Ознакомьтесь с требованиями к архитектуре Microsoft Defender для Office 365 и основными понятиями
Область применения:
- Microsoft Defender XDR
Эта статья является шагом 1 из 3 в процессе настройки среды оценки для Microsoft Defender для Office 365. Дополнительные сведения об этом процессе см. в обзорной статье.
Перед включением Defender для Office 365 убедитесь, что вы понимаете архитектуру и можете соответствовать требованиям. В этой статье описывается архитектура, основные понятия и предварительные требования, которым должна соответствовать среда Exchange Online.
Знакомство с архитектурой
На следующей схеме показана базовая архитектура для Microsoft Defender для Office 365, которая может включать сторонний шлюз SMTP или локальную интеграцию. Сценарии гибридного сосуществования (то есть рабочие почтовые ящики являются как локальными, так и сетевыми) требуют более сложных конфигураций и не рассматриваются в этой статье или руководстве по оценке.
Эта иллюстрация описана в следующей таблице.
| Выноска | Описание |
|---|---|
| 1 | Сервер узла для внешнего отправителя обычно выполняет общедоступный поиск DNS для записи MX, которая предоставляет целевому серверу ретрансляцию сообщения. Эту ссылку можно Exchange Online (EXO) напрямую или шлюз SMTP, настроенный для ретрансляции по EXO. |
| 2 | Exchange Online Protection согласовывает и проверяет входящее подключение, а также проверяет заголовки и содержимое сообщений, чтобы определить, какие дополнительные политики, теги или обработка требуются. |
| 3 | Exchange Online интегрируется с Microsoft Defender для Office 365, чтобы обеспечить более расширенную защиту от угроз, их устранение и исправление. |
| 4 | Сообщение, которое не является вредоносным, не заблокированным или помещенным в карантин, обрабатывается и доставляется получателю в EXO, где оцениваются и активируются пользовательские настройки, связанные с нежелательной почтой, правилами почтовых ящиков или другими параметрами. |
| 5 | Интеграция с локальная служба Active Directory можно включить с помощью Microsoft Entra Connect для синхронизации и подготовки объектов и учетных записей с поддержкой почты для Microsoft Entra ID и в конечном итоге Exchange Online. |
| 6 | При интеграции локальной среды рекомендуется использовать сервер Exchange Server для поддерживаемого управления атрибутами, параметрами и конфигурациями, связанными с почтой, и их администрирования. |
| 7 | Microsoft Defender для Office 365 передает сигналы Microsoft Defender XDR для расширенного обнаружения и реагирования (XDR). |
Локальная интеграция является распространенной, но необязательной. Если ваша среда доступна только для облака, это руководство также подходит для вас.
Основные понятия
В следующей таблице определены ключевые понятия, которые важно понимать при оценке, настройке и развертывании Defender для Office 365.
| Понятие | Описание | Дополнительная информация |
|---|---|---|
| Exchange Online Protection | Exchange Online Protection (EOP) — это облачная служба фильтрации, которая помогает защитить организацию от спама и вредоносных программ в электронной почте. EOP входит во все лицензии Microsoft 365, которые включают Exchange Online. | Обзор Exchange Online Protection |
| Защита от вредоносных программ | Организации с почтовыми ящиками в Exchange Online автоматически защищаются от вредоносных программ. | Защита от вредоносных программ в EOP |
| Защита от нежелательной почты | Организации с почтовыми ящиками в Exchange Online автоматически защищены от нежелательной почты и нежелательной почты. | Защита от нежелательной почты в EOP |
| Защита от фишинга | Defender для Office 365 предлагает более расширенную защиту от фишинга, связанную с фишингом, китобойным промышлялом, программами-шантажистами и другими вредоносными действиями. | Дополнительная защита от фишинга в Microsoft Defender для Office 365 |
| Защита от спуфинга | EOP включает функции, помогающие защитить организацию от поддельных (поддельных) отправителей. | Защита от спуфинга в EOP |
| Безопасные вложения | Безопасные вложения обеспечивают дополнительный уровень защиты, используя виртуальную среду для проверка и "детонации" вложений в сообщениях электронной почты перед их доставкой. | Безопасные вложения в Microsoft Defender для Office 365 |
| Безопасные вложения для SharePoint, OneDrive и Microsoft Teams | Кроме того, безопасные вложения для SharePoint, OneDrive и Microsoft Teams обеспечивают дополнительный уровень защиты для файлов, которые были отправлены в репозитории облачного хранилища. | Безопасные вложения для SharePoint, OneDrive и Microsoft Teams |
| Безопасные ссылки | Безопасные ссылки — это функция, которая обеспечивает сканирование и перезапись URL-адресов во входящих сообщениях электронной почты и предлагает проверку этих ссылок перед их доставкой или щелчком. | Безопасные ссылки в Microsoft Defender для Office 365 |
Дополнительные сведения о возможностях, включенных в Microsoft Defender для Office 365, см. в Microsoft Defender для Office 365 описании службы.
Проверка требований к архитектуре
Для успешного Defender для Office 365 оценки или пилотного проекта предполагается следующее:
- Все почтовые ящики получателей в настоящее время находятся в Exchange Online.
- Общедоступная запись MX разрешается непосредственно в EOP или сторонний smtp-шлюз, который затем ретранслирует входящие внешние сообщения электронной почты непосредственно в EOP.
- Основной домен электронной почты настроен как полномочный в Exchange Online.
- Вы успешно развернули и настроили блокировку пограничных границ на основе каталога (DBEB) соответствующим образом. Дополнительные сведения см. в статье Использование блокировки Directory-Based Edge для отклонения сообщений, отправленных недопустимым получателям.
Важно!
Если эти требования не применимы или вы по-прежнему находитесь в сценарии гибридного сосуществования, для оценки Microsoft Defender для Office 365 могут потребоваться более сложные или расширенные конфигурации, которые не полностью рассматриваются в этом руководстве.
Интеграция SIEM
Вы можете интегрировать Microsoft Defender для Office 365 с Microsoft Sentinel для более полного анализа событий безопасности в организации и создания сборников схем для эффективного и немедленного реагирования. Дополнительные сведения см. в разделе Подключение оповещений из Microsoft Defender для Office 365.
Microsoft Defender для Office 365 также можно интегрировать в другие решения по управлению информационной безопасностью и событиями (SIEM) с помощью API управления действиями Office 365.
Дальнейшие действия
Шаг 2 из 3. Включение среды оценки Microsoft Defender для Office 365.
Вернитесь к обзору оценки Microsoft Defender для Office 365.
Вернитесь к обзору оценки и пилотного Microsoft Defender XDR
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по