Udostępnij za pośrednictwem

Uzyskiwanie najlepszej wartości zabezpieczeń z Ochrona usługi Office 365 w usłudze Microsoft Defender, gdy masz filtrowanie wiadomości e-mail innych firm

Ten przewodnik jest przeznaczony dla Ciebie, jeśli:

  • Masz licencję na Ochrona usługi Office 365 w usłudze Microsoft Defender i hostowanie skrzynek pocztowych w Office 365
  • Używasz również innej firmy na potrzeby zabezpieczeń poczty e-mail

Poniższe informacje zawierają szczegółowe informacje na temat sposobu jak najlepiej wykorzystać inwestycję, w podziale na łatwe do wykonania kroki.

Czego potrzebujesz

  • Skrzynki pocztowe hostowane w Office 365
  • Co najmniej jeden z następujących elementów:
    • Ochrona usługi Office 365 w usłudze Microsoft Defender (plan 1) funkcji ochrony.
    • Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2 dla większości innych funkcji (zawartych w planach E5).
    • Ochrona usługi Office 365 w usłudze Microsoft Defender wersja próbna (dostępna dla wszystkich klientów pod adresem https://aka.ms/tryMDO).
  • Wystarczające uprawnienia do konfigurowania funkcji omówionych w tym artykule.

Krok 1 . Zrozumienie wartości, którą już masz

Wbudowane funkcje ochrony

  • Wbudowana ochrona zapewnia podstawowy poziom dyskretnej ochrony i obejmuje złośliwe oprogramowanie, zero dni (bezpieczne załączniki) oraz ochronę adresów URL (bezpieczne linki) w wiadomościach e-mail (w tym wewnętrznej wiadomości e-mail), programie SharePoint, usłudze OneDrive i usłudze Microsoft Teams. Ochrona adresu URL podana w tym stanie odbywa się tylko za pośrednictwem wywołania interfejsu API. Nie zawija ani nie zapisuje ponownie adresów URL, ale wymaga obsługiwanego klienta programu Outlook. Możesz utworzyć własne zasady niestandardowe, aby rozszerzyć ochronę.

    Przeczytaj więcej & watch omówienie wideo z bezpiecznymi linkami tutaj:Pełne omówienie bezpiecznych linków

    Przeczytaj więcej o bezpiecznych załącznikach tutaj:Bezpieczne załączniki

Funkcje wykrywania, badania, reagowania i wyszukiwania zagrożeń

  • Gdy alerty są wyzwalane w Ochrona usługi Office 365 w usłudze Microsoft Defender, są one automatycznie skorelowane i łączone z incydentami, aby zmniejszyć zmęczenie alertów pracowników ochrony. Zautomatyzowane badanie i reagowanie (AIR) uruchamia badania, aby pomóc w skorygowaniu i powstrzymaniu zagrożeń.

    Przeczytaj więcej, watch wideo z omówieniem i rozpocznij pracę tutaj:Reagowanie na zdarzenia za pomocą Microsoft Defender XDR

  • Analiza zagrożeń to nasze produktowe, szczegółowe rozwiązanie do analizy zagrożeń od ekspertów badaczy zabezpieczeń firmy Microsoft. Analiza zagrożeń zawiera szczegółowe raporty, które zostały zaprojektowane w celu przyspieszenia działania najnowszych grup zagrożeń, technik ataków, sposobu ochrony organizacji za pomocą wskaźników naruszenia zabezpieczeń (IOC) i wielu innych.

    Przeczytaj więcej, watch wideo z omówieniem i rozpocznij pracę tutaj:Analiza zagrożeń w Microsoft Defender XDR

  • Eksplorator może służyć do wyszukiwania zagrożeń, wizualizowania wzorców przepływu poczty, wykrywania trendów i identyfikowania wpływu zmian wprowadzonych podczas dostrajania Ochrona usługi Office 365 w usłudze Defender. Możesz również szybko usuwać komunikaty z organizacji za pomocą kilku prostych kliknięć.

    Przeczytaj więcej i rozpocznij tutaj:Wykrywanie zagrożeń i wykrywanie w czasie rzeczywistym

  • Zaawansowane wyszukiwanie zagrożeń może służyć do aktywnego wyszukiwania zagrożeń w organizacji przy użyciu udostępnionych zapytań od społeczności, które ułatwiają rozpoczęcie pracy. Możesz również użyć wykrywania niestandardowego, aby skonfigurować alerty po spełnieniu spersonalizowanych kryteriów.

    Przeczytaj więcej, watch wideo z omówieniem i rozpocznij pracę tutaj:Omówienie — zaawansowane wyszukiwanie zagrożeń

Krok 2 . Dalsze zwiększanie wartości za pomocą tych prostych kroków

Dodatkowe funkcje ochrony

  • Rozważ włączenie zasad wykraczających poza wbudowaną ochronę. Włączanie ochrony przed kliknięciem lub ochrony przed personifikacją, na przykład w celu dodania dodatkowych warstw lub wypełnienia brakujących luk w ochronie innej firmy. Jeśli masz regułę przepływu poczty (znaną również jako regułę transportu) lub filtr połączenia, który zastępuje werdykty (nazywane również regułą SCL=-1), musisz rozwiązać ten problem przed włączeniem innych funkcji ochrony.

    Przeczytaj więcej tutaj:Zasady ochrony przed wyłudzaniem informacji

  • Jeśli bieżący dostawca zabezpieczeń jest skonfigurowany do modyfikowania komunikatów w jakikolwiek sposób, należy pamiętać, że sygnały uwierzytelniania mogą mieć wpływ na możliwość Ochrona usługi Office 365 w usłudze Defender ochrony przed atakami, takimi jak fałszowanie. Jeśli twoja inna firma obsługuje uwierzytelniony łańcuch odbieranych danych (ARC), zdecydowanie zalecamy włączenie usługi ARC w procesie zaawansowanego filtrowania podwójnego. Przenoszenie dowolnej konfiguracji modyfikacji komunikatów do Ochrona usługi Office 365 w usłudze Defender jest również alternatywą.

    Przeczytaj więcej tutaj:Konfigurowanie zaufanych uszczelniaczy ARC

  • Ulepszone filtrowanie łączników umożliwia zachowywanie informacji o adresach IP i nadawcy za pośrednictwem innej firmy. Ta funkcja zwiększa dokładność stosu filtrowania (ochrony), możliwości po naruszeniu zabezpieczeń & ulepszenia uwierzytelniania.

    Przeczytaj więcej tutaj:Rozszerzone filtrowanie łączników w Exchange Online

  • Priorytetowa ochrona konta zapewnia rozszerzony wgląd w konta w narzędziach, a także dodatkową ochronę w stanie zaawansowanej konfiguracji ochrony.

    Przeczytaj więcej tutaj:Priorytet ochrony konta

  • Usługa Advanced Delivery powinna być skonfigurowana tak, aby prawidłowo dostarczała dowolne symulacje phish innych firm, a jeśli masz skrzynkę pocztową operacji zabezpieczeń, rozważ zdefiniowanie jej jako skrzynki pocztowej SecOps, aby upewnić się, że wiadomości e-mail nie zostaną usunięte ze skrzynki pocztowej z powodu zagrożeń.

    Przeczytaj więcej tutaj:Zaawansowane dostarczanie

  • Możesz skonfigurować ustawienia zgłaszane przez użytkownika, aby umożliwić użytkownikom zgłaszanie dobrych lub złych wiadomości do firmy Microsoft, do wyznaczonej skrzynki pocztowej raportowania (w celu integracji z bieżącymi przepływami pracy zabezpieczeń) lub obu tych przepływów pracy przy użyciu wbudowanego przycisku Raport w obsługiwanych wersjach programu Outlook lub przy użyciu obsługiwanych rozwiązań innych firm. Administratorzy mogą używać karty Raporty użytkowników na stronie Przesłane do klasyfikowania fałszywych alarmów i fałszywie negatywnych komunikatów zgłoszonych przez użytkownika.

    Przeczytaj więcej tutaj:Ustawienia zgłaszane przez użytkownika oraz Zgłaszanie wyłudzania informacji i podejrzanych wiadomości e-mail w programie Outlook dla administratorów

Funkcje edukacyjne

  • Szkolenie z symulacji ataków umożliwia uruchamianie realistycznych, ale niegroźnych scenariuszy cyberataków w organizacji. Jeśli nie masz jeszcze możliwości symulacji wyłudzania informacji od podstawowego dostawcy zabezpieczeń poczty e-mail, symulowane ataki firmy Microsoft mogą pomóc w zidentyfikowaniu i znalezieniu narażonych użytkowników, zasad i praktyk. Ta funkcja zawiera ważną wiedzę, która ma być poprawna , zanim rzeczywisty atak wpłynie na Organizację. Po symulacji przypisywanej przez nas w ramach trenowania produktu lub niestandardowego w celu informowania użytkowników o pominiętych zagrożeniach, co ostatecznie zmniejsza profil ryzyka organizacji. Dzięki Szkolenie z symulacji ataków dostarczamy komunikaty bezpośrednio do skrzynki odbiorczej, dzięki czemu środowisko użytkownika jest bogate. To środowisko oznacza również, że żadne zmiany zabezpieczeń, takie jak przesłonięcia, nie są wymagane do poprawnego dostarczania symulacji.

Rozpocznij tutaj:Wprowadzenie do symulacji ataków.

Przejdź bezpośrednio do realizacji symulacji tutaj:Jak skonfigurować zautomatyzowane ataki i szkolenia w Szkolenie z symulacji ataków

Krok 3 i nowsze, staje się bohaterem podwójnego zastosowania

  • Zespoły ds. zabezpieczeń powinny powtarzać wiele działań związanych z wykrywaniem, badaniem, reagowaniem i wyszukiwaniem zagrożeń zgodnie z wcześniejszym opisem. Te wskazówki zawierają szczegółowy opis zadań, kadencji i przypisań zespołu, które zalecamy.

    Czytaj więcej:Przewodnik po operacjach zabezpieczeń dla Ochrona usługi Office 365 w usłudze Defender

  • Rozważ środowisko użytkownika, takie jak uzyskiwanie dostępu do wielu kwarantann lub przesyłanie/raportowanie wyników fałszywie dodatnich i fałszywie ujemnych. Komunikaty wykryte przez usługę innej firmy można oznaczyć niestandardowym nagłówkiem X . Na przykład można użyć reguł przepływu poczty do wykrywania i kwarantanny wiadomości e-mail zawierającej nagłówek X . Ten wynik zapewnia również użytkownikom pojedyncze miejsce dostępu do poczty poddanej kwarantannie.

    Czytaj więcej:Jak skonfigurować uprawnienia i zasady kwarantanny

  • Przewodnik po migracji zawiera wiele przydatnych wskazówek dotyczących przygotowywania i dostrajania środowiska w celu przygotowania go do migracji. Jednak wiele kroków dotyczy również scenariusza podwójnego użycia. Zignoruj wskazówki dotyczące przełącznika MX w końcowych krokach.

    Przeczytaj tutaj:Migrowanie z usługi ochrony innej firmy do Ochrona usługi Office 365 w usłudze Microsoft Defender — Office 365 | Microsoft Docs.

Więcej informacji

Migrowanie z usługi ochrony innej firmy do Ochrona usługi Office 365 w usłudze Microsoft Defender

Przewodnik po operacjach zabezpieczeń dla Ochrona usługi Office 365 w usłudze Defender

Uzyskaj więcej informacji z Ochrona usługi Office 365 w usłudze Microsoft Defender za pomocą Microsoft Defender XDR.