Migrace na Microsoft Defender pro Office 365 – fáze 1: Příprava
Fáze 1: Příprava |
Fáze 2: Nastavení |
Fáze 3: Onboarding |
---|---|---|
Jste tady! |
Vítá vás fáze 1: Přípravamigrace do Microsoft Defender pro Office 365! Tato fáze migrace zahrnuje následující kroky. Než provedete jakékoli změny, měli byste nejprve inventarizaci nastavení ve stávající službě ochrany. V opačném případě můžete zbývající kroky provést v libovolném pořadí:
- Inventarizace nastavení ve vaší stávající službě ochrany
- Kontrola stávající konfigurace ochrany v Microsoftu 365
- Kontrola konfigurace směrování pošty
- Přesunutí funkcí, které upravují zprávy do Microsoftu 365
- Definování spamu a hromadného uživatelského prostředí
- Identifikace a určení prioritních účtů
Inventarizace nastavení ve vaší stávající službě ochrany
Úplný inventář nastavení, pravidel, výjimek atd. ze stávající služby ochrany je dobrý nápad, protože po zrušení předplatného pravděpodobně nebudete mít k informacím přístup.
Je ale velmi důležité, abyste v Defender pro Office 365 nevytvářeli automaticky nebo libovolně znovu všechna vaše stávající přizpůsobení. V nejlepším případě můžete zavést nastavení, která už nejsou potřebná, relevantní nebo funkční. V horším případě některá z vašich předchozích přizpůsobení můžou ve skutečnosti vytvářet problémy se zabezpečením v Defender pro Office 365.
Vaše testování a sledování nativních možností a chování Defender pro Office 365 nakonec určuje přepsání a nastavení, která potřebujete. Může být užitečné uspořádat nastavení ze stávající služby ochrany do následujících kategorií:
- Filtrování připojení nebo obsahu: Pravděpodobně zjistíte, že většinu těchto přizpůsobení v Defender pro Office 365 nepotřebujete.
- Obchodní směrování: Většina přizpůsobení, která potřebujete znovu vytvořit, pravděpodobně spadá do této kategorie. Tato nastavení můžete například znovu vytvořit v Microsoftu 365 jako pravidla toku pošty Exchange (označovaná také jako pravidla přenosu), konektory a výjimky pro falšování informací.
Místo slepého přesouvání starých nastavení do Microsoftu 365 doporučujeme vodopádový přístup. Tento přístup zahrnuje pilotní fázi se stále rostoucím uživatelským členstvím a laděním na základě pozorování na základě rovnováhy mezi aspekty zabezpečení a potřebami organizace.
Kontrola stávající konfigurace ochrany v Microsoftu 365
Jak jsme uvedli dříve, není možné úplně vypnout všechny funkce ochrany pošty doručované do Microsoftu 365, a to ani v případě, že používáte službu ochrany třetí strany. Proto není neobvyklé, že organizace Microsoft 365 má nakonfigurované alespoň některé funkce ochrany e-mailu. Příklady:
- V minulosti jste s Microsoftem 365 službu ochrany třetích stran nepoužávali. Možná jste použili a nakonfigurovali některé funkce ochrany v Microsoftu 365, které jsou aktuálně ignorovány. Tato nastavení se ale můžou projevit, když "otočíte číselník", abyste povolili funkce ochrany v Microsoftu 365.
- V Microsoftu 365 můžete použít ochranu pro falešně pozitivní zprávy (pošta označená jako špatná) nebo falešně negativní (povolená špatná pošta), které se dostaly přes vaši stávající službu ochrany.
Zkontrolujte své stávající funkce ochrany v Microsoftu 365 a zvažte odebrání nebo zjednodušení nastavení, která už nejsou potřeba. Nastavení pravidla nebo zásad, které bylo vyžadováno před lety, může organizaci ohrozit a neúmyslně vytvořit mezery v ochraně.
Kontrola konfigurace směrování pošty
Pokud používáte jakýkoli druh složitého směrování (například Centralizovaný přenos pošty), měli byste zvážit zjednodušení směrování a jeho důkladné zdokumentování. Externí směrování, zejména poté, co Microsoft 365 zprávu už obdržel, může komplikovat konfiguraci a řešení potíží.
Tok odchozí a předávací pošty je mimo rozsah tohoto článku. Možná ale budete muset provést jeden nebo více následujících kroků:
- Ověřte, že všechny domény, které používáte k odesílání e-mailů, mají správné záznamy SPF. Další informace najdete v tématu Nastavení SPF, aby se zabránilo falšování identity.
- Důrazně doporučujeme nastavit podepisování DKIM v Microsoftu 365. Další informace najdete v tématu Ověření odchozích e-mailů pomocí DKIM.
- Pokud nesměrujete poštu přímo z Microsoftu 365, musíte toto směrování změnit odebráním nebo změnou odchozího konektoru.
Použití Microsoftu 365 k předávání e-mailů z místních e-mailových serverů může být sám o sobě složitým projektem. Jednoduchým příkladem je malý počet aplikací nebo zařízení, které odesílají většinu svých zpráv interním příjemcům a nepoužívají se pro hromadnou korespondenci. Podrobnosti najdete v tomto průvodci . Rozsáhlejší prostředí musí být promyšlenější. Marketingové e-maily a zprávy, které můžou příjemci považovat za spam, nejsou povolené.
Defender pro Office 365 nemá funkci pro agregaci sestav DMARC. Navštivte katalog Microsoft Intelligent Security Association (MISA) a prohlédněte si dodavatele třetích stran, kteří nabízejí vytváření sestav DMARC pro Microsoft 365.
Přesunutí funkcí, které upravují zprávy do Microsoftu 365
Všechna přizpůsobení nebo funkce, které jakýmkoli způsobem upravují zprávy, musíte do Microsoftu 365 přenést. Vaše stávající služba ochrany například přidá značku External do předmětu nebo textu zprávy od externích odesílatelů. Jakákoli funkce zalamování odkazů také způsobí problémy s některými zprávami. Pokud takovou funkci dnes používáte, měli byste jako alternativu k minimalizaci problémů upřednostnit zavedení bezpečných odkazů.
Pokud ve stávající službě ochrany nevypnete funkce úprav zpráv, můžete v Microsoftu 365 očekávat následující negativní výsledky:
- DKIM se přeruší. Ne všichni odesílatelé spoléhají na DKIM, ale odesílatelé, kteří to dělají, ověření se nezdaří.
- Inteligentní falšování identity a krok ladění dále v této příručce nebudou fungovat správně.
- Pravděpodobně dostanete velký počet falešně pozitivních zpráv (dobrá pošta označená jako špatná).
Pokud chcete v Microsoftu 365 znovu vytvořit identifikaci externího odesílatele, máte následující možnosti:
- Funkce volání externího odesílatele v Outlooku spolu s prvními tipy pro zabezpečení kontaktů
- Pravidla toku pošty (označovaná také jako pravidla přenosu) Další informace najdete v tématu Právní omezení, podpisy, zápatí nebo záhlaví zpráv pro celou organizaci v Exchange Online.
Microsoft spolupracuje s odvětvím na podpoře standardu ARC (Authenticated Received Chain). Pokud chcete u svého současného poskytovatele poštovní brány nechat povolené funkce pro úpravy zpráv, doporučujeme kontaktovat ho ohledně plánů podpory tohoto standardu.
Zohlednění všech aktivních simulací útoků phishing
Pokud máte aktivní simulace útoků phishing třetích stran, musíte zabránit tomu, aby Defender pro Office 365 zprávy, odkazy a přílohy identifikovaly jako phishing. Další informace najdete v tématu Konfigurace simulací útoků phishing třetích stran v pokročilých zásadách doručování.
Definování spamu a hromadného uživatelského prostředí
Karanténa vs. doručení do složky Nevyžádaná Email pošta: Přirozenou a doporučenou reakcí na škodlivé a rozhodně rizikové zprávy je umístit zprávy do karantény. Jak ale chcete, aby uživatelé zpracovávali méně škodlivé zprávy, jako je spam a hromadná pošta (označovaná také jako šedá pošta)? Měly by se tyto typy zpráv doručovat do uživatelských složek nevyžádané pošty Email?
S naším standardním nastavením zabezpečení obvykle doručujeme tyto méně rizikové typy zpráv do složky Nevyžádaná pošta Email. Toto chování se podobá mnoha nabídkám e-mailu pro spotřebitele, kde uživatelé můžou ve složce Nevyžádaná Email pošta zkontrolovat chybějící zprávy a sami tyto zprávy zachránit. Nebo pokud se uživatel záměrně zaregistroval k odběru bulletinu nebo marketingové pošty, může se rozhodnout odhlásit odběr nebo zablokovat odesílatele pro svoji vlastní poštovní schránku.
Mnoho podnikových uživatelů je ale zvyklých na malou (pokud vůbec) poštu ve složce Nevyžádaná pošta Email. Místo toho se tito uživatelé používají ke kontrole karantény u chybějících zpráv. Karanténa přináší problémy s oznámeními o karanténě, četností oznámení a oprávněními potřebnými k zobrazení a vydávání zpráv.
Nakonec je na vás, jestli chcete zabránit doručování e-mailů do složky Nevyžádaná pošta Email ve prospěch doručení do karantény. Jedna věc je ale jistá: pokud se prostředí v Defender pro Office 365 liší od toho, na co jsou vaši uživatelé zvyklí, musíte je upozornit a poskytnout jim základní školení. Začleňte poznatky z pilotního nasazení a ujistěte se, že jsou uživatelé připraveni na jakékoli nové chování při doručování e-mailů.
Hledané hromadné e-maily vs. nevyžádaná hromadná pošta: Mnoho systémů ochrany umožňuje uživatelům povolit nebo blokovat hromadné e-maily pro sebe. Tato nastavení se do Microsoftu 365 nemigrují snadno, takže byste měli zvážit spolupráci s virtuálními ip adresami a jejich zaměstnanci na opětovném vytvoření jejich stávajících konfigurací v Microsoftu 365.
Microsoft 365 dnes považuje některé hromadné e-maily (například bulletiny) za bezpečné na základě zdroje zpráv. Pošta z těchto "bezpečných" zdrojů není v současné době označena jako hromadná (úroveň hromadné stížnosti nebo seznam BCL je 0 nebo 1), takže je obtížné globálně blokovat poštu z těchto zdrojů. Pro většinu uživatelů je řešením požádat je, aby se jednotlivě odhlásili od odběru těchto hromadných zpráv, nebo pomocí Outlooku zablokovali odesílatele. Někteří uživatelé ale nemají rádi blokování nebo zrušení odběru hromadných zpráv sami.
Pravidla toku pošty, která filtrují hromadné e-maily, můžou být užitečná, když uživatelé VIP nechtějí spravovat hromadné e-maily sami. Další informace najdete v tématu Použití pravidel toku pošty k filtrování hromadných e-mailů.
Identifikace a určení prioritních účtů
Pokud je tato funkce dostupná, můžou vám prioritní účty a uživatelské značky pomoct identifikovat důležité uživatele Microsoftu 365, aby v sestavách vynikli. Další informace najdete v tématech Značky uživatelů v Microsoft Defender pro Office 365 a Správa a monitorování prioritních účtů.
Další krok
Blahopřejeme! Dokončili jste fázi přípravymigrace do Microsoft Defender pro Office 365!
- Pokračujte do fáze 2: Nastavení.