Udostępnij za pośrednictwem


Migrowanie do Ochrona usługi Office 365 w usłudze Microsoft Defender — faza 1: przygotowanie


Faza 1. Przygotowanie.
Faza 1. Przygotowanie
Faza 2. Konfigurowanie.
Faza 2. Konfiguracja
Faza 3. Dołączanie.
Faza 3. Dołączenie
Jesteś tutaj!

Witamy w fazie 1: Przygotowaniemigracji do Ochrona usługi Office 365 w usłudze Microsoft Defender! Ta faza migracji obejmuje następujące kroki. Przed wprowadzeniem jakichkolwiek zmian należy najpierw zapisać ustawienia w istniejącej usłudze ochrony. W przeciwnym razie możesz wykonać pozostałe kroki w dowolnej kolejności:

  1. Spis ustawień w istniejącej usłudze ochrony
  2. Sprawdzanie istniejącej konfiguracji ochrony na platformie Microsoft 365
  3. Sprawdzanie konfiguracji routingu poczty
  4. Przenoszenie funkcji modyfikujące komunikaty na platformę Microsoft 365
  5. Definiowanie środowiska spamu i użytkowników zbiorczych
  6. Identyfikowanie i wyznaczanie kont priorytetów

Spis ustawień w istniejącej usłudze ochrony

Kompletny spis ustawień, reguł, wyjątków itp. z istniejącej usługi ochrony jest dobrym pomysłem, ponieważ prawdopodobnie nie będziesz mieć dostępu do informacji po anulowaniu subskrypcji.

Jednak bardzo ważne jest, aby nie tworzyć automatycznie ani arbitralnie wszystkich istniejących dostosowań w Ochrona usługi Office 365 w usłudze Defender. W najlepszym razie możesz wprowadzić ustawienia, które nie są już wymagane, istotne ani funkcjonalne. Co gorsza, niektóre z poprzednich dostosowań mogą rzeczywiście tworzyć problemy z zabezpieczeniami w Ochrona usługi Office 365 w usłudze Defender.

Testowanie i obserwacja natywnych możliwości i zachowania Ochrona usługi Office 365 w usłudze Defender ostatecznie określa wymagane przesłonięcia i ustawienia. Pomocne może okazać się zorganizowanie ustawień z istniejącej usługi ochrony w następujące kategorie:

  • Filtrowanie połączeń lub zawartości: prawdopodobnie nie potrzebujesz większości tych dostosowań w Ochrona usługi Office 365 w usłudze Defender.
  • Routing biznesowy: większość dostosowań, które należy ponownie utworzyć, prawdopodobnie należy do tej kategorii. Można na przykład ponownie utworzyć te ustawienia w usłudze Microsoft 365 jako reguły przepływu poczty programu Exchange (znane również jako reguły transportu), łączniki i wyjątki od fałszowania analizy.

Zamiast ślepo przenosić stare ustawienia na platformę Microsoft 365, zalecamy podejście kaskadowe. Takie podejście obejmuje fazę pilotażową z coraz większym członkostwem użytkowników i dostrajaniem opartym na obserwacji w oparciu o równoważenie zagadnień dotyczących zabezpieczeń z potrzebami biznesowymi organizacji.

Sprawdzanie istniejącej konfiguracji ochrony na platformie Microsoft 365

Jak już wspomniano wcześniej, nie można całkowicie wyłączyć wszystkich funkcji ochrony poczty dostarczanej na platformę Microsoft 365, nawet w przypadku korzystania z usługi ochrony innej firmy. Nie jest więc niczym niezwykłym, że organizacja platformy Microsoft 365 ma skonfigurowane co najmniej niektóre funkcje ochrony poczty e-mail. Przykład:

  • W przeszłości nie korzystaliśmy z usługi ochrony innej firmy w usłudze Microsoft 365. Niektóre funkcje ochrony w usłudze Microsoft 365, które są obecnie ignorowane, mogły zostać użyte i skonfigurowane. Jednak te ustawienia mogą obowiązywać, gdy "włączysz wybieranie", aby włączyć funkcje ochrony na platformie Microsoft 365.
  • W usłudze Microsoft 365 może istnieć możliwość przechowywania fałszywych alarmów (dobra poczta oznaczona jako zła) lub fałszywych negatywów (dozwolona nieprawidłowa poczta), która dotarła za pośrednictwem istniejącej usługi ochrony.

Przejrzyj istniejące funkcje ochrony w usłudze Microsoft 365 i rozważ usunięcie lub uproszczenie ustawień, które nie są już wymagane. Reguła lub ustawienie zasad, które było wymagane przed laty, może narazić organizację na niebezpieczeństwo i stworzyć niezamierzone luki w ochronie.

Sprawdzanie konfiguracji routingu poczty

  • Jeśli używasz dowolnego rodzaju złożonego routingu (na przykład scentralizowanego transportu poczty), rozważ uproszczenie routingu i dokładne jego udokumentowanie. Przeskoki zewnętrzne, zwłaszcza po otrzymaniu komunikatu przez platformę Microsoft 365, mogą skomplikować konfigurację i rozwiązywanie problemów.

  • Przepływ poczty wychodzącej i przekazywania jest poza zakresem tego artykułu. Może być jednak konieczne wykonania co najmniej jednego z następujących kroków:

  • Przekazywanie wiadomości e-mail z lokalnych serwerów poczty e-mail przy użyciu platformy Microsoft 365 może być złożonym projektem samym w sobie. Prostym przykładem jest niewielka liczba aplikacji lub urządzeń, które wysyłają większość swoich wiadomości do wewnętrznych adresatów i nie są używane do masowej wysyłki. Aby uzyskać szczegółowe informacje, zobacz ten przewodnik . Bardziej rozbudowane środowiska muszą być bardziej przemyślane. Marketingowe wiadomości e-mail i wiadomości, które mogą być postrzegane przez adresatów jako spam, nie są dozwolone.

  • Ochrona usługi Office 365 w usłudze Defender nie ma funkcji agregowania raportów DMARC. Odwiedź katalog Microsoft Intelligent Security Association (MISA), aby wyświetlić dostawców innych firm, którzy oferują raportowanie DMARC dla platformy Microsoft 365.

Przenoszenie funkcji modyfikujące komunikaty na platformę Microsoft 365

Musisz przenieść wszelkie dostosowania lub funkcje, które w jakikolwiek sposób modyfikują komunikaty na platformę Microsoft 365. Na przykład istniejąca usługa ochrony dodaje tag Zewnętrzny do tematu lub treści komunikatów od nadawców zewnętrznych. Każda funkcja opakowowania linków spowoduje również problemy z niektórymi komunikatami. Jeśli obecnie używasz takiej funkcji, należy określić priorytet wdrożenia bezpiecznych linków jako alternatywę w celu zminimalizowania problemów.

Jeśli nie wyłączysz funkcji modyfikowania komunikatów w istniejącej usłudze ochrony, możesz spodziewać się następujących negatywnych wyników w usłudze Microsoft 365:

  • Program DKIM zostanie przerwany. Nie wszyscy nadawcy polegają na infrastrukturze DKIM, ale nadawcy, którzy to robią, nie będą uwierzytelniania.
  • Fałszowanie inteligencji i krok dostrajania w dalszej części tego przewodnika nie będą działać prawidłowo.
  • Prawdopodobnie otrzymasz dużą liczbę fałszywych alarmów (dobra poczta oznaczona jako zła).

Aby ponownie utworzyć identyfikację zewnętrznego nadawcy w usłudze Microsoft 365, dostępne są następujące opcje:

Firma Microsoft współpracuje z branżą w celu obsługi standardu Authenticated Received Chain (ARC). Jeśli chcesz pozostawić wszystkie funkcje modyfikacji wiadomości włączone u bieżącego dostawcy bramy poczty, zalecamy skontaktowanie się z nim w celu uzyskania informacji o planach obsługi tego standardu.

Konto dla wszelkich aktywnych symulacji wyłudzania informacji

Jeśli masz aktywne symulacje wyłudzania informacji innych firm, musisz uniemożliwić identyfikowanie wiadomości, linków i załączników jako wyłudzania informacji przez Ochrona usługi Office 365 w usłudze Defender. Aby uzyskać więcej informacji, zobacz Konfigurowanie symulacji wyłudzania informacji innych firm w zaawansowanych zasadach dostarczania.

Definiowanie środowiska spamu i użytkowników zbiorczych

  • Kwarantanna a dostarczanie do folderu Junk Email: naturalną i zalecaną odpowiedzią na złośliwe i zdecydowanie ryzykowne komunikaty jest kwarantanna komunikatów. Ale jak chcesz, aby użytkownicy obsługiwali mniej szkodliwe wiadomości, takie jak spam i poczta zbiorcza (znana również jako szara poczta)? Czy te typy komunikatów powinny być dostarczane do folderów Email wiadomości-śmieci użytkownika?

    W przypadku naszych standardowych ustawień zabezpieczeń zwykle dostarczamy te mniej ryzykowne typy komunikatów do folderu Junk Email. To zachowanie jest podobne do wielu ofert poczty e-mail dla konsumentów, w których użytkownicy mogą sprawdzać w folderze Junk Email brakujące wiadomości i sami mogą je ratować. Jeśli użytkownik celowo zapisał się do newslettera lub wiadomości marketingowej, może anulować subskrypcję lub zablokować nadawcę dla własnej skrzynki pocztowej.

    Jednak wielu użytkowników przedsiębiorstwa jest przyzwyczajony do niewielkiej (jeśli istnieje) poczty w folderze Junk Email. Zamiast tego ci użytkownicy są przyzwyczajeni do sprawdzania kwarantanny pod kątem brakujących komunikatów. Kwarantanna wprowadza problemy z powiadomieniami o kwarantannie, częstotliwością powiadomień i uprawnieniami wymaganymi do wyświetlania i wydawania komunikatów.

    Ostatecznie decyzja jest twoją decyzją, jeśli chcesz uniemożliwić dostarczanie wiadomości e-mail do folderu Junk Email na rzecz dostarczenia do kwarantanny. Ale jedno jest pewne: jeśli środowisko w Ochrona usługi Office 365 w usłudze Defender różni się od tego, do czego są przyzwyczajeni użytkownicy, musisz je powiadomić i zapewnić podstawowe szkolenie. Uwzględnij informacje z pilotażu i upewnij się, że użytkownicy są przygotowani na nowe zachowanie na potrzeby dostarczania wiadomości e-mail.

  • Poszukiwana poczta zbiorcza a niechciana poczta zbiorcza: Wiele systemów ochrony umożliwia użytkownikom samodzielne zezwalanie na wiadomości e-mail zbiorcze lub blokowanie ich. Te ustawienia nie są łatwo migrowane na platformę Microsoft 365, dlatego należy rozważyć współpracę z vip-ami i ich pracownikami w celu odtworzenia istniejących konfiguracji na platformie Microsoft 365.

    Obecnie platforma Microsoft 365 uważa niektóre wiadomości zbiorcze (na przykład biuletyny) za bezpieczne w oparciu o źródło wiadomości. Poczta z tych "bezpiecznych" źródeł nie jest obecnie oznaczona jako zbiorcza (poziom skarg zbiorczych lub BCL wynosi 0 lub 1), więc trudno jest globalnie zablokować pocztę z tych źródeł. W przypadku większości użytkowników rozwiązaniem jest poproszenie ich o indywidualne anulowanie subskrypcji tych zbiorczych komunikatów lub zablokowanie nadawcy przy użyciu programu Outlook. Jednak niektórzy użytkownicy nie lubią blokować ani anulować subskrypcji z samych komunikatów zbiorczych.

    Reguły przepływu poczty, które filtrują zbiorcze wiadomości e-mail, mogą być przydatne, gdy użytkownicy adresów VIP nie chcą samodzielnie zarządzać wiadomościami e-mail zbiorczymi. Aby uzyskać więcej informacji, zobacz Używanie reguł przepływu poczty do filtrowania zbiorczej poczty e-mail.

Identyfikowanie i wyznaczanie kont priorytetów

Jeśli funkcja jest dostępna dla Ciebie, konta priorytetowe i tagi użytkowników mogą pomóc w zidentyfikowaniu ważnych użytkowników platformy Microsoft 365, aby wyróżniali się w raportach. Aby uzyskać więcej informacji, zobacz Tagi użytkowników w Ochrona usługi Office 365 w usłudze Microsoft Defender i Zarządzanie kontami priorytetów i monitorowanie ich.

Następny krok

Gratulacje! Ukończono fazę przygotowaniamigracji do Ochrona usługi Office 365 w usłudze Microsoft Defender!