Migrar para Microsoft Defender para Office 365 – Fase 2: Configuração
Fase 1: Preparar |
Fase 2: Configurar |
Fase 3: Integrar |
---|---|---|
Você está aqui! |
Bem-vindo à Fase 2: Configuração da migração para Microsoft Defender para Office 365! Essa fase de migração inclui as seguintes etapas:
- Create grupos de distribuição para usuários piloto
- Configurar configurações de mensagem relatadas pelo usuário
- Manter ou criar a regra de fluxo de email SCL=-1
- Configurar filtragem aprimorada para conectores
- Create políticas de proteção piloto
Etapa 1: Create grupos de distribuição para usuários piloto
Os grupos de distribuição são necessários no Microsoft 365 para os seguintes aspectos da migração:
Exceções para a regra de fluxo de email SCL=-1: você deseja que os usuários pilotos obtenham o efeito completo da proteção de Defender para Office 365, portanto, você precisa de Defender para Office 365 para examinar suas mensagens de entrada. Você obtém esse resultado definindo seus usuários pilotos nos grupos de distribuição apropriados no Microsoft 365 e configurando esses grupos como exceções à regra de fluxo de email SCL=-1.
Como descrevemos na Etapa 2: (Opcional) Isentar os usuários piloto de filtragem pelo serviço de proteção existente, você deve considerar isentar esses mesmos usuários pilotos de examinar pelo seu serviço de proteção existente. Eliminar a possibilidade de filtragem pelo serviço de proteção existente e confiar exclusivamente em Defender para Office 365 é a melhor e mais próxima representação do que acontecerá após a conclusão da migração.
Teste de recursos específicos de proteção Defender para Office 365: mesmo para os usuários piloto, você não deseja ativar tudo de uma vez. Usar uma abordagem encenada para os recursos de proteção que estão em vigor para seus usuários piloto facilita a solução de problemas e o ajuste. Com essa abordagem em mente, recomendamos os seguintes grupos de distribuição:
- Um grupo piloto de Anexos Seguros: por exemplo, MDOPilot_SafeAttachments
- Um grupo piloto de Links Seguros: por exemplo, MDOPilot_SafeLinks
- Um grupo piloto para configurações de política anti-spam e anti-phishing padrão: por exemplo, MDOPilot_SpamPhish_Standard
- Um grupo piloto para configurações rígidas de política anti-spam e anti-phishing: por exemplo, MDOPilot_SpamPhish_Strict
Para obter clareza, usamos esses nomes de grupo específicos ao longo deste artigo, mas você está livre para usar sua própria convenção de nomenclatura.
Quando estiver pronto para começar a testar, adicione esses grupos como exceções à regra de fluxo de email SCL=-1. À medida que você cria políticas para os vários recursos de proteção em Defender para Office 365, use esses grupos como condições que definem a quem a política se aplica.
Observações:
Os termos Standard e Strict vêm de nossas configurações de segurança recomendadas, que também são usadas em políticas de segurança predefinidas. O ideal é que você defina seus usuários piloto nas políticas de segurança predefinidas Standard e Strict, mas não podemos fazer isso. Por quê? Como você não pode personalizar as configurações em políticas de segurança predefinidas (em particular, ações que são tomadas em mensagens). Durante o teste de migração, você deseja ver o que Defender para Office 365 faria com as mensagens, verificar se esse é o resultado desejado e, possivelmente, ajustar as configurações de política para permitir ou impedir esses resultados.
Portanto, em vez de usar políticas de segurança predefinidas, você criará políticas personalizadas manualmente com configurações semelhantes, mas, em alguns casos, são diferentes das configurações de políticas de segurança predefinidas Standard e Strict.
Se você quiser experimentar configurações que diferem significativamente de nossos valores recomendados Standard ou Strict, considere criar e usar grupos de distribuição adicionais e específicos para os usuários piloto nesses cenários. Você pode usar o Analisador de Configuração para ver o quão seguras são as configurações. Para obter instruções, consulte Analisador de configuração para políticas de proteção no EOP e Microsoft Defender para Office 365.
Para a maioria das organizações, a melhor abordagem é começar com políticas que se alinham de perto com nossas configurações padrão recomendadas. Depois de tanta observação e comentários quanto você é capaz de fazer em seu período de tempo disponível, você pode mover para configurações mais agressivas mais tarde. A proteção de representação e a entrega na pasta Junk Email versus a entrega em quarentena podem exigir personalização.
Se você usar políticas personalizadas, apenas verifique se elas são aplicadas antes das políticas que contêm nossas configurações recomendadas para a migração. Se um usuário for identificado em várias políticas do mesmo tipo (por exemplo, anti-phishing), apenas uma política desse tipo será aplicada ao usuário (com base no valor prioritário da política). Para obter mais informações, consulte Ordem e precedência da proteção por email.
Etapa 2: configurar as configurações de mensagem relatadas pelo usuário
A capacidade dos usuários de relatar falsos positivos ou falsos negativos de Defender para Office 365 é uma parte importante da migração.
Você pode especificar uma caixa de correio Exchange Online para receber mensagens que os usuários relatam como mal-intencionadas ou não maliciosas. Para obter instruções, consulte Configurações relatadas pelo usuário. Essa caixa de correio pode receber cópias de mensagens enviadas pelos usuários à Microsoft ou a caixa de correio pode interceptar mensagens sem reportá-las à Microsoft (sua equipe de segurança pode analisar e enviar as mensagens manualmente). No entanto, a abordagem de interceptação não permite que o serviço ajuste e aprenda automaticamente.
Você também deve confirmar que todos os usuários no piloto têm uma maneira compatível de relatar mensagens que receberam um veredicto incorreto de Defender para Office 365. Essas opções incluem:
- O botão Relatório interno no Outlook na Web
- Os suplementos Mensagem de Relatório e Phishing de Relatório
- Ferramentas de relatório de terceiros com suporte, conforme descrito aqui.
Não subestime a importância desta etapa. Dados de mensagens relatadas pelo usuário fornecerão o loop de comentários que você precisa para verificar uma boa e consistente experiência do usuário final antes e depois da migração. Esses comentários ajudam você a tomar decisões de configuração de política informada e a fornecer relatórios com suporte de dados para o gerenciamento de que a migração correu bem.
Em vez de confiar em dados baseados na experiência de toda a organização, mais de uma migração resultou em especulação emocional com base em uma única experiência negativa do usuário. Além disso, se você estiver executando simulações de phishing, poderá usar comentários de seus usuários para informá-lo quando eles virem algo arriscado que possa exigir investigação.
Etapa 3: manter ou criar a regra de fluxo de email SCL=-1
Como seu email de entrada é roteado por outro serviço de proteção que fica na frente do Microsoft 365, é provável que você já tenha uma regra de fluxo de email (também conhecida como regra de transporte) em Exchange Online que define o nível de confiança de spam (SCL) de todos os emails recebidos para o valor -1 (ignorar a filtragem de spam). A maioria dos serviços de proteção de terceiros incentiva essa regra de fluxo de email SCL=-1 para clientes do Microsoft 365 que desejam usar seus serviços.
Se você estiver usando algum outro mecanismo para substituir a pilha de filtragem da Microsoft (por exemplo, uma lista de permissões de IP) recomendamos que você mude para usar uma regra de fluxo de email SCL=-1 desde que todos os emails de entrada na Internet no Microsoft 365 venham do serviço de proteção de terceiros (nenhum email flui diretamente da Internet para o Microsoft 365).
A regra de fluxo de email SCL=-1 é importante durante a migração pelos seguintes motivos:
Você pode usar o Explorer de Ameaças (Explorer) para ver quais recursos na pilha da Microsoft teriam agido em mensagens sem afetar os resultados do serviço de proteção existente.
Você pode ajustar gradualmente quem está protegido pela pilha de filtragem do Microsoft 365 configurando exceções à regra de fluxo de email SCL=-1. As exceções são os membros dos grupos de distribuição piloto que recomendamos posteriormente neste artigo.
Antes ou durante o corte do registro MX para o Microsoft 365, você desabilitará essa regra para ativar a proteção completa da pilha de proteção do Microsoft 365 para todos os destinatários em sua organização.
Para obter mais informações, consulte Usar regras de fluxo de email para definir o nível de confiança de spam (SCL) em mensagens em Exchange Online.
Observações:
Se você planeja permitir que o internet mail flua pelo serviço de proteção existente e diretamente no Microsoft 365 ao mesmo tempo, você precisará restringir a regra de fluxo de email SCL=-1 (email que ignora a filtragem de spam) para enviar emails que passaram apenas pelo seu serviço de proteção existente. Você não deseja que o email da Internet não filtrado aterrisse em caixas de correio de usuário no Microsoft 365.
Para identificar corretamente o email que já foi verificado pelo serviço de proteção existente, você pode adicionar uma condição à regra de fluxo de email SCL=-1. Por exemplo:
- Para serviços de proteção baseados em nuvem: você pode usar um cabeçalho e um valor de cabeçalho exclusivos para sua organização. As mensagens que têm o cabeçalho não são examinadas pelo Microsoft 365. Mensagens sem o cabeçalho são examinadas pelo Microsoft 365
- Para serviços ou dispositivos de proteção locais: você pode usar endereços IP de origem. As mensagens dos endereços IP de origem não são examinadas pelo Microsoft 365. As mensagens que não são dos endereços IP de origem são digitalizadas pelo Microsoft 365.
Não confie exclusivamente em registros MX para controlar se o email é filtrado. Os remetentes podem ignorar facilmente o registro MX e enviar email diretamente para o Microsoft 365.
Etapa 4: configurar a filtragem aprimorada para conectores
A primeira coisa a fazer é configurar a Filtragem Aprimorada para Conectores (também conhecida como listagem de skip) no conector usado para o fluxo de email do serviço de proteção existente para o Microsoft 365. Você pode usar o relatório mensagens de entrada para ajudar a identificar o conector.
A filtragem aprimorada para conectores é necessária por Defender para Office 365 para ver de onde as mensagens de Internet realmente vieram. A filtragem aprimorada para conectores melhora consideravelmente a precisão da pilha de filtragem da Microsoft (especialmente inteligência falsa e recursos pós-violação no Explorer de Ameaças e na Resposta & de Investigação Automatizada (AIR).
Para habilitar corretamente a Filtragem Aprimorada para Conectores, você precisa adicionar os endereços IP públicos de **all** serviços de terceiros e/ou hosts do sistema de email local que roteam o email de entrada para o Microsoft 365.
Para confirmar se a Filtragem Aprimorada para Conectores está funcionando, verifique se as mensagens de entrada contêm um ou ambos os cabeçalhos a seguir:
X-MS-Exchange-SkipListedInternetSender
X-MS-Exchange-ExternalOriginalInternetSender
Etapa 5: Create políticas de proteção piloto
Ao criar políticas de produção, mesmo que elas não sejam aplicadas a todos os usuários, você pode testar recursos pós-violação, como Ameaça Explorer e testar a integração de Defender para Office 365 nos processos da sua equipe de resposta de segurança.
Importante
As políticas podem ser escopo para usuários, grupos ou domínios. Não recomendamos misturar todos os três em uma política, pois somente os usuários que corresponderem aos três estarão dentro do escopo da política. Para políticas piloto, recomendamos usar grupos ou usuários. Para políticas de produção, recomendamos usar domínios. É extremamente importante entender que somente o domínio de email primário do usuário determina se o usuário está dentro do escopo da política. Portanto, se você alternar o registro MX para o domínio secundário de um usuário, verifique se seu domínio primário também está coberto por uma política.
Create políticas piloto de Anexos Seguros
Anexos seguros é o recurso de Defender para Office 365 mais fácil de habilitar e testar antes de alternar o registro MX. Os Anexos Seguros têm os seguintes benefícios:
- Configuração mínima.
- Chance extremamente baixa de falsos positivos.
- Comportamento semelhante à proteção anti-malware, que está sempre ativada e não afetada pela regra de fluxo de email SCL=-1.
Para as configurações recomendadas, consulte Configurações recomendadas de política de anexos seguros. As recomendações Standard e Strict são as mesmas. Para criar a política, consulte Configurar políticas de Anexos Seguros. Use o grupo MDOPilot_SafeAttachments como condição da política (a quem a política se aplica).
Observação
A política de segurança predefinida de proteção interna fornece proteção de Anexos Seguros a todos os destinatários que não estão definidos em nenhuma política de Anexos Seguros. Para obter mais informações, consulte Políticas de segurança predefinidas no EOP e Microsoft Defender para Office 365.
Create políticas piloto de Links Seguros
Observação
Não há suporte para encapsular ou reescrever links já embrulhados ou reescritos. Se o serviço de proteção atual já encapsula ou reescreve links em mensagens de email, você precisa desativar esse recurso para seus usuários piloto. Uma maneira de garantir que isso não aconteça é excluir o domínio de URL do outro serviço na política Links Seguros.
As chances de falsos positivos em Links Seguros também são muito baixas, mas você deve considerar testar o recurso em um número menor de usuários piloto do que anexos seguros. Como o recurso afeta a experiência do usuário, você deve considerar um plano para educar os usuários.
Para as configurações recomendadas, consulte Configurações de política de Links Seguros. As recomendações Standard e Strict são as mesmas. Para criar a política, consulte Configurar políticas de Links Seguros. Use o grupo MDOPilot_SafeLinks como a condição da política (a quem a política se aplica).
Observação
A política de segurança predefinida de proteção interna fornece proteção de Links Seguros a todos os destinatários que não estão definidos em nenhuma política de Links Seguros. Para obter mais informações, consulte Políticas de segurança predefinidas no EOP e Microsoft Defender para Office 365.
Create políticas anti-spam piloto
Create duas políticas anti-spam para usuários piloto:
- Uma política que usa as configurações Standard. Use o grupo MDOPilot_SpamPhish_Standard como a condição da política (a quem a política se aplica).
- Uma política que usa as configurações estritas. Use o grupo MDOPilot_SpamPhish_Strict como a condição da política (a quem a política se aplica). Essa política deve ter uma prioridade maior (número menor) do que a política com as configurações Standard.
Para as configurações padrão e estrita recomendadas, consulte Configurações recomendadas de política anti-spam. Para criar as políticas, consulte Configurar políticas anti-spam.
Create políticas anti-phishing piloto
Create duas políticas anti-phishing para usuários piloto:
- Uma política que usa as configurações Standard, exceto para ações de detecção de representação, conforme descrito abaixo. Use o grupo MDOPilot_SpamPhish_Standard como a condição da política (a quem a política se aplica).
- Uma política que usa as configurações estritas, exceto para ações de detecção de representação, conforme descrito abaixo. Use o grupo MDOPilot_SpamPhish_Strict como a condição da política (a quem a política se aplica). Essa política deve ter uma prioridade maior (número menor) do que a política com as configurações Standard.
Para detecções de falsificação, a ação Padrão recomendada é Mover a mensagem para as pastas junk Email dos destinatários e a ação estrita recomendada é Colocar a mensagem em quarentena. Use o insight de inteligência falsa para observar os resultados. As substituições são explicadas na próxima seção. Para saber mais, confira Informações de inteligência contra falsificação no EOP.
Para detecções de representação, ignore as ações padrão e estrita recomendadas para as políticas piloto. Em vez disso, use o valor Não aplique nenhuma ação para as seguintes configurações:
- Se uma mensagem for detectada como representação de usuário
- Se a mensagem for detectada como domínio representado
- Se a inteligência da caixa de correio detectar um usuário representado
Use o insight de representação para observar os resultados. Para obter mais informações, consulte Insights de representação em Defender para Office 365.
Ajuste a proteção contra falsificação (ajuste permite e bloqueia) e ative cada ação de proteção de representação para colocar em quarentena ou mover as mensagens para a pasta Junk Email (com base nas recomendações Standard ou Strict). Observe os resultados e ajuste suas configurações conforme necessário.
Para saber mais, confira os seguintes artigos:
- Proteção antifalsificação
- Configurações de representação em políticas anti-phishing
- Configurar políticas anti-phishing no Defender para Office 365.
Próxima etapa
Parabéns! Você concluiu a fase de instalação da migração para Microsoft Defender para Office 365!
- Prossiga para a Fase 3: Integração.