Få det bästa säkerhetsvärdet från Microsoft Defender för Office 365 när du har e-postfiltrering från tredje part

Artikel
04/27/2024

Den här guiden är till för dig om:

Du är licensierad för Microsoft Defender för Office 365 och är värd för dina postlådor i Office 365
Du använder också en tredje part för din e-postsäkerhet

Följande information beskriver hur du får ut mesta möjliga av din investering, uppdelad i enkla att följa steg.

Vad du behöver

Postlådor i Office 365
En eller flera av:
- Microsoft Defender för Office 365 abonnemang 1 för skyddsfunktioner
- Microsoft Defender för Office 365 plan 2 för de flesta andra funktioner (ingår i E5-abonnemang)
- Microsoft Defender för Office 365 utvärderingsversion (tillgänglig för alla kunder på aka.ms/tryMDO)
Tillräcklig behörighet för att konfigurera de funktioner som beskrivs nedan

Steg 1 – Förstå det värde du redan har

Inbyggda skyddsfunktioner

Inbyggt skydd erbjuder en grundläggande nivå av diskret skydd och innehåller skadlig kod, noll dag (säkra bifogade filer) och URL-skydd (säkra länkar) i e-post (inklusive intern e-post), SharePoint Online, OneDrive och Teams. URL-skydd som tillhandahålls i det här tillståndet sker endast via API-anrop. Den omsluter eller skriver inte om URL:er, men kräver en Outlook-klient som stöds. Du kan skapa egna anpassade principer för att utöka skyddet.

Läs mer & watch en översiktsvideo över säkra länkar här:Översikt över fullständiga säkra länkar

Läs mer om säkra bifogade filer här:Säkra bifogade filer

Identifierings-, undersöknings-, svars- och jaktfunktioner

När aviseringar utlöses i Microsoft Defender för Office 365 korreleras de automatiskt och kombineras till Incidenter för att minska säkerhetspersonalens varningströtthet. Automatiserad undersökning och svar (AIR) utlöser undersökningar för att hjälpa till att åtgärda och begränsa hot.

Läs mer watch en översiktsvideo och kom igång här:Incidenthantering med Microsoft Defender XDR

Threat Analytics är vår produktspecifika, detaljerade hotinformationslösning från microsofts säkerhetsexperter. Threat Analytics innehåller detaljerade rapporter som är utformade för att få dig att komma igång med de senaste hotgrupperna, attacktekniker, hur du skyddar din organisation med IOK (Indicators of Compromise) och mycket mer.

Läs mer watch en översiktsvideo och kom igång här:Hotanalys i Microsoft Defender XDR

Explorer kan användas för att jaga hot, visualisera e-postflödesmönster, upptäcka trender och identifiera effekten av ändringar som du gör under justering Defender för Office 365. Du kan också snabbt ta bort meddelanden från din organisation med några enkla klick.

Läs mer och kom igång här:Hotutforskaren och realtidsidentifieringar

Steg 2 – Förbättra värdet ytterligare med dessa enkla steg

Ytterligare skyddsfunktioner

Överväg att aktivera principer utöver det inbyggda skyddet. Aktivera klicktidsskydd eller personifieringsskydd, till exempel för att lägga till extra lager eller fylla luckor som saknas i ditt tredjepartsskydd. Om du har en e-postflödesregel (kallas även för en transportregel) eller ett anslutningsfilter som åsidosätter domar (kallas även en SCL=-1-regel) måste du åtgärda den här konfigurationen innan du aktiverar andra skyddsfunktioner.

Läs mer här:Principer för skydd mot nätfiske

Om din nuvarande säkerhetsprovider är konfigurerad för att ändra meddelanden på något sätt är det viktigt att observera att autentiseringssignaler kan påverka möjligheten för Defender för Office 365 att skydda dig mot attacker som förfalskning. Om din tredje part stöder autentiserad mottagen kedja (ARC) rekommenderar vi starkt att du aktiverar detta i din resa till avancerad dubbel filtrering. Att flytta en konfiguration av meddelandeändringar till Defender för Office 365 är också ett alternativ.

Läs mer här:Konfigurera betrodda ARC-förseglare.

Förbättrad filtrering för anslutningsappar gör att IP-adress- och avsändarinformation kan bevaras via tredje part. Den här funktionen förbättrar noggrannheten för filtreringsstacken (skydd), funktionerna efter intrång & autentiseringsförbättringar.

Läs mer här:Förbättrad filtrering för anslutningsappar i Exchange Online

Prioritetskontoskydd ger bättre synlighet för konton i verktyg, tillsammans med ytterligare skydd när det är i ett avancerat skydd av djupgående konfigurationstillstånd.

Läs mer här:Prioriterat kontoskydd

Avancerad leverans bör konfigureras för att leverera nätfiskesimuleringar från tredje part korrekt, och om du har en säkerhetsåtgärdspostlåda bör du överväga att definiera den som en SecOps-postlåda för att säkerställa att e-postmeddelanden inte tas bort från postlådan på grund av hot.

Läs mer här:Avancerad leverans

Du kan konfigurera användarrapporterade inställningar så att användarna kan rapportera bra eller dåliga meddelanden till Microsoft, till en angiven rapporteringspostlåda (för att integrera med aktuella säkerhetsarbetsflöden) eller både och. Administratörer kan använda fliken Användarrapporterad på sidan Inskickade för att sortera falska positiva och falska negativa användarrapporterade meddelanden.

Läs mer här:Distribuera och konfigurera rapportmeddelandetillägget till användare.

Identifierings-, undersöknings-, svars- och jaktfunktioner

Avancerad jakt kan användas för att proaktivt jaga hot i din organisation med hjälp av delade frågor från communityn för att hjälpa dig att komma igång. Du kan också använda anpassade identifieringar för att konfigurera aviseringar när anpassade kriterier uppfylls.

Läs mer watch en översiktsvideo och kom igång här:Översikt – Avancerad jakt

Utbildningsfunktioner

Övning av attacksimulering gör att du kan köra realistiska men godartade scenarier för cyberattacker i din organisation. Om du inte redan har funktioner för nätfiskesimulering från din primära e-postsäkerhetsleverantör kan Microsofts simulerade attacker hjälpa dig att identifiera och hitta sårbara användare, principer och metoder. Den här funktionen innehåller viktig kunskap att ha och korrigera innan en verklig attack påverkar din organisation. Efter simuleringen tilldelar vi i produkt- eller anpassad utbildning för att utbilda användarna om de hot de missade, vilket i slutändan minskar organisationens riskprofil. Med Övning av attacksimulering levererar vi meddelanden direkt till inkorgen, så användarupplevelsen blir omfattande. Det innebär också att inga säkerhetsändringar, till exempel åsidosättningar, behövs för att få simuleringar korrekt levererade.

Kom igång här:Kom igång med attacksimulering.

Hoppa direkt till att leverera en simulering här:Så här konfigurerar du automatiserade attacker och utbildningar inom Övning av attacksimulering

Steg 3 och senare, och bli en hero med dubbla användningsområden

Många av identifierings-, undersöknings-, svars- och jaktaktiviteterna som tidigare beskrivits bör upprepas av dina säkerhetsteam. Den här vägledningen innehåller en detaljerad beskrivning av uppgifter, takt och teamtilldelningar som vi rekommenderar.

Läs mer:Säkerhetsåtgärdsguide för Defender för Office 365

Överväg användarupplevelser, till exempel åtkomst till flera karantäner eller överföring/rapportering av falska positiva och falska negativa identifieringar. Du kan markera meddelanden som identifieras av tredjepartstjänsten med en anpassad X-rubrik . Du kan till exempel använda e-postflödesregler för att identifiera och placera e-post i karantän som innehåller X-huvudet . Det här resultatet ger också användarna en enda plats där de kan komma åt e-post i karantän.

Läs mer:Så här konfigurerar du karantänbehörigheter och principer

Migreringsguiden innehåller många användbara riktlinjer för hur du förbereder och justerar din miljö för att förbereda den för en migrering. Men många av stegen gäller även för ett scenario med dubbel användning. Ignorera bara vägledningen för MX-växeln i de sista stegen.

Läs den här:Migrera från en skyddstjänst från tredje part till Microsoft Defender för Office 365 – Office 365 | Microsoft Docs.