Переход на Microsoft Defender для Office 365 — этап 2. Настройка

Область применения:


Этап 1. Подготовка.
Этап 1. Подготовка
Этап 2. Настройка.
Этап 2. Настройка
Этап 3. Подключение.
Этап 3. Подключение
Вы здесь!

Добро пожаловать в этап 2. Настройкамиграции на Microsoft Defender для Office 365! Этот этап миграции включает в себя следующие шаги.

  1. Создание групп рассылки для пилотных пользователей
  2. Настройка параметров сообщений, сообщаемого пользователем
  3. Обслуживание или создание правила потока обработки почты SCL=-1
  4. Настройка расширенной фильтрации для соединителей
  5. Создание пилотных политик защиты

Шаг 1. Создание групп рассылки для пилотных пользователей

Группы рассылки необходимы в Майкрософт 365 для следующих аспектов миграции:

  • Исключения для правила потока обработки почты SCL=-1. Вы хотите, чтобы пилотные пользователи получили полный эффект защиты от Defender для Office 365, поэтому их входящие сообщения должны проверяться Defender для Office 365. Это можно сделать, определив пилотных пользователей в соответствующих группах рассылки в Майкрософт 365 и настроив эти группы в качестве исключений для правила потока обработки почты SCL=-1.

    Как описано в разделе Подключение, шаг 2. (необязательно) Исключить пилотных пользователей от фильтрации по существующей службе защиты, следует рассмотреть возможность исключения этих же пилотных пользователей от проверки существующей службой защиты. Устранение возможности фильтрации по существующей службе защиты и использование исключительно Defender для Office 365 — это лучшее и ближайшее представление о том, что произойдет после завершения миграции.

  • Тестирование определенных функций защиты Defender для Office 365. Даже для пилотных пользователей вы не хотите включать все сразу. Использование поэтапного подхода к функциям защиты, которые применяются для пилотных пользователей, значительно упростит устранение неполадок и настройку. Учитывая этот подход, мы рекомендуем использовать следующие группы рассылки:

    • Пилотная группа "Безопасные вложения": например, MDOPilot_SafeAttachments
    • Пилотная группа "Безопасные ссылки": например, MDOPilot_SafeLinks
    • Пилотная группа для стандартных параметров политики защиты от нежелательной почты и фишинга: например, MDOPilot_SpamPhish_Standard
    • Пилотная группа для параметров политики строгой защиты от нежелательной почты и фишинга: например, MDOPilot_SpamPhish_Strict

Для ясности мы будем использовать эти конкретные имена групп в этой статье, но вы можете использовать собственное соглашение об именовании.

Когда вы будете готовы приступить к тестированию, добавьте эти группы в качестве исключений в правило потока обработки почты SCL=-1. При создании политик для различных функций защиты в Defender для Office 365 вы будете использовать эти группы в качестве условий, определяющих, к кому применяется политика.

Примечания.

  • Термины "Стандартный" и "Строгий" относятся к рекомендуемым параметрам безопасности, которые также используются в предустановленных политиках безопасности. В идеале мы бы сказали вам определить пилотных пользователей в стандартных и строгих предустановленных политиках безопасности, но мы не можем этого сделать. Почему? Так как вы не можете настроить параметры в предустановленных политиках безопасности (в частности, действия, выполняемые с сообщениями). Во время тестирования миграции вам потребуется узнать, что Defender для Office 365 будет делать с сообщениями, проверить, что именно вы хотите сделать, и, возможно, настроить конфигурации политики, чтобы разрешить или запретить эти результаты.

    Таким образом, вместо использования предустановленных политик безопасности вы будете вручную создавать настраиваемые политики с параметрами, которые очень похожи на параметры стандартных и строгих предустановленных политик безопасности, но в некоторых случаях отличаются от параметров стандартных и строгих предустановленных политик безопасности.

  • Если вы хотите поэкспериментировать с параметрами, которые значительно отличаются от стандартных или строгих рекомендуемых значений, следует рассмотреть возможность создания и использования дополнительных и конкретных групп рассылки для пилотных пользователей в этих сценариях. Вы можете использовать анализатор конфигурации, чтобы узнать, насколько безопасны параметры. Инструкции см. в статье Анализатор конфигурации для политик защиты в EOP и Microsoft Defender для Office 365.

    Для большинства организаций лучший подход заключается в том, чтобы начать с политик, которые тесно соответствуют рекомендуемым стандартным параметрам. После того, как вы сможете сделать столько наблюдений и отзывов, сколько вы сможете сделать в доступный период времени, вы можете перейти к более агрессивным параметрам позже. Защита олицетворения и доставка в папку "Нежелательная Email", а также доставка в карантин может потребовать настройки.

    Если вы используете настраиваемые политики, просто убедитесь, что они применяются перед политиками, содержащими рекомендуемые параметры для миграции. Если пользователь идентифицируется в нескольких политиках одного типа (например, защита от фишинга), к пользователю применяется только одна политика этого типа (на основе значения приоритета политики). Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.

Шаг 2. Настройка параметров сообщений, сообщаемого пользователем

Возможность для пользователей сообщать о ложных срабатываниях или ложноотрицательных результатах из Defender для Office 365 является важной частью миграции.

Вы можете указать почтовый ящик Exchange Online для получения сообщений, которые пользователи сообщают как вредоносные или не вредоносные. Инструкции см. в разделе Параметры сообщений, сообщаемого пользователем. Этот почтовый ящик может получать копии сообщений, отправленных пользователями в Майкрософт, или перехватывать сообщения, не сообщая о них Майкрософт (вы можете вручную анализировать и отправлять сообщения). Однако подход к перехвату не позволяет службе автоматически настраиваться и учиться.

Необходимо также убедиться, что все пользователи в пилотном проекте имеют поддерживаемый способ сообщения о сообщениях, которые получили неверный вердикт от Defender для Office 365. Среди них:

Не стоит недооценивать важность этого шага. Данные из сообщений, сообщаемых пользователем, предоставляют цикл обратной связи, необходимый для проверки правильного и согласованного взаимодействия с конечными пользователями до и после миграции. Эти отзывы помогают принимать обоснованные решения по настройке политики, а также предоставлять руководству отчеты с поддержкой данных о том, что миграция прошла гладко.

Вместо того, чтобы полагаться на данные, поддерживаемые опытом всей организации, несколько миграций привели к эмоциональным спекуляциям, основанным на одном негативном взаимодействии с пользователем. Кроме того, если вы выполняете имитацию фишинга, вы можете использовать отзывы пользователей, чтобы сообщить вам, когда они видят что-то рискованное, что может потребовать расследования.

Шаг 3. Обслуживание или создание правила потока обработки почты SCL=-1

Так как входящий адрес электронной почты направляется через другую службу защиты, которая находится перед Майкрософт 365, весьма вероятно, что у вас уже есть правило потока обработки почты (также известное как правило транспорта) в Exchange Online, которое задает уровень достоверности нежелательной почты (SCL) для всей входящей почты значение -1 (обход фильтрации нежелательной почты). Большинство сторонних служб защиты поощряют это правило потока обработки почты SCL=-1 для Майкрософт 365 клиентов, которые хотят использовать их службы.

Если вы используете другой механизм для переопределения стека фильтрации Майкрософт (например, список разрешенных IP-адресов), рекомендуется переключиться на правило потока обработки почты SCL=-1, если вся входящая интернет-почта в Майкрософт 365 поступает из сторонней службы защиты (нет потоков почты напрямую из Интернета в Майкрософт 365).

Правило потока обработки почты SCL=-1 важно во время миграции по следующим причинам:

  • Вы можете использовать обозреватель угроз, чтобы узнать, какие функции в стеке Майкрософт могли бы работать с сообщениями, не влияя на результаты существующей службы защиты.

  • Вы можете постепенно настраивать, кто защищен стеком фильтрации Майкрософт 365, настроив исключения для правила потока обработки почты SCL=-1. Исключениями будут члены пилотных групп рассылки, которые мы рекомендуем далее в этой статье.

    До или во время перехода записи MX на Майкрософт 365 вы отключите это правило, чтобы включить полную защиту стека защиты Майкрософт 365 для всех получателей в организации.

Дополнительные сведения см. в статье Использование правил потока обработки почты для задания уровня достоверности нежелательной почты (SCL) в сообщениях в Exchange Online.

Примечания.

  • Если вы планируете разрешить передачу почты через существующую службу защиты и непосредственно в Майкрософт 365 одновременно, необходимо ограничить правило потока обработки почты SCL=-1 (почта, которая обходит фильтрацию нежелательной почты) только для почты, которая прошла через существующую службу защиты. Вы не хотите, чтобы в почтовых ящиках пользователей в Майкрософт 365 была выбрана нефильтрованная интернет-почта.

    Чтобы правильно определить почту, уже проверенную существующей службой защиты, можно добавить условие в правило потока обработки почты SCL=-1. Например:

    • Для облачных служб защиты. Вы можете использовать заголовок и значение заголовка, которые уникальны для вашей организации. Сообщения с заголовком не проверяются Майкрософт 365. Сообщения без заголовка проверяются Майкрософт 365
    • Для локальных служб или устройств защиты. Можно использовать исходные IP-адреса. Сообщения с исходных IP-адресов не проверяются Майкрософт 365. Сообщения, не полученные от исходных IP-адресов, проверяются Майкрософт 365.
  • Не полагайтесь исключительно на записи MX для управления фильтрацией почты. Отправители могут легко игнорировать запись MX и отправлять сообщения электронной почты непосредственно в Майкрософт 365.

Шаг 4. Настройка расширенной фильтрации для соединителей

Первое, что нужно сделать, — настроить расширенную фильтрацию для соединителей (также известный как пропустить список) на соединителе, который используется для потока обработки почты из существующей службы защиты в Майкрософт 365. Для идентификации соединителя можно использовать отчет о входящих сообщениях .

Расширенная фильтрация для соединителей требуется Defender для Office 365, чтобы узнать, откуда на самом деле поступили интернет-сообщения. Расширенная фильтрация для соединителей значительно повышает точность стека фильтрации Майкрософт (особенно спуфинга аналитики, а также возможности после нарушения безопасности в обозревателе угроз и автоматическом реагировании на расследование & (AIR).

Чтобы правильно включить расширенную фильтрацию для соединителей, необходимо добавить общедоступные IP-адреса сторонних служб и (или) локальных узлов электронной почты, которые направляют входящую почту на Майкрософт 365.

Чтобы убедиться, что расширенная фильтрация для соединителей работает, убедитесь, что входящие сообщения содержат один или оба следующих заголовка:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

Шаг 5. Создание пилотных политик защиты

Создавая рабочие политики, даже если они применяются не ко всем пользователям, можно протестировать функции после нарушения безопасности, такие как Обозреватель угроз, и протестировать интеграцию Defender для Office 365 в процессы группы реагирования на безопасность.

Важно!

Политики могут быть ограничены пользователями, группами или доменами. Мы не рекомендуем смешивать все три в одной политике, так как только пользователи, которые соответствуют всем трем, будут находиться в области политики. Для пилотных политик рекомендуется использовать группы или пользователей. Для рабочих политик рекомендуется использовать домены. Очень важно понимать, что только основной домен электронной почты пользователя определяет, попадает ли пользователь в область действия политики. Таким образом, при переключении записи MX для дополнительного домена пользователя убедитесь, что его основной домен также охватывается политикой.

Создание пилотных политик безопасных вложений

Безопасные вложения — это самая простая Defender для Office 365 функция для включения и тестирования перед переключением записи MX. Безопасные вложения имеют следующие преимущества:

  • Минимальная конфигурация.
  • Крайне низкая вероятность ложноположительных результатов.
  • Аналогично поведению защиты от вредоносных программ, которая всегда включена и не зависит от правила потока обработки почты SCL=-1.

Создайте политику безопасных вложений для пилотных пользователей.

Рекомендуемые параметры см. в разделе Рекомендуемые параметры политики безопасных вложений. Обратите внимание, что стандартные и строгие рекомендации одинаковы. Сведения о создании политики см. в статье Настройка политик безопасных вложений. Обязательно используйте групповую MDOPilot_SafeAttachments в качестве условия политики (к кому применяется политика).

Примечание.

Предустановленная политика безопасности встроенной защиты обеспечивает защиту безопасных вложений для всех получателей, которые не определены ни в одной из политик безопасных вложений. Дополнительные сведения см. в разделе Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365.

Примечание.

Мы не поддерживаем перенос или перезапись уже упакованных или переписанных ссылок. Если текущая служба защиты уже включает или перезаписывает ссылки в сообщениях электронной почты, необходимо отключить эту функцию для пилотных пользователей. Один из способов убедиться, что этого не произойдет, — исключить домен URL-адресов другой службы в политике безопасных связей.

Создайте политику безопасных ссылок для пилотных пользователей. Вероятность ложноположительных результатов в безопасных ссылках также довольно низка, но следует рассмотреть возможность тестирования функции на меньшем количестве пилотных пользователей, чем безопасные вложения. Так как эта функция влияет на взаимодействие с пользователем, следует рассмотреть план обучения пользователей.

Рекомендуемые параметры см. в разделе Рекомендуемые параметры политики безопасных ссылок. Обратите внимание, что стандартные и строгие рекомендации одинаковы. Сведения о создании политики см. в статье Настройка политик безопасных ссылок. Обязательно используйте групповую MDOPilot_SafeLinks в качестве условия политики (к кому применяется политика).

Примечание.

Предустановленная политика безопасности встроенной защиты обеспечивает защиту безопасных ссылок для всех получателей, которые не определены ни в каких политиках безопасных ссылок. Дополнительные сведения см. в разделе Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365.

Создание пилотных политик защиты от нежелательной почты

Создайте две политики защиты от нежелательной почты для пилотных пользователей:

  • Политика, использующая стандартные параметры. Используйте групповую MDOPilot_SpamPhish_Standard в качестве условия политики (к кому применяется политика).
  • Политика, использующая строгие параметры. Используйте групповую MDOPilot_SpamPhish_Strict в качестве условия политики (к кому применяется политика). Эта политика должна иметь более высокий приоритет (меньшее число), чем политика с параметрами "Стандартный".

Рекомендуемые стандартные и строгие параметры см. в разделе Рекомендуемые параметры политики защиты от нежелательной почты. Сведения о создании политик см. в статье Настройка политик защиты от нежелательной почты.

Создание пилотных политик защиты от фишинга

Создайте две политики защиты от фишинга для пилотных пользователей:

  • Политика, использующая стандартные параметры, за исключением действий обнаружения олицетворения, как описано ниже. Используйте групповую MDOPilot_SpamPhish_Standard в качестве условия политики (к кому применяется политика).
  • Политика, использующая строгие параметры, за исключением действий обнаружения олицетворения, как описано ниже. Используйте групповую MDOPilot_SpamPhish_Strict в качестве условия политики (к кому применяется политика). Эта политика должна иметь более высокий приоритет (меньшее число), чем политика с параметрами "Стандартный".

Для обнаружения спуфингов рекомендуемое действие — Переместить сообщение в папки нежелательной Email получателей, а рекомендуемое действие Strict — поместить сообщение в карантин. Используйте аналитику спуфинга для наблюдения за результатами. Переопределения описаны в следующем разделе. Дополнительные сведения см. в статье Аналитика спуфинга в EOP.

Для обнаружения олицетворения игнорируйте рекомендуемые действия Standard и Strict для пилотных политик. Вместо этого используйте значение Не применять никаких действий для следующих параметров:

  • Если сообщение обнаружено как олицетворенный пользователь
  • Если сообщение обнаружено как олицетворенный домен
  • Если аналитика почтовых ящиков обнаруживает олицетворенного пользователя

Используйте аналитические сведения олицетворения для наблюдения за результатами. Дополнительные сведения см. в статье Анализ олицетворения в Defender для Office 365.

Вы настроите защиту от спуфингов (настройте разрешения и блокировки) и включите каждое действие защиты олицетворения, чтобы поместить сообщения в карантин или переместить их в папку "Нежелательная Email" (на основе стандартных или строгих рекомендаций). Вы можете просмотреть результаты и настроить их параметры при необходимости.

Дополнительную информацию см. в следующих статьях:

Следующий этап

Поздравляем! Вы завершили этап установкимиграции на Microsoft Defender для Office 365!