試驗和部署適用於 Office 365 的 Defender
適用於:
- Microsoft Defender XDR
本文提供在組織中試驗和部署適用於 Office 365 Microsoft Defender 的工作流程。 您可以使用這些建議,將適用於 Office 365 Microsoft Defender 作為個別網路安全性工具上線,或作為端對端解決方案Microsoft Defender XDR 的一部分。
本文假設您有生產Microsoft 365 租使用者,並在此環境中試驗和部署適用於 Office 365 Microsoft Defender。 此做法會維護您在試驗期間為完整部署所設定的任何設定和自定義。
適用於 Office 365 的 Defender 藉由協助防止或減少因缺口而造成的業務損害,為零信任架構做出貢獻。 For more information, see the Prevent or reduce business damage from a breach business scenario in the Microsoft Zero Trust adoption framework.
Microsoft Defender XDR 的端對端部署
這是系列文章 6 的第 3 篇文章,可協助您部署 Microsoft Defender XDR 的元件,包括調查和回應事件。
本系列中的文章會對應至下列端對端部署階段:
階段 | 連結 |
---|---|
答: 啟動試驗 | 啟動試驗 |
B. 試驗和部署 Microsoft Defender XDR 元件 |
-
試驗和部署適用於身分識別的Defender - 試驗和部署適用於 Office 365 的 Defender (本文) - 試驗和部署適用於端點的Defender - 試驗和部署適用於雲端應用程式Microsoft Defender |
C. 調查和回應威脅 | 練習事件調查和回應 |
試驗和部署適用於 Office 365 的 Defender 工作流程
下圖說明在IT環境中部署產品或服務的常見程式。
首先,您會評估產品或服務,以及其在組織內的運作方式。 然後,您可以使用適當的小型生產基礎結構子集來試驗產品或服務,以進行測試、學習和自定義。 然後,逐漸增加部署的範圍,直到涵蓋整個基礎結構或組織為止。
以下是在生產環境中試驗和部署適用於 Office 365 的 Defender 的工作流程。
依照下列步驟執行:
以下是每個部署階段的建議步驟。
部署階段 | 描述 |
---|---|
評估 | 執行適用於 Office 365 的 Defender 產品評估。 |
試驗 | 針對試驗群組執行步驟 1-7。 |
完整部署 | 在步驟 5 中設定試驗使用者群組,或新增使用者群組,以擴充試驗之外,最後包含所有用戶帳戶。 |
適用於 Office 365 的 Defender 架構和需求
下圖說明適用於 Office 365 Microsoft Defender 的基準架構,其中可包含第三方 SMTP 閘道或內部部署整合。 混合式共存案例 (也就是,生產信箱是內部部署和在線信箱,) 需要更複雜的設定,本文或評估指引並未涵蓋。
下表描述此圖例。
註銷 | 描述 |
---|---|
1 | 外部傳送者的主機伺服器通常會執行 MX 記錄的公用 DNS 查閱,以提供目標伺服器來轉送訊息。 此轉介可以是直接 (EXO) 的 Exchange Online,或設定為針對 EXO 轉送的 SMTP 閘道。 |
2 | Exchange Online Protection 會交涉並驗證輸入連線,並檢查訊息標頭和內容,以判斷需要哪些額外的原則、標記或處理。 |
3 | Exchange Online 與適用於 Office 365 的 Microsoft Defender 整合,以提供更進階的威脅防護、風險降低和補救。 |
4 | 非惡意、封鎖或隔離的郵件會在EXO中處理並傳遞給收件者,其中會評估並觸發與垃圾郵件、信箱規則或其他設定相關的使用者喜好設定。 |
5 | 您可以使用 Microsoft Entra Connect 來啟用與內部部署 Active Directory 的整合,以同步處理並布建啟用郵件功能的對象和帳戶,以Microsoft Entra ID,最後是 Exchange Online。 |
6 | 整合內部部署環境時,最好使用 Exchange 伺服器來支援郵件相關屬性、設定和設定的管理。 |
7 | Microsoft適用於 Office 365 的 Defender 會Microsoft Defender XDR 共用訊號,以 (XDR) 擴充偵測和回應。 |
內部部署整合很常見,但為選擇性。 如果您的環境僅限雲端,本指引也適用於您。
成功的適用於 Office 365 的 Defender 評估或生產試驗需要下列必要條件:
- 您所有的收件者信箱目前都在 Exchange Online 中。
- 您的公用 MX 記錄會直接解析為 EOP 或第三方的簡易郵件傳輸通訊協定 (SMTP) 閘道,然後直接將輸入外部電子郵件轉送至 EOP。
- 您的主要電子郵件網域已在 Exchange Online 中設定為 授權 網域。
- 您已成功部署並設定以 目錄為基礎的Edge封鎖 (適當地) DBEB。 如需詳細資訊,請 參閱使用 Directory-Based Edge 封鎖來拒絕傳送給無效收件者的訊息。
重要事項
如果這些需求不適用,或您仍在混合式共存案例中,則適用於 Office 365 的 Microsoft Defender 評估可能需要更複雜或進階的設定,但本指南並未完整涵蓋這些設定。
步驟 1:稽核和驗證公用 MX 記錄
若要有效地評估適用於 Office 365 Microsoft Defender,請務必透過與租使用者相關聯的 Exchange Online Protection (EOP) 實例轉送輸入外部電子郵件。
- 在 M365 管理入口網站的 https://admin.microsoft.com中,展開 ...視需要顯示全部 內容,展開 [ 設定],然後選取 [ 網域]。 或者,若要直接移至 [ 網域] 頁面,請使用 https://admin.microsoft.com/Adminportal/Home#/Domains。
- 在 [ 網域] 頁面上,按下複選框以外的專案上的任何位置,選取已驗證的電子郵件網域。
- 在開啟的網域詳細數據飛出視窗中,選取 [DNS 記錄] 索引 標籤。記下產生並指派給 EOP 租使用者的 MX 記錄。
- 存取外部 (公用) DNS 區域,並檢查與您的電子郵件網域相關聯的主要 MX 記錄:
- 例如,如果您的公用 MX 記錄目前符合指派的 EOP 位址 (,contoso-com.mail.protection.outlook.com) 则不需要进一步的路由变更。
- 如果您的公用 MX 記錄目前解析為第三方或內部部署 SMTP 閘道,則可能需要額外的路由設定。
- 如果您的公用 MX 記錄目前解析為內部部署 Exchange,則您可能仍在混合式模型中,其中某些收件者信箱尚未移轉至 EXO。
步驟 2:稽核接受的網域
- 在 Exchange 系統管理中心 (EAC) , https://admin.exchange.microsoft.com展開 [郵件流程],然後按兩下 [ 接受的網域]。 或者,若要直接移至 [ 已接受的網域] 頁面,請使用 https://admin.exchange.microsoft.com/#/accepteddomains。
- 在 [ 已接受的網域 ] 頁面上,記下您主要電子郵件網域的 [ 網域類型 ] 值。
- 如果網域類型設定為 [授權],則假設您組織的所有收件者信箱目前都位於Exchange Online 中。
- 如果網域類型設定為 InternalRelay,則您可能仍在混合式模型中,其中某些收件者信箱仍位於內部部署。
步驟 3:稽核輸入連接器
- 在 Exchange 系統管理中心 (EAC) , https://admin.exchange.microsoft.com展開 [郵件流程],然後按兩下 [ 連接器]。 或者,若要直接前往 連接器 頁面,請使用 https://admin.exchange.microsoft.com/#/connectors。
- 在 [ 連接器 ] 頁面上,記下具有下列設定的任何連接器:
- From 值是可能與第三方 SMTP 閘道相互關聯的合作夥伴組織。
- From 值是您的組織,可能表示您仍在混合式案例中。
步驟 4:啟用評估
使用此處的指示,從 Microsoft Defender 入口網站啟用適用於 Office 365 的 Microsoft Defender 評估。
如需詳細資訊,請 參閱試用適用於 Office 365 Microsoft Defender。
在 Microsoft Defender 入口網站 https://security.microsoft.com中,展開 [ 電子郵件 & 共同作業> ] 選取 [原則 & 規則> ] 選取 [ 威脅原則> ] 向下卷動至 [ 其他 ] 區段,然後選取 [ 評估模式]。 或者,若要直接移至 評估模式 頁面,請使用 https://security.microsoft.com/atpEvaluation。
在 [ 評估模式] 頁面上,按兩下 [開始評估]。
在 [ 開啟保護 ] 對話框中,選取 [ 否,我只想要報告],然後按兩下 [ 繼續]。
在 [ 選取您要包含的使用者 ] 對話框中,選取 [ 所有使用者],然後按兩下 [ 繼續]。
在 [ 協助我們瞭解您的郵件流程 ] 對話框中,會根據我們偵測到您網域的 MX 記錄,自動選取下列其中一個選項:
步驟 5:建立試驗群組
當您試驗 Microsoft Defender for Office 365 時,您可以選擇先試驗特定使用者,再為整個組織啟用和強制執行原則。 建立通訊群組有助於管理部署程式。 例如,建立群組,例如 適用於 Office 365 使用者的 Defender - 標準保護、 適用於 Office 365 使用者的 Defender - Strict Protection、 適用於 Office 365 使用者的 Defender - 自定義保護,或 適用於 Office 365 使用者的 Defender - 例外狀況。
「標準」和「嚴格」是用於這些群組的詞彙可能不明顯,但當您深入探索適用於 Office 365 的 Defender 安全性默認時,這會變得清楚。 命名群組「自定義」和「例外狀況」代表自己,雖然您大部分的使用者都應該落在 標準 和 嚴格之下,但自定義和例外狀況群組會為您收集有關管理風險的寶貴數據。
通訊群組可以直接在 Exchange Online 中建立和定義,或從內部部署 Active Directory 同步處理。
使用已獲授與收件者系統管理員角色或已委派群組管理許可權的帳戶,登入 Exchange Admin Center (EAC) https://admin.exchange.microsoft.com 。
移至 [收件者群>組]。
在 [ 群組] 頁面上,選 新增群組。
針對群組類型,選取 [ 散發],然後按 [ 下一步]。
為群組提供 [名稱 ] 和選用的 [描述],然後按 [下一步]。
在其餘頁面上,指派擁有者、將成員新增至群組、設定電子郵件位址、加入離職限制和其他設定。
步驟 6:設定保護
適用於 Office 365 的 Defender 中的某些功能預設會設定並開啟,但安全性作業可能會想要提高預設的保護層級。
某些功能尚未設定。 您有下列選項可用來設定保護 (稍後很容易變更) :
將使用者指派給預設安全策略: 建議使用預設安全 策略來快速指派所有功能的統一保護層級。 您可以從 [標準 ] 或 [ 嚴格 保護] 中選擇。 這裏 的數據表說明 Standard 和 Strict 的設定。 此 處的表格摘要說明 Standard 與 Strict 之間的差異。
默認安全策略的優點是,您可以根據數據中心內的觀察,使用Microsoft的建議設定,儘快保護使用者群組。 隨著新的保護功能新增,而且隨著安全性環境的變更,預設安全策略中的設定會自動更新為我們建議的設定。
默認安全策略的缺點是您無法在預設安全策略中幾乎自定義任何安全性設定 (例如,您無法將動作從傳遞變更為垃圾郵件到隔離,反之亦然) 。 例外狀況是 用戶模擬和網域模擬保護的專案和選擇性例外狀況,您必須手動設定。
此外,請記住,預設安全策略 一律 會在自定義原則之前套用。 因此,如果您想要建立並使用任何自定義原則,則必須將這些自定義原則中的使用者從預設的安全策略中排除。
設定 自定義 保護原則:如果您想要自行設定環境,請比較 EOP 和 Microsoft Defender for Office 365 安全性的建議設定中的預設、標準和嚴格設定。 保留自定義組建偏差位置的電子表格。
您也可以使用組 態分析器 ,將自定義原則中的設定與 Standard 和 Strict 值進行比較。
如需選擇預設安全策略與自定義原則的詳細資訊,請參閱 判斷您的保護原則策略。
指派預設安全策略
建議您快速將 EOP 和適用於 Office 365 的 Defender 中的 預設安全 策略指派給特定試驗使用者或已定義的群組,作為評估的一部分。 默認原則提供基準 標準 保護範本或更積極的 Strict 保護範本,可獨立指派。
例如,如果收件者是已定義 EOP 標準保護群組的成員,然後藉由將帳戶新增至群組或從中移除帳戶來管理,則可以套用試驗評估的 EOP 條件。
同樣地,如果收件者是已定義的適用於 Office 365 標準保護的 Defender 群組 的成員 ,然後透過群組新增或移除帳戶來管理,則可以套用適用於 Office 365 的 Defender 條件 進行試驗評估。
如需完整指示,請 參閱使用 Microsoft Defender 入口網站將標準和嚴格預設安全策略指派給使用者。
設定自定義保護原則
預先 定義的標準 或 Strict Defender for Office 365 原則範本可為試驗使用者提供建議的基準保護。 不過,您也可以在評估過程中建置和指派自定義保護原則。
請 務必 留意套用和強制執行這些保護原則時所採取的優先順序,如 預設安全策略和其他原則的優先順序順序中所述。
設定 保護 原則中的說明和表格提供您需要設定之專案的方便參考。
步驟 7:試用功能
既然您的試驗已設定完成,請熟悉適用於 Microsoft 365 Microsoft Defender 特有的報表、監視和攻擊模擬工具。
功能 | 描述 | 其他資訊 |
---|---|---|
威脅總管 | 威脅總管是一個功能強大的近乎即時工具,可協助安全性作業小組調查和回應威脅,並顯示 Office 365 中電子郵件和檔案中偵測到的惡意代碼和網路釣魚的相關信息,以及貴組織的其他安全性威脅和風險。 | 關於威脅總管 |
攻擊模擬訓練 | 您可以在 Microsoft Defender 入口網站中使用攻擊模擬訓練,在組織中執行實際的攻擊案例,以協助您在實際攻擊影響您的環境之前找出易受攻擊的使用者。 | 開始使用攻擊模擬訓練 |
報表儀錶板 | 在左側導覽功能表上,按兩下 [報告],然後展開 [電子郵件 & 共同作業標題。 電子郵件 & 共同作業報告是關於找出安全性趨勢,其中一些趨勢可讓您透過 [移至提交] ) 等按鈕 (採取動作,以及其他會顯示趨勢的按鈕。 這些計量會自動產生。 |
在 Microsoft Defender 入口網站中檢視電子郵件安全性報告 在 Microsoft Defender 入口網站中檢視適用於 Office 365 的 Defender 報告 |
SIEM 整合
您可以將適用於 Office 365 的 Defender 與 Microsoft Sentinel 或一般安全性資訊和事件管理 (SIEM) 服務整合,以集中監視來自已連線應用程式的警示和活動。 透過 Microsoft Sentinel,您可以更全面地分析整個組織的安全性事件,並建置劇本以獲得有效且立即的回應。
Microsoft Sentinel 包含適用於 Office 365 的 Defender 連接器。 如需詳細資訊,請參閱 從適用於 Office 365 的 Microsoft Defender 連線警示。
Microsoft適用於 Office 365 的 Defender 也可以使用 Office 365 活動管理 API 整合到其他 SIEM 解決方案中。 如需與泛型 SIEM 系統整合的相關信息,請參閱 一般 SIEM 整合。
下一步
將 適用於 Office 365 Microsoft Defender 安全性作業指南 中的資訊併入您的 SecOps 程式中。
Microsoft Defender XDR 端對端部署的下一個步驟
使用試驗和部署適用於端點的Defender,繼續進行 Microsoft Defender XDR 的端對端部署。
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft Defender XDR 技術社群。