本文提供一個工作流程,讓你能在您的組織中試行並部署 Microsoft Defender for Office 365。 您可以利用這些建議,將 Microsoft Defender for Office 365 作為個人資安工具,或作為 Microsoft Defender 全面偵測回應端對端解決方案的一部分。
本文假設您擁有生產環境的 Microsoft 365 租戶,並在此環境中試行及部署 Microsoft Defender for Office 365。 此做法會保留您在試點期間設定的所有設定與自訂,適用於完整部署。
Defender for Office 365 透過協助預防或減少外洩造成的業務損失,促進零信任架構。 欲了解更多資訊,請參閱 Microsoft 零信任採用框架中的「防止或減少因外洩業務造成的商業損害」。
提示
關於如何為 Microsoft Teams 設定防護,請參閱以下文章:
Microsoft Defender 全面偵測回應端對端部署
這是系列文章中的第三篇,共六篇,旨在協助你部署Microsoft Defender 全面偵測回應的各個組成部分,包括調查與應對事件。
本系列文章對應端對端部署的以下階段:
| 階段 | 連結 |
|---|---|
| 答: 開始試播集 | 開始試播集 |
| B. 試點並部署 Microsoft Defender 全面偵測回應元件 |
-
試點並部署 Defender for Identity - (本文試點並部署 Defender for Office 365) - 試點並部署 Defender for Endpoint - 試點並部署 Microsoft Defender for Cloud Apps |
| C. 調查和回應威脅 | 實務事件調查與應變 |
Defender for Office 365 的試點與部署工作流程
下圖說明了在 IT 環境中部署產品或服務的常見流程。
你首先要評估產品或服務,以及它在組織中的運作方式。 接著,你用適量的生產基礎設施子集來試點產品或服務,進行測試、學習和客製化。 接著,逐步擴大部署範圍,直到覆蓋整個基礎設施或組織。
以下是在生產環境中試行與部署 Defender for Office 365 的工作流程。
依照下列步驟執行:
以下是每個部署階段的建議步驟。
| 部署階段 | 描述 |
|---|---|
| 評估 | 為 Defender for Office 365 進行產品評估。 |
| 試驗 | 為試點組執行第1至7步。 |
| 完整部署 | 在第 5 步設定試點使用者群組,或新增使用者群組,擴展至試點之外,最終包含所有使用者帳號。 |
Defender for Office 365 架構與需求
下圖展示了 Microsoft Defender for Office 365 的基線架構,該架構可包含第三方 SMTP 閘道器或本地整合。 混合共存情境 (生產郵箱同時存在於本地與線上) 需要更複雜的配置,且本文或評估指引未涵蓋。
下表描述此說明。
| 點名 | 描述 |
|---|---|
| 1 | 外部發送者的主機伺服器通常會對 MX 紀錄進行公開 DNS 查詢,這讓目標伺服器能夠轉發該訊息。 此轉介可以直接Exchange Online (EXO) ,或是設定為對 EXO 進行中繼的 SMTP 閘道。 |
| 2 | Exchange Online Protection 會協商並驗證入站連線,並檢查訊息標頭與內容,以判斷需要額外政策、標籤或處理。 |
| 3 | Exchange Online 與 Microsoft Defender for Office 365 整合,提供更進階的威脅防護、緩解與修復功能。 |
| 4 | 未惡意、未封鎖或隔離的郵件會被處理並送達收件人,並評估與使用者偏好相關的垃圾郵件、信箱規則或其他設定。 |
| 5 | 可透過 Microsoft Entra Connect 與內部部署的 Active Directory 整合,將郵件啟用的物件與帳號同步並配置至 Microsoft Entra ID,最終至 Exchange Online。 |
| 6 | 在整合本地環境時,最好使用 Exchange 伺服器來支援郵件屬性、設定與設定的管理與管理。 |
| 7 | Microsoft Defender Office 365 將訊號分享給 Microsoft Defender 全面偵測回應,以便延長偵測與回應, (XDR) 。 |
本地整合很常見,但可選。 如果你的環境是純雲端,這套指引同樣適用於你。
成功的 Defender for Office 365 評估或生產試點需要以下先決條件:
- 你所有的收件人信箱目前都在 Exchange Online 裡。
- 您的公開 MX 紀錄會直接解析到 EOP 或第三方的簡單郵件傳輸協定 (SMTP) 閘道,然後將收到的外部郵件直接轉發到 EOP。
- 你的主要電子郵件網域在 Exchange Online 中被設定為權威網域。
- 你成功部署並設定了基於 目錄的邊緣阻擋 (DBEB) 。 欲了解更多資訊,請參見 使用 Directory-Based 邊緣封鎖來拒絕寄給無效收件人的訊息。
重要事項
若這些要求不適用,或您仍處於混合共存情境,則 Microsoft Defender for Office 365 評估可能需要更複雜或進階的設定,而本指南未完全涵蓋。
步驟一:審核並驗證公開的MX紀錄
為了有效評估Office 365 Microsoft Defender,重要的是外部郵件必須透過與租戶相關的 Exchange Online Protection (EOP) 實例轉發。
- 在 M365 管理員入口https://admin.microsoft.com網站,展開 ...如果需要,顯示所有內容,展開設定,然後選擇網域。 或者,若要直接進入 網域頁面 ,請使用 https://admin.microsoft.com/Adminportal/Home#/Domains。
- 在 網域頁面 ,點擊欄位中除勾選框外的任何地方,選擇已驗證的電子郵件網域。
- 在開啟的網域詳細資料飛出視窗中,選擇 DNS 紀錄 標籤。記錄產生並指派給你 EOP 租戶的 MX 紀錄。
- 存取你的外部 (公共) DNS區域,並檢查與電子郵件網域相關的主要MX紀錄:
- 例如,如果您的公開 MX 紀錄目前與分配的 EOP 地址 (相符,contoso-com.mail.protection.outlook.com) 則不需要進一步更改路由。
- 如果您的公開 MX 紀錄目前解析為第三方或本地 SMTP 閘道,則可能需要額外的路由設定。
- 如果你的公開 MX 紀錄目前解析到本地 Exchange,那你可能還處於混合模式,有些收件人信箱還沒遷移到 EXO。
步驟 2:審核已接受的網域
- 在 Exchange 管理中心 (EAC) , https://admin.exchange.microsoft.com展開 郵件流程,然後點選 「已接受的網域」。 或者,若要直接進入 「已接受網域」 頁面,請使用 https://admin.exchange.microsoft.com/#/accepteddomains。
- 在 「接受網域」 頁面,標註你主要電子郵件網域的 網域類型 值。
- 如果網域類型設為權威,則假設你組織的所有收件人信箱目前都位於 Exchange Online。
- 如果網域類型設為 InternalRelay,那你可能仍處於混合模式,部分收件人信箱仍駐留於本地。
步驟 3:稽核入站連接器
- 在 Exchange 管理中心 (EAC) , https://admin.exchange.microsoft.com展開 郵件流程,然後點選 連接器。 或者,若要直接前往 連接器 頁面,請使用 https://admin.exchange.microsoft.com/#/connectors。
- 在 連接器 頁面,請注意以下設定的連接器:
- From 值是合作夥伴組織,可能對應到第三方 SMTP 閘道器。
- From 值是你的組織,可能代表你仍處於混合型情境。
步驟四:啟動評估
請依照此處的說明,從 Microsoft Defender 入口網站啟動您的 Microsoft Defender for Office 365 評估。
詳細資訊請參閱「試用 Microsoft Defender for Office 365」。
在Microsoft Defender入口網站,https://security.microsoft.com展開協作>Email &選擇政策 & 規則>,選擇威脅政策>,然後捲動至「其他」區塊,然後選擇評估模式。 或者,若要直接進入 評估模式 頁面,請使用 https://security.microsoft.com/atpEvaluation。
在 評估模式 頁面,點擊 開始評估。
在 「開啟保護 」對話框中,選擇 「否,我只想要報告」,然後點選 「繼續」。
在「 選擇你想包含的使用者 」對話框中,選擇 「所有使用者」,然後點選 「繼續」。
在「 幫助我們理解您的郵件流程 」對話框中,根據我們偵測到您網域的 MX 紀錄,會自動選擇以下選項之一:
我只使用 Microsoft Exchange Online:你的網域的 MX 紀錄指向 Microsoft 365。 沒有什麼需要設定的,請點擊 完成。
我使用的是第三方和/或本地服務提供商:在接下來的畫面中,選擇廠商名稱以及接受該解決方案郵件的入站連接器。 你也可以決定是否需要Exchange Online郵件流規則 (也就是傳輸規則) 跳過第三方保護服務或裝置收到的垃圾郵件過濾。 完成後,點擊 完成。
步驟五:建立試點小組
當你試行 Microsoft Defender for Office 365 時,可能會先試行特定使用者,再啟用並執行整個組織的政策。 建立分發群組有助於管理部署流程。 例如,建立像 Defender for Office 365 Users - Standard Protection 這類群組、Defender for Office 365 Users - 嚴格保護、Defender for Office 365 Users - 自訂保護,或 Defender for Office 365 Users - 例外。
或許不清楚為何這些群組使用「Standard」和「Strict」這些詞彙,但當你深入了解 Defender for Office 365 的安全預設時,這點會很明顯。 將群組命名為「自訂」與「例外」本身就說明了一切,雖然大多數使用者應該符合 標準 且 嚴格的範疇,但自訂與例外群組會為你收集有關風險管理的寶貴資料。
分發群組可以直接在 Exchange Online 中建立與定義,或從內部部署的 Active Directory 同步。
使用已授予接收者管理員角色或被授權群組管理權限的帳號登入 Exchange 管理員 Center (EAC) https://admin.exchange.microsoft.com。
前往 收件人>群組。
在 群組 頁面,選擇
新增一個群組。
在群組類型中,選擇 分布,然後點 選「下一頁」。
給群組一個 名稱 和可選 的描述,然後點擊「下一步」。
在剩餘頁面上,指派擁有者、新增成員、設定電子郵件地址、加入-離開限制及其他設定。
步驟六:配置保護
Defender for Office 365 中的某些功能預設已啟用,但安全作業可能希望將保護層級從預設提升。
有些功能 尚未 設定好。 你有以下選項可以設定保護 (這些選項後續) 容易更改:
指派使用者預設安全政策: 預設安全政策 是快速在所有功能中分配統一防護等級的推薦方法。 你可以選擇 Standard 或 Strict 保護。 Standard 與 Strict 的設定詳見此表。 Standard 與 Strict 之間的差異在此表中總結。
預設安全政策的優點是,你可以利用 Microsoft 根據資料中心觀察到的建議設定,盡快保護一群使用者。 隨著新增防護功能及安全環境變化,預設安全政策中的設定會自動更新為我們推薦的設定。
預設安全政策的缺點是你幾乎無法自訂預設安全政策中的任何安全設定 (例如,你無法將動作從「送達」改成「垃圾郵件」再改成隔離,反之亦然,) 。 例外是使用者 模擬和網域模擬保護的條目和可選例外,這些都必須手動設定。
另外,請記得預設的安全政策 總是 在自訂政策之前套用。 所以,如果你想建立並使用任何自訂政策,就必須將這些自訂政策中的使用者排除在預設的安全政策之外。
設定自訂保護政策:如果您偏好自行設定環境,請比較 EOP 的預設、Standard 與 Strict 設定,Microsoft Defender Office 365 安全性。 保持一個試算表記錄你的自訂建築偏差。
你也可以使用設定分析器,將自訂政策中的設定與 Standard 和 Strict 值做比較。
關於選擇預設安全政策與自訂政策的詳細資訊,請參閱 「確定您的保護政策策略」。
指派預設的安全政策
我們建議您快速開始使用EOP和Office 365 Defender 預設的安全政策,將這些政策指派給特定的試點使用者或定義群組,作為評估的一部分。 預設政策提供基線 Standard 保護範本或更積極的嚴格保護範本,兩者可獨立指派。
例如,若受益者是定義的EOP Standard Protection群組成員,則可套用EOP條件進行試點評估,並透過新增或移除該群組中的帳戶來管理。
同樣地,若接收者是定義的 Defender for Office 365 Standard Protection 群組成員,並透過該群組新增或移除帳號來管理,則可套用 Defender for Office 365 條件作為試點評估。
完整說明請參閱「使用 Microsoft Defender 入口網站,將 Standard 與 Strict 預設安全政策指派給使用者」。
設定自訂保護政策
預先定義的 Standard 或 Strict Defender for Office 365 政策範本,為您的試點使用者提供建議的基線保護。 不過,您也可以在評估過程中建立並指派客製化的保障政策。
了解這些保護政策在執行時所享有的優先權非常重要,詳見預設安全政策及其他政策的優先順序。
「配置保護政策」中的說明和表格提供了你需要設定的方便參考。
步驟七:嘗試各種功能
現在你的試播程式已經設定好,熟悉 Microsoft Defender for Microsoft 365 獨有的報告、監控與攻擊模擬工具會很有幫助。
| 功能 | 描述 | 其他資訊 |
|---|---|---|
| 威脅總管 | Threat Explorer 是一款強大的近即時工具,協助安全營運團隊調查並回應威脅,並顯示 Office 365 電子郵件及檔案中偵測到的惡意軟體與釣魚資訊,以及其他對組織安全威脅與風險的資訊。 | 關於威脅探索者 |
| 攻擊模擬訓練 | 你可以在 Microsoft Defender 入口網站中使用攻擊模擬訓練,在組織內執行真實攻擊情境,幫助你在真實攻擊影響環境前識別並發現脆弱使用者。 | 開始使用攻擊模擬訓練 |
| 報告儀表板 | 在左側導覽選單中,點選「報告」並展開Email &協作標題。 Email &協作報告是關於發現安全趨勢,有些可以透過「提交」等按鈕 (採取行動 ) 其他則會顯示趨勢。 這些指標是自動產生的。 |
在 Microsoft Defender 入口網站查看電子郵件安全報告 在 Microsoft Defender 入口網站查看 Defender for Office 365 報告 |
SIEM 整合
你可以將 Defender for Office 365 整合於 Microsoft Sentinel 或 SIEM) 服務 (通用的安全資訊與事件管理,以實現對連接應用程式的警報與活動的集中監控。 透過 Microsoft Sentinel,您可以更全面地分析組織內的安全事件,並建立有效且即時的應對手冊。
Microsoft Sentinel 內建 Defender for Office 365 連接器。 欲了解更多資訊,請參閱 Microsoft Defender 對 Office 365 的 Connect 提醒。
Microsoft Defender for Office 365 也可透過 Office 365 活動管理 API 整合至其他 SIEM 解決方案中。 關於與通用 SIEM 系統整合的資訊,請參見 通用 SIEM 整合。
下一步
將 Microsoft Defender for Office 365 安全運營指南中的資訊整合進您的安全運營流程中。
Microsoft Defender 全面偵測回應的下一步
繼續使用 Pilot 進行端對端部署 Microsoft Defender 全面偵測回應,並部署 Defender for Endpoint。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。