Partilhar via


Pilote e implemente Defender para Office 365

Aplica-se a:

  • Microsoft Defender XDR

Este artigo fornece um fluxo de trabalho para testar e implementar Microsoft Defender para Office 365 na sua organização. Pode utilizar estas recomendações para integrar Microsoft Defender para Office 365 como uma ferramenta de cibersegurança individual ou como parte de uma solução ponto a ponto com Microsoft Defender XDR.

Este artigo pressupõe que tem um inquilino do Microsoft 365 de produção e está a testar e implementar Microsoft Defender para Office 365 neste ambiente. Esta prática irá manter todas as definições e personalizações que configurar durante o piloto para a sua implementação completa.

Defender para Office 365 contribui para uma arquitetura Confiança Zero, ajudando a evitar ou reduzir os danos comerciais causados por uma falha de segurança. Para obter mais informações, veja Prevent or reduce business damage from a breach business scenario in the Microsoft Confiança Zero adoption framework (Evitar ou reduzir danos comerciais de um cenário de negócio de falha de segurança) no microsoft Confiança Zero adoption framework.

Implementação ponto a ponto para Microsoft Defender XDR

Este é o artigo 3 de 6 de uma série para o ajudar a implementar os componentes do Microsoft Defender XDR, incluindo investigar e responder a incidentes.

Um diagrama que mostra Microsoft Defender para Office 365 no processo piloto e implementa Microsoft Defender XDR.

Os artigos nesta série correspondem às seguintes fases da implementação ponto a ponto:

Fase Ligação
Um. Iniciar o piloto Iniciar o piloto
B. Pilotar e implementar componentes de Microsoft Defender XDR - Pilote e implemente o Defender para Identidade

- Pilote e implemente Defender para Office 365 (este artigo)

- Pilote e implemente o Defender para Endpoint

- Pilote e implemente Microsoft Defender for Cloud Apps
C. Investigar e lidar com ameaças Praticar a investigação e resposta a incidentes

Fluxo de trabalho piloto e de implementação para Defender para Office 365

O diagrama seguinte ilustra um processo comum para implementar um produto ou serviço num ambiente de TI.

Diagrama das fases piloto, avaliação e adoção completa da implementação.

Comece por avaliar o produto ou serviço e como irá funcionar na sua organização. Em seguida, vai testar o produto ou serviço com um subconjunto convenientemente pequeno da sua infraestrutura de produção para testes, aprendizagem e personalização. Em seguida, aumente gradualmente o âmbito da implementação até que toda a sua infraestrutura ou organização seja abrangida.

Eis o fluxo de trabalho para testar e implementar Defender para Office 365 no seu ambiente de produção.

Um diagrama que mostra os passos para testar e implementar Microsoft Defender para Office 365.

Siga estes passos:

  1. Auditar e verificar o registo MX público
  2. Auditar domínios aceites
  3. Auditar conectores de entrada
  4. Ativar a avaliação
  5. Criar grupos piloto
  6. Configurar a proteção
  7. Experimentar capacidades

Eis os passos recomendados para cada fase de implementação.

Fase de implementação Descrição
Avaliar Efetue a avaliação do produto para Defender para Office 365.
Piloto Execute os Passos 1 a 7 para grupos piloto.
Implementação completa Configure os grupos de utilizadores piloto no Passo 5 ou adicione grupos de utilizadores para expandir para além do piloto e, eventualmente, incluir todas as suas contas de utilizador.

Defender para Office 365 arquitetura e requisitos

O diagrama seguinte ilustra a arquitetura de linha de base para Microsoft Defender para Office 365, que pode incluir um gateway SMTP de terceiros ou integração no local. Os cenários de coexistência híbrida (ou seja, as caixas de correio de produção são no local e online) requerem configurações mais complexas e não são abrangidos neste artigo ou orientações de avaliação.

Um diagrama para a arquitetura do Microsoft Defender para Office 365.

A tabela seguinte descreve esta ilustração.

Chamada Descrição
1 Normalmente, o servidor anfitrião do remetente externo efetua uma pesquisa DNS pública para um registo MX, que fornece o servidor de destino para reencaminhar a mensagem. Esta referência pode ser Exchange Online (EXO) diretamente ou um gateway SMTP configurado para reencaminhar para EXO.
2 Proteção do Exchange Online negoceia e valida a ligação de entrada e inspeciona os cabeçalhos e o conteúdo da mensagem para determinar que políticas adicionais, etiquetagem ou processamento são necessárias.
3 Exchange Online integra-se com Microsoft Defender para Office 365 para oferecer proteção, mitigação e remediação de ameaças mais avançadas.
4 Uma mensagem que não seja maliciosa, bloqueada ou colocada em quarentena é processada e entregue ao destinatário no EXO, onde as preferências de utilizador relacionadas com e-mail de lixo, regras de caixa de correio ou outras definições são avaliadas e acionadas.
5 A integração com Active Directory no local pode ser ativada através do Microsoft Entra Ligar para sincronizar e aprovisionar contas e objetos com capacidade de correio para Microsoft Entra ID e, em última análise, Exchange Online.
6 Ao integrar um ambiente no local, é melhor utilizar um servidor Exchange para gestão e administração suportadas de atributos, definições e configurações relacionados com o correio.
7 Microsoft Defender para Office 365 partilha sinais para Microsoft Defender XDR para deteção e resposta alargadas (XDR).

A integração no local é comum, mas opcional. Se o seu ambiente for apenas na cloud, esta documentação de orientação também funciona para si.

Uma avaliação de Defender para Office 365 com êxito ou um piloto de produção requer os seguintes pré-requisitos:

  • Todas as suas caixas de correio de destinatários estão atualmente em Exchange Online.
  • O seu registo MX público é resolvido diretamente na EOP ou num gateway de protocolo SMTP (Simple Mail Transfer Protocol) de terceiros que, em seguida, reencaminha e-mails externos de entrada diretamente para a EOP.
  • O seu domínio de e-mail principal está configurado como autoritativo no Exchange Online.
  • Implementou e configurou com êxito o Bloqueio do Edge Baseado em Diretórios (DBEB), conforme adequado. Para obter mais informações, veja Utilizar o Bloqueio do Directory-Based Edge para rejeitar mensagens enviadas para destinatários inválidos.

Importante

Se estes requisitos não forem aplicáveis ou se ainda estiver num cenário de coexistência híbrida, uma avaliação Microsoft Defender para Office 365 pode exigir configurações mais complexas ou avançadas que não estão totalmente abrangidas nesta documentação de orientação.

Passo 1: Auditar e verificar o registo MX público

Para avaliar eficazmente Microsoft Defender para Office 365, é importante que o e-mail externo de entrada seja reencaminhado através da instância de Proteção do Exchange Online (EOP) associada ao seu inquilino.

  1. No Portal de Administração M365 em https://admin.microsoft.com, expanda ... Mostre tudo, se necessário, expanda Definições e, em seguida, selecione Domínios. Em alternativa, para aceder diretamente à página Domínios , utilize https://admin.microsoft.com/Adminportal/Home#/Domains.
  2. Na página Domínios , selecione o seu domínio de e-mail verificado ao clicar em qualquer parte da entrada que não seja a caixa de verificação.
  3. Na lista de opções de detalhes do domínio que é aberta, selecione o separador Registos DNS . Anote o registo MX gerado e atribuído ao inquilino da EOP.
  4. Aceda à zona DNS externa (pública) e verifique o registo MX principal associado ao seu domínio de e-mail:
    • Se o registo MX público corresponder atualmente ao endereço EOP atribuído (por exemplo, contoso-com.mail.protection.outlook.com), não devem ser necessárias mais alterações de encaminhamento.
    • Se o registo MX público for atualmente resolvido para um gateway SMTP de terceiros ou no local, poderão ser necessárias configurações de encaminhamento adicionais.
    • Se o registo MX público for atualmente resolvido para o Exchange no local, poderá ainda estar num modelo híbrido em que algumas caixas de correio de destinatários ainda não foram migradas para o EXO.

Passo 2: Auditar domínios aceites

  1. No Exchange admin center (EAC) em https://admin.exchange.microsoft.com, expanda Fluxo de correio e, em seguida, clique em Domínios aceites. Em alternativa, para aceder diretamente à página Domínios aceites , utilize https://admin.exchange.microsoft.com/#/accepteddomains.
  2. Na página Domínios aceites , anote o valor Tipo de domínio para o seu domínio de e-mail principal.
    • Se o tipo de domínio estiver definido como Autoritativo, presume-se que todas as caixas de correio de destinatários da sua organização residem atualmente no Exchange Online.
    • Se o tipo de domínio estiver definido como InternalRelay, poderá ainda estar num modelo híbrido onde algumas caixas de correio de destinatários ainda residem no local.

Passo 3: Auditar conectores de entrada

  1. No Exchange admin center (EAC) em https://admin.exchange.microsoft.com, expanda Fluxo de correio e, em seguida, clique em Conectores. Em alternativa, para aceder diretamente à página Conectores , utilize https://admin.exchange.microsoft.com/#/connectors.
  2. Na página Conectores , anote os conectores com as seguintes definições:
    • O valor De é a Organização de parceiros que pode estar correlacionada com um gateway SMTP de terceiros.
    • O valor De é A sua organização que pode indicar que ainda está num cenário híbrido.

Passo 4: Ativar a avaliação

Utilize as instruções aqui para ativar a avaliação de Microsoft Defender para Office 365 a partir do portal do Microsoft Defender.

Para obter informações detalhadas, consulte Experimentar Microsoft Defender para Office 365.

  1. No portal Microsoft Defender em https://security.microsoft.com, expanda Email & colaboração> selecione Políticas & regras> selecione Políticas de ameaça desloque-se> para baixo até à secção Outros e, em seguida, selecione Modo de avaliação. Em alternativa, para aceder diretamente à página Modo de avaliação , utilize https://security.microsoft.com/atpEvaluation.

  2. Na página Modo de avaliação , clique em Iniciar avaliação.

    Captura de ecrã a mostrar a página Modo de avaliação e o botão Iniciar avaliação para clicar.

  3. Na caixa de diálogo Ativar proteção , selecione Não, só quero relatórios e, em seguida, clique em Continuar.

    Captura de ecrã a mostrar a caixa de diálogo Ativar proteção e a opção Não, só quero selecionar relatórios.

  4. Na caixa de diálogo Selecionar os utilizadores que pretende incluir , selecione Todos os utilizadores e, em seguida, clique em Continuar.

    Captura de ecrã a mostrar a caixa de diálogo Selecionar os utilizadores que pretende incluir e a opção Todos os utilizadores a selecionar.

  5. Na caixa de diálogo Ajude-nos a compreender o fluxo de correio , uma das seguintes opções é selecionada automaticamente com base na nossa deteção do registo MX do seu domínio:

    • Só estou a utilizar Microsoft Exchange Online: os registos MX do seu ponto de domínio para o Microsoft 365. Não há mais nada para configurar, por isso, clique em Concluir.

      Captura de ecrã a mostrar a caixa de diálogo Ajudar-nos a compreender o fluxo de correio com a opção Estou a utilizar apenas Microsoft Exchange Online selecionada.

    • Estou a utilizar um fornecedor de serviços de terceiros e/ou no local: nos ecrãs futuros, selecione o nome do fornecedor juntamente com o conector de entrada que aceita correio dessa solução. Também decide se precisa de uma regra de fluxo de correio Exchange Online (também conhecida como regra de transporte) que ignore a filtragem de spam para mensagens recebidas do serviço ou dispositivo de proteção de terceiros. Quando tiver terminado, clique em Concluir.

Passo 5: Criar grupos piloto

Quando pilota Microsoft Defender para Office 365, pode optar por pilotar utilizadores específicos antes de ativar e impor políticas para toda a organização. A criação de grupos de distribuição pode ajudar a gerir os processos de implementação. Por exemplo, crie grupos como utilizadores do Defender para Office 365 – Proteção Padrão, Utilizadores Defender para Office 365 – Proteção Rigorosa, Utilizadores Defender para Office 365 – Proteção Personalizada ou Defender para Office 365 Utilizadores – Exceções.

Pode não ser evidente por que razão "Standard" e "Strict" são os termos utilizados para estes grupos, mas isso ficará claro quando explorar mais sobre Defender para Office 365 predefinições de segurança. Os grupos de nomenclatura "personalizados" e "exceções" falam por si e, embora a maioria dos seus utilizadores devam ser abrangidos por grupos padrão e rigorosos, personalizados e de exceções recolherão dados valiosos sobre a gestão de riscos.

Os grupos de distribuição podem ser criados e definidos diretamente no Exchange Online ou sincronizados a partir de Active Directory no local.

  1. Inicie sessão no Exchange Administração Center (EAC) em https://admin.exchange.microsoft.com com uma conta à qual tenha sido concedida a função de Administrador Destinatário ou que tenha sido delegada permissões de gestão de grupos.

  2. Aceda a Destinatários>Grupos.

    Captura de ecrã do item de menu Grupos.

  3. Na página Grupos, selecione Adicionar um ícone de grupo.Adicionar um grupo.

    Captura de ecrã a mostrar a opção Adicionar um grupo.

  4. Para tipo de grupo, selecione Distribuição e, em seguida, clique em Seguinte.

    Captura de ecrã da secção Escolher um tipo de grupo.

  5. Atribua um Nome e uma Descrição opcional ao grupo e, em seguida, clique em Seguinte.

    Captura de ecrã da secção Configurar as noções básicas.

  6. Nas páginas restantes, atribua um proprietário, adicione membros ao grupo, defina o endereço de e-mail, as restrições de adesão e saída e outras definições.

Passo 6: Configurar a proteção

Algumas capacidades no Defender para Office 365 estão configuradas e ativadas por predefinição, mas as operações de segurança podem querer aumentar o nível de proteção da predefinição.

Algumas capacidades ainda não estão configuradas. Tem as seguintes opções para configurar a proteção (que são fáceis de alterar mais tarde):

  • Atribuir utilizadores a políticas de segurança predefinidas: as políticas de segurança predefinidas são o método recomendado para atribuir rapidamente um nível uniforme de proteção em todas as capacidades. Pode escolher a partir da proteção Padrão ou Estrita . As definições para Standard e Strict estão descritas nas tabelas aqui. As diferenças entre Standard e Strict são resumidas na tabela aqui.

    As vantagens das políticas de segurança predefinidas são proteger grupos de utilizadores o mais rapidamente possível através das definições recomendadas da Microsoft com base em observações nos datacenters. À medida que as novas capacidades de proteção são adicionadas e à medida que o panorama da segurança muda, as definições nas políticas de segurança predefinidas são atualizadas automaticamente para as nossas definições recomendadas.

    A desvantagem das políticas de segurança predefinidas é que não pode personalizar praticamente nenhuma das definições de segurança em políticas de segurança predefinidas (por exemplo, não pode alterar uma ação de entrega para lixo para quarentena ou vice-versa). A exceção são as entradas e exceções opcionais para a representação do utilizador e a proteção de representação de domínio, que tem de configurar manualmente.

    Além disso, tenha em atenção que as políticas de segurança predefinidas são sempre aplicadas antes das políticas personalizadas. Por isso, se quiser criar e utilizar políticas personalizadas, terá de excluir os utilizadores dessas políticas personalizadas das políticas de segurança predefinidas.

  • Configurar políticas de proteção personalizadas: se preferir configurar o ambiente manualmente, compare as definições predefinidas, Padrão e Estritas nas Definições recomendadas para a EOP e Microsoft Defender para Office 365 segurança. Mantenha uma folha de cálculo de onde a sua criação personalizada se desvia.

    Também pode utilizar o Analisador de configuração para comparar as definições nas suas políticas personalizadas com os valores Standard e Strict.

Para obter informações detalhadas sobre como escolher políticas de segurança predefinidas vs. políticas personalizadas, veja Determinar a sua estratégia de política de proteção.

Atribuir políticas de segurança predefinidas

Recomendamos que comece com as políticas de segurança predefinidas na EOP e Defender para Office 365 rapidamente ao atribuí-las a utilizadores piloto específicos ou grupos definidos como parte da sua avaliação. As políticas predefinidas oferecem um modelo de proteção Padrão de linha de base ou um modelo de proteção Estrita mais agressivo, que pode ser atribuído de forma independente.

Por exemplo, uma condição de EOP para avaliações piloto poderia ser aplicada se os destinatários fossem membros de um grupo de Proteção Padrão de EOP definido e, em seguida, geridos ao adicionar ou remover contas do grupo.

Da mesma forma, uma condição Defender para Office 365 para avaliações piloto poderia ser aplicada se os destinatários fossem membros de um grupo definido Defender para Office 365 Proteção Padrão e, em seguida, geridos adicionando ou removendo contas através do grupo.

Para obter instruções completas, veja Utilizar o portal do Microsoft Defender para atribuir políticas de segurança predefinidas Padrão e Estritas aos utilizadores.

Configurar políticas de proteção personalizadas

Os modelos de política de Defender para Office 365 Padrão ou Estrito predefinidos proporcionam aos utilizadores piloto a proteção de linha de base recomendada. No entanto, também pode criar e atribuir políticas de proteção personalizadas como parte da sua avaliação.

É importante ter em conta a precedência que estas políticas de proteção têm quando aplicadas e impostas, conforme explicado em Ordem de precedência para políticas de segurança predefinidas e outras políticas.

A explicação e a tabela em Configurar políticas de proteção fornecem uma referência útil para o que precisa de configurar.

Passo 7: Experimentar capacidades

Agora que o piloto está configurado e configurado, é útil familiarizar-se com as ferramentas de simulação de relatórios, monitorização e ataques que são exclusivas do Microsoft Defender para o Microsoft 365.

Capacidade Descrição Mais informações
Explorador de Ameaças O Explorador de Ameaças é uma poderosa ferramenta quase em tempo real para ajudar as equipas de Operações de Segurança a investigar e responder a ameaças e apresenta informações sobre software maligno detetado e phishing no e-mail e ficheiros no Office 365, bem como outras ameaças e riscos de segurança para a sua organização. Acerca do Explorador de Ameaças
Formação de simulação de ataque Pode utilizar Formação em simulação de ataques no portal do Microsoft Defender para executar cenários de ataque realistas na sua organização, que o ajudam a identificar e encontrar utilizadores vulneráveis antes que um ataque real afete o seu ambiente. Começar a utilizar a Formação de simulação de ataques
Dashboard relatórios No menu de navegação esquerdo, clique em Relatórios e expanda o cabeçalho de colaboração Email &. Os relatórios de colaboração Email & consistem em detetar tendências de segurança, algumas das quais lhe permitirão tomar medidas (através de botões como "Ir para submissões") e outras que irão mostrar tendências. Estas métricas são geradas automaticamente. Ver relatórios de segurança de e-mail no portal do Microsoft Defender

Ver relatórios de Defender para Office 365 no portal do Microsoft Defender

Integração SIEM

Pode integrar Defender para Office 365 com Microsoft Sentinel ou um serviço genérico de gestão de informações e eventos de segurança (SIEM) para ativar a monitorização centralizada de alertas e atividades de aplicações ligadas. Com Microsoft Sentinel, pode analisar eventos de segurança em toda a sua organização de forma mais abrangente e criar manuais de procedimentos para obter uma resposta eficaz e imediata.

Um diagrama que mostra a arquitetura para Microsoft Defender para Office 365 com a integração do SIEM.

Microsoft Sentinel inclui um conector Defender para Office 365. Para obter mais informações, veja Ligar alertas de Microsoft Defender para Office 365.

Microsoft Defender para Office 365 também podem ser integrados noutras soluções SIEM com a API de Gestão de Atividades do Office 365. Para obter informações sobre a integração com sistemas SIEM genéricos, veja Integração genérica do SIEM.

Passo seguinte

Incorpore as informações no Guia de Operações de Segurança do Microsoft Defender para Office 365 nos seus processos secOps.

Passo seguinte para a implementação ponto a ponto do Microsoft Defender XDR

Continue a implementação ponto a ponto do Microsoft Defender XDR com o Piloto e implemente o Defender para Endpoint.

Um diagrama que mostra Microsoft Defender para Endpoint no processo piloto e implementa Microsoft Defender XDR.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.