Migrowanie do Ochrona usługi Office 365 w usłudze Microsoft Defender — faza 3: dołączanie


Faza 1. Przygotowanie.
Faza 1. Przygotowanie		 Faza 2. Konfigurowanie.
Faza 2. Konfiguracja		 Faza 3. Dołączanie.
Faza 3. Dołączenie
Jesteś tutaj!

Witamy w fazie 3: dołączaniemigracji do Ochrona usługi Office 365 w usłudze Microsoft Defender! Ta faza migracji obejmuje następujące kroki:

  1. Rozpoczynanie dołączania zespołów zabezpieczeń
  2. (Opcjonalnie) Wykluczenie użytkowników pilotażowych z filtrowania według istniejącej usługi ochrony
  3. Dostrajanie inteligencji fałszowania
  4. Dostrajanie ochrony przed personifikacją i analizy skrzynek pocztowych
  5. Mierzenie i dostosowywanie danych z komunikatów zgłoszonych przez użytkownika
  6. (Opcjonalnie) Dodawanie większej liczby użytkowników do pilotażu i iterowanie
  7. Rozszerzanie ochrony platformy Microsoft 365 na wszystkich użytkowników i wyłączanie reguły przepływu poczty SCL=-1
  8. Przełączanie rekordów MX

Krok 1. Rozpoczynanie dołączania zespołów zabezpieczeń

Jeśli Twoja organizacja ma zespół reagowania na zabezpieczenia, nadszedł czas, aby rozpocząć integrację Ochrona usługi Office 365 w usłudze Microsoft Defender z procesami reagowania, w tym systemami biletów. Ten proces jest całym tematem, ale czasami jest pomijany. Wczesne zaangażowanie zespołu ds. reagowania na zabezpieczenia gwarantuje, że organizacja jest gotowa do radzenia sobie z zagrożeniami podczas przełączania rekordów MX. Reagowanie na zdarzenia musi być dobrze przygotowane do obsługi następujących zadań:

Jeśli Twoja organizacja zakupiła Ochrona usługi Office 365 w usłudze Microsoft Defender planie 2, powinna rozpocząć zapoznanie się z funkcjami, takimi jak Eksplorator zagrożeń, zaawansowane wyszukiwanie zagrożeń i zdarzenia. Aby uzyskać odpowiednie szkolenia, zobacz https://aka.ms/mdoninja.

Jeśli zespół reagowania na zabezpieczenia zbiera i analizuje niefiltrowane wiadomości, możesz skonfigurować skrzynkę pocztową SecOps w celu odbierania tych niefiltrowanych wiadomości. Aby uzyskać instrukcje, zobacz Konfigurowanie skrzynek pocztowych SecOps w zaawansowanych zasadach dostarczania.

SIEM/SOAR

Aby uzyskać więcej informacji na temat integracji z rozwiązaniem SIEM/SOAR, zobacz następujące artykuły:

Jeśli Twoja organizacja nie ma zespołu reagowania na zabezpieczenia ani istniejących przepływów procesów, możesz użyć tego czasu, aby zapoznać się z podstawowymi funkcjami wyszukiwania zagrożeń i reagowania w Ochrona usługi Office 365 w usłudze Defender. Aby uzyskać więcej informacji, zobacz Badanie zagrożeń i reagowanie.

Role RBAC

Uprawnienia w Ochrona usługi Office 365 w usłudze Defender są oparte na kontroli dostępu opartej na rolach (RBAC) i wyjaśniono w temacie Uprawnienia w portalu Microsoft Defender. Oto ważne kwestie, o których należy pamiętać:

  • Microsoft Entra role dają uprawnienia do wszystkich obciążeń w usłudze Microsoft 365. Jeśli na przykład dodasz użytkownika do administratora zabezpieczeń w Azure Portal, wszędzie ma uprawnienia administratora zabezpieczeń.
  • Email & role współpracy w portalu Microsoft Defender udzielają uprawnień portalowi Microsoft Defender i portal zgodności Microsoft Purview. Jeśli na przykład dodasz użytkownika do administratora zabezpieczeń w portalu Microsoft Defender, ma on dostęp administratora zabezpieczeń tylko w portalu Microsoft Defender i portal zgodności Microsoft Purview.
  • Wiele funkcji w portalu Microsoft Defender jest opartych na poleceniach cmdlet programu PowerShell Exchange Online i dlatego wymaga członkostwa w grupach ról w odpowiednich rolach (technicznie grupach ról) w Exchange Online (w szczególności w celu uzyskania dostępu do odpowiednich Exchange Online programu PowerShell polecenia cmdlet).
  • W portalu Microsoft Defender istnieją Email & role współpracy, które nie mają odpowiedników ról Microsoft Entra i są ważne w przypadku operacji zabezpieczeń (na przykład roli w wersji zapoznawczej oraz roli Search i przeczyszczania).

Zazwyczaj tylko podzbiór pracowników ochrony wymaga dodatkowych praw do pobierania wiadomości bezpośrednio ze skrzynek pocztowych użytkowników. Wymaga to dodatkowego uprawnienia, którego czytelnik zabezpieczeń nie ma domyślnie.

Krok 2. (Opcjonalnie) Wykluczenie użytkowników pilotażowych z filtrowania według istniejącej usługi ochrony

Chociaż ten krok nie jest wymagany, należy rozważyć skonfigurowanie użytkowników pilotażowych w celu obejścia filtrowania według istniejącej usługi ochrony. Ta akcja umożliwia Ochrona usługi Office 365 w usłudze Defender obsługę wszystkich obowiązków związanych z filtrowaniem i ochroną użytkowników pilotażowych. Jeśli nie zwolnisz użytkowników pilotażowych z istniejącej usługi ochrony, Ochrona usługi Office 365 w usłudze Defender efektywnie działa tylko w przypadku chybień z innej usługi (filtrowanie komunikatów, które zostały już odfiltrowane).

Uwaga

Ten krok jest jawnie wymagany, jeśli bieżąca usługa ochrony udostępnia zawijanie linków, ale chcesz pilotować funkcje bezpiecznych łączy. Podwójne zawijanie łączy nie jest obsługiwane.

Krok 3. Dostrajanie analizy fałszowania

Sprawdź szczegółowe informacje o analizie fałszowania , aby zobaczyć, co jest dozwolone lub zablokowane jako fałszowanie, oraz ustalić, czy musisz zastąpić werdykt systemu w celu fałszowania. Niektóre źródła wiadomości e-mail o znaczeniu krytycznym dla firmy mogą mieć błędnie skonfigurowane rekordy uwierzytelniania poczty e-mail w systemie DNS (SPF, DKIM i DMARC) i być może używasz przesłoń w istniejącej usłudze ochrony do maskowania problemów z domeną.

Analiza fałszowania może uratować pocztę e-mail z domen bez odpowiednich rekordów uwierzytelniania poczty e-mail w systemie DNS, ale funkcja czasami wymaga pomocy w odróżnieniu dobrego fałszowania od nieprawidłowego fałszowania. Skoncentruj się na następujących typach źródeł komunikatów:

  • Źródła komunikatów, które znajdują się poza zakresami adresów IP zdefiniowanymi w rozszerzonym filtrowaniu dla łączników.
  • Źródła komunikatów, które mają największą liczbę komunikatów.
  • Źródła komunikatów, które mają największy wpływ na organizację.

Analiza fałszowania zostanie ostatecznie dostosowana po skonfigurowaniu ustawień zgłoszonych przez użytkownika, więc nie ma potrzeby perfekcji.

Krok 4. Dostrajanie ochrony przed personifikacją i analizy skrzynek pocztowych

Gdy masz wystarczająco dużo czasu, aby obserwować wyniki ochrony przed personifikacją w trybie Nie stosuj żadnej akcji , możesz indywidualnie włączyć każdą akcję ochrony przed personifikacją w zasadach ochrony przed wyłudzaniem informacji:

  • Ochrona przed personifikacją użytkowników: kwarantanna komunikatu zarówno dla standardowego , jak i ścisłego.
  • Ochrona przed personifikacją domeny: poddaj kwarantannie komunikat dla zarówno standardowego , jak i ścisłego.
  • Ochrona przed analizą skrzynki pocztowej: przenieś wiadomość do folderów Email wiadomości-śmieci adresatów dla standardu; Kwarantanna komunikatu dla ścisłe.

Tym dłużej monitorujesz wyniki ochrony przed personifikacją bez działania na komunikatach, tym więcej danych musisz zidentyfikować, co może być wymagane. Rozważ użycie opóźnienia między włączeniem każdej ochrony, która jest wystarczająco znacząca, aby umożliwić obserwację i dostosowanie.

Uwaga

Częste i ciągłe monitorowanie i dostrajanie tych zabezpieczeń jest ważne. Jeśli podejrzewasz wynik fałszywie dodatni, zbadaj przyczynę i użyj przesłoń tylko w razie potrzeby i tylko w przypadku funkcji wykrywania, która tego wymaga.

Dostrajanie analizy skrzynki pocztowej

Mimo że analiza skrzynek pocztowych jest skonfigurowana tak, aby nie podejmowała żadnych działań w przypadku wiadomości, które zostały uznane za próby personifikacji, jest włączona i uczy się wzorców wysyłania i odbierania wiadomości e-mail użytkowników pilotażowych. Jeśli użytkownik zewnętrzny ma kontakt z jednym z użytkowników pilotażowych, wiadomości od tego użytkownika zewnętrznego nie są identyfikowane jako próby personifikacji przez analizę skrzynki pocztowej (co zmniejsza liczbę wyników fałszywie dodatnich).

Gdy wszystko będzie gotowe, wykonaj następujące kroki, aby umożliwić analizie skrzynek pocztowych działanie na komunikatach wykrytych jako próby personifikacji:

  • W zasadach ochrony przed wyłudzaniem informacji z ustawieniami ochrony standardowej zmień wartość Jeśli analiza skrzynki pocztowej wykryje personifikowanego użytkownika, aby przenieść wiadomość do folderów Email wiadomości-śmieci adresatów.

  • W zasadach ochrony przed wyłudzaniem informacji przy użyciu ustawień ścisłej ochrony zmień wartość wartości Jeśli analiza skrzynki pocztowej wykryje i personifikuje użytkownika z pozycji Kwarantanna wiadomości.

Aby zmodyfikować zasady, zobacz Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender.

Po zaobserwowaniu wyników i wprowadzeniu jakichkolwiek korekt przejdź do następnej sekcji, aby przejść do komunikatów kwarantanny wykrytych przez personifikację użytkownika.

Dostrajanie ochrony przed personifikacją użytkowników

W obu zasadach ochrony przed wyłudzaniem informacji na podstawie ustawień standardowych i ścisłych zmień wartość jeśli komunikat zostanie wykryty jako personifikacja użytkownika , aby poddać komunikat kwarantannie.

Sprawdź szczegółowe informacje o personifikacji , aby zobaczyć, co jest blokowane podczas prób personifikacji użytkowników.

Aby zmodyfikować zasady, zobacz Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender.

Po zaobserwowaniu wyników i wprowadzeniu jakichkolwiek korekt przejdź do następnej sekcji, aby przejść do komunikatów kwarantanny wykrytych przez personifikację domeny.

Dostrajanie ochrony przed personifikacją domeny

W obu zasadach ochrony przed wyłudzaniem informacji na podstawie ustawień standardowych i ścisłych zmień wartość jeśli komunikat zostanie wykryty jako personifikacja domeny , aby poddać komunikat kwarantannie.

Sprawdź szczegółowe informacje o personifikacji , aby zobaczyć, co jest blokowane podczas prób personifikacji domeny.

Aby zmodyfikować zasady, zobacz Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender.

Obserwuj wyniki i w razie potrzeby wprowadź wszelkie zmiany.

Krok 5. Używanie danych z komunikatów zgłoszonych przez użytkownika do mierzenia i dostosowywania

Gdy użytkownicy pilotażowi zgłaszają wyniki fałszywie dodatnie i fałszywie ujemne, komunikaty są wyświetlane na karcie Zgłaszane przez użytkownikana stronie Przesłane w portalu Microsoft Defender. Możesz zgłosić błędnie zidentyfikowane komunikaty do firmy Microsoft w celu analizy i użyć informacji, aby dostosować ustawienia i wyjątki w zasadach pilotażowych w razie potrzeby.

Użyj następujących funkcji, aby monitorować i iterować ustawienia ochrony w Ochrona usługi Office 365 w usłudze Defender:

Jeśli Twoja organizacja używa usługi innej firmy na potrzeby komunikatów zgłaszanych przez użytkowników, możesz zintegrować te dane z pętlą opinii.

Krok 6. (Opcjonalnie) Dodawanie większej liczby użytkowników do pilotażu i iterowanie

Gdy znajdziesz i rozwiążesz problemy, możesz dodać więcej użytkowników do grup pilotażowych (i odpowiednio zwolnić tych nowych użytkowników pilotażowych ze skanowania przez istniejącą usługę ochrony odpowiednio). Więcej testów, które teraz wykonujesz, tym mniej problemów z użytkownikami, które należy rozwiązać później. Takie podejście "kaskadowe" umożliwia dostrajanie większej części organizacji i daje zespołom ds. zabezpieczeń czas na dostosowanie się do nowych narzędzi i procesów.

  • Platforma Microsoft 365 generuje alerty, gdy zasady organizacji zezwalają na wyłudzanie informacji o wysokim poziomie zaufania. Aby zidentyfikować te komunikaty, dostępne są następujące opcje:

    Zgłoś firmie Microsoft wszelkie wyniki fałszywie dodatnie tak wcześnie, jak to możliwe za pośrednictwem przesyłania przez administratora, i użyj funkcji Zezwalaj na dzierżawę/Lista zablokowanych , aby skonfigurować bezpieczne przesłonięcia dla tych wyników fałszywie dodatnich.

  • Dobrym pomysłem jest również zbadanie niepotrzebnych przesłoń. Innymi słowy, przyjrzyj się werdyktom dostarczonym przez platformę Microsoft 365 w wiadomościach. Jeśli platforma Microsoft 365 wydała prawidłowy werdykt, potrzeba zastąpienia jest znacznie zmniejszona lub wyeliminowana.

Krok 7. Rozszerzanie ochrony platformy Microsoft 365 na wszystkich użytkowników i wyłączanie reguły przepływu poczty SCL=-1

Wykonaj kroki opisane w tej sekcji, gdy wszystko będzie gotowe do przełączenia rekordów MX na platformę Microsoft 365.

  1. Rozszerzanie zasad pilotażowych na całą organizację. Zasadniczo istnieją różne sposoby rozszerzania zasad:

    • Użyj wstępnie ustawionych zasad zabezpieczeń i podziel użytkowników między profil ochrony standardowej i profil ścisłej ochrony (upewnij się, że wszyscy są objęci ochroną). Wstępnie ustawione zasady zabezpieczeń są stosowane przed utworzonymi przez Ciebie zasadami niestandardowymi lub wszelkimi domyślnymi zasadami. Możesz wyłączyć indywidualne zasady pilotażowe bez ich usuwania.

      Wadą wstępnie ustawionych zasad zabezpieczeń jest to, że nie można zmienić wielu ważnych ustawień po ich utworzeniu.

    • Zmień zakres zasad utworzonych i dostosowanych podczas pilotażu, aby uwzględnić wszystkich użytkowników (na przykład wszystkich adresatów we wszystkich domenach). Pamiętaj, że jeśli wiele zasad tego samego typu (na przykład zasad ochrony przed wyłudzaniem informacji) ma zastosowanie do tego samego użytkownika (indywidualnie, według członkostwa w grupie lub domeny poczty e-mail), stosowane są tylko ustawienia zasad o najwyższym priorytecie (numer o najniższym priorytecie) i zatrzymania przetwarzania dla tego typu zasad.

  2. Wyłącz regułę przepływu poczty SCL=-1 (możesz ją wyłączyć bez usuwania).

  3. Sprawdź, czy poprzednie zmiany weszły w życie i czy Ochrona usługi Office 365 w usłudze Defender jest teraz prawidłowo włączona dla wszystkich użytkowników. W tym momencie wszystkie funkcje ochrony Ochrona usługi Office 365 w usłudze Defender mogą teraz działać w wiadomościach e-mail dla wszystkich adresatów, ale ta poczta została już zeskanowana przez istniejącą usługę ochrony.

Na tym etapie można wstrzymać rejestrowanie i dostrajanie danych na większą skalę.

Krok 8. Przełączanie rekordów MX

Uwaga

  • Po przełączeniu rekordu MX dla domeny propagacja zmian w Internecie może potrwać do 48 godzin.
  • Zalecamy obniżenie wartości czasu wygaśnięcia rekordów DNS, aby umożliwić szybszą reakcję i możliwe wycofanie (w razie potrzeby). Możesz przywrócić oryginalną wartość czasu wygaśnięcia po zakończeniu przełączania i zweryfikowaniu.
  • Należy rozważyć rozpoczęcie od zmiany domen, które są używane rzadziej. Możesz wstrzymać i monitorować przed przejściem do większych domen. Jednak nawet jeśli to zrobisz, nadal upewnij się, że wszyscy użytkownicy i domeny są objęci zasadami, ponieważ pomocnicze domeny SMTP są rozpoznane w domenach podstawowych przed aplikacją zasad.
  • Z technicznego punktu widzenia działa wiele rekordów MX dla jednej domeny, co pozwala na dzielenie routingu, pod warunkiem że wykonano wszystkie wskazówki przedstawione w tym artykule. W szczególności należy upewnić się, że zasady są stosowane do wszystkich użytkowników, że reguła przepływu poczty SCL=-1 jest stosowana tylko do poczty przechodzącej przez istniejącą usługę ochrony zgodnie z opisem w kroku 3 konfiguracji: Obsługa lub tworzenie reguły przepływu poczty SCL=-1. Jednak ta konfiguracja wprowadza zachowanie, które znacznie utrudnia rozwiązywanie problemów i dlatego zwykle nie zalecamy tego, szczególnie przez dłuższy czas.
  • Przed przełączeniem rekordów MX sprawdź, czy następujące ustawienia nie są włączone w łączniku przychodzącym z usługi ochrony na platformę Microsoft 365. Zazwyczaj łącznik będzie miał skonfigurowane co najmniej jedno z następujących ustawień:
    • i wymagać, aby nazwa podmiotu certyfikatu używana przez partnera do uwierzytelniania przy użyciu Office 365 odpowiadała tej nazwie domeny (RestrictDomainsToCertificate)
    • Odrzuć wiadomości e-mail, jeśli nie są one wysyłane z tego zakresu adresów IP (RestrictDomainsToIPAddresses) Jeśli typ łącznika to Partner i któreś z tych ustawień jest włączone, dostarczanie poczty do domen zakończy się niepowodzeniem po przełączeniu rekordów MX. Przed kontynuowaniem należy wyłączyć te ustawienia. Jeśli łącznik jest łącznikiem lokalnym używanym do użycia hybrydowego, nie musisz modyfikować łącznika lokalnego. Jednak nadal możesz sprawdzić obecność łącznika partnerów .
  • Jeśli bieżąca brama poczty również zapewnia weryfikację adresata, możesz sprawdzić, czy domena jest skonfigurowana jako autorytatywna w usłudze Microsoft 365. Może to zapobiec niepotrzebnym komunikatom odbijania.

Gdy wszystko będzie gotowe, przełącz rekord MX dla swoich domen. Wszystkie domeny można migrować jednocześnie. Możesz też najpierw przeprowadzić migrację rzadziej używanych domen, a następnie przeprowadzić migrację pozostałych domen później.

Możesz wstrzymać się i ocenić tutaj w dowolnym momencie. Pamiętaj jednak, że po wyłączeniu reguły przepływu poczty SCL=-1 użytkownicy mogą mieć dwa różne środowiska sprawdzania wyników fałszywie dodatnich. Im szybciej zapewnisz pojedyncze, spójne środowisko, tym szczęśliwsi użytkownicy i zespoły pomocy technicznej będą musieli rozwiązać problem z brakującą wiadomością.

Następne kroki

Gratulacje! Migracja do Ochrona usługi Office 365 w usłudze Microsoft Defender została ukończona! Ponieważ wykonano kroki opisane w tym przewodniku migracji, pierwsze dni, w których poczta jest dostarczana bezpośrednio do platformy Microsoft 365, powinny być znacznie płynniejsze.

Teraz rozpoczniesz normalną operację i konserwację Ochrona usługi Office 365 w usłudze Defender. Monitorowanie i watch pod kątem problemów, które są podobne do tych, które wystąpiły podczas pilotażu, ale na większą skalę. Najbardziej przydatne są szczegółowe informacje o fałszowaniu analizy i szczegółowe informacje o personifikacji , ale rozważ regularne wykonywanie następujących działań: