Jaa

Huomioon otettavia seikkoja muiden kuin Microsoftin suojauspalvelujen integroimisessa Microsoft 365:een

Vaikka Microsoft tarjoaa kattavan ympäristön sähköpostin suojaukseen, ymmärrämme, että jotkut asiakkaat omaksuvat sähköpostin suojauksen perusteellisen strategian lisäämällä kolmannen osapuolen (muun kuin Microsoftin) suojauspalvelun. Muiden kuin Microsoftin tietoturvapalvelujen sisällyttämisessä Microsoft 365:een on kaksi seikkaa:

  • Se, parantaako muu kuin Microsoft-palvelu organisaatiosi suojausasentoja, ja kompromissit siihen. Esimerkki:

    • Enemmän kustannuksia.
    • Enemmän monimutkaisuutta.
    • False-positiivisten (huonoiksi merkityt hyvät kohteet) määrä kasvaa, kun tuotteita lisätään.
    • Miten muu kuin Microsoftin suojauspalvelu integroituu päästä päähän. Esimerkki:
      • Muun kuin Microsoft-palvelun tulee tarjota käyttökokemus, joka ei edellytä, että käyttäjät miettivät, mitä karanteenia kannattaa käyttää.
      • Muun kuin Microsoft-palvelun tulee integroitua olemassa oleviin suojaustoimintojen prosesseihin ja työkaluihin. Esimerkiksi suojaustiedot ja tapahtumien hallinta (SIEM), suojauksen orkestrointi, automaatio ja reagointi (SOAR) jne.

    Huomautus

    Sähköpostisuojaus on vastakkainen tila. Hyödykkeiden tietojenkalastelun ja hyökkäyspakkausten nousun myötä hyökkäykset kehittyvät ja muuttuvat nopeasti. Siksi Microsoft Defender for Office 365 on osa Microsoft Defender XDR, monikerroksista, murtoa edeltävää ja murron jälkeistä lähestymistapaamme yritysten kyberturvallisuuteen.

    Riippumatta siitä, kuinka monta sähköpostisuojausta on olemassa, kokonaissuojaus ei koskaan saavuta 100 prosenttia.

  • Miten muu kuin Microsoft-palvelu tarkistaa sähköpostiviestit ja toimii niiden kanssa. Yleensä muut kuin Microsoftin suojauspalvelut ehdottavat seuraavia kolmea integrointivaihtoehtoa, eikä Microsoft tue kaikkia näitä vaihtoehtoja yhtä hyvin tällä hetkellä.

Integrointi DNS-sähköpostireitityksen kautta (MX-tietue osoittaa ei-Microsoft-palveluun)

Tätä määritystä käsitellään yksityiskohtaisesti artikkelissa Yhdistimien parannettu suodatus Exchange Online, ja Microsoft tukee sitä täysin. Sähköpostin suojaustoimittajat, jotka tukevat todennettua vastaanotettua ketjua (ARC ), toimivat parhaiten, mutta rajoituksia on. Vältä esimerkiksi turvallisten linkkien käyttämistä linkkien tarkistamiseen ja rivittämiseen sellaisen muun kuin Microsoft-palvelun kanssa, joka myös kirjoittaa linkit uudelleen. Kaksoislinkkien rivitys voi estää turvallisia linkkejä vahvistamasta linkin tilaa, räjäyttämästä linkkejä uhkien varalta ja mahdollisesti laukaisemasta kertakäyttölinkkejä. Suosittelemme linkin rivitystoiminnon poistamista käytöstä muissa kuin Microsoft-palveluissa.

Lisätietoja tästä määrityksestä on kohdassa Postinkulun hallinta kolmannen osapuolen pilvipalvelun avulla ja Exchange Online.

Integrointi Microsoft Graph -ohjelmointirajapinnan kautta

Jotkin muut kuin Microsoft-palvelut todentavat ja käyttävät Microsoft Graph -ohjelmointirajapintaa viestien skannaamiseen sen jälkeen, kun ne on toimitettu käyttäjän postilaatikoihin. Tämän määrityksen avulla muu kuin Microsoft-palvelu voi poistaa viestejä, joiden he uskovat olevan haitallisia tai ei-toivottuja. Yleensä tämä määritys edellyttää, että muu kuin Microsoft-palvelu käyttää postilaatikoita täysin. Varmista ennen tämän käyttöoikeuden myöntämistä, että ymmärrät muun kuin Microsoft-palvelun suojaus- ja tukikäytännöt.

Integrointi sisään- ja ulos-sähköpostireitityksen kautta

Tämän määrityksen avulla MX-tietue voi osoittaa Microsoft 365:een. Muu kuin Microsoft-palvelu toimii kuitenkin Microsoft 365 :n sähköpostisuojauksen ja käsittelyn jälkeen seuraavassa kaaviossa esitetyllä tavalla:

kaavio, joka näyttää postinkulun, jossa on käytössä muu kuin Microsoft-suojauspalvelu sähköpostin toimittamisen jälkeen Microsoft 365:een.

Vihje

Parannettu liittimien suodatus ei toimi tämän määrityksen kanssa. Liitinten parannettu suodatus on suunniteltu skenaarioihin, joissa muu kuin Microsoft-palvelu on ennen Microsoft 365:tä, kuten aiemmin mainittiin Integrointi DNS-sähköpostin reitityksen kautta - osiossa. Muu kuin Microsoft 365 -palvelu sallii täyden sähköpostisuojauspinon toiminnan ja estää älykkäästi muun kuin Microsoft-palvelun lähetysinfrastruktuuriin liittyvien väärien positiivisten tietojen väärentämisen. Et voi käyttää liittimien parannettua suodatusta kaikkien Microsoft 365:n IP-osoitteiden viestien luottamiseen.

Tämä määritys edellyttää, että viesti jätetään Microsoft 365 -palvelun reunasta. Kun viesti palautuu muusta kuin Microsoft-palvelusta, Microsoft 365 kohtelee sitä täysin uutena viestinä. Tämä toiminta aiheuttaa seuraavia ongelmia ja monimutkaisuutta:

  • Viestit lasketaan kahdesti useimmissa raportointityökaluissa, kuten Explorerissa (Threat Explorer), kehittyneessä metsästyksessä sekä automaattisessa tutkimuksessa ja vastauksessa (AIR). Tämän toiminnan vuoksi viestin tuomion ja toimien korreloiminen oikein on vaikeaa.

  • Koska Microsoft 365:een tulevat viestit todennäköisesti epäonnistuvat sähköpostin todennustarkistuksissa, viestit voidaan tunnistaa huijatuksi (false-positiiviset). Jotkin muut kuin Microsoft-palvelut suosittelevat sähköpostinkulun sääntöjen (siirtosääntöjen) tai IP-yhteyssuodatuksen käyttämistä ongelman ratkaisemiseksi, mutta se voi johtaa väärien negatiivisten tietojen toimittamiseen.

  • Ehkä tärkeintä on, että Defender for Office 365 koneoppiminen ei toimi niin tehokkaasti kuin se voi. Koneoppimisen algoritmit käyttävät tarkkoja tietoja sisällön päätöksenteossa. Epäyhtenäiset tai muuttuneet tiedot voivat vaikuttaa kielteisesti oppimisprosessiin, mikä johtaa Defender for Office 365 yleisen tehokkuuden heikkenemiseen. Esimerkkeinä:

    • Maine: Ajan mittaan koneoppimismallit löytävät hyvän ja huonon sisällön elementit (IP-osoitteet, lähetystoimialueet, URL-osoitteet jne.). Kun viestit palautuvat muista kuin Microsoft-palvelusta, alkuperäisiä lähettäviä IP-osoitteita ei säilytetä, ja ne voivat heikentää IP-osoitteiden tehokkuutta oikean tuomion hahmontamisessa. Tämä toiminta voi myös vaikuttaa lähetyksiä, joita käsitellään myöhemmin kohdassa 3.
    • Viestin sisällön muokkaukset: Monet sähköpostin suojauspalvelut lisäävät viestien otsikoita, lisäävät vastuuvapauslausekkeita, muokkaavat viestin leipätekstin sisältöä ja/tai kirjoittavat viestien URL-osoitteet uudelleen. Vaikka tämä ei yleensä ole ongelma, toimitetut viestit, jotka sisältävät nämä muutokset, jotka myöhemmin on todettu haitallisiksi ja jotka poistetaan nolla tunnin automaattisen puhdistuksen (ZAP) kautta, voivat opettaa koneoppimista siitä, että nämä muutokset ovat merkki huonosta viestistä.

Näistä syistä suosittelemme välttämään tätä määritystä ja tekemään yhteistyötä muun kuin Microsoft-palvelun toimittajan kanssa, jotta voit käyttää muita tässä artikkelissa kuvattuja integrointivaihtoehtoja. Jos sinun on kuitenkin otettava tämä määritys käyttöön, suosittelemme painokkaasti seuraavia asetuksia ja toimintoja suojaustilan maksimoimiseksi:

  1. Määritä Defender for Office 365 käytäntötoiminnot kaikkien negatiivisten tuomioiden karanteeniin asettamista varten. Vaikka tämä määritys voi olla käyttäjäystävällisempi kuin Roskaposti-kansion käyttö, roskapostitoiminto suoritetaan vain, kun se toimitetaan postilaatikkoon lopullisesti. Roskapostikansioon toimitettu sähköpostiviesti lähetetään sen sijaan muihin kuin Microsoft-palveluun. Jos/kun tämä viesti tulee takaisin Microsoftille, ei ole mitään takeita sille, että alkuperäinen tuomio (esimerkiksi roskaposti) säilyy. Tämä toiminta heikentää yleistä tehokkuutta.

    Vihje

    Postinkulun säännöt (siirtosäännöt), joissa tarkastellaan alkuperäisiä tuomioita, eivät ole ihanteellisia, koska ne voivat aiheuttaa muita ongelmia ja johtaa tehokkuushaasteisiin.

  2. Pienennä false-positiiviset arvot ohittamalla muusta kuin Microsoft-palvelusta saapuvan sähköpostiviestin huijaus. Jos esimerkiksi muun kuin Microsoft-palvelun IP-osoite on 172.17.17.35, luo kaksi sallittua spoofed-lähettäjämerkintää Vuokraajan salli/estä-luetteloon: yksi ulkoinen ja yksi sisäinen seuraavassa näyttökuvassa esitetyllä tavalla:

    Näyttökuva vuokraajan sallittujen ja estettyjen lähettäjien sallittujen tietojen luettelosta.

    Muista poistaa nämä ohitusmerkinnät, jos joskus poistut Microsoftin suojapalvelusta tai muutat sen toimintaa.

  3. Virheellisten negatiivisten (virheellisten sähköpostien sallittu) ja epätosi-positiivisten sähköpostiviestien Microsoftille lähettämisen pitäisi olla peräisin viestin alkuperäisestä versiosta, ei siitä, joka palautetaan muusta kuin Microsoft-palvelusta. Muille kuin Microsoft-palveluille määritetyt false-positiiviset tiedot tulee lähettää muihin kuin Microsoft-palveluun. Tämän vaatimuksen hallinta voi olla monimutkaista:

    • Microsoft false -negatiivinen (vastaamaton vastaanotossa): Tarvitset kopion viestistä ennen toimitusta postilaatikkoon. Lähetä kopio karanteeniin muista kuin Microsoft-palveluista, jos se on käytettävissä.
    • Microsoft + muu kuin Microsoft-palvelu epätosi: Jos molemmat palvelut kaipaavat sitä, suosittelemme alkuperäisen kohteen raportointia Microsoftille ja vastaanottajan postilaatikon kohteen raportointia muille kuin Microsoft-palveluille. Muulta kuin Microsoft-palvelulta Microsoft 365:lle palautettu kohde sisältää tietoja muista kuin Microsoft-palveluista (esimerkiksi muiden kuin Microsoft-palvelun lähettämistä IP-osoitteista, mukautetuista otsikoista jne.), mikä voi heikentää koneoppimisen tehokkuutta.
    • Microsoft false -positiivinen: Jos Microsoft sai viestin alun perin ennen sen arvioimista muun kuin Microsoft-palvelun toimesta, tämän kopion lähettäminen karanteenista on tehokasta.
    • Muu kuin Microsoft-palvelu on positiivinen: Jos muu kuin Microsoft-palvelu havaitsi viestin, sinun on lähetettävä viesti heille, koska Microsoft ei pysty korjaamaan ongelmaa.

Muiden kuin Microsoftin viestien raportointityökalujen integrointi

Defender for Office 365 on ilmoittanut asetuksista, jotka toimivat Outlookin tuettujen versioiden sisäinen raportti -painikkeen tai Microsoftin raporttiviestin tai raportin tietojenkalasteluapuohjelmien kanssa.

Tietäen, että muut kuin Microsoftin suojauspalvelut saattavat sisältää omia työkalujaan ja prosessejaan väärien positiivisten ja väärien negatiivisten tietojen raportointiin (mukaan lukien käyttäjien koulutus- ja tietoisuustoimet), Defender for Office 365 tukevat kolmansien osapuolten raportointityökalujen lähettämistä. Tämä tuki auttaa virtaviivaistamaan väärien positiivisten ja väärien negatiivisten tietojen raportointia Microsoftille ja antaa SecOps-tiimillesi mahdollisuuden hyödyntää Microsoft Defender XDR tapaustenhallintaa ja automatisoituja tutkimuksia ja vastauksia (AIR).

Lisätietoja on kohdassa Kolmannen osapuolen raportointityökalujen asetukset.