迁移到Microsoft Defender for Office 365 - 阶段 2:设置


阶段 1:准备。
阶段 1:准备		 阶段 2:设置。
阶段 2:设置		 阶段 3:载入。
阶段 3:开始使用
你在这里!

欢迎使用阶段 2:设置迁移到 Microsoft Defender for Office 365! 此迁移阶段包括以下步骤:

  1. 为试点用户Create通讯组
  2. 配置用户报告的消息设置
  3. 维护或创建 SCL=-1 邮件流规则
  4. 为连接器配置增强筛选
  5. Create试点保护策略

步骤 1:为试点用户Create通讯组

Microsoft 365 中的通讯组是迁移的以下方面所必需的:

  • SCL=-1 邮件流规则的例外情况:你希望试点用户获得Defender for Office 365保护的全部效果,因此你需要Defender for Office 365来扫描其传入的邮件。 通过在 Microsoft 365 中的相应通讯组中定义试点用户,并将这些组配置为 SCL=-1 邮件流规则的例外,即可获得此结果。

    载入步骤 2: (可选) 免除试点用户按现有保护服务进行筛选中所述,应考虑将这些试点用户从现有保护服务扫描中免除。 消除按现有保护服务进行筛选并仅依赖Defender for Office 365的可能性,是迁移完成后将发生的情况的最佳最接近的表现。

  • 测试特定的Defender for Office 365保护功能:即使对于试点用户,你也不想同时打开所有内容。 对试点用户有效的保护功能使用分阶段方法可以更轻松地进行故障排除和调整。 考虑到此方法,我们建议使用以下通讯组:

    • 安全附件试点组:例如, MDOPilot_SafeAttachments
    • 安全链接试点组:例如, MDOPilot_SafeLinks
    • 标准反垃圾邮件和防钓鱼策略设置的试点组:例如, MDOPilot_SpamPhish_Standard
    • 严格反垃圾邮件和防钓鱼策略设置的试点组:例如, MDOPilot_SpamPhish_Strict

为清楚起见,我们将在本文中使用这些特定的组名称,但你可以随意使用自己的命名约定。

准备好开始测试时,请将这些组作为例外添加到 SCL=-1 邮件流规则中。 为 Defender for Office 365 中的各种保护功能创建策略时,请将这些组用作定义策略应用于哪些人的条件。

注意

  • 术语“标准”和“严格”来自 建议的安全设置,这些设置也用于 预设的安全策略中。 理想情况下,我们会告诉你在“标准”和“严格”预设安全策略中定义试点用户,但我们不能这样做。 为什么? 由于不能自定义预设安全策略中的设置 (,因此对消息执行的操作) 。 在迁移测试期间,需要查看Defender for Office 365对消息执行的操作,验证是否是所需结果,并可能调整策略配置以允许或阻止这些结果。

    因此,你将手动创建自定义策略,而不是使用预设的安全策略,这些策略的设置类似于,但在某些情况下不同于“标准”和“严格”预设安全策略的设置。

  • 如果要试验与标准或严格建议值 明显 不同的设置,应考虑在这些方案中为试点用户创建和使用其他和特定的通讯组。 可以使用配置分析器查看设置的安全性。 有关说明,请参阅 EOP 中的保护策略的配置分析器和Microsoft Defender for Office 365

    对于大多数组织,最佳方法是从与建议的标准设置紧密一致的策略开始。 在可用时间范围内尽可能多地观察和反馈后,可以稍后转到更积极的设置。 模拟保护和传递到垃圾邮件Email文件夹与传递到隔离区可能需要自定义。

    如果使用自定义策略,只需确保在包含建议的迁移设置的策略 之前 应用它们。 如果在同一类型的多个策略中标识了用户, (例如,反钓鱼) ,则根据策略) 的优先级值,仅对用户应用该类型的一个策略 (。 有关详细信息,请参阅 电子邮件保护的顺序和优先级

步骤 2:配置用户报告的消息设置

用户能够从Defender for Office 365报告误报或误报是迁移的一个重要部分。

可以指定Exchange Online邮箱来接收用户报告为恶意或非恶意的邮件。 有关说明,请参阅 用户报告设置。 此邮箱可以接收用户提交给 Microsoft 的邮件副本,或者邮箱可以截获邮件而不将其报告给 Microsoft (安全团队可以手动分析和提交邮件本身) 。 但是,拦截方法不允许服务自动优化和学习。

你还应确认试点中的所有用户都有一种受支持的方法来报告从Defender for Office 365收到错误判决的消息。 这些选项包括:

不要低估此步骤的重要性。 来自用户报告消息的数据将为你提供反馈循环,你需要在迁移前后验证良好的、一致的最终用户体验。 此反馈可帮助你做出明智的策略配置决策,并向管理层提供数据支持的报告,确保迁移顺利进行。

不止一次迁移导致基于单个负面用户体验的情感猜测,而不是依赖于基于整个组织体验的数据。 此外,如果你一直在运行钓鱼模拟,则可以使用用户的反馈来通知用户何时看到可能需要调查的风险。

步骤 3:维护或创建 SCL=-1 邮件流规则

由于入站电子邮件是通过位于 Microsoft 365 前面的另一个保护服务路由的,因此你可能已经有一个邮件流规则 (也称为Exchange Online传输规则) ,它将所有传入邮件的垃圾邮件置信度 (SCL) 设置为值 -1 (绕过垃圾邮件筛选) 。 对于想要使用其服务的 Microsoft 365 客户,大多数第三方保护服务都鼓励使用此 SCL=-1 邮件流规则。

例如,如果使用其他某种机制来替代 Microsoft 筛选堆栈 (,则 IP 允许列表) 我们建议切换到使用 SCL=-1 邮件流规则, 前提是 所有传入 Microsoft 365 的 Internet 邮件都来自第三方保护服务, (没有邮件直接从 Internet 流向 Microsoft 365) 。

SCL=-1 邮件流规则在迁移过程中很重要,原因如下:

  • 可以使用 威胁资源管理器 (资源管理器) 查看 Microsoft 堆栈中的哪些功能 会在 不影响现有保护服务的结果的情况下处理消息。

  • 可以通过配置 SCL=-1 邮件流规则的例外来逐步调整受 Microsoft 365 筛选堆栈保护的人员。 我们稍后在本文中推荐的试点通讯组的成员除外。

    在将 MX 记录直接切换到 Microsoft 365 之前或期间,请禁用此规则,以便为组织中的所有收件人启用对 Microsoft 365 保护堆栈的完全保护。

有关详细信息,请参阅使用邮件流规则设置垃圾邮件置信度级别 (Exchange Online中的 SCL)

注意

  • 如果计划允许 Internet 邮件通过现有 保护服务同时 直接流向 Microsoft 365,则需要将 SCL=-1 邮件流规则限制 (为绕过垃圾邮件筛选) 的邮件限制为仅通过现有保护服务的邮件。 你不希望未筛选的 Internet 邮件在 Microsoft 365 中的用户邮箱中登陆。

    若要正确标识现有保护服务已扫描的邮件,可以向 SCL=-1 邮件流规则添加条件。 例如:

    • 对于基于云的保护服务:可以使用组织特有的标头和标头值。 Microsoft 365 不会扫描具有 标头的邮件。 Microsoft 365 扫描没有标头的邮件
    • 对于本地保护服务或设备:可以使用源 IP 地址。 Microsoft 365 不会扫描来自源 IP 地址的消息。 Microsoft 365 扫描不是来自源 IP 地址的邮件。

  • 不要仅依赖 MX 记录来控制邮件是否被筛选。 发件人可以轻松忽略 MX 记录,并直接将电子邮件发送到 Microsoft 365。

步骤 4:为连接器配置增强筛选

首先, 为连接器配置增强筛选 (也称为跳过) 用于从现有保护服务到 Microsoft 365 的邮件流的连接器上的 列表 。 可以使用 入站消息报告 来帮助标识连接器。

Defender for Office 365需要增强的连接器筛选功能,以查看 Internet 消息的实际来自何处。 连接器的增强筛选极大地提高了 Microsoft 筛选堆栈的准确性, (特别是 欺骗情报,以及 威胁资源管理器自动调查 & 响应 (AIR) 中的入侵后功能。

若要正确启用连接器的增强筛选,需要添加将入站邮件路由到 Microsoft 365 的所有第三方服务和/或本地电子邮件系统主机的公共 IP 地址。

若要确认连接器的增强筛选是否正常工作,请验证传入消息是否包含以下一个或两个标头:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

步骤 5:Create试点保护策略

通过创建生产策略,即使它们未应用于所有用户,也可以测试威胁资源管理器等违规后功能,并测试将Defender for Office 365集成到安全响应团队流程中。

重要

策略的范围可以限定为用户、组或域。 我们不建议将所有三者混合在一个策略中,因为只有匹配这三个策略的用户才会属于策略范围。 对于试点策略,我们建议使用组或用户。 对于生产策略,建议使用域。 了解只有用户的主电子邮件域才能确定用户是否属于策略范围,这一点非常重要。 因此,如果切换用户的辅助域的 MX 记录,请确保策略也涵盖其主域。

Create试点安全附件策略

安全附件是在切换 MX 记录之前启用和测试的最简单Defender for Office 365功能。 安全附件具有以下优势:

  • 最小配置。
  • 误报的可能性极低。
  • 与反恶意软件保护的行为类似,反恶意软件保护始终处于打开状态,不受 SCL=-1 邮件流规则的影响。

有关建议的设置,请参阅 建议的安全附件策略设置。 标准建议和严格建议相同。 若要创建策略,请参阅 设置安全附件策略。 请务必使用组 MDOPilot_SafeAttachments 作为策略的条件, (策略应用于) 的人员。

注意

内置保护预设安全策略为未在任何安全附件策略中定义的所有收件人提供安全附件保护。 有关详细信息,请参阅 EOP 中的预设安全策略和Microsoft Defender for Office 365

注意

我们不支持包装或重写已包装或重写的链接。 如果当前保护服务已包装或重写电子邮件中的链接,则需要为试点用户关闭此功能。 确保不会发生这种情况的一种方法是在安全链接策略中排除其他服务的 URL 域。

安全链接中误报的可能性也很低,但应考虑在比安全附件较少的试点用户上测试该功能。 由于该功能会影响用户体验,因此应考虑制定培训用户的计划。

有关建议的设置,请参阅 安全链接策略设置。 标准建议和严格建议相同。 若要创建策略,请参阅 设置安全链接策略。 请确保使用组 MDOPilot_SafeLinks 作为策略的条件, (策略应用于) 。

注意

内置保护预设安全策略为未在任何安全链接策略中定义的所有收件人提供安全链接保护。 有关详细信息,请参阅 EOP 中的预设安全策略和Microsoft Defender for Office 365

Create反垃圾邮件策略试点

为试点用户Create两个反垃圾邮件策略:

  • 使用标准设置的策略。 使用组 MDOPilot_SpamPhish_Standard 作为策略的条件, (策略应用于) 。
  • 使用严格设置的策略。 使用组 MDOPilot_SpamPhish_Strict 作为策略的条件, (策略应用于) 。 此策略的优先级 () 数应高于具有标准设置的策略。

有关建议的标准和严格设置,请参阅 建议的反垃圾邮件策略设置。 若要创建策略,请参阅 配置反垃圾邮件策略

Create试点反钓鱼策略

Create两个针对试点用户的防钓鱼策略:

  • 使用标准设置的策略,但模拟检测操作除外,如下所述。 使用组 MDOPilot_SpamPhish_Standard 作为策略的条件, (策略应用于) 。
  • 使用严格设置的策略,但模拟检测操作除外,如下所述。 使用组 MDOPilot_SpamPhish_Strict 作为策略的条件, (策略应用于) 。 此策略的优先级 () 数应高于具有标准设置的策略。

对于欺骗检测,建议的标准操作是将邮件移动到收件人的“垃圾邮件Email”文件夹,建议的“严格”操作是“隔离邮件”。 使用欺骗智能见解来观察结果。 下一部分将介绍替代。 有关详细信息,请参阅在 EOP 中配置欺骗智能见解

对于模拟检测,请忽略针对试点策略建议的“标准”和“严格”操作。 请改用值不要对以下设置 应用任何操作

  • 如果检测到消息为用户模拟
  • 如果邮件被检测为模拟域
  • 如果邮箱智能检测到模拟用户

使用模拟见解观察结果。 有关详细信息,请参阅 Defender for Office 365 中的模拟见解

调整欺骗保护 (调整允许和阻止) 并启用每个模拟保护操作,以根据标准或严格建议) 隔离或将邮件移动到垃圾邮件Email文件夹 (。 观察结果并根据需要调整其设置。

有关详细信息,请参阅以下文章:

后续步骤

恭喜! 你已完成迁移到 Microsoft Defender for Office 365的安装阶段!