Jaa

Defender for Office 365 pilottikoe ja käyttöönotto

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Tässä artikkelissa on työnkulku Microsoft Defender for Office 365 pilotointiin ja käyttöönottoon organisaatiossasi. Näiden suositusten avulla voit ottaa Microsoft Defender for Office 365 käyttöön yksittäisenä kyberturvallisuustyökaluna tai osana päästä päähän -ratkaisua, jossa on Microsoft Defender XDR.

Tässä artikkelissa oletetaan, että käytössäsi on Microsoft 365 -tuotantovuokraaja ja että olet luomassa ja ottamassa käyttöön Microsoft Defender for Office 365 tässä ympäristössä. Tämä käytäntö säilyttää kaikki pilottikokeilun aikana määrittämäsi asetukset ja mukautukset täyttä käyttöönottoa varten.

Defender for Office 365 edistää Zero Trust -suojausmalli arkkitehtuuria auttamalla estämään tai vähentämään murron aiheuttamia liiketoimintavaurioita. Lisätietoja on Microsoft Zero Trust -suojausmalli käyttöönoton viitekehyksen kohdassa Liiketoiminnan vahingoittumisen estäminen tai vähentäminen murron aiheuttamasta liiketoimintavahingosta.

Microsoft Defender XDR käyttöönotto päästä päähän

Tämä on sarjan artikkeli 3/6, jonka avulla voit ottaa käyttöön Microsoft Defender XDR osia, mukaan lukien tapausten tutkiminen ja niihin vastaaminen.

Kaavio, joka näyttää pilottikokeilun Microsoft Defender for Office 365 ja Microsoft Defender XDR käyttöönottoprosessin.

Tämän sarjan artikkelit vastaavat seuraavia päästä päähän -käyttöönoton vaiheita:

Vaihe Linkki
A. Käynnistä pilotti Käynnistä pilotti
B. Microsoft Defender XDR osien pilottikoe ja käyttöönotto - Defender for Identityn pilottikoe ja käyttöönotto

- Defender for Office 365 pilottikoe ja käyttöönotto (tämä artikkeli)

- Defender for Endpointin pilottikoe ja käyttöönotto

- Microsoft Defender for Cloud Apps pilottikoe ja käyttöönotto
C. Tutki uhkia ja reagoi niihin Tapausten tutkinnan ja reagointikäytännön harjoittaminen

Defender for Office 365-työnkulun pilottikoe ja käyttöönotto

Seuraavassa kaaviossa esitetään yleinen prosessi tuotteen tai palvelun käyttöönottoon IT-ympäristössä.

Pilottikokeilun, arvioinnin ja täyden käyttöönoton käyttöönottovaiheiden kaavio.

Aloitat arvioimalla tuotetta tai palvelua ja sitä, miten se toimii organisaatiossasi. Sen jälkeen voit kokeilla tuotetta tai palvelua sopivan pienellä osajoukolla tuotantoinfrastruktuuristasi testausta, oppimista ja mukauttamista varten. Kasvata sitten käyttöönottoa asteittain, kunnes koko infrastruktuuri tai organisaatio on katettu.

Tässä on Defender for Office 365 pilotoinnin ja käyttöönoton työnkulku tuotantoympäristössäsi.

Kaavio, joka näyttää Microsoft Defender for Office 365 käyttöönottovaiheet.

Toimi seuraavasti:

  1. Julkisen MX-tietueen valvonta ja tarkistaminen
  2. Hyväksyttyjen toimialueiden valvonta
  3. Saapuvien liittimien valvonta
  4. Aktivoi arviointi
  5. Luo pilottiryhmiä
  6. Suojauksen määrittäminen
  7. Kokeile ominaisuuksia

Seuraavassa on kunkin käyttöönottovaiheen suositellut vaiheet.

Käyttöönottovaihe Kuvaus
Arvioida Suorita tuotteen arviointi Defender for Office 365.
Lentäjä Suorita vaiheet 1–7 pilottiryhmille.
Täysi käyttöönotto Määritä pilottikäyttäjäryhmät vaiheessa 5 tai lisää käyttäjäryhmiä, jotta ne laajentuvat pilottikokeilun ulkopuolelle ja lopulta sisältävät kaikki käyttäjätilisi.

Defender for Office 365 arkkitehtuuria ja vaatimuksia

Seuraavassa kaaviossa esitetään Microsoft Defender for Office 365 perusarkkitehtuuri, joka voi sisältää kolmannen osapuolen SMTP-yhdyskäytävän tai paikallisen integroinnin. Yhdistelmäkäyttötilanteet (eli tuotannon postilaatikot ovat sekä paikallisia että online-tilassa) edellyttävät monimutkaisempia määrityksiä, eikä niitä käsitellä tässä artikkelissa tai arviointiohjeissa.

Microsoft Defender for Office 365 arkkitehtuurikaavio.

Seuraavassa taulukossa kuvataan tämä kuva.

Kuvateksti Kuvaus
1 Ulkoisen lähettäjän isäntäpalvelin suorittaa yleensä julkisen DNS-haun MX-tietueelle, joka antaa kohdepalvelimen viestin välittämiseen. Tämä suositus voidaan joko Exchange Online (EXO) suoraan tai SMTP-yhdyskäytävä, joka on määritetty välittämään EXO:ta vastaan.
2 Exchange Online Protection neuvottelee ja vahvistaa saapuvan yhteyden ja tarkistaa viestin otsikot ja sisällön määrittääkseen, mitä lisäkäytäntöjä, tunnisteita tai käsittelyä tarvitaan.
3 Exchange Online integroituu Microsoft Defender for Office 365 kanssa tarjotakseen kehittyneemmän uhkien suojauksen, lieventämisen ja korjaamisen.
4 Viesti, joka ei ole haitallinen, estetty tai karanteenissa, käsitellään ja toimitetaan vastaanottajalle EXO:ssa, jossa roskapostiin, postilaatikon sääntöihin tai muihin asetuksiin liittyvät käyttäjäasetukset arvioidaan ja käynnistetään.
5 Integrointi paikallinen Active Directory kanssa voidaan ottaa käyttöön Microsoft Entra Connectin avulla, jos haluat synkronoida ja valmistella sähköpostia käyttäviä objekteja ja tilejä Microsoft Entra ID ja lopulta Exchange Online.
6 Kun integroit paikallisen ympäristön, kannattaa käyttää Exchange-palvelinta sähköpostiin liittyvien määritteiden, asetusten ja määritysten tuettuun hallintaan ja hallintaan.
7 Microsoft Defender for Office 365 jakaa signaaleja Microsoft Defender XDR laajennettua havaitsemista ja reagointia (XDR) varten.

Paikallinen integrointi on yleistä, mutta valinnaista. Jos ympäristösi on vain pilvipalvelu, nämä ohjeet toimivat myös sinulle.

Onnistunut Defender for Office 365 arviointi tai tuotantokoe edellyttää seuraavia edellytyksiä:

  • Kaikki vastaanottajan postilaatikot ovat tällä hetkellä Exchange Online.
  • Julkinen MX-tietueesi ratkaistaan suoraan EOP:ksi tai kolmannen osapuolen SMTP (Simple Mail Transfer Protocol) -yhdyskäytäväksi, joka välittää saapuvan ulkoisen sähköpostin suoraan EOP:iin.
  • Ensisijainen sähköpostitoimialue on määritetty tärkeäksi kohteessa Exchange Online.
  • Olet ottanut käyttöön ja määrittänyt hakemistopohjaisen edge blockingin (DBEB) tarpeen mukaan. Lisätietoja on kohdassa Directory-Based Edgen esto virheellisille vastaanottajille lähetettyjen viestien hylkääminen.

Tärkeää

Jos nämä vaatimukset eivät ole sovellettavissa tai olet edelleen hybridi rinnakkaiskäyttöskenaariossa, Microsoft Defender for Office 365 arviointi voi vaatia monimutkaisempia tai edistyneempiä määrityksiä, joita ei käsitellä täysin näissä ohjeissa.

Vaihe 1: Julkisen MX-tietueen valvonta ja tarkistaminen

Jotta voit arvioida Microsoft Defender for Office 365 tehokkaasti, on tärkeää, että saapuva ulkoinen sähköposti välitetään vuokraajaan liittyvän Exchange Online Protection (EOP) -esiintymän kautta.

  1. Laajenna M365 Hallinta portaalissa osoitteessa https://admin.microsoft.com... Näytä kaikki tarvittaessa, laajenna Asetukset ja valitse sitten Toimialueet. Voit myös siirtyä suoraan Toimialueet-sivulle valitsemalla https://admin.microsoft.com/Adminportal/Home#/Domains.
  2. Valitse Toimialueet-sivulla vahvistettu sähköpostitoimialue napsauttamalla mitä tahansa muuta merkintää kuin valintaruutua.
  3. Valitse avautuvasta toimialueen tietojen pikaikkunasta DNS-tietueet-välilehti . Kirjaa muistiin MX-tietue, joka luodaan ja määritetään EOP-vuokraajallesi.
  4. Käytä ulkoista (julkista) DNS-vyöhykettä ja tarkista sähköpostisi toimialueeseen liittyvä ensisijainen MX-tietue:
    • Jos julkinen MX-tietue vastaa tällä hetkellä määritettyä EOP-osoitetta (esimerkiksi contoso-com.mail.protection.outlook.com), reititysmuutoksia ei enää tarvita.
    • Jos julkinen MX-tietue tällä hetkellä ratkaistaan kolmannen osapuolen yhdyskäytäväksi tai paikalliseksi SMTP-yhdyskäytäväksi, saatat tarvita lisää reititysmäärityksiä.
    • Jos julkinen MX-tietue tällä hetkellä ratkaistaan paikalliseksi Exchangeksi, saatat edelleen olla yhdistelmämallissa, jossa joitakin vastaanottajien postilaatikoita ei ole vielä siirretty EXO:hen.

Vaihe 2: Audit accepted domains

  1. Laajenna Exchange-hallintakeskuksessa (EAC) osoitteessa https://admin.exchange.microsoft.com, laajenna Postin kulku ja valitse sitten Hyväksytyt toimialueet. Voit myös siirtyä suoraan Hyväksytyt toimialueet -sivulle käyttämällä -parametria https://admin.exchange.microsoft.com/#/accepteddomains.
  2. Kirjoita Hyväksytty toimialueet -sivulla muistiin ensisijaisen sähköpostitoimialueesi Toimialuetyyppi-arvo .
    • Jos toimialuetyypiksi on määritetty Authoritative, oletetaan, että kaikki organisaatiosi vastaanottajan postilaatikot sijaitsevat tällä hetkellä Exchange Online.
    • Jos toimialuetyypiksi on määritetty InternalRelay, saatat edelleen olla yhdistelmämallissa, jossa jotkin vastaanottajan postilaatikot ovat edelleen paikallisia.

Vaihe 3: Saapuvien liittimien valvonta

  1. Laajenna Exchange-hallintakeskuksessa (EAC) osoitteessa https://admin.exchange.microsoft.com, laajenna Postin kulku ja valitse sitten Liittimet. Voit myös siirtyä suoraan Liittimet-sivulle valitsemalla https://admin.exchange.microsoft.com/#/connectors.
  2. Merkitse Liittimet-sivulla muistiin kaikki liittimet, joilla on seuraavat asetukset:
    • From-arvo on kumppani org, joka saattaa korreloida kolmannen osapuolen SMTP-yhdyskäytävään.
    • Mistä-arvo on Organisaatiosi, joka voi osoittaa, että olet edelleen hybridiskenaariossa.

Vaihe 4: Aktivoi arviointi

Aktivoi Microsoft Defender for Office 365 arviointisi Microsoft Defender portaalissa noudattamalla näitä ohjeita.

Lisätietoja on artikkelissa Kokeile Microsoft Defender for Office 365.

  1. Laajenna Microsoft Defender-portaalissa https://security.microsoft.comkohtaa Sähköposti & yhteistyö> valitsemalla Käytännöt & säännöt> valitse Uhkakäytännöt> vieritä alaspäin Muut-osioon ja valitse sitten Arviointitila. Voit myös siirtyä suoraan Arviointitila-sivulle valitsemalla https://security.microsoft.com/atpEvaluation.

  2. Valitse Arviointitila-sivullaAloita arviointi.

    Näyttökuva Arviointitila-sivusta ja napsautettavasta Aloita arviointi -painikkeesta.

  3. Valitse Ota suojaus käyttöön -valintaikkunassa Ei, haluan vain raportoinnin ja valitse sitten Jatka.

    Näyttökuva Ota suojaus käyttöön -valintaikkunasta ja Ei, haluan vain raportointi -vaihtoehdon valitsemisesta.

  4. Valitse Valitse käyttäjät, jotka haluat sisällyttää -valintaikkunassa Kaikki käyttäjät ja valitse sitten Jatka.

    Näyttökuva Valitse käyttäjät, jotka haluat sisällyttää -valintaikkunasta ja Kaikki käyttäjät -vaihtoehdosta.

  5. Auta meitä ymmärtämään postinkulkua -valintaikkunassa yksi seuraavista vaihtoehdoista valitaan automaattisesti toimialueesi MX-tietueen tunnistamisen perusteella:

    • Käytän vain Microsoft Exchange Online: toimialueesi MX-tietueet osoittavat Microsoft 365:een. Määritettävää kohdetta ei ole jäljellä, joten valitse Valmis.

      Näyttökuva Auta meitä ymmärtämään postinkulkua -valintaikkunasta, jossa on valittuna Vain Microsoft Exchange Online -vaihtoehto.

    • Käytössäni on kolmannen osapuolen ja/tai paikallinen palveluntarjoaja: Valitse tulevissa näytöissä toimittajan nimi sekä saapuva liitin, joka hyväksyy kyseisen ratkaisun sähköpostit. Päätät myös, tarvitsetko Exchange Online postinkulun säännön (tunnetaan myös siirtosääntönä), joka ohittaa saapuvan viestin roskapostisuodattimen kolmannen osapuolen suojauspalvelusta tai laitteesta. Kun olet valmis, valitse Valmis.

Vaihe 5: Luo pilottiryhmiä

Kun luot pilottikokeilun Microsoft Defender for Office 365, voit pilottikokeilla tiettyjä käyttäjiä, ennen kuin otat käyttöön ja pakotat käytäntöjä koko organisaatiossasi. Jakeluryhmien luominen voi auttaa käyttöönottoprosessien hallinnassa. Voit esimerkiksi luoda ryhmiä, kuten Defender for Office 365 Users - Standard Protection, Defender for Office 365 Users - Strict Protection, Defender for Office 365 Users - Custom Protection tai Defender for Office 365 Käyttäjät – Poikkeukset.

Ei ehkä ole selvää, miksi standard- ja strict-ehdot ovat näissä ryhmissä käytettyjä ehtoja, mutta se käy selväksi, kun tutustut tarkemmin Defender for Office 365 suojauksen esiasetuksia. Nimeämisryhmät "mukautetut" ja "poikkeukset" puhuvat puolestaan, ja vaikka useimpien käyttäjiesi tulisi kuulua vakio - ja tiukkojen, mukautettujen ja poikkeusryhmien piiriin, ne keräävät sinulle arvokkaita tietoja riskien hallinnasta.

Jakeluryhmiä voidaan luoda ja määrittää suoraan Exchange Online tai synkronoida paikallinen Active Directory.

  1. Kirjaudu Exchange Hallinta Keskukseen (EAC) https://admin.exchange.microsoft.com käyttämällä tiliä, jolle on myönnetty vastaanottajien järjestelmänvalvojan rooli tai delegoidut ryhmän hallintaoikeudet.

  2. Valitse Vastaanottajat>Ryhmät.

    Näyttökuva Ryhmät valikon kohteesta.

  3. Valitse Ryhmät sivulla Lisää ryhmä -kuvake.Lisää ryhmä.

    Näyttökuva Lisää ryhmä -vaihtoehdosta.

  4. Valitse ryhmätyypiksi Jakelu ja valitse sitten Seuraava.

    Näyttökuva Valitse ryhmätyyppi -osasta.

  5. Anna ryhmälle nimi ja valinnainen kuvaus ja valitse sitten Seuraava.

    Näyttökuva Perustietojen määrittäminen -osiosta.

  6. Määritä muilla sivuilla omistaja, lisää jäseniä ryhmään, määritä sähköpostiosoite, liittymisen rajoitukset ja muut asetukset.

Vaihe 6: Suojauksen määrittäminen

Jotkin Defender for Office 365 ominaisuudet on määritetty ja otettu käyttöön oletusarvoisesti, mutta suojaustoiminnot saattavat haluta nostaa suojaustasoa oletusarvosta.

Joitakin ominaisuuksia ei ole vielä määritetty. Voit määrittää suojauksen seuraavilla vaihtoehdoilla (joita on helppo muuttaa myöhemmin):

  • Määritä käyttäjät ennalta määritettyihin suojauskäytäntöihin: Ennalta määritettyjä suojauskäytäntöjä suositellaan määrittämään nopeasti yhtenäinen suojaustaso kaikille ominaisuuksista. Voit valita standard- tai Strict protection -vaihtoehdon. Standard- ja Strict-asetukset on kuvattu taulukoissa täällä. Standard- ja Strict-arvojen erot on esitetty taulukossa tässä.

    Valmiiksi määritettyjen suojauskäytäntöjen etuna on, että suojaat käyttäjäryhmiä mahdollisimman nopeasti käyttämällä Microsoftin suositeltuja asetuksia palvelinkeskuksissa olevien havaintojen perusteella. Kun uusia suojausominaisuuksia lisätään ja suojausmaisema muuttuu, esiasetusten suojauskäytäntöjen asetukset päivitetään automaattisesti suositeltuihin asetuksiin.

    Ennalta määritettyjen suojauskäytäntöjen haittana on se, että et voi mukauttaa käytännöllisesti katsoen mitään suojausasetuksia valmiiksi määritetyissä suojauskäytännöissä (et voi esimerkiksi muuttaa toimintoa toimituksesta roskapostiksi karanteeniin tai päinvastoin). Poikkeuksena ovat merkinnät ja valinnaiset poikkeukset käyttäjäksi tekeytymisen ja toimialueen tekeytymissuojausta varten, jotka sinun on määritettävä manuaalisesti.

    Muista myös, että ennalta määritettyjä suojauskäytäntöjä käytetään aina ennen mukautettuja käytäntöjä. Jos siis haluat luoda ja käyttää mukautettuja käytäntöjä, sinun on jätettävä mukautettujen käytäntöjen käyttäjät pois ennalta määritetyistä suojauskäytännöistä.

  • Mukautettujen suojauskäytäntöjen määrittäminen: Jos haluat määrittää ympäristön itse, vertaa oletusarvoisia, vakio- ja tiukat asetuksia kohdassa Suositellut asetukset EOP:lle ja Microsoft Defender for Office 365 tietoturvalle. Säilytä laskentataulukko siitä, missä mukautettu koontiversiosi poikkeaa.

    Määritysanalysaattorin avulla voit myös verrata mukautettujen käytäntöjen asetuksia Standard- ja Strict-arvoihin.

Lisätietoja ennalta määritettyjen suojauskäytäntöjen ja mukautettujen käytäntöjen valitsemisesta on kohdassa Suojauskäytäntöstrategian määrittäminen.

Määritä valmiiksi määritetyt suojauskäytännöt

Suosittelemme, että aloitat EOP:n ennalta määritetyillä suojauskäytännöillä ja Defender for Office 365 nopeasti määrittämällä ne tietyille pilottikäyttäjille tai määritetyille ryhmille osana arviointiasi. Valmiiksi määritetyt käytännöt tarjoavat perustason Standard-suojausmallin tai aggressiivisemman Strict Protection -mallin, joka voidaan määrittää itsenäisesti.

Esimerkiksi pilottiarviointien EOP-ehtoa voidaan soveltaa, jos vastaanottajat kuuluvat määritettyyn EOP Standard Protection - ryhmään ja joita hallitaan lisäämällä tilejä ryhmään tai poistamalla tili ryhmästä.

Samoin pilottiarviointien Defender for Office 365 ehtoa voidaan soveltaa, jos vastaanottajat kuuluvat määritettyyn Defender for Office 365 Standard Protection -ryhmään ja joita hallitaan lisäämällä tai poistamalla tilejä ryhmän kautta.

Katso täydelliset ohjeet artikkelista Microsoft Defender portaalin käyttäminen vakio- ja tiukan esiasetettavan suojauskäytännön määrittämiseksi käyttäjille.

Mukautettujen suojauskäytäntöjen määrittäminen

Esimääritetyt Standard- tai Strict Defender for Office 365 -käytäntömallit antavat pilottikokeilun käyttäjille suositellun perussuojauksen. Voit kuitenkin myös luoda ja määrittää mukautettuja suojauskäytäntöjä osana arviointiasi.

On tärkeää olla tietoinen siitä, miten etusijalla nämä suojauskäytännöt ovat, kun niitä käytetään ja pakotetaan, kuten on selitetty esimääritettävien suojauskäytäntöjen ja muiden käytäntöjen käsittelyjärjestyksessä.

Suojauskäytäntöjen määrittäminen -toiminnon selitys ja taulukko tarjoavat kätevän viittauksen siihen, mitä sinun on määritettävä.

Vaihe 7: Kokeile ominaisuuksia

Kun pilottikokeilusi on nyt määritetty, on hyödyllistä tutustua raportointi-, valvonta- ja hyökkäyssimulointityökaluihin, jotka ovat ainutlaatuisia Microsoft 365:n Microsoft Defender.

Kykenevyys Kuvaus Lisätietoja
Threat Explorer Threat Explorer on tehokas lähes reaaliaikainen työkalu, jonka avulla tietoturvatiimit voivat tutkia uhkia ja vastata niihin sekä näyttää tietoja havaituista haittaohjelmistoista ja tietojenkalastelusta sähköpostissa ja tiedostoissa Office 365 sekä muita tietoturvauhkia ja -riskejä organisaatiollesi. Tietoja Uhkienhallinnasta
Hyökkäyssimulaatiokoulutus Voit Microsoft Defender portaalin Hyökkäyssimulaatiokoulutus avulla suorittaa organisaatiossasi realistisia hyökkäysskenaarioita, joiden avulla voit tunnistaa ja löytää haavoittuvassa asemassa olevia käyttäjiä, ennen kuin todellinen hyökkäys vaikuttaa ympäristöösi. Hyökkäyssimulaatiokoulutuksen käytön aloittaminen
Raportit-koontinäyttö Valitse vasemmassa siirtymisvalikossa Raportit ja laajenna Sähköposti & yhteistyö -otsikko. Sähköposti & yhteistyöraporteissa on kyse suojaustrendien havaitsemisesta, joista joidenkin avulla voit ryhtyä toimiin (painikkeilla, kuten "Siirry lähetyksiin"), ja toisissa se näyttää trendejä. Nämä mittarit luodaan automaattisesti. Sähköpostin suojausraporttien tarkasteleminen Microsoft Defender portaalissa

Tarkastele Defender for Office 365 raportteja Microsoft Defender-portaalissa

SIEM-integrointi

Voit integroida Defender for Office 365 Microsoft Sentinel tai yleisten suojaustietojen ja tapahtumienhallintapalvelun (SIEM) kanssa, jotta voit ottaa käyttöön yhdistettyjen sovellusten ilmoitusten ja toimintojen keskitetyn seurannan. Microsoft Sentinel avulla voit analysoida organisaatiosi suojaustapahtumia kattavammin ja luoda pelikirjoja, jotta ne voivat toimia tehokkaasti ja välittömästi.

Kaavio, joka näyttää Microsoft Defender for Office 365 arkkitehtuurin SIEM-integroinnin kanssa.

Microsoft Sentinel sisältää Defender for Office 365-liittimen. Lisätietoja on artikkelissa Ilmoitusten yhdistäminen Microsoft Defender for Office 365.

Microsoft Defender for Office 365 voidaan integroida myös muihin SIEM-ratkaisuihin Office 365 toimintojen hallinnan ohjelmointirajapinnan avulla. Lisätietoja integroinnista yleisiin SIEM-järjestelmiin on kohdassa Yleinen SIEM-integrointi.

Seuraavat vaiheet

Sisällytä Microsoft Defender for Office 365 Security Operations Guide -oppaan tiedot SecOps-prosesseihin.

Seuraava vaihe Microsoft Defender XDR käyttöönottoa varten.

Jatka Microsoft Defender XDR käyttöönottoa päästä päähän Pilotilla ja ota Defender for Endpoint käyttöön.

Kaavio, joka näyttää pilottikokeilun Microsoft Defender for Endpoint ja Microsoft Defender XDR käyttöönoton.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.