Partager via

Obtenir la meilleure valeur de sécurité de Microsoft Defender pour Office 365 lorsque vous disposez d’un filtrage de courrier tiers

  • Article

Ce guide est pour vous si :

  • Vous disposez d’une licence pour Microsoft Defender pour Office 365 et hébergez vos boîtes aux lettres dans Office 365
  • Vous utilisez également un tiers pour la sécurité de votre messagerie

Les informations suivantes expliquent comment tirer le meilleur parti de votre investissement, réparties en étapes faciles à suivre.

Informations nécessaires

  • Boîtes aux lettres hébergées dans Office 365
  • Un ou plusieurs des éléments suivants :
    • Microsoft Defender for Office 365 Plan 1 pour les fonctionnalités de protection.
    • Microsoft Defender pour Office 365 Plan 2 pour la plupart des autres fonctionnalités (incluses dans les plans E5).
    • Microsoft Defender pour Office 365 Version d’évaluation (disponible pour tous les clients à l’adresse https://aka.ms/tryMDO).
  • Autorisations suffisantes pour configurer les fonctionnalités décrites dans cet article.

Étape 1 : Comprendre la valeur dont vous disposez déjà

Fonctionnalités de protection intégrées

  • La protection intégrée offre un niveau de base de protection discrète, et inclut les programmes malveillants, zéro jour (pièces jointes fiables) et la protection d’URL (liens fiables) dans les e-mails (y compris la messagerie interne), SharePoint, OneDrive et Microsoft Teams. La protection d’URL fournie dans cet état s’effectue uniquement via un appel d’API. Il n’encapsule pas ou ne réécrit pas les URL, mais nécessite un client Outlook pris en charge. Vous pouvez créer vos propres stratégies personnalisées pour étendre votre protection.

    En savoir plus & watch une vidéo de vue d’ensemble des liens fiables ici :Vue d’ensemble complète des liens fiables

    En savoir plus sur les pièces jointes fiables ici :Pièces jointes fiables

Fonctionnalités de détection, d’investigation, de réponse et de chasse

  • Lorsque des alertes se déclenchent dans Microsoft Defender pour Office 365, elles sont automatiquement corrélées et combinées en incidents pour aider à réduire la fatigue des alertes sur le personnel de sécurité. L’investigation et la réponse automatisées (AIR) déclenchent des investigations pour aider à corriger et à contenir les menaces.

    En savoir plus, watch une vidéo de présentation et commencer ici :Réponse aux incidents avec Microsoft Defender XDR

  • Threat Analytics est notre solution de renseignement sur les menaces détaillée intégrée au produit, issue de chercheurs experts en sécurité Microsoft. Threat Analytics contient des rapports détaillés qui sont conçus pour vous aider à vous familiariser avec les groupes de menaces les plus récents, les techniques d’attaque, la façon de protéger votre organization avec des indicateurs de compromission (IOC) et bien plus encore.

    En savoir plus, watch une vidéo de présentation et bien démarrer ici :Analyse des menaces dans Microsoft Defender XDR

  • Explorer pouvez être utilisé pour chasser les menaces, visualiser les modèles de flux de courrier, repérer les tendances et identifier l’impact des modifications que vous apportez lors du paramétrage Defender for Office 365. Vous pouvez également supprimer rapidement des messages de votre organization en quelques clics.

    En savoir plus et bien démarrer ici :Détections Explorer de menaces et en temps réel

  • La chasse avancée peut être utilisée pour rechercher de manière proactive les menaces dans votre organization, en utilisant des requêtes partagées de la communauté pour vous aider à commencer. Vous pouvez également utiliser des détections personnalisées pour configurer des alertes lorsque des critères personnalisés sont remplis.

    En savoir plus, watch une vidéo de présentation et bien démarrer ici :Vue d’ensemble - Repérage avancé

Étape 2 : améliorer la valeur avec ces étapes simples

Fonctionnalités de protection supplémentaires

  • Envisagez d’activer des stratégies au-delà de la protection intégrée. Activation de la protection en temps de clic ou de la protection contre l’emprunt d’identité, par exemple, pour ajouter des couches supplémentaires ou combler les lacunes manquantes dans votre protection tierce. Si vous avez une règle de flux de courrier (également appelée règle de transport) ou un filtre de connexion qui remplace les verdicts (également appelés règle SCL=-1), vous devez traiter cette configuration avant d’activer d’autres fonctionnalités de protection.

    En savoir plus ici :Stratégies anti-hameçonnage

  • Si votre fournisseur de sécurité actuel est configuré pour modifier les messages d’une manière ou d’une autre, il est important de noter que les signaux d’authentification peuvent affecter la capacité de Defender for Office 365 à vous protéger contre les attaques telles que l’usurpation d’identité. Si votre tiers prend en charge la chaîne de réception authentifiée (ARC), nous vous recommandons vivement d’activer ARC dans votre parcours vers le filtrage double avancé. Le déplacement d’une configuration de modification de message vers Defender for Office 365 est également une alternative.

    En savoir plus ici :Configurer des scellants ARC approuvés

  • Le filtrage amélioré pour les connecteurs permet de conserver les informations d’adresse IP et d’expéditeur par le biais du tiers. Cette fonctionnalité améliore la précision de la pile de filtrage (protection), les fonctionnalités post-violation & les améliorations de l’authentification.

    En savoir plus ici :Filtrage amélioré pour les connecteurs dans Exchange Online

  • La protection des comptes prioritaires offre une visibilité améliorée pour les comptes dans les outils, ainsi qu’une protection supplémentaire lorsqu’ils sont dans un état de configuration avancé de défense en profondeur.

    En savoir plus ici :Protection des comptes prioritaires

  • La remise avancée doit être configurée pour fournir correctement toutes les simulations d’hameçonnage tierces, et si vous avez une boîte aux lettres d’opérations de sécurité, envisagez de la définir comme une boîte aux lettres SecOps pour vous assurer que les e-mails ne sont pas supprimés de la boîte aux lettres en raison de menaces.

    En savoir plus ici :Livraison avancée

  • Vous pouvez configurer les paramètres signalés par l’utilisateur pour permettre aux utilisateurs de signaler des messages bons ou incorrects à Microsoft, à une boîte aux lettres de création de rapports désignée (pour s’intégrer aux flux de travail de sécurité actuels) ou à la fois à l’aide du bouton Rapport intégré dans les versions prises en charge d’Outlook ou à l’aide de solutions tierces prises en charge. Les administrateurs peuvent utiliser l’onglet Utilisateur signalé sur la page Soumissions pour trier les faux positifs et les messages signalés par les utilisateurs faux négatifs.

    En savoir plus ici :Paramètres signalés par l’utilisateur et Signaler le hameçonnage et les e-mails suspects dans Outlook pour les administrateurs

Fonctionnalités d’éducation

  • Exercice de simulation d’attaque vous permet d’exécuter des scénarios de cyberattaque réalistes mais sans gravité dans votre organization. Si vous ne disposez pas déjà des fonctionnalités de simulation d’hameçonnage de votre principal fournisseur de sécurité de messagerie, les attaques simulées de Microsoft peuvent vous aider à identifier et à trouver les utilisateurs, les stratégies et les pratiques vulnérables. Cette fonctionnalité contient des connaissances importantes à avoir et à corriger avant qu’une attaque réelle n’affecte votre organization. Après la simulation que nous affectons dans un produit ou une formation personnalisée pour informer les utilisateurs sur les menaces qu’ils ont manquées, ce qui réduit le profil de risque de votre organization. Avec Exercice de simulation d’attaque, nous livrons les messages directement dans la boîte de réception, afin que l’expérience utilisateur soit riche. Cette expérience signifie également qu’aucune modification de sécurité, telle que des remplacements, n’est nécessaire pour que les simulations soient fournies correctement.

Prise en main ici :Prise en main de la simulation d’attaque.

Passez directement à la réalisation d’une simulation ici :Comment configurer des attaques automatisées et une formation dans Exercice de simulation d’attaque

Étape 3 et au-delà, devenir un héros à double usage

  • Vos équipes de sécurité doivent répéter la plupart des activités de détection, d’investigation, de réponse et de chasse décrites précédemment. Ce guide fournit une description détaillée des tâches, de la cadence et des affectations d’équipe que nous recommandons.

    En savoir plus :Guide des opérations de sécurité pour Defender for Office 365

  • Considérez les expériences utilisateur telles que l’accès à plusieurs quarantaines, ou la soumission/la création de rapports de faux positifs et de faux négatifs. Vous pouvez marquer les messages détectés par le service tiers avec un en-tête X personnalisé. Par exemple, vous pouvez utiliser des règles de flux de messagerie pour détecter et mettre en quarantaine les e-mails qui contiennent l’en-tête X . Ce résultat donne également aux utilisateurs un emplacement unique pour accéder aux messages mis en quarantaine.

    En savoir plus :Comment configurer des autorisations et des stratégies de mise en quarantaine

  • Le guide de migration contient de nombreux conseils utiles sur la préparation et le réglage de votre environnement pour le préparer à une migration. Toutefois, la plupart des étapes s’appliquent également à un scénario à double utilisation. Ignorez les instructions relatives au commutateur MX dans les dernières étapes.

    Lisez-le ici :Migrer d’un service de protection tiers vers Microsoft Defender pour Office 365 - Office 365 | Microsoft Docs.

Plus d’informations

Migrer d’un service de protection tiers vers Microsoft Defender pour Office 365

Guide des opérations de sécurité pour Defender for Office 365

Tirer le meilleur parti de Microsoft Defender pour Office 365 avec Microsoft Defender XDR.