Переход на Microsoft Defender для Office 365 — этап 1. Подготовка
Этап 1. Подготовка |
 Этап 2. Настройка |
 Этап 3. Подключение |
|---|---|---|
| Вы здесь! |
Добро пожаловать в этап 1. Подготовкак миграции на Microsoft Defender для Office 365! Этот этап миграции включает следующие шаги. Сначала необходимо провести инвентаризацию параметров в существующей службе защиты, прежде чем вносить какие-либо изменения. В противном случае остальные действия можно выполнить в любом порядке:
- Инвентаризация параметров в существующей службе защиты
- Проверка существующей конфигурации защиты в Microsoft 365
- Проверка конфигурации маршрутизации почты
- Перемещение функций, изменяющих сообщения, в Microsoft 365
- Определение нежелательной почты и массового взаимодействия пользователей
- Определение и назначение приоритетных учетных записей
Инвентаризация параметров в существующей службе защиты
Рекомендуется получить полный список параметров, правил, исключений и т. д. из существующей службы защиты, так как после отмены подписки у вас, скорее всего, не будет доступа к этой информации.
Но очень важно, чтобы вы не автоматически или произвольно воссоздали все существующие настройки в Defender для Office 365. В лучшем случае можно ввести параметры, которые больше не требуются, актуальны или функциональны. В худшем случае некоторые из предыдущих настроек могут фактически создать проблемы безопасности в Defender для Office 365.
Тестирование и наблюдение за собственными возможностями и поведением Defender для Office 365 в конечном итоге определяет необходимые переопределения и параметры. Может оказаться полезным упорядочить параметры из существующей службы защиты по следующим категориям:
- Фильтрация подключений или содержимого. Скорее всего, вы обнаружите, что большинство этих настроек не требуется в Defender для Office 365.
- Бизнес-маршрутизация. Большинство настроек, которые необходимо воссоздать, скорее всего, попадают в эту категорию. Например, эти параметры можно воссоздать в Microsoft 365 в виде правил потока обработки почты Exchange (также известных как правила транспорта), соединителей и исключений для спуфинга аналитики.
Вместо того, чтобы слепо перемещать старые параметры в Microsoft 365, мы рекомендуем использовать каскадный подход. Этот подход включает пилотный этап с постоянно растущим членством пользователей и настройку на основе наблюдений на основе балансировки соображений безопасности с потребностями организации.
Проверка существующей конфигурации защиты в Microsoft 365
Как мы уже говорили ранее, невозможно полностью отключить все функции защиты для почты, доставляемой в Microsoft 365, даже если вы используете стороннюю службу защиты. Таким образом, в организации Microsoft 365 нет ничего необычного, чтобы настроить по крайней мере некоторые функции защиты электронной почты. Например:
- В прошлом вы не использовали стороннюю службу защиты с Microsoft 365. Возможно, вы использовали и настроили некоторые функции защиты в Microsoft 365, которые в настоящее время игнорируются. Но эти параметры могут вступают в силу при включении набора номера, чтобы включить функции защиты в Microsoft 365.
- Вы можете использовать защиту Microsoft 365 для ложноположительных результатов (хорошая почта, помеченная как плохая) или ложноотрицательных сообщений (разрешена недопустимая почта), которые прошли через существующую службу защиты.
Просмотрите существующие функции защиты в Microsoft 365 и рассмотрите возможность удаления или упрощения параметров, которые больше не требуются. Правило или параметр политики, необходимые много лет назад, могут поставить организацию под угрозу и создать непреднамеренные пробелы в защите.
Проверка конфигурации маршрутизации почты
Если вы используете какую-либо сложную маршрутизацию (например , централизованный почтовый транспорт), следует рассмотреть возможность упрощения маршрутизации и тщательного ее документирования. Внешние прыжки, особенно после получения сообщения в Microsoft 365, могут усложнить настройку и устранение неполадок.
Поток исходящей почты и потока ретрансляции выходит за пределы область этой статьи. Однако может потребоваться выполнить одно или несколько из следующих действий:
- Убедитесь, что все домены, используемые для отправки электронной почты, имеют правильные записи SPF. Дополнительные сведения см. в разделе Настройка SPF для предотвращения подделки.
- Настоятельно рекомендуется настроить вход DKIM в Microsoft 365. Дополнительные сведения см. в статье Проверка исходящей электронной почты с помощью DKIM.
- Если вы не направляете почту напрямую из Microsoft 365, необходимо изменить эту маршрутизацию, удалив или изменив исходящий соединитель.
Использование Microsoft 365 для ретрансляции электронной почты с локальных почтовых серверов само по себе может быть сложным проектом. Простой пример — небольшое количество приложений или устройств, которые отправляют большую часть сообщений внутренним получателям и не используются для массовой рассылки. Дополнительные сведения см. в этом руководстве . Более обширные среды должны быть более вдумчивыми. Маркетинговые сообщения электронной почты и сообщения, которые могут рассматриваться получателями как спам, запрещены.
Defender для Office 365 не имеет функции для агрегирования отчетов DMARC. Посетите каталог Microsoft Intelligent Security Association (MISA), чтобы просмотреть сторонних поставщиков, которые предлагают отчеты DMARC для Microsoft 365.
Перемещение функций, изменяющих сообщения, в Microsoft 365
Необходимо перенести все настройки или функции, которые каким-либо образом изменяют сообщения, в Microsoft 365. Например, существующая служба защиты добавляет тег External в тему или текст сообщения от внешних отправителей. Любая функция упаковки ссылок также вызовет проблемы с некоторыми сообщениями. Если вы используете такую функцию сегодня, следует определить приоритет развертывания безопасных ссылок в качестве альтернативы, чтобы свести к минимуму проблемы.
Если вы не отключаете функции изменения сообщений в существующей службе защиты, в Microsoft 365 могут возникнуть следующие отрицательные результаты:
- DKIM сломается. Не все отправители полагаются на DKIM, но отправители, которые это делают, не смогут выполнить проверку подлинности.
- Подделательная аналитика и шаг настройки, приведенный далее в этом руководстве, не будут работать должным образом.
- Вероятно, вы получите большое количество ложноположительных результатов (хорошее письмо помечено как плохое).
Чтобы повторно создать идентификацию внешнего отправителя в Microsoft 365, можно использовать следующие варианты:
- Функция вызова внешнего отправителя Outlook и советы по безопасности для первого контакта.
- Правила потока обработки почты (также известные как правила транспорта). Дополнительные сведения см. в разделе Отказы от ответственности сообщений, подписи, нижние колонтитулы или заголовки в Exchange Online.
Корпорация Майкрософт сотрудничает с отраслью для поддержки стандарта цепочки получения с проверкой подлинности (ARC). Если вы хотите оставить включенные функции изменения сообщений у текущего поставщика шлюза почты, рекомендуем связаться с ним о планах поддержки этого стандарта.
Учет всех активных симуляций фишинга
Если у вас есть активные сторонние симуляции фишинга, необходимо предотвратить идентификацию сообщений, ссылок и вложений как фишинга Defender для Office 365. Дополнительные сведения см. в статье Настройка симуляции фишинга сторонних разработчиков в расширенной политике доставки.
Определение нежелательной почты и массового взаимодействия пользователей
Карантин и доставка в папку "Нежелательная Email". Естественный и рекомендуемый ответ на вредоносные и определенно опасные сообщения заключается в карантине сообщений. Но как вы хотите, чтобы пользователи обрабатывали менее опасные сообщения, такие как спам и массовая почта (также известная как серая почта)? Должны ли эти типы сообщений доставляться в папки нежелательной Email пользователей?
С нашими стандартными параметрами безопасности мы обычно доставляем эти менее рискованные типы сообщений в папку "Нежелательная Email". Это поведение аналогично многим потребительским предложениям электронной почты, где пользователи могут проверка папку "Нежелательная Email" для отсутствующих сообщений, и они могут самостоятельно спасти эти сообщения. Кроме того, если пользователь намеренно зарегистрировал информационный бюллетень или маркетинговое письмо, он может отменить подписку или заблокировать отправителя для своего почтового ящика.
Однако многие корпоративные пользователи привыкли к малой (если она есть) почте в папке "Нежелательная Email". Вместо этого эти пользователи используются для проверки карантина на наличие отсутствующих сообщений. В карантине возникают проблемы с уведомлениями о карантине, частотой уведомлений и разрешениями, необходимыми для просмотра и выпуска сообщений.
В конечном счете, это ваше решение, если вы хотите запретить доставку электронной почты в папку "Нежелательная Email" в пользу доставки в карантин. Но одно можно сказать наверняка: если опыт в Defender для Office 365 отличается от того, к чему привыкли ваши пользователи, необходимо уведомить их и провести базовое обучение. Включите знания из пилотного проекта и убедитесь, что пользователи готовы к любому новому поведению при доставке электронной почты.
Требуется массовая почта и нежелательная массовая почта. Многие системы защиты позволяют пользователям разрешать или блокировать массовую почту для себя. Эти параметры не очень легко перенести в Microsoft 365, поэтому следует рассмотреть возможность работы с виртуальными ip-адресами и их сотрудниками, чтобы воссоздать существующие конфигурации в Microsoft 365.
Сегодня в Microsoft 365 некоторые массовые сообщения (например, информационные бюллетени) считаются безопасными на основе источника сообщений. Почта из этих "безопасных" источников в настоящее время не помечается как массовая (уровень массовой жалобы или BCL равен 0 или 1), поэтому трудно глобально заблокировать почту из этих источников. Для большинства пользователей решение заключается в том, чтобы попросить их по отдельности отменить подписку на эти массовые сообщения или использовать Outlook для блокировки отправителя. Но некоторым пользователям не нравится сами блокировать или отменять подписку на массовые сообщения.
Правила потока обработки почты, которые фильтруют массовую почту, могут быть полезны, если виртуальные ip-адреса не хотят самостоятельно управлять массовой электронной почтой. Дополнительные сведения см. в статье Использование правил потока обработки почты для фильтрации массовой электронной почты.
Определение и назначение приоритетных учетных записей
Если эта функция доступна вам, приоритетные учетные записи и теги пользователей помогут определить важных пользователей Microsoft 365, чтобы они выделялись в отчетах. Дополнительные сведения см. в разделах Теги пользователей в Microsoft Defender для Office 365 и Управление и мониторинг учетных записей с приоритетом.
Следующее действие
Поздравляем! Вы завершили этап подготовкимиграции к Microsoft Defender для Office 365!
- Перейдите к этапу 2. Настройка.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по