Aracılığıyla paylaş

Office 365 için Microsoft Defender Geçiş - 2. Aşama: Kurulum


1. Aşama: Hazırlanın.
Aşama 1: Hazırlık		 2. Aşama: Ayarlama.
Aşama 2: Kurulum		 3. Aşama: Ekleme.
Aşama 3: Katılım
Buradasınız!

2. Aşama:Office 365 için Microsoft Defender'a geçiş kurulumunuza hoş geldiniz! Bu geçiş aşaması aşağıdaki adımları içerir:

  1. Pilot kullanıcılar için İçerik Oluşturucu dağıtım grupları
  2. Kullanıcı tarafından bildirilen ileti ayarlarını yapılandırma
  3. SCL=-1 posta akışı kuralını koruma veya oluşturma
  4. Bağlayıcılar için Gelişmiş Filtrelemeyi Yapılandırma
  5. pilot koruma ilkelerini İçerik Oluşturucu

1. Adım: Pilot kullanıcılar için dağıtım gruplarını İçerik Oluşturucu

Geçişinizin aşağıdaki yönleri için Microsoft 365'te dağıtım grupları gereklidir:

  • SCL=-1 posta akışı kuralı için özel durumlar: Pilot kullanıcıların Office 365 için Defender korumanın tüm etkisini elde etmelerini istiyorsunuz, bu nedenle gelen iletilerini taramak için Office 365 için Defender gerekir. Pilot kullanıcılarınızı Microsoft 365'teki uygun dağıtım gruplarında tanımlayarak ve bu grupları SCL=-1 posta akışı kuralına özel durumlar olarak yapılandırarak bu sonucu elde edersiniz.

    Ekleme 2. Adım: (İsteğe bağlı) Pilot kullanıcıları mevcut koruma hizmetinize göre filtrelemeden muaf tutma bölümünde açıklandığı gibi, aynı pilot kullanıcıları mevcut koruma hizmetiniz tarafından taramaktan muaf tutmanız gerekir. Mevcut koruma hizmetinize göre filtreleme olasılığını ortadan kaldırmak ve yalnızca Office 365 için Defender güvenmek, geçişiniz tamamlandıktan sonra gerçekleşeceklerin en iyi ve en yakın gösterimidir.

  • Belirli Office 365 için Defender koruma özelliklerini test etme: Pilot kullanıcılar için bile her şeyi aynı anda açmak istemezsiniz. Pilot kullanıcılarınız için geçerli olan koruma özellikleri için hazırlanmış bir yaklaşım kullanmak, sorun gidermeyi ve ayarlamayı kolaylaştırır. Bu yaklaşımı göz önünde bulundurarak aşağıdaki dağıtım gruplarını öneririz:

    • Güvenli Ekler pilot grubu: Örneğin, MDOPilot_SafeAttachments
    • Güvenli Bağlantılar pilot grubu: Örneğin, MDOPilot_SafeLinks
    • Standart istenmeyen posta önleme ve kimlik avı önleme ilkesi ayarları için bir pilot grup: Örneğin, MDOPilot_SpamPhish_Standard
    • Katı istenmeyen posta önleme ve kimlik avı önleme ilkesi ayarları için bir pilot grup: Örneğin, MDOPilot_SpamPhish_Strict

Netlik sağlamak için bu makalenin tamamında bu belirli grup adlarını kullanırız, ancak kendi adlandırma kuralınızı kullanabilirsiniz.

Test etmeye hazır olduğunuzda, bu grupları SCL=-1 posta akışı kuralına özel durumlar olarak ekleyin. Office 365 için Defender'daki çeşitli koruma özellikleri için ilkeler oluştururken, ilkenin kime uygulanacağını tanımlayan koşullar olarak bu grupları kullanın.

Notlar:

  • Standart ve Katı terimleri, önceden belirlenmiş güvenlik ilkelerinde de kullanılan önerilen güvenlik ayarlarımızdan gelir. İdeal olarak, pilot kullanıcılarınızı Standart ve Katı önceden ayarlanmış güvenlik ilkeleri içinde tanımlamanızı söyleyebiliriz, ancak bunu yapamayız. Neden mi? Önceden ayarlanmış güvenlik ilkelerindeki (özellikle iletilerde gerçekleştirilen eylemler) ayarları özelleştiremediğiniz için. Geçiş testi sırasında, Office 365 için Defender iletilere ne yapacağını görmek, istediğiniz sonucun bu olduğunu doğrulamak ve ilke yapılandırmalarını bu sonuçlara izin verecek veya bunları engelleyecek şekilde ayarlamak istersiniz.

    Bu nedenle, önceden ayarlanmış güvenlik ilkelerini kullanmak yerine, benzer ayarlarla el ile özel ilkeler oluşturacaksınız, ancak bazı durumlarda Standart ve Katı önceden ayarlanmış güvenlik ilkelerinin ayarlarından farklıdır.

  • Standart veya Katı önerilen değerlerimizden önemli ölçüde farklı ayarlarla denemeler yapmak istiyorsanız, bu senaryolarda pilot kullanıcılar için ek ve belirli dağıtım grupları oluşturmayı ve kullanmayı göz önünde bulundurmalısınız. Ayarlarınızın ne kadar güvenli olduğunu görmek için Yapılandırma Çözümleyicisi'ni kullanabilirsiniz. Yönergeler için bkz. EOP ve Office 365 için Microsoft Defender koruma ilkeleri için yapılandırma çözümleyicisi.

    Çoğu kuruluş için en iyi yaklaşım, önerilen Standart ayarlarımızla yakından uyumlu ilkelerle başlamaktır. Kullanılabilir zaman diliminizde yapabileceğiniz kadar fazla gözlem ve geri bildirimden sonra, daha sonra daha agresif ayarlara geçebilirsiniz. Kimliğe bürünme koruması ve Gereksiz Email klasörüne teslim ile karantinaya teslim için özelleştirme gerekebilir.

    Özelleştirilmiş ilkeler kullanıyorsanız, geçiş için önerilen ayarları içeren ilkeler öncesinde uygulandığından emin olmanız yeterlidir. Bir kullanıcı aynı türdeki birden çok ilkede (örneğin, kimlik avından koruma) tanımlanırsa, kullanıcıya yalnızca bir ilke uygulanır (ilkenin öncelik değerine göre). Daha fazla bilgi için bkz . E-posta korumasının sırası ve önceliği.

2. Adım: Kullanıcı tarafından bildirilen ileti ayarlarını yapılandırma

Kullanıcıların Office 365 için Defender hatalı pozitif sonuçları veya hatalı negatifleri raporlama özelliği geçişin önemli bir parçasıdır.

Kullanıcıların kötü amaçlı veya kötü amaçlı olarak bildirdiği iletileri almak için bir Exchange Online posta kutusu belirtebilirsiniz. Yönergeler için bkz. Kullanıcı tarafından bildirilen ayarlar. Bu posta kutusu, kullanıcılarınızın Microsoft'a gönderdiği iletilerin kopyalarını alabilir veya posta kutusu iletileri Microsoft'a bildirmeden kesebilir (güvenlik ekibiniz iletileri el ile analiz edebilir ve gönderebilir). Ancak, kesme yaklaşımı hizmetin otomatik olarak ayarlayıp öğrenmesine izin vermez.

Ayrıca, pilottaki tüm kullanıcıların Office 365 için Defender yanlış bir karar alan iletileri raporlamak için desteklenen bir yöntemi olduğunu da onaylamanız gerekir. Bu seçenekler şunlardır:

Bu adımın önemini hafife almayın. Kullanıcı tarafından bildirilen iletilerden alınan veriler, geçiş öncesinde ve sonrasında iyi ve tutarlı bir son kullanıcı deneyimini doğrulamanız için gereken geri bildirim döngüsünü verir. Bu geri bildirim, bilinçli ilke yapılandırma kararları vermenize ve yönetime geçişin sorunsuz bir şekilde gittiğine ilişkin veri destekli raporlar sağlamanıza yardımcı olur.

Tüm kuruluşun deneyimine dayalı verilere güvenmek yerine birden fazla geçiş, tek bir olumsuz kullanıcı deneyimine dayalı duygusal spekülasyonlara neden oldu. Ayrıca, kimlik avı simülasyonları çalıştırıyorsanız, araştırma gerektirebilecek riskli bir şey gördüklerinde sizi bilgilendirmek için kullanıcılarınızdan gelen geri bildirimleri kullanabilirsiniz.

3. Adım: SCL=-1 posta akışı kuralını koruma veya oluşturma

Gelen e-postanız Microsoft 365'in önünde yer alan başka bir koruma hizmeti aracılığıyla yönlendirildiğinden, Exchange Online tüm gelen postaların istenmeyen posta güvenilirlik düzeyini (SCL) -1 (istenmeyen posta filtrelemesini atla) ayarlayan bir posta akışı kuralınız (aktarım kuralı olarak da bilinir) zaten vardır. Üçüncü taraf koruma hizmetlerinin çoğu, hizmetlerini kullanmak isteyen Microsoft 365 müşterileri için bu SCL=-1 posta akışı kuralını teşvik edebilir.

Microsoft filtreleme yığınını geçersiz kılmak için başka bir mekanizma (örneğin, ip izin listesi) kullanıyorsanız, Microsoft 365'e gelen tüm internet postaları üçüncü taraf koruma hizmetinden geldiği sürece (doğrudan İnternet'ten Microsoft 365'e posta akışı yapılmaz) SCL=-1 posta akışı kuralına geçmenizi öneririz.

Geçiş sırasında SCL=-1 posta akışı kuralı aşağıdaki nedenlerle önemlidir:

  • Microsoft yığınındaki hangi özelliklerin mevcut koruma hizmetinizin sonuçlarını etkilemeden iletiler üzerinde işlem yapacağını görmek için Tehdit Gezgini'ni (Explorer) kullanabilirsiniz.

  • SCL=-1 posta akışı kuralına özel durumlar yapılandırarak Microsoft 365 filtreleme yığını tarafından kimlerin korunduğunu aşamalı olarak ayarlayabilirsiniz. Özel durumlar, bu makalenin ilerleyen bölümlerinde önerdiğimiz pilot dağıtım gruplarının üyeleridir.

    MX kaydınızın Microsoft 365'e tam geçişi öncesinde veya sırasında, kuruluşunuzdaki tüm alıcılar için Microsoft 365 koruma yığınının tam korumasını açmak için bu kuralı devre dışı bırakırsınız.

Daha fazla bilgi için bkz. Exchange Online iletilerde istenmeyen posta güvenilirlik düzeyini (SCL) ayarlamak için posta akışı kurallarını kullanma.

Notlar:

  • İnternet postasının mevcut koruma hizmetiniz üzerinden ve doğrudan Microsoft 365'e aynı anda akmasına izin vermek istiyorsanız, SCL=-1 posta akışı kuralını (istenmeyen posta filtrelemeyi atlayan posta) yalnızca mevcut koruma hizmetinizden geçen postalarla kısıtlamanız gerekir. Microsoft 365'te kullanıcı posta kutularına filtrelenmemiş internet postası girişini istemezsiniz.

    Mevcut koruma hizmetiniz tarafından zaten taranmış postaları doğru şekilde tanımlamak için, SCL=-1 posta akışı kuralına bir koşul ekleyebilirsiniz. Örneğin:

    • Bulut tabanlı koruma hizmetleri için: Kuruluşunuza özgü bir üst bilgi ve üst bilgi değeri kullanabilirsiniz. Üst bilgi içeren iletiler Microsoft 365 tarafından taranmıyor. Üst bilgi içermeyen iletiler Microsoft 365 tarafından taranır
    • Şirket içi koruma hizmetleri veya cihazları için: Kaynak IP adreslerini kullanabilirsiniz. Kaynak IP adreslerinden gelen iletiler Microsoft 365 tarafından taranmıyor. Kaynak IP adreslerinden olmayan iletiler Microsoft 365 tarafından taranır.

  • Postanın filtrelenip filtrelenmediğini denetlemek için yalnızca MX kayıtlarına güvenmeyin. Gönderenler MX kaydını kolayca yoksayabilir ve doğrudan Microsoft 365'e e-posta gönderebilir.

4. Adım: Bağlayıcılar için Gelişmiş Filtrelemeyi Yapılandırma

İlk yapmanız gereken, mevcut koruma hizmetinizden Microsoft 365'e posta akışı için kullanılan bağlayıcıda Bağlayıcılar için Gelişmiş Filtreleme 'yi ( listelemeyi atlama olarak da bilinir) yapılandırmaktır. Bağlayıcıyı tanımlamaya yardımcı olması için Gelen iletiler raporunu kullanabilirsiniz.

Office 365 için Defender tarafından İnternet iletilerinin nereden geldiğini görmek için Bağlayıcılar için Gelişmiş Filtreleme gereklidir. Bağlayıcılar için İyileştirilmiş Filtreleme, Microsoft filtreleme yığınının doğruluğunu büyük ölçüde artırır (özellikle tehdit sahtekarlığı zekası ve Tehdit Gezgini ve Otomatik Araştırma & Yanıtı (AIR) içindeki ihlal sonrası özellikler.

Bağlayıcılar için Gelişmiş Filtreleme'yi doğru bir şekilde etkinleştirmek için, gelen postaları Microsoft 365'e yönlendiren **tüm** üçüncü taraf hizmetlerin ve/veya şirket içi e-posta sistemi konaklarının genel IP adreslerini eklemeniz gerekir.

Bağlayıcılar için Gelişmiş Filtreleme'nin çalıştığını onaylamak için, gelen iletilerin aşağıdaki üst bilgilerden birini veya her ikisini birden içerdiğini doğrulayın:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

5. Adım: Pilot koruma ilkelerini İçerik Oluşturucu

Tüm kullanıcılara uygulanmamış olsalar bile üretim ilkeleri oluşturarak Tehdit Gezgini gibi ihlal sonrası özellikleri test edebilir ve Office 365 için Defender güvenlik yanıtı ekibinizin süreçleriyle tümleştirmeyi test edebilirsiniz.

Önemli

İlkelerin kapsamı kullanıcılar, gruplar veya etki alanları olabilir. Yalnızca üçüyle eşleşen kullanıcılar ilkenin kapsamına gireceği için üçünün de tek bir ilkede karıştırılması önerilmez. Pilot ilkeler için grupları veya kullanıcıları kullanmanızı öneririz. Üretim ilkeleri için etki alanlarını kullanmanızı öneririz. Kullanıcının ilke kapsamında olup olmadığını yalnızca kullanıcının birincil e-posta etki alanının belirlediğini anlamak son derece önemlidir. Bu nedenle, kullanıcının ikincil etki alanı için MX kaydını değiştirirseniz, birincil etki alanının da bir ilke kapsamında olduğundan emin olun.

Pilot Güvenli Ekler ilkelerini İçerik Oluşturucu

Güvenli Ekler, MX kaydınızı değiştirmeden önce etkinleştirmek ve test etmek için en kolay Office 365 için Defender özelliktir. Güvenli Ekler aşağıdaki avantajlara sahiptir:

  • Minimum yapılandırma.
  • Hatalı pozitiflerin son derece düşük olma olasılığı.
  • Her zaman açık olan ve SCL=-1 posta akışı kuralından etkilenmeyen kötü amaçlı yazılımdan koruma davranışına benzer.

Önerilen ayarlar için bkz. Önerilen Güvenli Ekler ilke ayarları. Standart ve Katı öneriler aynıdır. İlkeyi oluşturmak için bkz. Güvenli Ekler ilkelerini ayarlama. İlkenin koşulu olarak grup MDOPilot_SafeAttachments kullandığınızdan emin olun (ilkenin uygulandığı kişiler).

Not

Yerleşik koruma önceden ayarlanmış güvenlik ilkesi, Güvenli Ekler ilkesinde tanımlanmayan tüm alıcılara Güvenli Ekler koruması sağlar. Daha fazla bilgi için bkz. EOP'de önceden ayarlanmış güvenlik ilkeleri ve Office 365 için Microsoft Defender.

Not

Zaten sarmalanmış veya yeniden yazılmış bağlantıları sarmalama veya yeniden yazma desteğimiz yok. Geçerli koruma hizmetiniz e-posta iletilerindeki bağlantıları zaten sarmalar veya yeniden yazarsa, pilot kullanıcılarınız için bu özelliği kapatmanız gerekir. Bunun olmamasını sağlamanın bir yolu, Diğer hizmetin URL etki alanını Güvenli Bağlantılar ilkesinde dışlamaktır.

Güvenli Bağlantılar'da hatalı pozitif sonuç olasılığı da oldukça düşüktür, ancak özelliği Güvenli Ekler'den daha az sayıda pilot kullanıcı üzerinde test etmeyi düşünmelisiniz. Özellik kullanıcı deneyimini etkilediğinden, kullanıcıları eğitmek için bir plan düşünmelisiniz.

Önerilen ayarlar için bkz. Güvenli Bağlantılar ilke ayarları. Standart ve Katı öneriler aynıdır. İlkeyi oluşturmak için bkz. Güvenli Bağlantılar ilkelerini ayarlama. İlkenin koşulu olarak grup MDOPilot_SafeLinks kullandığınızdan emin olun (ilkenin uygulandığı kişiler).

Not

Yerleşik koruma önceden ayarlanmış güvenlik ilkesi, Güvenli Bağlantılar ilkelerinde tanımlanmayan tüm alıcılara Güvenli Bağlantılar koruması sağlar. Daha fazla bilgi için bkz. EOP'de önceden ayarlanmış güvenlik ilkeleri ve Office 365 için Microsoft Defender.

pilot istenmeyen posta önleme ilkelerini İçerik Oluşturucu

Pilot kullanıcılar için iki istenmeyen posta önleme ilkesi İçerik Oluşturucu:

  • Standart ayarları kullanan bir ilke. İlkenin koşulu olarak grup MDOPilot_SpamPhish_Standard kullanın (ilkenin uygulandığı kişiler).
  • Katı ayarları kullanan bir ilke. İlkenin koşulu olarak grup MDOPilot_SpamPhish_Strict kullanın (ilkenin uygulandığı kişiler). Bu ilke, Standart ayarlara sahip ilkeden daha yüksek önceliğe (daha düşük sayıya) sahip olmalıdır.

Önerilen Standart ve Katı ayarlar için bkz. Önerilen istenmeyen posta önleme ilkesi ayarları. İlkeleri oluşturmak için bkz. İstenmeyen posta önleme ilkelerini yapılandırma.

İçerik Oluşturucu pilot kimlik avı önleme ilkeleri

Pilot kullanıcılar için iki kimlik avı önleme ilkesi İçerik Oluşturucu:

  • Aşağıda açıklandığı gibi kimliğe bürünme algılama eylemleri dışında Standart ayarları kullanan bir ilke. İlkenin koşulu olarak grup MDOPilot_SpamPhish_Standard kullanın (ilkenin uygulandığı kişiler).
  • Aşağıda açıklandığı gibi kimliğe bürünme algılama eylemleri dışında Katı ayarları kullanan bir ilke. İlkenin koşulu olarak grup MDOPilot_SpamPhish_Strict kullanın (ilkenin uygulandığı kişiler). Bu ilke, Standart ayarlara sahip ilkeden daha yüksek önceliğe (daha düşük sayıya) sahip olmalıdır.

Sahtekarlık algılamaları için önerilen Standart eylem, iletiyi alıcıların Gereksiz Email klasörlerine taşıma eylemidir ve önerilen Katı eylem iletiyi karantinaya al'dır. Sonuçları gözlemlemek için sahte zeka içgörülerini kullanın. Geçersiz kılmalar sonraki bölümde açıklanmıştır. Daha fazla bilgi için bkz . EOP'de sahte zeka içgörüleri.

Kimliğe bürünme algılamaları için pilot ilkeler için önerilen Standart ve Katı eylemleri yoksayın. Bunun yerine, aşağıdaki ayarlar için Hiçbir eylem uygulama değerini kullanın:

  • Kullanıcı kimliğe bürünme olarak bir ileti algılanırsa
  • İleti kimliğine bürünülen etki alanı olarak algılanırsa
  • Posta kutusu zekası kimliğine bürünülen bir kullanıcı algılarsa

Sonuçları gözlemlemek için kimliğe bürünme içgörülerini kullanın. Daha fazla bilgi için bkz. Office 365 için Defender'de Kimliğe Bürünme içgörüleri.

Kimlik sahtekarlığı korumasını ayarlayın (izin ve blokları ayarlayın) ve iletileri karantinaya almak veya Gereksiz Email klasörüne taşımak için her kimliğe bürünme koruma eylemini açın (Standart veya Katı önerilere göre). Sonuçları gözlemleyin ve ayarlarını gerektiği gibi ayarlayın.

Daha fazla bilgi için aşağıdaki makalelere bakın:

Sonraki adım

Tebrikler! Office 365 için Microsoft Defender geçişinizin Kurulumaşamasını tamamladınız!