Získání nejlepších hodnot zabezpečení z Microsoft Defenderu pro Office 365, když máte filtrování e-mailů třetích stran

Článek
07/04/2024

Tato příručka je pro vás v následujících případech:

Máte licenci pro Microsoft Defender pro Office 365 a hostujete poštovní schránky v Office 365.
K zabezpečení e-mailu používáte také třetí stranu.

Následující informace podrobně popisuje, jak na maximum z vaší investice, a to rozdělené do snadno sledovatelného postupu.

Co potřebujete

Poštovní schránky hostované v Office 365
Jedna nebo více z těchto možností:
- Microsoft Defender for Office 365 Plan 1 for protection features
- Microsoft Defender pro Office 365 Plan 2 pro většinu ostatních funkcí (zahrnutých v plánech E5)
- Zkušební verze Microsoft Defenderu pro Office 365 (dostupná pro všechny zákazníky na aka.ms/tryMDO)
Dostatečná oprávnění ke konfiguraci funkcí popsaných níže

Krok 1 – vysvětlení hodnoty, kterou už máte

Integrované funkce ochrany

Integrovaná ochrana nabízí základní úroveň nenápadné ochrany a zahrnuje malware, zero day (bezpečné přílohy) a ochranu url (bezpečné odkazy) v e-mailech (včetně interních e-mailů), SharePointu Online, OneDrivu a Teams. Ochrana adres URL poskytovaná v tomto stavu je pouze voláním rozhraní API. Nezalamuje ani nepřepisuje adresy URL, ale vyžaduje podporovaného klienta Outlooku. Pokud chcete rozšířit ochranu, můžete si vytvořit vlastní zásady.

Přečtěte si další informace & podívejte se na video s přehledem bezpečných odkazů:Kompletní přehled bezpečných odkazů

Další informace o bezpečných přílohách najdete tady:Bezpečné přílohy

Funkce detekce, vyšetřování, odezvy a proaktivního vyhledávání

Když se upozornění v Microsoft Defenderu pro Office 365 aktivují, automaticky se korelují a zkombinují do incidentů, aby se snížila únava pracovníků zabezpečení. Automatizované vyšetřování a reakce (AIR) spouští šetření, která pomáhají napravit a zadržet hrozby.

Přečtěte si další informace, podívejte se na video s přehledem a začněte tady:Reakce na incidenty pomocí Microsoft Defenderu XDR

Threat Analytics je naše podrobné řešení analýzy hrozeb v rámci produktu od odborných pracovníků Microsoftu v oblasti zabezpečení. Analýza hrozeb obsahuje podrobné sestavy, které jsou navržené tak, aby vás rychle informovaly o nejnovějších skupinách hrozeb, technikách útoků, ochraně organizace pomocí indikátorů ohrožení (IOC) a mnoha dalších.

Přečtěte si další informace, podívejte se na video s přehledem a začněte tady:Analýza hrozeb v Microsoft Defenderu XDR

Pomocí Průzkumníka můžete vyhledávat hrozby, vizualizovat vzory toku pošty, sledovat trendy a identifikovat dopad změn, které provedete při ladění Defenderu pro Office 365. Zprávy z vaší organizace můžete také rychle odstranit několika kliknutími.

Přečtěte si další informace a začněte tady:Průzkumník hrozeb a detekce v reálném čase

Krok 2 – vylepšení hodnoty pomocí těchto jednoduchých kroků

Další funkce ochrany

Zvažte povolení zásad nad rámec integrované ochrany. Povolením ochrany před kliknutími nebo zosobněním můžete například přidat další vrstvy nebo vyplnit mezery, které v ochraně třetích stran chybí. Pokud máte pravidlo toku pošty (označované také jako pravidlo přenosu) nebo filtr připojení, který přepisuje verdikty (označované také jako pravidlo SCL=-1), musíte tuto konfiguraci vyřešit před zapnutím dalších funkcí ochrany.

Další informace najdete tady:Zásady ochrany proti útokům phishing

Pokud je váš současný poskytovatel zabezpečení nakonfigurovaný tak, aby jakýmkoli způsobem upravoval zprávy, je důležité si uvědomit, že ověřovací signály můžou mít vliv na schopnost Defenderu pro Office 365 chránit vás před útoky, jako je falšování identity. Pokud vaše třetí strana podporuje protokol ARC (Authenticated Received Chain), je to velmi doporučený krok na cestě k pokročilému duálnímu filtrování. Alternativou je také přesunutí jakékoli konfigurace úprav zpráv do Defenderu pro Office 365.

Další informace najdete tady:Konfigurace důvěryhodných zapečetěčů ARC.

Rozšířené filtrování konektorů umožňuje zachovat IP adresu a informace o odesílateli prostřednictvím třetí strany. Tato funkce zlepšuje přesnost zásobníku filtrování (ochrany), možnosti po porušení zabezpečení & vylepšení ověřování.

Další informace najdete tady:Rozšířené filtrování konektorů v Exchange Online

Ochrana prioritního účtu nabízí lepší viditelnost účtů v nástrojích spolu s další ochranou, když jsou v pokročilém stavu hloubkové konfigurace.

Další informace najdete tady:Ochrana prioritního účtu

Služba Advanced Delivery by měla být nakonfigurovaná tak, aby správně doručovala všechny simulace phish třetích stran, a pokud máte poštovní schránku Operace zabezpečení, zvažte možnost definovat ji jako poštovní schránku SecOps, abyste zajistili, že se e-maily z poštovní schránky neodeberou kvůli hrozbám.

Další informace najdete tady:Pokročilé doručení

Můžete nakonfigurovat nastavení nahlášených uživatelem tak, aby uživatelé mohli hlásit dobré nebo špatné zprávy společnosti Microsoft, do určené poštovní schránky pro generování sestav (pro integraci s aktuálními pracovními postupy zabezpečení) nebo obojí. Správci můžou použít kartu Nahlášený uživatel na stránce Odeslání k určení priorit falešně pozitivních a falešně negativních zpráv nahlášených uživateli.

Další informace najdete tady:Nasazení a konfigurace doplňku zprávy sestavy pro uživatele.

Funkce detekce, vyšetřování, odezvy a proaktivního vyhledávání

Rozšířené proaktivní vyhledávání můžete použít k proaktivnímu vyhledávání hrozeb ve vaší organizaci pomocí sdílených dotazů z komunity, které vám pomůžou začít. K nastavení upozornění při splnění přizpůsobených kritérií můžete použít také vlastní detekce.

Přečtěte si další informace, podívejte se na video s přehledem a začněte tady:Přehled – rozšířené proaktivní vyhledávání

Funkce pro vzdělávání

Trénování simulace útoku umožňuje spustit realistické, ale neškodné scénáře kybernetických útoků ve vaší organizaci. Pokud ještě nemáte možnosti simulace útoků phishing od primárního poskytovatele zabezpečení e-mailu, simulované útoky Microsoftu vám můžou pomoct identifikovat a najít zranitelné uživatele, zásady a postupy. Tato schopnost obsahuje důležité znalosti, které je potřeba mít a opravit předtím, než skutečný útok ovlivní vaši organizaci. Po simulaci přiřadíme v rámci produktu nebo vlastního školení, abychom uživatele seznámili s hrozbami, které jim unikly, a tím se sníží rizikový profil vaší organizace. Díky trénování simulace útoku doručujeme zprávy přímo do složky Doručená pošta, takže uživatelské prostředí je bohaté. To také znamená, že žádné změny zabezpečení, jako jsou přepsání potřebná ke správnému doručení simulací.

Začněte tady:Začínáme používat simulaci útoku.

Tady se můžete rovnou připojit k simulaci:Nastavení automatizovaných útoků a trénování v rámci trénování simulace útoku

Krok 3 a více, stát se hrdinou pro duální použití

Mnoho aktivit detekce, vyšetřování, reakcí a proaktivního vyhledávání, jak bylo popsáno výše, by měly vaše bezpečnostní týmy opakovat. V těchto doprovodných materiálech najdete podrobný popis úkolů, četnosti a týmových přiřazení, která doporučujeme.

Další informace:Provozní příručka zabezpečení pro Defender pro Office 365

Zvažte možnosti uživatelů, jako je přístup k více karanténám nebo odesílání nebo hlášení falešně pozitivních a falešně negativních výsledků. Zprávy zjištěné službou třetí strany můžete označit vlastní hlavičkou X . Pomocí pravidel toku pošty můžete například zjistit a umístit e-maily, které obsahují záhlaví X , a umístit je do karantény. Tento výsledek také poskytuje uživatelům jedno místo pro přístup k poště v karanténě.

Další informace:Konfigurace oprávnění a zásad karantény

Průvodce migrací obsahuje spoustu užitečných pokynů k přípravě a ladění prostředí pro přípravu na migraci. Mnoho z těchto kroků se ale vztahuje také na scénář duálního použití. V posledních krocích jednoduše ignorujte pokyny k přepínači MX.

Přečtěte si ho tady:Migrace ze služby ochrany třetí strany na Microsoft Defender pro Office 365 – Office 365 | Microsoft Docs.