssimulatie in de Microsoft Defender portal gebruiken om realistische aanvalsscenario's in uw organisatie uit te voeren, waarmee u kwetsbare gebruikers kunt identificeren en vinden voordat een echte aanval van invloed is op uw omgeving. Aan de slag met aanvalssimulatietraining
Rapportendashboard Klik in het linkernavigatiemenu op Rapporten en vouw de kop Email & samenwerking uit. De Email & samenwerkingsrapporten gaan over het herkennen van beveiligingstrends, waarvan sommige u in staat stellen actie te ondernemen (via knoppen zoals 'Ga naar inzendingen' en andere waarmee trends worden weergegeven. Deze metrische gegevens worden automatisch gegenereerd. Beveiligingsrapporten voor e-mail weergeven in de Microsoft Defender-portal

Defender voor Office 365-rapporten weergeven in de Microsoft Defender-portal

SIEM-integratie

U kunt Defender voor Office 365 integreren met Microsoft Sentinel of een algemene SIEM-service (Security Information and Event Management) om gecentraliseerde bewaking van waarschuwingen en activiteiten van verbonden apps mogelijk te maken. Met Microsoft Sentinel kunt u beveiligingsevenementen in uw organisatie uitgebreider analyseren en playbooks bouwen voor een effectieve en onmiddellijke reactie.

Een diagram met de architectuur voor Microsoft Defender voor Office 365 met SIEM-integratie.

Microsoft Sentinel bevat een Defender voor Office 365-connector. Zie Waarschuwingen verbinden vanuit Microsoft Defender voor Office 365 voor meer informatie.

Microsoft Defender voor Office 365 kan ook worden geïntegreerd in andere SIEM-oplossingen met behulp van de Office 365 Activity Management-API. Zie Algemene SIEM-integratie voor informatie over integratie met algemene SIEM-systemen.

Volgende stap

Neem de informatie in Microsoft Defender voor Office 365 Security Operations Guide op in uw SecOps-processen.

Volgende stap voor de end-to-end-implementatie van Microsoft Defender XDR

Ga verder met de end-to-end-implementatie van Microsoft Defender XDR met Pilot en implementeer Defender voor Eindpunt.

Een diagram met Microsoft Defender voor Eindpunt in de testfase en het implementeren van Microsoft Defender XDR proces.

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.