Dela via

Pilottesta och distribuera Defender för Office 365

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Den här artikeln innehåller ett arbetsflöde för att testa och distribuera Microsoft Defender för Office 365 i din organisation. Du kan använda dessa rekommendationer för att publicera Microsoft Defender för Office 365 som ett enskilt cybersäkerhetsverktyg eller som en del av en heltäckande lösning med Microsoft Defender XDR.

Den här artikeln förutsätter att du har en Microsoft 365-produktionsklientorganisation och pilottestar och distribuerar Microsoft Defender för Office 365 i den här miljön. Den här metoden underhåller alla inställningar och anpassningar som du konfigurerar under pilottestet för din fullständiga distribution.

Defender för Office 365 bidrar till en Zero Trust-arkitektur genom att hjälpa till att förhindra eller minska företagsskador från ett intrång. Mer information finns i Avsnittet om att förhindra eller minska affärsskador från ett scenario med intrång i Microsoft Zero Trust-implementeringsramverket.

Distribution från slutpunkt till slutpunkt för Microsoft Defender XDR

Det här är artikel 3 av 6 i en serie som hjälper dig att distribuera komponenterna i Microsoft Defender XDR, inklusive att undersöka och åtgärda incidenter.

Ett diagram som visar Microsoft Defender för Office 365 i pilottestet och distribuerar Microsoft Defender XDR-processen.

Artiklarna i den här serien motsvarar följande faser i distributionen från slutpunkt till slutpunkt:

Fas Länk
A. Starta piloten Starta piloten
B. Pilottesta och distribuera Microsoft Defender XDR-komponenter - Pilottesta och distribuera Defender for Identity

- Pilottesta och distribuera Defender för Office 365 (den här artikeln)

- Pilottesta och distribuera Defender för Endpoint

- Pilottesta och distribuera Microsoft Defender för Cloud Apps
C. Undersöka och svara på hot Öva incidentundersökning och svar

Pilot- och distributionsarbetsflöde för Defender för Office 365

Följande diagram illustrerar en gemensam process för att distribuera en produkt eller tjänst i en IT-miljö.

Diagram över pilot-, utvärdera- och fullständiga implementeringsfaser.

Du börjar med att utvärdera produkten eller tjänsten och hur den fungerar i din organisation. Sedan pilottestar du produkten eller tjänsten med en lämplig liten delmängd av produktionsinfrastrukturen för testning, inlärning och anpassning. Öka sedan distributionens omfattning gradvis tills hela infrastrukturen eller organisationen omfattas.

Här är arbetsflödet för att testa och distribuera Defender för Office 365 i produktionsmiljön.

Ett diagram som visar stegen för att pilottesta och distribuera Microsoft Defender för Office 365.

Gör så här:

  1. Granska och verifiera den offentliga MX-posten
  2. Granska godkända domäner
  3. Granska inkommande anslutningsappar
  4. Aktivera utvärderingen
  5. Skapa pilotgrupper
  6. Konfigurera skydd
  7. Prova funktioner

Här är de rekommenderade stegen för varje distributionsfas.

Distributionssteg Beskrivning
Evaluera Utför produktutvärdering för Defender för Office 365.
Pilot Utför steg 1–7 för pilotgrupper.
Fullständig distribution Konfigurera pilotanvändargrupperna i steg 5 eller lägg till användargrupper för att expandera bortom piloten och slutligen inkludera alla dina användarkonton.

Arkitektur och krav för Defender för Office 365

Följande diagram illustrerar baslinjearkitekturen för Microsoft Defender för Office 365, som kan innehålla en SMTP-gateway från tredje part eller lokal integrering. Hybrid samexistensscenarier (dvs. produktionspostlådor är både lokala och online) kräver mer komplexa konfigurationer och beskrivs inte i den här artikeln eller utvärderingsvägledningen.

Ett diagram över arkitekturen för Microsoft Defender för Office 365.

Följande tabell beskriver den här bilden.

Pratbubba Beskrivning
1 Värdservern för den externa avsändaren utför vanligtvis en offentlig DNS-sökning efter en MX-post, som tillhandahåller målservern för att vidarebefordra meddelandet. Den här hänvisningen kan antingen vara Exchange Online (EXO) direkt eller en SMTP-gateway som konfigurerats för att vidarebefordra mot EXO.
2 Exchange Online Protection förhandlar och validerar den inkommande anslutningen och inspekterar meddelandehuvudena och innehåll för att fastställa vilka extra principer, taggar eller bearbetning som krävs.
3 Exchange Online integreras med Microsoft Defender för Office 365 för att erbjuda mer avancerat skydd mot hot, åtgärder och åtgärder.
4 Ett meddelande som inte är skadligt, blockerat eller i karantän bearbetas och levereras till mottagaren i EXO där användarinställningar relaterade till skräppost, postlåderegler eller andra inställningar utvärderas och utlöses.
5 Integrering med lokala Active Directory kan aktiveras med hjälp av Microsoft Entra Connect för att synkronisera och etablera e-postaktiverade objekt och konton till Microsoft Entra-ID och slutligen Exchange Online.
6 När du integrerar en lokal miljö är det bäst att använda en Exchange-server för hantering och administration av e-postrelaterade attribut, inställningar och konfigurationer som stöds.
7 Microsoft Defender för Office 365 delar signaler till Microsoft Defender XDR för utökad identifiering och svar (XDR).

Lokal integrering är vanligt men valfritt. Om din miljö endast är molnbaserad fungerar även den här vägledningen för dig.

En lyckad Defender för Office 365-utvärdering eller produktionspilot kräver följande krav:

  • Alla dina mottagarpostlådor finns för närvarande i Exchange Online.
  • Din offentliga MX-post matchas direkt till EOP eller en SMTP-gateway (Simple Mail Transfer Protocol) från tredje part som sedan vidarebefordrar inkommande extern e-post direkt till EOP.
  • Din primära e-postdomän är konfigurerad som auktoritativ i Exchange Online.
  • Du har distribuerat och konfigurerat katalogbaserad gränsblockering (DBEB) efter behov. Mer information finns i Använda Directory-Based Edge-blockering för att avvisa meddelanden som skickas till ogiltiga mottagare.

Viktigt

Om dessa krav inte är tillämpliga eller om du fortfarande befinner dig i ett hybrid samexistensscenario kan en Microsoft Defender för Office 365-utvärdering kräva mer komplexa eller avancerade konfigurationer som inte omfattas fullt ut i den här vägledningen.

Steg 1: Granska och verifiera den offentliga MX-posten

För att effektivt utvärdera Microsoft Defender för Office 365 är det viktigt att inkommande extern e-post vidarebefordras via den Exchange Online Protection-instans (EOP) som är associerad med din klientorganisation.

  1. I administrationsportalen för M365 på https://admin.microsoft.comexpanderar du ... Visa alla om det behövs, expandera Inställningar och välj sedan Domäner. Om du vill gå direkt till sidan Domäner använder du https://admin.microsoft.com/Adminportal/Home#/Domains.
  2. På sidan Domäner väljer du din verifierade e-postdomän genom att klicka var som helst på den andra posten än kryssrutan.
  3. I den utfällbara menyn domäninformation som öppnas väljer du fliken DNS-poster . Anteckna MX-posten som genereras och tilldelas till din EOP-klientorganisation.
  4. Få åtkomst till din externa (offentliga) DNS-zon och kontrollera den primära MX-posten som är associerad med din e-postdomän:
    • Om din offentliga MX-post för närvarande matchar den tilldelade EOP-adressen (till exempel contoso-com.mail.protection.outlook.com) ska inga ytterligare routningsändringar krävas.
    • Om din offentliga MX-post för närvarande matchas mot en SMTP-gateway från tredje part eller en lokal SMTP-gateway kan ytterligare routningskonfigurationer krävas.
    • Om din offentliga MX-post för närvarande matchas till lokal Exchange kan du fortfarande vara i en hybridmodell där vissa mottagarpostlådor ännu inte har migrerats till EXO.

Steg 2: Granska godkända domäner

  1. I administrationscentret för Exchange (EAC) på https://admin.exchange.microsoft.comexpanderar du E-postflöde och klickar sedan på Godkända domäner. Om du vill gå direkt till sidan Godkända domäner använder du https://admin.exchange.microsoft.com/#/accepteddomains.
  2. På sidan Godkända domäner noterar du värdet för Domäntyp för din primära e-postdomän.
    • Om domäntypen är inställd på Auktoritativ förutsätts det att alla mottagarpostlådor för din organisation för närvarande finns i Exchange Online.
    • Om domäntypen är inställd på InternalRelay kan du fortfarande vara i en hybridmodell där vissa mottagarpostlådor fortfarande finns lokalt.

Steg 3: Granska inkommande anslutningsappar

  1. I administrationscentret för Exchange (EAC) på https://admin.exchange.microsoft.comexpanderar du E-postflöde och klickar sedan på Anslutningsappar. Om du vill gå direkt till sidan Anslutningsappar använder du https://admin.exchange.microsoft.com/#/connectors.
  2. På sidan Anslutningsappar noterar du eventuella anslutningsappar med följande inställningar:
    • Värdet Från är partnerorganisation som kan korrelera med en SMTP-gateway från tredje part.
    • Värdet Från är Din organisation som kan tyda på att du fortfarande är i ett hybridscenario.

Steg 4: Aktivera utvärderingen

Använd anvisningarna här för att aktivera din Microsoft Defender för Office 365-utvärdering från Microsoft Defender-portalen.

Detaljerad information finns i Prova Microsoft Defender för Office 365.

  1. I Microsoft Defender-portalen på https://security.microsoft.comexpanderar du E-post & samarbete> väljer Principer & regler> väljer Hotprinciper> bläddrar ned till avsnittet Andra och väljer sedan Utvärderingsläge. Om du vill gå direkt till sidan Utvärderingsläge använder du https://security.microsoft.com/atpEvaluation.

  2. På sidan Utvärderingsläge klickar du på Starta utvärdering.

    Skärmbild av sidan Utvärderingsläge och knappen Starta utvärdering för att klicka.

  3. I dialogrutan Aktivera skydd väljer du Nej, jag vill bara ha rapportering och klickar sedan på Fortsätt.

    Skärmbild av dialogrutan Aktivera skydd och alternativet Nej, jag vill bara att rapporteringsalternativet ska väljas.

  4. I dialogrutan Välj de användare som du vill inkludera väljer du Alla användare och klickar sedan på Fortsätt.

    Skärmbild av dialogrutan Välj de användare som du vill inkludera och alternativet Alla användare att välja.

  5. I dialogrutan Hjälp oss att förstå e-postflödet väljs ett av följande alternativ automatiskt baserat på vår identifiering av MX-posten för din domän:

    • Jag använder bara Microsoft Exchange Online: MX-posterna för din domän pekar på Microsoft 365. Det finns inget kvar att konfigurera, så klicka på Slutför.

      Skärmbild av dialogrutan Hjälp oss att förstå ditt e-postflöde med alternativet Jag använder bara Microsoft Exchange Online valt.

    • Jag använder en tredjepartsleverantör och/eller en lokal tjänstleverantör: På de kommande skärmarna väljer du leverantörsnamnet tillsammans med den inkommande anslutningsappen som accepterar e-post från den lösningen. Du bestämmer också om du behöver en e-postflödesregel för Exchange Online (kallas även transportregel) som hoppar över skräppostfiltrering för inkommande meddelanden från skyddstjänsten eller enheten från tredje part. När du är klar klickar du på Slutför.

Steg 5: Skapa pilotgrupper

När du pilottestar Microsoft Defender för Office 365 kan du välja att testa specifika användare innan du aktiverar och tillämpar principer för hela organisationen. Genom att skapa distributionsgrupper kan du hantera distributionsprocesserna. Skapa till exempel grupper som Defender för Office 365-användare – Standardskydd, Defender för Office 365-användare – Strikt skydd, Defender för Office 365-användare – Anpassat skydd eller Defender för Office 365-användare – Undantag.

Det kanske inte är uppenbart varför "Standard" och "Strict" är de termer som används för dessa grupper, men det blir tydligt när du utforskar mer om säkerhetsförinställningar för Defender för Office 365. Namngivningsgrupperna "anpassade" och "undantag" talar för sig själva, och även om de flesta av dina användare bör omfattas av standarden och strikta, samlar anpassade grupper och undantagsgrupper in värdefulla data för dig när det gäller att hantera risker.

Distributionsgrupper kan skapas och definieras direkt i Exchange Online eller synkroniseras från lokal Active Directory.

  1. Logga in på Administrationscenter för Exchange (EAC) på https://admin.exchange.microsoft.com med ett konto som har beviljats rollen mottagaradministratör eller delegerats behörigheter för grupphantering.

  2. Gå till Mottagargrupper>.

    Skärmbild av menyalternativet Grupper.

  3. På sidan Grupper väljer du Lägg till en gruppikon.Lägg till en grupp.

    Skärmbild av alternativet Lägg till en grupp.

  4. För grupptyp väljer du Distribution och klickar sedan på Nästa.

    Skärmbild av avsnittet Välj en grupptyp.

  5. Ge gruppen ett Namn och en valfri Beskrivning och klicka sedan på Nästa.

    Skärmbild av avsnittet Konfigurera grunderna.

  6. På de återstående sidorna tilldelar du en ägare, lägger till medlemmar i gruppen, anger e-postadress, begränsningar för anslutning till avresa och andra inställningar.

Steg 6: Konfigurera skydd

Vissa funktioner i Defender för Office 365 är konfigurerade och aktiverade som standard, men säkerhetsåtgärder kanske vill höja skyddsnivån från standardvärdet.

Vissa funktioner har ännu inte konfigurerats. Du har följande alternativ för att konfigurera skydd (som är enkla att ändra senare):

  • Tilldela användare för förinställda säkerhetsprinciper: Förinställda säkerhetsprinciper är den rekommenderade metoden för att snabbt tilldela en enhetlig skyddsnivå för alla funktioner. Du kan välja mellan Standard - eller Strikt skydd. Inställningarna för Standard och Strict beskrivs i tabellerna här. Skillnaderna mellan Standard och Strict sammanfattas i tabellen här.

    Fördelarna med förinställda säkerhetsprinciper är att du skyddar grupper av användare så snabbt som möjligt med hjälp av Microsofts rekommenderade inställningar baserat på observationer i datacentren. När nya skyddsfunktioner läggs till och när säkerhetslandskapet ändras uppdateras inställningarna i förinställda säkerhetsprinciper automatiskt till våra rekommenderade inställningar.

    Nackdelen med förinställda säkerhetsprinciper är att du inte kan anpassa praktiskt taget någon av säkerhetsinställningarna i förinställda säkerhetsprinciper (du kan till exempel inte ändra en åtgärd från leverera till skräp till karantän eller vice versa). Undantaget är poster och valfria undantag för användarpersonifiering och domän personifieringsskydd, som du måste konfigurera manuellt.

    Tänk också på att förinställda säkerhetsprinciper alltid tillämpas före anpassade principer. Så om du vill skapa och använda anpassade principer måste du exkludera användare i dessa anpassade principer från förinställda säkerhetsprinciper.

  • Konfigurera anpassade skyddsprinciper: Om du föredrar att konfigurera miljön själv jämför du standardinställningarna, Standard och Strikt i Rekommenderade inställningar för EOP och Microsoft Defender för Office 365-säkerhet. Behåll ett kalkylblad där din anpassade version avviker.

    Du kan också använda configuration analyzer för att jämföra inställningarna i dina anpassade principer med värdena Standard och Strict.

Detaljerad information om hur du väljer förinställda säkerhetsprinciper jämfört med anpassade principer finns i Fastställa din strategi för skyddsprinciper.

Tilldela förinställda säkerhetsprinciper

Vi rekommenderar att du börjar med de förinställda säkerhetsprinciperna i EOP och Defender för Office 365 snabbt genom att tilldela dem till specifika pilotanvändare eller definierade grupper som en del av utvärderingen. Förinställda principer erbjuder en standardmall för standardskydd eller en mer aggressiv strikt skyddsmall, som kan tilldelas oberoende av varandra.

Ett EOP-villkor för pilotutvärderingar kan till exempel tillämpas om mottagarna är medlemmar i en definierad EOP Standard Protection-grupp och sedan hanteras genom att lägga till konton i eller ta bort kontot från gruppen.

På samma sätt kan ett Defender för Office 365-villkor för pilotutvärderingar tillämpas om mottagarna är medlemmar i en definierad Defender för Office 365 Standard Protection-grupp och sedan hanteras genom att lägga till eller ta bort konton via gruppen.

Fullständiga instruktioner finns i Använda Microsoft Defender-portalen för att tilldela standard- och strikt förinställda säkerhetsprinciper till användare.

Konfigurera anpassade skyddsprinciper

De fördefinierade principmallarna Standard eller Strict Defender för Office 365 ger pilotanvändarna det rekommenderade baslinjeskyddet. Du kan dock också skapa och tilldela anpassade skyddsprinciper som en del av utvärderingen.

Det är viktigt att vara medveten om prioriteten som dessa skyddsprinciper har när de tillämpas och tillämpas, enligt beskrivningen i Prioritetsordning för förinställda säkerhetsprinciper och andra principer.

Förklaringen och tabellen i Konfigurera skyddsprinciper innehåller en praktisk referens för det du behöver konfigurera.

Steg 7: Prova funktioner

Nu när piloten har konfigurerats är det bra att bekanta sig med verktygen för rapportering, övervakning och attacksimulering som är unika för Microsoft Defender för Microsoft 365.

Funktion Beskrivning Mer information
Hotutforskaren Threat Explorer är ett kraftfullt verktyg i nära realtid som hjälper säkerhetsteam att undersöka och reagera på hot och visar information om identifierad skadlig kod och nätfiske i e-post och filer i Office 365, samt andra säkerhetshot och risker för din organisation. Om Threat Explorer
Attacksimuleringsutbildning Du kan använda träning av attacksimulering i Microsoft Defender-portalen för att köra realistiska attackscenarier i din organisation, som hjälper dig att identifiera och hitta sårbara användare innan en verklig attack påverkar din miljö. Kom igång med Attack simuleringsträning
Instrumentpanel för rapporter I den vänstra navigeringsmenyn klickar du på Rapporter och expanderar rubriken E-post & samarbete. E-post & samarbetsrapporter handlar om att upptäcka säkerhetstrender som vissa gör att du kan vidta åtgärder (via knappar som "Gå till inlämningar") och andra som visar trender. Dessa mått genereras automatiskt. Visa säkerhetsrapporter för e-post i Microsoft Defender-portalen

Visa Defender för Office 365-rapporter i Microsoft Defender-portalen

SIEM-integrering

Du kan integrera Defender för Office 365 med Microsoft Sentinel eller en allmän SIEM-tjänst (säkerhetsinformation och händelsehantering) för att aktivera centraliserad övervakning av aviseringar och aktiviteter från anslutna appar. Med Microsoft Sentinel kan du mer omfattande analysera säkerhetshändelser i organisationen och skapa spelböcker för effektiv och omedelbar respons.

Ett diagram som visar arkitekturen för Microsoft Defender för Office 365 med SIEM-integrering.

Microsoft Sentinel innehåller en Defender för Office 365-anslutningsapp. Mer information finns i Ansluta aviseringar från Microsoft Defender för Office 365.

Microsoft Defender för Office 365 kan också integreras i andra SIEM-lösningar med hjälp av Office 365 Activity Management API. Information om integrering med generiska SIEM-system finns i Allmän SIEM-integrering.

Nästa steg

Införliva informationen i säkerhetsåtgärdsguiden för Microsoft Defender för Office 365 i dina SecOps-processer.

Nästa steg för distribution från slutpunkt till slutpunkt av Microsoft Defender XDR

Fortsätt distributionen från slutpunkt till slutpunkt av Microsoft Defender XDR med Pilot och distribuera Defender för Endpoint.

Ett diagram som visar Microsoft Defender för Endpoint i pilottestet och distribuerar Microsoft Defender XDR-processen.

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.