使用第三方电子邮件筛选时,从Microsoft Defender for Office 365获取最佳安全值

  • 项目

在以下的情况下,本指南适合你:

  • 你已获得Microsoft Defender for Office 365许可,并在 Office 365 中托管邮箱
  • 你还使用第三方来保障电子邮件安全

以下信息详细介绍了如何充分利用投资,具体细分为易于遵循的步骤。

所需内容

  • 托管在 Office 365 中的邮箱
  • 一个或多个:
    • 保护功能的Microsoft Defender for Office 365 计划 1
    • Microsoft Defender for Office 365计划 2 适用于 E5 计划 (包含的大多数其他功能)
    • aka.ms/tryMDO) 向所有客户提供Microsoft Defender for Office 365试用版 (
  • 有足够的权限来配置下面讨论的功能

步骤 1 - 了解已有的值

内置保护功能

  • 内置保护提供基本级别的非侵入性保护,包括恶意软件、零日 (安全附件) ,以及电子邮件 ((包括内部电子邮件) 、SharePoint Online、OneDrive 和 Teams)中的 URL 保护 (安全链接) 。 在此状态下提供的 URL 保护仅通过 API 调用提供。 它不会包装或重写 URL,但需要受支持的 Outlook 客户端。 可以创建自己的自定义策略来扩展保护。

阅读详细信息 & watch 此处的安全链接概述视频:完整安全链接概述

在此处阅读有关安全附件的详细信息:安全附件

检测、调查、响应和搜寻功能

  • 当警报在Microsoft Defender for Office 365触发时,它们会自动关联,并合并到事件中,以帮助减少安全人员的警报疲劳。 自动调查和响应 (AIR) 触发调查以帮助修正和遏制威胁。

阅读详细信息,watch概述视频并在此处入门:使用Microsoft Defender XDR的事件响应

  • 威胁分析是我们由 Microsoft 安全专家提供的详细产品内威胁情报解决方案。 威胁分析包含详细报告,旨在让你了解最新的威胁组、攻击技术、如何使用入侵指标 (IOC) 等。

阅读详细信息,watch概述视频并在此处入门:威胁分析 in Microsoft Defender XDR

  • 资源管理器可用于搜寻威胁、可视化邮件流模式、发现趋势,并确定在优化Defender for Office 365期间所做的更改的影响。 只需单击几下,即可快速删除组织中的邮件。

阅读详细信息并在此处入门:威胁资源管理器和实时检测

步骤 2 - 通过这些简单步骤进一步增强值

其他保护功能

  • 请考虑启用内置保护之外的策略。 启用点击时间保护或模拟保护,例如,添加额外的层或填补第三方保护中缺少的空白。 如果邮件流规则 (也称为传输规则) 或连接筛选器, (也称为 SCL=-1 规则) 则需要在启用其他保护功能之前处理此配置。

在此处阅读详细信息:反钓鱼策略

  • 如果当前安全提供程序配置为以任何方式修改消息,请务必注意,身份验证信号可能会影响Defender for Office 365保护你免受欺骗等攻击的能力。 如果第三方支持经过身份验证的接收链 (ARC) ,则强烈建议在高级双重筛选旅程中启用此步骤。 将任何消息修改配置移动到Defender for Office 365也是一种替代方法。

在此处阅读详细信息:配置受信任的 ARC 密封器。

  • 连接器的增强筛选允许通过第三方保留 IP 地址和发件人信息。 此功能提高了筛选 (保护) 堆栈的准确性、违规后功能 & 身份验证改进。

在此处阅读详细信息:Exchange Online 中连接器的增强筛选

  • 优先帐户保护为工具中的帐户提供增强的可见性,并在处于高级防御深度配置状态时提供额外的保护。

在此处阅读详细信息:优先级帐户保护

  • 应将高级传递配置为正确传递任何第三方网络钓鱼模拟,如果你有安全操作邮箱,请考虑将其定义为 SecOps 邮箱,以确保 电子邮件不会 因威胁而从邮箱中删除。

在此处阅读详细信息:高级交付

  • 你可以配置用户报告设置,以允许用户向 Microsoft 报告好邮件或坏邮件,将邮件报告到指定的报告邮箱 (以与当前安全工作流) 或同时集成。 管理员可以使用“提交”页上的“用户报告”选项卡对误报和误报用户报告的邮件进行会审。

在此处阅读详细信息:向用户部署和配置报表消息外接程序。

检测、调查、响应和搜寻功能

  • 高级搜寻可用于主动搜寻组织中的威胁,使用来自社区的共享查询帮助你入门。 还可以使用自定义检测在满足个性化条件时设置警报。

阅读详细信息,watch概述视频并在此处入门:概述 - 高级搜寻

教育版功能

  • 攻击模拟训练允许你在组织中运行真实但良性的网络攻击方案。 如果你还没有来自主要电子邮件安全提供商的网络钓鱼模拟功能,Microsoft 的模拟攻击可以帮助你识别和查找易受攻击的用户、策略和做法。 此功能包含在实际攻击影响组织 之前 需要掌握和更正的重要知识。 在产品或自定义培训中分配模拟后,可让用户了解他们错过的威胁,最终降低组织的风险状况。 使用 攻击模拟训练,我们直接将消息传递到收件箱,因此用户体验非常丰富。 这也意味着没有安全更改,例如正确交付模拟所需的替代。

此处入门:开始使用攻击模拟。

在此处直接进行模拟:如何在攻击模拟训练内设置自动攻击和培训

步骤 3 及更高版本,成为双重用途英雄

  • 安全团队应重复上述许多检测、调查、响应和搜寻活动。 本指南详细说明了建议的任务、节奏和团队分配。

阅读更多:Defender for Office 365的安全操作指南

  • 考虑用户体验,例如访问多个隔离区,或提交/报告误报和误报。 可以使用自定义 X 标头标记第三方服务检测到的消息。 例如,可以使用邮件流规则来检测和隔离包含 X 标头的电子邮件。 此结果还为用户提供了一个访问隔离邮件的位置。

阅读更多:如何配置隔离权限和策略

  • 迁移指南包含许多有关准备和优化环境以使其做好迁移准备的有用指南。 但许多步骤 也适用于 双重用途方案。 只需在最后的步骤中忽略 MX 交换机指南。

在此处阅读:从第三方保护服务迁移到Microsoft Defender for Office 365 - Office 365 |Microsoft Docs。

更多信息

从第三方保护服务迁移到Microsoft Defender for Office 365

Defender for Office 365安全操作指南

使用 Microsoft Defender XDR 获取更多Microsoft Defender for Office 365。