Migrera till Microsoft Defender för Office 365 – Fas 2: Installation

Gäller för:


Fas 1: Förbered.
Fas 1: Förbereda
Fas 2: Konfigurera.
Fas 2: Konfigurera
Fas 3: Publicera.
Fas 3: Introduktion
Du är här!

Välkommen till fas 2: Konfiguration av migreringen till Microsoft Defender för Office 365! Den här migreringsfasen innehåller följande steg:

  1. Skapa distributionsgrupper för pilotanvändare
  2. Konfigurera användaranvändarrapporterade meddelandeinställningar
  3. Underhålla eller skapa E-postflödesregeln SCL=-1
  4. Konfigurera utökad filtrering för anslutningsappar
  5. Skapa pilotskyddsprinciper

Steg 1: Skapa distributionsgrupper för pilotanvändare

Distributionsgrupper krävs i Microsoft 365 för följande aspekter av migreringen:

  • Undantag för E-postflödesregeln SCL=-1: Du vill att pilotanvändare ska få full effekt av Defender för Office 365 skydd, så du behöver genomsöka deras inkommande meddelanden av Defender för Office 365. Det gör du genom att definiera pilotanvändare i lämpliga distributionsgrupper i Microsoft 365 och konfigurera dessa grupper som undantag till E-postflödesregeln SCL=-1.

    Som vi beskrev i Onboard Steg 2: (Valfritt) Undanta pilotanvändare från filtrering av din befintliga skyddstjänst bör du överväga att undanta samma pilotanvändare från genomsökning av din befintliga skyddstjänst. Att eliminera möjligheten att filtrera efter din befintliga skyddstjänst och enbart förlita sig på Defender för Office 365 är den bästa och närmaste representationen av vad som kommer att hända när migreringen är klar.

  • Testning av specifika Defender för Office 365 skyddsfunktioner: Även för pilotanvändare vill du inte aktivera allt samtidigt. Om du använder en stegvis metod för de skyddsfunktioner som gäller för pilotanvändare blir det mycket enklare att felsöka och justera. Med den här metoden i åtanke rekommenderar vi följande distributionsgrupper:

    • Pilotgrupp för säkra bifogade filer: Till exempel MDOPilot_SafeAttachments
    • En pilotgrupp för säkra länkar: Till exempel MDOPilot_SafeLinks
    • En pilotgrupp för standardinställningar för skydd mot skräppost och skydd mot nätfiske: Till exempel MDOPilot_SpamPhish_Standard
    • En pilotgrupp för principinställningar för strikt skräppostskydd och skydd mot nätfiske: Till exempel MDOPilot_SpamPhish_Strict

För tydlighetens skull använder vi dessa specifika gruppnamn i hela den här artikeln, men du kan använda din egen namngivningskonvention.

När du är redo att börja testa lägger du till dessa grupper som undantag i E-postflödesregeln SCL=-1. När du skapar principer för de olika skyddsfunktionerna i Defender för Office 365 använder du dessa grupper som villkor som definierar vem principen gäller för.

Anmärkningar:

  • Termerna Standard och Strict kommer från våra rekommenderade säkerhetsinställningar, som också används i förinställda säkerhetsprinciper. Vi rekommenderar att du definierar pilotanvändare i standard- och strikt förinställda säkerhetsprinciper, men det kan vi inte göra. Varför? Eftersom du inte kan anpassa inställningarna i förinställda säkerhetsprinciper (särskilt åtgärder som vidtas på meddelanden). Under migreringstestningen vill du se vad Defender för Office 365 skulle göra med meddelanden, kontrollera att det är vad du vill ska hända och eventuellt justera principkonfigurationerna för att tillåta eller förhindra dessa resultat.

    I stället för att använda förinställda säkerhetsprinciper skapar du därför manuellt anpassade principer med inställningar som är mycket lika, men i vissa fall skiljer sig inställningarna för standard- och strikt förinställda säkerhetsprinciper.

  • Om du vill experimentera med inställningar som skiljer sig avsevärt från våra rekommenderade standardvärden eller strikta värden bör du överväga att skapa och använda ytterligare och specifika distributionsgrupper för pilotanvändare i dessa scenarier. Du kan använda Configuration Analyzer för att se hur säkra inställningarna är. Anvisningar finns i Konfigurationsanalys för skyddsprinciper i EOP och Microsoft Defender för Office 365.

    För de flesta organisationer är den bästa metoden att börja med principer som är nära anpassade till våra rekommenderade standardinställningar. Efter så mycket observation och feedback som du kan göra inom den tillgängliga tidsramen kan du gå över till mer aggressiva inställningar senare. Personifieringsskydd och leverans till mappen Junk Email jämfört med leverans till karantän kan kräva anpassning.

    Om du använder anpassade principer kontrollerar du bara att de tillämpas före de principer som innehåller våra rekommenderade inställningar för migreringen. Om en användare identifieras i flera principer av samma typ (till exempel skydd mot nätfiske) tillämpas endast en princip av den typen på användaren (baserat på principens prioritetsvärde). Mer information finns i Ordning och prioritet för e-postskydd.

Steg 2: Konfigurera användarrapporterade meddelandeinställningar

Möjligheten för användare att rapportera falska positiva eller falska negativa identifieringar från Defender för Office 365 är en viktig del av migreringen.

Du kan ange en Exchange Online postlåda för att ta emot meddelanden som användare rapporterar som skadliga eller inte skadliga. Anvisningar finns i Användarrapporterade meddelandeinställningar. Den här postlådan kan ta emot kopior av meddelanden som användarna har skickat till Microsoft, eller så kan postlådan fånga upp meddelanden utan att rapportera dem till Microsoft (du är säkerhetsteam kan analysera och skicka själva meddelandena manuellt). Avlyssningsmetoden tillåter dock inte att tjänsten automatiskt finjusterar och lär sig.

Du bör också bekräfta att alla användare i piloten har ett sätt att rapportera meddelanden som fått en felaktig bedömning från Defender för Office 365. Dessa alternativ omfattar:

Underskatta inte vikten av det här steget. Data från användarrapporterade meddelanden ger dig den feedbackloop som du behöver för att verifiera en bra och konsekvent slutanvändarupplevelse före och efter migreringen. Den här feedbacken hjälper dig att fatta välgrundade beslut om principkonfiguration samt tillhandahålla databaserade rapporter för hantering om att migreringen gick smidigt.

I stället för att förlita sig på data som stöds av hela organisationens upplevelse har mer än en migrering resulterat i känslomässiga spekulationer baserat på en enda negativ användarupplevelse. Om du har kört nätfiskesimuleringar kan du dessutom använda feedback från dina användare för att informera dig när de ser något riskabelt som kan kräva undersökning.

Steg 3: Underhålla eller skapa E-postflödesregeln SCL=-1

Eftersom din inkommande e-post dirigeras via en annan skyddstjänst som finns framför Microsoft 365 är det mycket troligt att du redan har en regel för e-postflöde (även kallad transportregel) i Exchange Online som anger SCL (Spam Confidence Level) för alla inkommande e-postmeddelanden till värdet -1 (kringgå skräppostfiltrering). De flesta skyddstjänster från tredje part uppmuntrar den här SCL=-1-e-postflödesregeln för Microsoft 365 kunder som vill använda sina tjänster.

Om du använder någon annan mekanism för att åsidosätta Microsoft filtreringsstacken (till exempel en lista över tillåtna IP-adresser) rekommenderar vi att du växlar till att använda en SCL=-1 e-postflödesregel så länge all inkommande Internet-e-post till Microsoft 365 kommer från skyddstjänsten från tredje part (inga e-postflöden direkt från Internet till Microsoft 365).

E-postflödesregeln SCL=-1 är viktig under migreringen av följande skäl:

  • Du kan använda Threat Explorer för att se vilka funktioner i Microsoft stacken som skulle ha agerat på meddelanden utan att påverka resultatet från din befintliga skyddstjänst.

  • Du kan gradvis justera vem som skyddas av Microsoft 365-filtreringsstacken genom att konfigurera undantag till E-postflödesregeln SCL=-1. Undantagen är medlemmar i pilotdistributionsgrupperna som vi rekommenderar senare i den här artikeln.

    Före eller under snabböversättningen av MX-posten till Microsoft 365 inaktiverar du den här regeln för att aktivera det fullständiga skyddet av Microsoft 365-skyddsstacken för alla mottagare i din organisation.

Mer information finns i Använda e-postflödesregler för att ange SCL (Spam Confidence Level) i meddelanden i Exchange Online.

Anmärkningar:

  • Om du planerar att tillåta att Internet-e-post flödar genom din befintliga skyddstjänst och direkt till Microsoft 365 samtidigt behöver du begränsa SCL=-1-e-postflödesregeln (e-post som kringgår skräppostfiltrering) till e-post som endast har gått igenom din befintliga skyddstjänst. Du vill inte att ofiltrerad e-post ska landas i användarpostlådor i Microsoft 365.

    Om du vill identifiera e-post som redan har genomsökts av din befintliga skyddstjänst kan du lägga till ett villkor i E-postflödesregeln SCL=-1. Till exempel:

    • För molnbaserade skyddstjänster: Du kan använda ett rubrik- och rubrikvärde som är unikt för din organisation. Meddelanden som har rubriken genomsöks inte av Microsoft 365. Meddelanden utan sidhuvud genomsöks av Microsoft 365
    • För lokala skyddstjänster eller enheter: Du kan använda käll-IP-adresser. Meddelanden från källans IP-adresser genomsöks inte av Microsoft 365. Meddelanden som inte kommer från källans IP-adresser genomsöks av Microsoft 365.
  • Förlita dig inte enbart på MX-poster för att kontrollera om e-post filtreras. Avsändare kan enkelt ignorera MX-posten och skicka e-post direkt till Microsoft 365.

Steg 4: Konfigurera förbättrad filtrering för anslutningsappar

Det första du bör göra är att konfigurera utökad filtrering för anslutningsappar (även kallat hoppa över lista) på anslutningsappen som används för e-postflöde från din befintliga skyddstjänst till Microsoft 365. Du kan använda rapporten Inkommande meddelanden för att identifiera anslutningsappen.

Förbättrad filtrering för anslutningsappar krävs av Defender för Office 365 för att se var internetmeddelanden faktiskt kom ifrån. Förbättrad filtrering för anslutningsappar förbättrar avsevärt noggrannheten för Microsoft filtreringsstacken (särskilt förfalskningsinformation samt funktioner efter intrång i Threat Explorer och Automated Investigation & Response (AIR).

För att aktivera utökad filtrering för anslutningsappar korrekt måste du lägga till offentliga IP-adresser för **alla** tjänster från tredje part och/eller lokala e-postsystemvärdar som dirigerar inkommande e-post till Microsoft 365.

Kontrollera att utökad filtrering för anslutningsappar fungerar genom att kontrollera att inkommande meddelanden innehåller en eller båda av följande rubriker:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

Steg 5: Skapa pilotskyddsprinciper

Genom att skapa produktionsprinciper, även om de inte tillämpas på alla användare, kan du testa funktioner efter intrång som Hotutforskaren och testa integreringen av Defender för Office 365 i ditt säkerhetssvarsteams processer.

Viktigt

Principer kan begränsas till användare, grupper eller domäner. Vi rekommenderar inte att du blandar alla tre i en princip, eftersom endast användare som matchar alla tre omfattas av principens omfång. För pilotprinciper rekommenderar vi att du använder grupper eller användare. För produktionsprinciper rekommenderar vi att du använder domäner. Det är mycket viktigt att förstå att endast användarens primära e-postdomän avgör om användaren omfattas av principens omfång. Så om du växlar MX-posten för en användares sekundära domän kontrollerar du att deras primära domän också omfattas av en princip.

Skapa pilotprinciper för säkra bifogade filer

Säkra bifogade filer är den enklaste Defender för Office 365 funktionen för att aktivera och testa innan du byter MX-post. Säkra bifogade filer har följande fördelar:

  • Minimal konfiguration.
  • Extremt låg risk för falska positiva identifieringar.
  • Liknande beteende som skydd mot skadlig kod, som alltid är aktiverat och inte påverkas av E-postflödesregeln SCL=-1.

Skapa en princip för säkra bifogade filer för pilotanvändare.

De rekommenderade inställningarna finns i Principinställningar för rekommenderade säkra bifogade filer. Observera att rekommendationerna Standard och Strict är desamma. Information om hur du skapar principen finns i Konfigurera principer för säkra bifogade filer. Se till att använda gruppen MDOPilot_SafeAttachments som villkor för principen (som principen gäller för).

Obs!

Den förinställda säkerhetsprincipen för inbyggt skydd ger skydd för säkra bifogade filer till alla mottagare som inte har definierats i några principer för säkra bifogade filer. Mer information finns i Förinställda säkerhetsprinciper i EOP och Microsoft Defender för Office 365.

Obs!

Vi stöder inte omslutning eller omskrivning av redan omslutna eller omskrivna länkar. Om den aktuella skyddstjänsten redan omsluter eller skriver om länkar i e-postmeddelanden måste du inaktivera den här funktionen för pilotanvändare. Ett sätt att se till att detta inte sker är att undanta URL-domänen för den andra tjänsten i principen säkra länkar.

Skapa en princip för säkra länkar för pilotanvändare. Risken för falska positiva identifieringar i säkra länkar är också ganska låg, men du bör överväga att testa funktionen på ett mindre antal pilotanvändare än Säkra bifogade filer. Eftersom funktionen påverkar användarupplevelsen bör du överväga en plan för att utbilda användare.

De rekommenderade inställningarna finns i Rekommenderade principinställningar för säkra länkar. Observera att rekommendationerna Standard och Strict är desamma. Information om hur du skapar principen finns i Konfigurera principer för säkra länkar. Se till att använda gruppen MDOPilot_SafeLinks som villkor för principen (vem principen gäller för).

Obs!

Den förinställda säkerhetsprincipen för inbyggt skydd ger skydd för säkra länkar till alla mottagare som inte har definierats i några principer för säkra länkar. Mer information finns i Förinställda säkerhetsprinciper i EOP och Microsoft Defender för Office 365.

Skapa pilotprinciper för skräppostskydd

Skapa två principer för skräppostskydd för pilotanvändare:

  • En princip som använder standardinställningarna. Använd gruppen MDOPilot_SpamPhish_Standard som villkor för principen (vem principen gäller för).
  • En princip som använder de strikta inställningarna. Använd gruppen MDOPilot_SpamPhish_Strict som villkor för principen (vem principen gäller för). Den här principen bör ha högre prioritet (lägre nummer) än principen med standardinställningarna.

De rekommenderade standard- och strikta inställningarna finns i Rekommenderade principinställningar för skräppostskydd. Information om hur du skapar principerna finns i Konfigurera principer för skräppostskydd.

Skapa pilotprinciper för skydd mot nätfiske

Skapa två principer för skydd mot nätfiske för pilotanvändare:

  • En princip som använder standardinställningarna, med undantag för identifieringsåtgärder för personifiering enligt beskrivningen nedan. Använd gruppen MDOPilot_SpamPhish_Standard som villkor för principen (vem principen gäller för).
  • En princip som använder de strikta inställningarna, med undantag för identifieringsåtgärder för personifiering enligt beskrivningen nedan. Använd gruppen MDOPilot_SpamPhish_Strict som villkor för principen (vem principen gäller för). Den här principen bör ha högre prioritet (lägre nummer) än principen med standardinställningarna.

För förfalskningsidentifieringar är den rekommenderade standardåtgärden Flytta meddelande till mottagarnas skräppostmappar Email, och den rekommenderade strikt åtgärden är Placera meddelandet i karantän. Använd insikten om förfalskningsinformation för att observera resultaten. Åsidosättningar förklaras i nästa avsnitt. Mer information finns i Insikt om förfalskningsinformation i EOP.

För identifiering av personifieringar ignorerar du de rekommenderade standard- och strikta åtgärderna för pilotprinciperna. Använd i stället värdet Tillämpa inte någon åtgärd för följande inställningar:

  • Om meddelandet identifieras som en personifierad användare
  • Om meddelandet identifieras som en personifierad domän
  • Om postlådeinformation identifierar en personifierad användare

Använd personifieringsinsikten för att observera resultaten. Mer information finns i Personifieringsinformation i Defender för Office 365.

Du justerar förfalskningsskyddet (justerar tillåter och blockerar) och aktiverar varje personifieringsskyddsåtgärd för att sätta i karantän eller flytta meddelandena till mappen Junk Email (baserat på standardrekommendationerna eller strikta rekommendationer). Du kan observera resultaten och justera inställningarna efter behov.

Mer information finns i följande avsnitt:

Nästa steg

Grattis! Du har slutfört installationsfasen för migreringen till Microsoft Defender för Office 365!