Office 365 için Microsoft Defender Geçiş - 3. Aşama: Ekleme

• Şunlara uygulanır:

  ✅ Microsoft Defender for Office 365 Plan 2

Aşama 1: Hazırlık	Aşama 2: Kurulum	Aşama 3: Katılım
		Buradasınız!

3. Aşama:geçişinizi Office 365 için Microsoft Defender eklemeye hoş geldiniz! Bu geçiş aşaması aşağıdaki adımları içerir:

1. Güvenlik Ekiplerini eklemeye başlama
2. (İsteğe bağlı) Pilot kullanıcıların mevcut koruma hizmetinize göre filtrelemesini muaf tutma
3. Sahte zekayı ayarlama
4. Kimliğe bürünme koruması ve posta kutusu zekasını ayarlama
5. Ölçmek ve ayarlamak için kullanıcı tarafından bildirilen iletilerden alınan verileri kullanma
6. (İsteğe bağlı) Pilotunuza daha fazla kullanıcı ekleme ve yineleme
7. Microsoft 365 korumasını tüm kullanıcılara genişletme ve SCL=-1 posta akışı kuralını kapatma
8. MX kayıtlarınızı değiştirme

1. Adım: Güvenlik Ekiplerini eklemeye başlama

Kuruluşunuzun bir güvenlik yanıt ekibi varsa, şimdi Office 365 için Microsoft Defender bilet sistemleri de dahil olmak üzere yanıt süreçlerinizle tümleştirmeye başlamanın tam zamanıdır. Bu işlem başlı başına bir konudur, ancak bazen göz ardı edilir. Güvenlik yanıtı ekibini erken devreye almak, MX kayıtlarınızı değiştirdiğinizde kuruluşunuzun tehditlerle başa çıkmak için hazır olmasını sağlar. Olay yanıtının aşağıdaki görevleri yerine getirmek için iyi bir donanıma sahip olması gerekir:

• Yeni araçları öğrenin ve mevcut akışlarla tümleştirin. Örneğin:
  • Karantinaya alınan iletilerin Yönetici yönetimi önemlidir. Yönergeler için bkz. Karantinaya alınan iletileri ve dosyaları yönetici olarak yönetme.
  • İleti izleme, Microsoft 365'e girerken veya microsoft 365'den ayrılırken iletilere ne olduğunu görmenizi sağlar. Daha fazla bilgi için bkz. Exchange Online'deki modern Exchange yönetim merkezinde ileti izleme.
• Kuruluşa izin verilmiş olabilecek riskleri belirleyin.
• Kurumsal işlemler için uyarıları ayarlayın ve özelleştirin.
• Olay sırasını yönetin ve olası riskleri düzeltin.

Kuruluşunuz Plan 2 Office 365 için Microsoft Defender satın aldıysa Tehdit Gezgini, Gelişmiş Tehdit Avcılığı ve Olaylar gibi özellikleri tanımaya ve kullanmaya başlamalıdır. İlgili eğitimler için bkz https://aka.ms/mdoninja. .

Güvenlik yanıtı ekibiniz filtrelenmemiş iletileri toplar ve çözümlerse, bu filtrelenmemiş iletileri almak için bir SecOps posta kutusu yapılandırabilirsiniz. Yönergeler için bkz. Gelişmiş teslim ilkesinde SecOps posta kutularını yapılandırma.

SIEM/SOAR

SIEM/SOAR ile tümleştirme hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

• Microsoft Defender XDR API'lerine genel bakış
• Akış API'si
• Gelişmiş Tehdit Avcılığı API'si
• Olay API'leri

Kuruluşunuzun bir güvenlik yanıt ekibi veya mevcut süreç akışları yoksa, bu zamanı kullanarak Office 365 için Defender'daki temel tehdit avcılığı ve yanıt özellikleri hakkında bilgi edinebilirsiniz. Daha fazla bilgi için bkz . Tehdit araştırması ve yanıtı.

RBAC rolleri

Office 365 için Defender izinler rol tabanlı erişim denetimini (RBAC) temel alır ve Microsoft Defender portalındaki İzinler bölümünde açıklanmıştır. Göz önünde bulundurulması gereken önemli noktalar şunlardır:

• Microsoft Entra rolleri, Microsoft 365'teki tüm iş yüklerine izin verir. Örneğin, Azure portal Güvenlik Yöneticisi'ne bir kullanıcı eklerseniz, her yerde Güvenlik Yöneticisi izinleri olur.
• Microsoft Defender portalındaki işbirliği rollerini Email &, Microsoft Defender portalına ve Microsoft Purview uyumluluk portalı izin verir. Örneğin, Microsoft Defender portalında Güvenlik Yöneticisi'ne bir kullanıcı eklerseniz, bu kullanıcının yalnızca Microsoft Defender portalında ve Microsoft Purview uyumluluk portalı Güvenlik Yöneticisi erişimi olur.
• Microsoft Defender portalındaki birçok özellik Exchange Online PowerShell cmdlet'lerini temel alır ve bu nedenle Exchange Online (özellikle ilgili Exchange Online PowerShell'e erişim için) ilgili rollerde (teknik olarak rol grupları) rol grubu üyeliği gerektirir cmdlet'leri).
• Microsoft Defender portalında Microsoft Entra rollerine eşdeğer olmayan ve güvenlik işlemleri için önemli olan Email & işbirliği rolü vardır (örneğin Önizleme rolü, Arama ve Temizleme rolü).

Genellikle yalnızca bir güvenlik personeli alt kümesi, iletileri doğrudan kullanıcı posta kutularından indirmek için ek haklara ihtiyaç duyar. Bu gereksinim, Güvenlik Okuyucusu'nun varsayılan olarak sahip olmadığı ek bir izin gerektirir.

2. Adım: (İsteğe bağlı) Pilot kullanıcıların mevcut koruma hizmetinize göre filtrelemesini muaf tutma

Bu adım gerekli olmasa da, pilot kullanıcılarınızı mevcut koruma hizmetinize göre filtrelemeyi atlayacak şekilde yapılandırmayı düşünmelisiniz. Bu eylem, Office 365 için Defender pilot kullanıcılar için tüm filtreleme ve koruma görevlerini işlemesini sağlar. Pilot kullanıcılarınızı mevcut koruma hizmetinizden muaf tutmazsanız, Office 365 için Defender etkin bir şekilde yalnızca diğer hizmetten gelen kayıplarda (filtrelenmiş iletileri filtreleme) etkin bir şekilde çalışır.

Not

Geçerli koruma hizmetiniz bağlantı sarmalama sağlıyorsa ancak Güvenli Bağlantılar işlevselliğini pilot olarak kullanmak istiyorsanız bu adım açıkça gereklidir. Bağlantıların çift kaydırması desteklenmez.

3. Adım: Sahte zekayı ayarlama

Kimlik sahtekarlığına izin verilen veya engellenen özellikleri görmek ve kimlik sahtekarlığına yönelik sistem kararını geçersiz kılmanız gerekip gerekmediğini belirlemek için Kimlik Sahtekarlığına ilişkin bilgi sahtekarlığına ilişkin içgörüleri gözden geçirin. İş açısından kritik e-postalarınızın bazı kaynaklarında DNS'de (SPF, DKIM ve DMARC) e-posta kimlik doğrulama kayıtları yanlış yapılandırılmış olabilir ve etki alanı sorunlarını maskelemek için mevcut koruma hizmetinizde geçersiz kılmalar kullanıyor olabilirsiniz.

Kimlik sahtekarlığına yönelik bilgiler, DNS'de düzgün e-posta kimlik doğrulaması kayıtları olmadan etki alanlarından e-postaları kurtarabilir, ancak özellik bazen iyi sahtekarlık ile hatalı kimlik sahtekarlıklarını ayırt etme konusunda yardıma ihtiyaç duyar. Aşağıdaki ileti kaynağı türlerine odaklanın:

• Bağlayıcılar için Gelişmiş Filtreleme'de tanımlanan IP adresi aralıklarının dışında olan ileti kaynakları.
• İleti sayısı en yüksek olan ileti kaynakları.
• Kuruluşunuz üzerinde en yüksek etkiye sahip ileti kaynakları.

Kullanıcı tarafından bildirilen ayarları yapılandırdıktan sonra kimlik sahtekarlığı zekası kendini ayarlar, dolayısıyla mükemmellik gerekmez.

4. Adım: Kimliğe bürünme korumasını ve posta kutusu zekasını ayarlama

Herhangi bir eylem modu uygulama bölümünde kimliğe bürünme korumasının sonuçlarını gözlemlemek için yeterli süreniz olduktan sonra kimlik avı önleme ilkelerindeki her kimliğe bürünme koruması eylemini tek tek açabilirsiniz:

• Kullanıcı kimliğe bürünme koruması: İletiyi hem Standart hem de Katı için karantinaya alın .
• Etki alanı kimliğe bürünme koruması: İletiyi hem Standart hem de Katı için karantinaya alın .
• Posta kutusu yönetim bilgileri koruması: İletiyi Standart için alıcıların Gereksiz Email klasörlerine taşıyın; İletiyi Strict için karantinaya alın.

İletiler üzerinde işlem yapmadan kimliğe bürünme koruması sonuçlarını ne kadar uzun süre izlerseniz, tanımlamanız gereken izinler veya bloklar da o kadar fazla olur. Gözlem ve ayarlamaya izin verecek kadar önemli olan her korumayı açmak arasında bir gecikme kullanmayı göz önünde bulundurun.

Not

Bu korumaların sık ve sürekli izlenmesi ve ayarlanması önemlidir. Hatalı pozitif olduğundan şüpheleniyorsanız, nedenini araştırın ve geçersiz kılmaları yalnızca gerektiği gibi ve yalnızca bunu gerektiren algılama özelliği için kullanın.

Posta kutusu zekası ayarlama

Posta kutusu zekası kimliğe bürünme girişimleri olduğu belirlenen iletilerde hiçbir işlem gerçekleştirecek şekilde yapılandırılmış olsa da, açılır ve pilot kullanıcıların e-posta gönderme ve alma desenlerini öğrenir. Dış kullanıcı pilot kullanıcılarınızdan biriyle iletişim halindeyse, bu dış kullanıcıdan gelen iletiler posta kutusu zekası tarafından kimliğe bürünme girişimleri olarak tanımlanmaz (bu nedenle hatalı pozitif sonuçları azaltır).

Hazır olduğunuzda, posta kutusu zekasının kimliğe bürünme girişimi olarak algılanan iletiler üzerinde işlem gerçekleştirmesine izin vermek için aşağıdaki adımları uygulayın:

• Standart koruma ayarlarıyla kimlik avı önleme ilkesinde, Posta kutusu zekası kimliğine bürünülen bir kullanıcı algılarsailetisini alıcıların Gereksiz Email klasörlerine taşı olarak değerini değiştirin.

• Katı koruma ayarlarıyla kimlik avı önleme ilkesinde, Posta kutusu zekası tarafından algılanan ve kimliğine bürünülen kullanıcıyı algılarsa değerini Karantinaya al olarak değiştirin.

İlkeleri değiştirmek için bkz. Office 365 için Defender'da kimlik avı önleme ilkelerini yapılandırma.

Sonuçları gözlemleyip herhangi bir ayarlama yaptıktan sonra, kullanıcı kimliğine bürünme tarafından algılanan iletileri karantinaya almak için sonraki bölüme geçin.

Kullanıcı kimliğe bürünme korumasını ayarlama

Standart ve Katı ayarları temel alan kimlik avı önleme ilkelerinizin her ikisinde de, kullanıcı kimliğine bürünme olarak algılanan iletinin değerini Karantinaya al olarak değiştirin.

Kullanıcı kimliğe bürünme girişimi olarak neyin engellendiğini görmek için kimliğe bürünme içgörüsüsüne bakın.

İlkeleri değiştirmek için bkz. Office 365 için Defender'da kimlik avı önleme ilkelerini yapılandırma.

Sonuçları gözlemleyip herhangi bir ayarlama yaptıktan sonra, etki alanı kimliğe bürünme tarafından algılanan iletileri karantinaya almak için sonraki bölüme geçin.

Etki alanı kimliğe bürünme korumasını ayarlama

Standart ve Katı ayarları temel alan kimlik avı önleme ilkelerinizin her ikisinde de, etki alanı kimliğe bürünme olarak algılanan bir ileti varsa değerini İletiyi karantinaya al olarak değiştirin.

Etki alanı kimliğe bürünme girişimi olarak engellenenleri görmek için kimliğe bürünme içgörüsüsüne bakın.

İlkeleri değiştirmek için bkz. Office 365 için Defender'da kimlik avı önleme ilkelerini yapılandırma.

Sonuçları gözlemleyin ve gerekli ayarlamaları yapın.

5. Adım: Ölçmek ve ayarlamak için kullanıcı tarafından bildirilen iletilerden alınan verileri kullanma

Pilot kullanıcılarınız hatalı pozitif sonuçları ve hatalı negatifleri rapor ettikçe, iletiler Microsoft Defender portalındaki Gönderimler sayfasınınKullanıcı tarafından bildirilen sekmesinde görünür. Analiz için yanlış tanımlanan iletileri Microsoft'a bildirebilir ve bilgileri kullanarak pilot ilkelerinizdeki ayarları ve özel durumları gerektiği gibi ayarlayabilirsiniz.

Office 365 için Defender koruma ayarlarını izlemek ve yinelemek için aşağıdaki özellikleri kullanın:

• Karantina
• Tehdit Gezgini (Gezgin)
• güvenlik raporlarını Email
• raporları Office 365 için Defender
• Posta akışı içgörüleri
• Posta akışı raporları

Kuruluşunuz kullanıcı tarafından bildirilen iletiler için üçüncü taraf bir hizmet kullanıyorsa bu verileri geri bildirim döngünüzle tümleştirebilirsiniz.

6. Adım: (İsteğe bağlı) Pilotunuza daha fazla kullanıcı ekleme ve yineleme

Sorunları bulup düzeltirken pilot gruplara daha fazla kullanıcı ekleyebilirsiniz (ve buna karşılık olarak bu yeni pilot kullanıcıları mevcut koruma hizmetiniz tarafından taramadan muaf tutabilirsiniz). Şimdi ne kadar çok test yaparsanız, daha sonra ilgilenmeniz gereken kullanıcı sorunları o kadar az olur. Bu "şelale" yaklaşımı kuruluşun büyük bölümlerine göre ayarlamaya olanak tanır ve güvenlik ekiplerinize yeni araçlara ve süreçlere uyum sağlaması için zaman verir.

• Microsoft 365, kuruluş ilkeleri tarafından yüksek güvenilirlikli kimlik avı iletilerine izin verildiğinde uyarılar oluşturur. Bu iletileri tanımlamak için aşağıdaki seçeneklere sahipsiniz:

  • Tehdit koruması durum raporundaki geçersiz kılmalar.
  • İletileri tanımlamak için Tehdit Gezgini'nde filtreleyin.
  • İletileri tanımlamak için Gelişmiş Tehdit Avcılığı'nda filtreleyin.

  Hatalı pozitif sonuçları , yönetici gönderimleri aracılığıyla mümkün olan en erken zamanda Microsoft'a bildirin ve bu hatalı pozitif sonuçların güvenli geçersiz kılmalarını yapılandırmak için Kiracı İzin Ver/Engelle Listesi özelliğini kullanın.

• Gereksiz geçersiz kılmaları incelemek de iyi bir fikirdir. Başka bir deyişle, Microsoft 365'in iletilerde verdiği kararlara bakın. Microsoft 365 doğru kararı verdiyse geçersiz kılma gereksinimi büyük ölçüde azalır veya ortadan kalkar.

7. Adım: Microsoft 365 korumasını tüm kullanıcılara genişletme ve SCL=-1 posta akışı kuralını kapatma

MX kayıtlarınızı Microsoft 365'e işaret etmeye hazır olduğunuzda bu bölümdeki adımları uygulayın.

1. Pilot ilkeleri kuruluşun tamamına genişletme. Temel olarak, ilkeleri genişletmenin farklı yolları vardır:

   • Önceden ayarlanmış güvenlik ilkelerini kullanın ve kullanıcılarınızı Standart koruma profili ile Katı koruma profili arasında bölün (herkesin kapsandığından emin olun). Önceden ayarlanmış güvenlik ilkeleri, oluşturduğunuz herhangi bir özel ilkeden veya varsayılan ilkeden önce uygulanır. Tek tek pilot ilkelerinizi silmeden kapatabilirsiniz.

     Önceden ayarlanmış güvenlik ilkelerinin dezavantajı, önemli ayarları oluşturduktan sonra çoğu ayarı değiştirememenizdir.

   • Pilot sırasında oluşturduğunuz ve ayarladığınız ilkelerin kapsamını tüm kullanıcıları (örneğin, tüm etki alanlarındaki tüm alıcıları) içerecek şekilde değiştirin. Aynı türdeki birden çok ilkenin (örneğin, kimlik avı önleme ilkeleri) aynı kullanıcıya (tek tek, grup üyeliğine veya e-posta etki alanına göre) uygulandığını, yalnızca en yüksek önceliğe (en düşük öncelik numarasına) sahip ilke ayarlarının uygulandığını ve bu ilke türü için işlemenin durdurulduğunu unutmayın.

2. SCL=-1 posta akışı kuralını kapatın (silmeden kapatabilirsiniz).

3. Önceki değişikliklerin geçerli olduğunu ve Office 365 için Defender artık tüm kullanıcılar için düzgün bir şekilde etkinleştirildiğini doğrulayın. Bu noktada, Office 365 için Defender tüm koruma özelliklerinin artık tüm alıcılar için posta üzerinde işlem yapmalarına izin verilir, ancak bu posta zaten mevcut koruma hizmetiniz tarafından taranmıştır.

Daha büyük ölçekli veri kaydı ve ayarlama için bu aşamada duraklatabilirsiniz.

8. Adım: MX kayıtlarınızı değiştirme

Not

• Etki alanınız için MX kaydını değiştirdiğinizde değişikliklerin İnternet'e yayılması 48 saate kadar sürebilir.
• Daha hızlı yanıt ve olası geri alma (gerekirse) için DNS kayıtlarınızın TTL değerini düşürmenizi öneririz. Geçiş tamamlandıktan ve doğrulandıktan sonra özgün TTL değerine geri dönebilirsiniz.
• Daha az sıklıkta kullanılan etki alanlarını değiştirmekle başlamayı düşünmelisiniz. Daha büyük etki alanlarına geçmeden önce duraklatabilir ve izleyebilirsiniz. Ancak, bunu yapsanız bile, ikincil SMTP etki alanları ilke uygulamasından önceki birincil etki alanlarına çözümlendiğinden, tüm kullanıcıların ve etki alanlarının ilkeler kapsamında olduğundan emin olmanız gerekir.
• Tek bir etki alanı için birden çok MX kaydı teknik olarak çalışır ve bu makaledeki tüm yönergeleri izlemiş olmanız koşuluyla bölünmüş yönlendirmeye sahip olmanıza olanak sağlar. Özellikle, ilkelerin tüm kullanıcılara uygulandığından, SCL=-1 posta akışı kuralının yalnızca Kurulum Adım 3: SCL=-1 posta akışı kuralını koruma veya oluşturma başlığı altında açıklandığı gibi var olan koruma hizmetinizden geçen postalara uygulandığından emin olmanız gerekir. Ancak, bu yapılandırma sorun gidermeyi çok daha zor hale getiren bir davranış ortaya çıkarır ve bu nedenle, özellikle uzun süreler için genellikle bunu önermeyiz.
• MX kayıtlarınızı değiştirmeden önce, koruma hizmetinden Microsoft 365'e gelen bağlayıcıda aşağıdaki ayarların etkinleştirilmediğini doğrulayın. Bağlayıcıda genellikle aşağıdaki ayarlardan biri veya daha fazlası yapılandırılır:
  • ve iş ortağının Office 365 ile kimlik doğrulaması yapmak için kullandığı sertifikadaki konu adının bu etki alanı adıyla (RestrictDomainsToCertificate) eşleşmesini gerektirir
  • Bu IP adresi aralığından gönderilmeyen e-posta iletilerini reddet (RestrictDomainsToIPAddresses) Bağlayıcı türü İş Ortağı ise ve bu ayarlardan biri açıksa, MX kayıtlarınızı değiştirdikten sonra etki alanlarınıza tüm posta teslimi başarısız olur. Devam etmeden önce bu ayarları devre dışı bırakmanız gerekir. Bağlayıcı karma için kullanılan bir şirket içi bağlayıcıysa, şirket içi bağlayıcıyı değiştirmeniz gerekmez. Ancak yine de bir İş Ortağı bağlayıcısının olup olmadığını de kontrol edebilirsiniz.
• Geçerli posta ağ geçidiniz de alıcı doğrulaması sağlıyorsa, etki alanının Microsoft 365'te Yetkili olarak yapılandırılıp yapılandırılmadığını denetlemek isteyebilirsiniz. Bu, gereksiz geri dönen iletileri önleyebilir.

Hazır olduğunuzda, etki alanlarınız için MX kaydını değiştirin. Tüm etki alanlarınızı aynı anda geçirebilirsiniz. İsterseniz, önce daha az sık kullanılan etki alanlarını ve ardından geri kalanları daha sonra geçirebilirsiniz.

Herhangi bir noktada burada duraklama ve değerlendirme yapmaktan çekinmeyin. Ancak unutmayın: SCL=-1 posta akışı kuralını kapattığınızda, kullanıcıların hatalı pozitif sonuçları denetlemek için iki farklı deneyimi olabilir. Tek ve tutarlı bir deneyimi ne kadar erken sağlayabilirseniz, eksik bir iletiyle ilgili sorunları gidermek zorunda olan kullanıcılarınız ve yardım masası ekipleriniz o kadar mutlu olur.

Sonraki adımlar

Tebrikler! Office 365 için Microsoft Defender geçişinizi tamamladınız! Bu geçiş kılavuzundaki adımları izlediğiniz için, postanın doğrudan Microsoft 365'e teslim edildiği ilk birkaç gün çok daha sorunsuz olmalıdır.

Şimdi Office 365 için Defender normal çalışmasına ve bakımına başlarsınız. Pilot sırasında karşılaştığınıza benzer ancak daha büyük ölçekte sorunları izleyin ve watch. Kimlik sahtekarlığı zekası içgörüleri ve kimliğe bürünme içgörüleri en çok yararlıdır, ancak aşağıdaki etkinlikleri normal bir durum haline getirebilirsiniz:

• Kullanıcı tarafından bildirilen iletileri, özellikle de kullanıcı tarafından bildirilen kimlik avı iletilerini gözden geçirme
• Tehdit koruması durum raporundaki geçersiz kılmaları gözden geçirin.
• Fırsatları ve riskli iletileri ayarlamak için Gelişmiş Tehdit Avcılığı sorgularını kullanın.