试点和部署 Defender for Office 365
适用于:
- Microsoft Defender XDR
本文提供在组织中试点和部署 Microsoft Defender for Office 365 的工作流。 你可以使用这些建议将 Microsoft Defender for Office 365 加入为单独的网络安全工具,或者作为使用 Microsoft Defender XDR 的端到端解决方案的一部分。
本文假设你有一个生产Microsoft 365 租户,并且正在在此环境中试点和部署 Microsoft Defender for Office 365。 这种做法将维护在试点期间为完整部署配置的任何设置和自定义项。
Defender for Office 365 有助于防止或减少违规造成的业务损失,从而为零信任体系结构做出贡献。 有关详细信息,请参阅Microsoft零信任采用框架中的 防止或减少违规 业务造成的业务损失。
Microsoft Defender XDR 的端到端部署
这是系列文章 3(共 6 篇),可帮助你部署 Microsoft Defender XDR 的组件,包括调查和响应事件。
本系列文章对应于端到端部署的以下阶段:
| 阶段 | 链接 |
|---|---|
| A. 启动试点 | 启动试点 |
| B. 试点和部署 Microsoft Defender XDR 组件 | - 试点和部署 Defender for Identity - 试点和部署 Defender for Office 365 (本文) - 试点和部署 Defender for Endpoint - 试点和部署 Microsoft Defender for Cloud Apps |
| C. 调查并响应威胁 | 实践事件调查和响应 |
为 Defender for Office 365 试点和部署工作流
下图演示了在 IT 环境中部署产品或服务的常见过程。
首先评估产品或服务及其在组织中的工作方式。 然后,使用适当的一小部分生产基础结构来试用产品或服务,以便进行测试、学习和自定义。 然后,逐步增加部署范围,直到涵盖整个基础结构或组织。
下面是在生产环境中试点和部署 Defender for Office 365 的工作流。
请按照下列步骤操作:
下面是每个部署阶段的建议步骤。
| 部署阶段 | 说明 |
|---|---|
| 评估 | 对 Defender for Office 365 执行产品评估。 |
| 试点 | 为试点组执行步骤 1-7。 |
| 完全部署 | 在步骤 5 中配置试点用户组或添加用户组,以扩展到试点之外,最终包括所有用户帐户。 |
Defender for Office 365 体系结构和要求
下图演示了 Microsoft Defender for Office 365 的基线体系结构,其中可能包括第三方 SMTP 网关或本地集成。 混合共存方案 (即,生产邮箱既是本地邮箱,也是联机) 需要更复杂的配置,本文或评估指南中未介绍。
下表描述了此图示。
| 标注 | 说明 |
|---|---|
| 1 | 外部发送方的主机服务器通常对 MX 记录执行公共 DNS 查找,该记录提供目标服务器来中继消息。 此引荐可以是 Exchange Online (EXO) ,也可以是配置为针对 EXO 中继的 SMTP 网关。 |
| 2 | Exchange Online Protection 协商并验证入站连接,并检查邮件头和内容,以确定需要哪些额外的策略、标记或处理。 |
| 3 | Exchange Online 与 Microsoft Defender for Office 365 集成,以提供更高级的威胁防护、缓解和修正。 |
| 4 | 将处理非恶意邮件、阻止邮件或隔离邮件并将其传递到 EXO 中的收件人,其中会评估和触发与垃圾邮件、邮箱规则或其他设置相关的用户首选项。 |
| 5 | 可以使用 Microsoft Entra Connect 启用与本地 Active Directory 的集成,以便同步和预配已启用邮件的对象和帐户,以Microsoft Entra ID,并最终实现 Exchange Online。 |
| 6 | 集成本地环境时,最好使用 Exchange 服务器来管理和管理与邮件相关的属性、设置和配置。 |
| 7 | Microsoft Defender for Office 365 共享Microsoft Defender XDR 的信号,以 (XDR) 进行扩展检测和响应。 |
本地集成很常见,但可选。 如果环境仅限云,则本指南也适合你。
成功的 Defender for Office 365 评估或生产试点需要以下先决条件:
- 所有收件人邮箱当前都在 Exchange Online 中。
- 公共 MX 记录直接解析为 EOP 或第三方简单邮件传输协议, (SMTP) 网关,然后将入站外部电子邮件直接中继到 EOP。
- 主电子邮件域在 Exchange Online 中配置为 权威 。
- 已根据需要成功部署和配置 基于目录的边缘阻止 (DBEB) 。 有关详细信息,请参阅 使用 Directory-Based Edge 阻止拒绝发送给无效收件人的邮件。
重要
如果这些要求不适用,或者你仍处于混合共存方案中,则 Microsoft Defender for Office 365 评估可能需要更复杂或更高级的配置,这些配置未完全包含在本指南中。
步骤 1:审核和验证公共 MX 记录
若要有效评估 Microsoft Defender for Office 365,请务必通过与租户关联的 Exchange Online Protection (EOP) 实例中继入站外部电子邮件。
- 在 M365 管理门户中 https://admin.microsoft.com,展开 ...如有必要,请全部显示 ,展开 “设置”,然后选择“ 域”。 或者,若要直接转到 “域” 页,请使用 https://admin.microsoft.com/Adminportal/Home#/Domains。
- 在 “域 ”页上,单击复选框以外的条目上的任意位置,选择已验证的电子邮件域。
- 在打开的域详细信息浮出控件中,选择“ DNS 记录 ”选项卡。记下已生成并分配给 EOP 租户的 MX 记录。
- 访问外部 (公共) DNS 区域,并检查与电子邮件域关联的主 MX 记录:
- 例如,如果公共 MX 记录当前与分配的 EOP 地址 (匹配,contoso-com.mail.protection.outlook.com) 则不需要进一步的路由更改。
- 如果公共 MX 记录当前解析为第三方或本地 SMTP 网关,则可能需要其他路由配置。
- 如果公共 MX 记录当前解析为本地 Exchange,则可能仍处于混合模型中,其中某些收件人邮箱尚未迁移到 EXO。
步骤 2:审核接受的域
- 在 Exchange 管理中心 (EAC) , https://admin.exchange.microsoft.com展开 “邮件流”,然后单击“ 接受的域”。 或者,若要直接转到 “接受的域 ”页,请使用 https://admin.exchange.microsoft.com/#/accepteddomains。
- 在 “接受的域 ”页上,记下主电子邮件域的 “域类型 ”值。
- 如果域类型设置为 “权威”,则假定组织的所有收件人邮箱当前都驻留在 Exchange Online 中。
- 如果域类型设置为 InternalRelay,则可能仍处于混合模型中,其中某些收件人邮箱仍驻留在本地。
步骤 3:审核入站连接器
- 在 Exchange 管理中心 (EAC) , https://admin.exchange.microsoft.com展开 “邮件流”,然后单击“ 连接器”。 或者,若要直接转到“连接器”页,请使用 https://admin.exchange.microsoft.com/#/connectors。
- 在“ 连接器 ”页上,记下具有以下设置的任何连接器:
- “发件人”值是可能与第三方 SMTP 网关关联的合作伙伴组织。
- From 值是可能指示你仍处于混合方案中的你的组织。
步骤 4:激活评估
按照此处的说明从 Microsoft Defender 门户激活 Microsoft Defender for Office 365 评估。
有关详细信息,请参阅 试用 Microsoft Defender for Office 365。
在 Microsoft Defender 门户中 https://security.microsoft.com,展开 “电子邮件 & 协作> ”,选择 “策略 & 规则> ”,选择“ 威胁策略> ”向下滚动到“ 其他 ”部分,然后选择“ 评估模式”。 或者,若要直接转到 “评估模式 ”页,请使用 https://security.microsoft.com/atpEvaluation。
在 “评估模式 ”页上,单击“ 开始评估”。
在 “启用保护 ”对话框中,选择“ 否,我只想报告”,然后单击“ 继续”。
在 “选择要包含的用户 ”对话框中,选择“ 所有用户”,然后单击“ 继续”。
在 “帮助我们了解你的邮件流 ”对话框中,根据我们对域的 MX 记录的检测,自动选择以下选项之一:
我仅使用 Microsoft Exchange Online:域的 MX 记录指向 Microsoft 365。 无需配置任何内容,因此请单击“ 完成”。
我使用的是第三方和/或本地服务提供商:在即将到来的屏幕中,选择供应商名称以及接受来自该解决方案的邮件的入站连接器。 你还决定是否需要 Exchange Online 邮件流规则 (也称为传输规则) ,该规则跳过来自第三方保护服务或设备的传入邮件的垃圾邮件筛选。 完成后,单击“ 完成”。
步骤 5:创建试点组
Microsoft Defender for Office 365 试点时,可以选择在为整个组织启用和强制实施策略之前对特定用户进行试点。 创建通讯组有助于管理部署过程。 例如,创建 Defender for Office 365 用户 - 标准保护、 Defender for Office 365 用户 - 严格保护、 Defender for Office 365 用户 - 自定义保护或 Defender for Office 365 用户 - 例外。
为什么“标准”和“严格”是用于这些组的术语可能并不明显,但当你深入了解 Defender for Office 365 安全预设时,这一点会变得清晰明了。 将组命名为“自定义”和“例外”不言而喻,尽管大多数用户应属于 标准 且 严格,但自定义和异常组将收集有关管理风险的宝贵数据。
可以直接在 Exchange Online 中创建和定义通讯组,也可以从本地 Active Directory 同步通讯组。
使用已授予收件人管理员角色或已委派组管理权限的帐户, (EAC) https://admin.exchange.microsoft.com 登录到 Exchange 管理中心。
转到 “收件人>组”。
在 “组 ”页上,选择“
添加组。
对于组类型,请选择“ 分发”,然后单击“ 下一步”。
为组提供 “名称” 和可选 “说明”,然后单击“下一步”。
在剩余的页面上,分配所有者、将成员添加到组、设置电子邮件地址、加入/离开限制和其他设置。
步骤 6:配置保护
默认情况下,Defender for Office 365 中的某些功能已配置并启用,但安全操作可能希望提高默认保护级别。
某些功能 尚未 配置。 可以使用以下选项来配置保护 (以后) 更改这些选项:
将用户分配到预设的安全策略: 预设安全策略 是针对所有功能快速分配统一保护级别的建议方法。 可以选择 “标准” 或 “严格 保护”。 此处的表中介绍了“标准”和“严格”的设置。 此处的表中汇总了“标准”和“严格”之间的差异。
预设安全策略的优点是,根据数据中心中的观察结果使用Microsoft的建议设置,尽快保护用户组。 随着新保护功能的添加和安全环境的变化,预设安全策略中的设置会自动更新为建议的设置。
预设安全策略的缺点是,无法自定义预设安全策略中的任何安全设置, (例如,无法将操作从“交付”更改为“垃圾邮件”更改为“隔离”,反之亦然,) 。 例外是 用户模拟和域模拟保护的条目和可选异常,必须手动配置。
此外,请记住,预设的安全策略 始终 在自定义策略之前应用。 因此,如果要创建和使用任何自定义策略,则需要从预设的安全策略中排除这些自定义策略中的用户。
配置 自定义 保护策略:如果希望自行配置环境,请比较 EOP 和 Microsoft Defender for Office 365 安全性的建议设置中的默认值、标准和严格设置。 保留自定义生成偏离位置的电子表格。
还可以使用 配置分析器 将自定义策略中的设置与标准和严格值进行比较。
有关选择预设安全策略与自定义策略的详细信息,请参阅 确定保护策略策略。
分配预设的安全策略
建议从 EOP 和 Defender for Office 365 中的 预设安全策略 开始,方法是在评估过程中将其分配给特定的试点用户或定义的组。 预设策略提供基线 标准 保护模板或更激进的 严格 保护模板,可以单独分配该模板。
例如,如果收件人是定义的 EOP 标准保护组 的成员 ,然后通过向组添加帐户或从中删除帐户来管理,则可以应用试点评估的 EOP 条件。
同样,如果收件人是定义的 Defender for Office 365 标准保护组 的成员 ,然后通过组添加或删除帐户进行管理,则可以应用用于试点评估的 Defender for Office 365 条件。
有关完整说明,请参阅 使用 Microsoft Defender 门户向用户分配标准和严格预设安全策略。
配置自定义保护策略
预定义 的 Standard 或 Strict Defender for Office 365 策略模板为试点用户提供建议的基线保护。 但是,还可以在评估过程中生成和分配自定义保护策略。
请务必注意应用和强制实施这些保护策略时的优先级,如预设安全策略和其他策略的优先级顺序中所述。
配置保护策略中的说明和表提供了有关需要配置的内容的便捷参考。
步骤 7:试用功能
设置和配置试点后,熟悉 Microsoft Defender for Microsoft 365 特有的报告、监视和攻击模拟工具很有帮助。
| 功能 | 说明 | 更多信息 |
|---|---|---|
| 威胁资源管理器 | 威胁资源管理器是一个功能强大的准实时工具,可帮助安全运营团队调查和响应威胁,并显示有关 Office 365 中电子邮件和文件中检测到的恶意软件和网络钓鱼的信息,以及组织面临的其他安全威胁和风险。 | 关于威胁资源管理器 |
| 攻击模拟培训 | 可以使用 Microsoft Defender 门户中的攻击模拟训练在组织中运行真实的攻击方案,这有助于在实际攻击影响环境之前识别和查找易受攻击的用户。 | 开始使用攻击模拟培训 |
| 报表仪表板 | 在左侧导航菜单上,单击“报表”,然后展开“电子邮件 & 协作”标题。 电子邮件 & 协作报告涉及发现安全趋势,其中一些将允许你通过按钮(如“转到提交”) )和其他显示趋势的按钮 (采取操作。 这些指标是自动生成的。 | 在 Microsoft Defender 门户中查看电子邮件安全报告 在 Microsoft Defender 门户中查看 Defender for Office 365 报表 |
SIEM 集成
可以将 Defender for Office 365 与 Microsoft Sentinel 或通用安全信息和事件管理 (SIEM) 服务集成,以集中监视来自连接的应用的警报和活动。 使用 Microsoft Sentinel,可以更全面地分析整个组织的安全事件,并生成 playbook,以便进行有效和即时的响应。
Microsoft Sentinel 包括 Defender for Office 365 连接器。 有关详细信息,请参阅 连接来自 Microsoft Defender for Office 365 的警报。
Microsoft Defender for Office 365 还可以使用 Office 365 活动管理 API 集成到其他 SIEM 解决方案中。 有关与泛型 SIEM 系统集成的信息,请参阅 泛型 SIEM 集成。
后续步骤
将 Microsoft Defender for Office 365 安全操作指南 中的信息合并到 SecOps 流程中。
Microsoft Defender XDR 端到端部署的下一步
使用试点继续对 Microsoft Defender XDR 进行端到端部署 ,并部署 Defender for Endpoint。
提示
想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈