Eseguire la migrazione a Microsoft Defender per Office 365 - Fase 2: Configurazione

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 2

Fase 1: preparazione	Fase 2: configurazione	Phase 3: onboarding
	Sei qui!

Introduzione alla fase 2: configurazione della migrazione a Microsoft Defender per Office 365. Questa fase di migrazione include i passaggi seguenti:

1. Creare gruppi di distribuzione per gli utenti pilota
2. Configurare le impostazioni dei messaggi segnalati dall'utente
3. Gestire o creare la regola del flusso di posta SCL=-1
4. Configurare il filtro avanzato per i connettori
5. Creare criteri di protezione pilota

Passaggio 1: Creare gruppi di distribuzione per gli utenti pilota

I gruppi di distribuzione sono necessari in Microsoft 365 per gli aspetti seguenti della migrazione:

• Eccezioni per la regola del flusso di posta SCL=-1: si vuole che gli utenti pilota ottengano l'effetto completo della protezione Defender per Office 365, quindi è necessario Defender per Office 365 per analizzare i messaggi in ingresso. Questo risultato viene ottenuto definendo gli utenti pilota nei gruppi di distribuzione appropriati in Microsoft 365 e configurando questi gruppi come eccezioni alla regola del flusso di posta SCL=-1.

  Come descritto in Passaggio 2 di onboarding: (Facoltativo) Escludere gli utenti pilota dal filtro in base al servizio di protezione esistente, è consigliabile escludere questi stessi utenti pilota dall'analisi da parte del servizio di protezione esistente. Eliminare la possibilità di filtrare in base al servizio di protezione esistente e basarsi esclusivamente su Defender per Office 365 è la rappresentazione migliore e più vicina di ciò che verrà eseguito dopo il completamento della migrazione.

• Test di funzionalità di protezione Defender per Office 365 specifiche: anche per gli utenti pilota, non si vuole attivare tutto contemporaneamente. L'uso di un approccio a fasi per le funzionalità di protezione effettive per gli utenti pilota semplifica la risoluzione dei problemi e la regolazione. Tenendo presente questo approccio, è consigliabile usare i gruppi di distribuzione seguenti:

  • Gruppo pilota Allegati sicuri: ad esempio, MDOPilot_SafeAttachments
  • Gruppo pilota Collegamenti sicuri: ad esempio, MDOPilot_SafeLinks
  • Un gruppo pilota per Standard impostazioni dei criteri di protezione da posta indesiderata e anti-phishing: ad esempio, MDOPilot_SpamPhish_Standard
  • Un gruppo pilota per le impostazioni dei criteri di protezione da posta indesiderata e anti-phishing strict: ad esempio, MDOPilot_SpamPhish_Strict

Per maggiore chiarezza, in questo articolo vengono usati questi nomi di gruppo specifici, ma è possibile usare la propria convenzione di denominazione.

Quando si è pronti per iniziare il test, aggiungere questi gruppi come eccezioni alla regola del flusso di posta SCL=-1. Quando si creano criteri per le varie funzionalità di protezione in Defender per Office 365, usare questi gruppi come condizioni che definiscono a chi si applicano i criteri.

Note:

• I termini Standard e Strict derivano dalle impostazioni di sicurezza consigliate, usate anche nei criteri di sicurezza predefiniti. Idealmente, ti consigliamo di definire gli utenti pilota nei criteri di sicurezza predefiniti Standard e Strict, ma non possiamo farlo. Perché? Poiché non è possibile personalizzare le impostazioni nei criteri di sicurezza preimpostati (in particolare, le azioni eseguite sui messaggi). Durante i test di migrazione, si vuole vedere quali Defender per Office 365 eseguire ai messaggi, verificare che sia il risultato desiderato ed eventualmente modificare le configurazioni dei criteri per consentire o impedire tali risultati.

  Quindi, invece di usare criteri di sicurezza predefiniti, si creeranno manualmente criteri personalizzati con impostazioni simili, ma in alcuni casi sono diverse da quelle dei criteri di sicurezza predefiniti Standard e Strict.

• Se si desidera sperimentare impostazioni notevolmente diverse dai valori consigliati Standard o Strict, è consigliabile creare e usare gruppi di distribuzione aggiuntivi e specifici per gli utenti pilota in tali scenari. È possibile usare Configuration Analyzer per verificare la sicurezza delle impostazioni. Per istruzioni, vedere Analizzatore di configurazione per i criteri di protezione in EOP e Microsoft Defender per Office 365.

  Per la maggior parte delle organizzazioni, l'approccio migliore consiste nell'iniziare con criteri strettamente allineati alle impostazioni di Standard consigliate. Dopo la quantità di osservazioni e feedback che si è in grado di fare nell'intervallo di tempo disponibile, è possibile passare a impostazioni più aggressive in un secondo momento. La protezione della rappresentazione e il recapito alla cartella Email indesiderata rispetto al recapito in quarantena potrebbero richiedere la personalizzazione.

  Se si usano criteri personalizzati, assicurarsi che vengano applicati prima dei criteri che contengono le impostazioni consigliate per la migrazione. Se un utente viene identificato in più criteri dello stesso tipo (ad esempio, anti-phishing), all'utente viene applicato un solo criterio di quel tipo (in base al valore di priorità del criterio). Per altre informazioni, vedere Ordine e precedenza della protezione della posta elettronica.

Passaggio 2: Configurare le impostazioni dei messaggi segnalati dall'utente

La possibilità per gli utenti di segnalare falsi positivi o falsi negativi da Defender per Office 365 è una parte importante della migrazione.

È possibile specificare una cassetta postale Exchange Online per ricevere i messaggi che gli utenti segnalano come dannosi o non dannosi. Per istruzioni, vedere Impostazioni segnalate dall'utente. Questa cassetta postale può ricevere copie dei messaggi inviati dagli utenti a Microsoft oppure la cassetta postale può intercettare i messaggi senza segnalarli a Microsoft (il team di sicurezza può analizzare e inviare manualmente i messaggi stessi). Tuttavia, l'approccio di intercettazione non consente al servizio di ottimizzare e apprendere automaticamente.

È anche necessario verificare che tutti gli utenti del progetto pilota dispongano di un modo supportato per segnalare i messaggi che hanno ricevuto un verdetto errato da Defender per Office 365. Tali opzioni sono:

• Pulsante Report predefinito in Outlook
• Componenti aggiuntivi Report Message e Report Phishing
• Strumenti di report di terze parti supportati, come descritto qui.

Non sottovalutare l'importanza di questo passaggio. I dati dei messaggi segnalati dall'utente forniscono il ciclo di feedback necessario per verificare un'esperienza utente finale valida e coerente prima e dopo la migrazione. Questo feedback consente di prendere decisioni informate sulla configurazione dei criteri e di fornire report supportati dai dati alla gestione che la migrazione è andata senza problemi.

Invece di basarsi su dati basati sull'esperienza dell'intera organizzazione, più di una migrazione ha generato speculazioni emotive basate su un'unica esperienza utente negativa. Inoltre, se sono state eseguite simulazioni di phishing, è possibile usare il feedback degli utenti per informarti quando vedono qualcosa di rischio che potrebbe richiedere un'indagine.

Passaggio 3: Gestire o creare la regola del flusso di posta SCL=-1

Poiché la posta elettronica in ingresso viene instradata attraverso un altro servizio di protezione che si trova davanti a Microsoft 365, è probabile che sia già presente una regola del flusso di posta (nota anche come regola di trasporto) in Exchange Online che imposta il livello di attendibilità della posta indesiderata (SCL) di tutti i messaggi in arrivo sul valore -1 (ignora il filtro della posta indesiderata). La maggior parte dei servizi di protezione di terze parti incoraggia questa regola del flusso di posta SCL=-1 per i clienti di Microsoft 365 che vogliono usare i propri servizi.

Se si usa un altro meccanismo per eseguire l'override dello stack di filtri Microsoft (ad esempio, un elenco di indirizzi IP consentiti), è consigliabile passare all'uso di una regola del flusso di posta SCL=-1 purché tutta la posta Internet in ingresso in Microsoft 365 provenga dal servizio di protezione di terze parti (nessun flusso di posta direttamente da Internet a Microsoft 365).

La regola del flusso di posta SCL=-1 è importante durante la migrazione per i motivi seguenti:

• È possibile usare Esplora minacce (Esplora minacce) per vedere quali funzionalità nello stack Microsoft avrebbero agito sui messaggi senza influire sui risultati del servizio di protezione esistente.

• È possibile modificare gradualmente chi è protetto dallo stack di filtri di Microsoft 365 configurando le eccezioni alla regola del flusso di posta SCL=-1. Le eccezioni sono i membri dei gruppi di distribuzione pilota consigliati più avanti in questo articolo.

  Prima o durante il cutover del record MX in Microsoft 365, disabilitare questa regola per attivare la protezione completa dello stack di protezione di Microsoft 365 per tutti i destinatari dell'organizzazione.

Per altre informazioni, vedere Usare le regole del flusso di posta elettronica per impostare il livello di attendibilità della posta indesiderata nei messaggi in Exchange Online.

Note:

• Se si prevede di consentire alla posta Internet di passare attraverso il servizio di protezione esistente e direttamente in Microsoft 365 contemporaneamente, è necessario limitare la regola del flusso di posta SCL=-1 (posta che ignora il filtro della posta indesiderata) alla posta che è stata eseguita solo tramite il servizio di protezione esistente. Non si vuole che la posta Internet non filtrata venga caricata nelle cassette postali degli utenti in Microsoft 365.

  Per identificare correttamente i messaggi già analizzati dal servizio di protezione esistente, è possibile aggiungere una condizione alla regola del flusso di posta SCL=-1. Ad esempio:

  • Per i servizi di protezione basati sul cloud: è possibile usare un valore di intestazione e intestazione univoco per l'organizzazione. I messaggi con l'intestazione non vengono analizzati da Microsoft 365. I messaggi senza l'intestazione vengono analizzati da Microsoft 365
  • Per i servizi o i dispositivi di protezione locali: è possibile usare gli indirizzi IP di origine. I messaggi provenienti dagli indirizzi IP di origine non vengono analizzati da Microsoft 365. I messaggi che non provengono dagli indirizzi IP di origine vengono analizzati da Microsoft 365.

• Non fare affidamento esclusivamente sui record MX per controllare se la posta viene filtrata. I mittenti possono facilmente ignorare il record MX e inviare messaggi di posta elettronica direttamente in Microsoft 365.

Passaggio 4: Configurare il filtro avanzato per i connettori

La prima cosa da fare è configurare il filtro avanzato per i connettori (noto anche come skip list) sul connettore usato per il flusso di posta dal servizio di protezione esistente a Microsoft 365. È possibile usare il report Messaggi in ingresso per identificare il connettore.

Il filtro avanzato per i connettori è necessario per Defender per Office 365 per vedere da dove provengono effettivamente i messaggi Internet. Il filtro avanzato per i connettori migliora notevolmente l'accuratezza dello stack di filtri Microsoft (in particolare le funzionalità di intelligence per lo spoofing e post-violazione in Esplora minacce e Air (Automated Investigation & Response).

Per abilitare correttamente il filtro avanzato per i connettori, è necessario aggiungere gli indirizzi IP pubblici di **tutti** i servizi di terze parti e/o gli host di sistema di posta elettronica locali che instradano la posta in ingresso a Microsoft 365.

Per verificare il funzionamento del filtro avanzato per i connettori, verificare che i messaggi in ingresso contengano una o entrambe le intestazioni seguenti:

• X-MS-Exchange-SkipListedInternetSender
• X-MS-Exchange-ExternalOriginalInternetSender

Passaggio 5: Creare criteri di protezione pilota

Creando criteri di produzione, anche se non vengono applicati a tutti gli utenti, è possibile testare le funzionalità post-violazione come Esplora minacce e testare l'integrazione Defender per Office 365 nei processi del team di risposta alla sicurezza.

Importante

I criteri possono essere con ambito per utenti, gruppi o domini. Non è consigliabile combinare tutti e tre i criteri in un unico criterio, in quanto solo gli utenti che corrispondono a tutti e tre rientrano nell'ambito del criterio. Per i criteri pilota, è consigliabile usare gruppi o utenti. Per i criteri di produzione, è consigliabile usare i domini. È estremamente importante comprendere che solo il dominio di posta elettronica primario dell'utente determina se l'utente rientra nell'ambito dei criteri. Pertanto, se si cambia il record MX per il dominio secondario di un utente, assicurarsi che anche il dominio primario sia coperto da un criterio.

Creare criteri di allegati sicuri pilota

Allegati sicuri è la funzionalità di Defender per Office 365 più semplice da abilitare e testare prima di cambiare il record MX. Allegati sicuri offre i vantaggi seguenti:

• Configurazione minima.
• Probabilità estremamente bassa di falsi positivi.
• Comportamento simile alla protezione antimalware, sempre attiva e non interessata dalla regola del flusso di posta SCL=-1.

Per le impostazioni consigliate, vedere Impostazioni dei criteri allegati sicuri consigliati. Le raccomandazioni Standard e Strict sono le stesse. Per creare i criteri, vedere Configurare i criteri allegati sicuri. Assicurarsi di usare il gruppo MDOPilot_SafeAttachments come condizione dei criteri (a cui si applicano i criteri).

Nota

I criteri di sicurezza predefiniti di protezione preimpostati offrono protezione allegati sicuri a tutti i destinatari che non sono definiti in alcun criterio allegati sicuri. Per altre informazioni, vedere Preimpostare i criteri di sicurezza in EOP e Microsoft Defender per Office 365.

Creare criteri di collegamenti sicuri pilota

Nota

Non è supportato il wrapping o la riscrittura di collegamenti già incapsulati o riscritti. Se il servizio di protezione corrente esegue già il wrapping o la riscrittura dei collegamenti nei messaggi di posta elettronica, è necessario disattivare questa funzionalità per gli utenti pilota. Un modo per assicurarsi che ciò non avvenga consiste nell'escludere il dominio URL dell'altro servizio nei criteri Collegamenti sicuri.

Anche le probabilità di falsi positivi nei collegamenti sicuri sono piuttosto basse, ma è consigliabile testare la funzionalità su un numero inferiore di utenti pilota rispetto agli allegati sicuri. Poiché la funzionalità influisce sull'esperienza utente, è consigliabile prendere in considerazione un piano per informare gli utenti.

Per le impostazioni consigliate, vedere Impostazioni dei criteri collegamenti sicuri. Le raccomandazioni Standard e Strict sono le stesse. Per creare i criteri, vedere Configurare i criteri di collegamenti sicuri. Assicurarsi di usare il gruppo MDOPilot_SafeLinks come condizione dei criteri (a cui si applicano i criteri).

Nota

I criteri di sicurezza predefiniti per la protezione preimpostati offrono protezione collegamenti sicuri a tutti i destinatari che non sono definiti in alcun criterio collegamenti sicuri. Per altre informazioni, vedere Preimpostare i criteri di sicurezza in EOP e Microsoft Defender per Office 365.

Creare criteri di protezione dalla posta indesiderata pilota

Creare due criteri di protezione dalla posta indesiderata per gli utenti pilota:

• Criterio che usa le impostazioni di Standard. Usare il MDOPilot_SpamPhish_Standard di gruppo come condizione dei criteri (a cui si applicano i criteri).
• Criterio che usa le impostazioni Strict. Usare il MDOPilot_SpamPhish_Strict di gruppo come condizione dei criteri (a cui si applicano i criteri). Questo criterio deve avere una priorità più alta (numero inferiore) rispetto ai criteri con le impostazioni di Standard.

Per le impostazioni consigliate Standard e Strict, vedere Impostazioni consigliate per i criteri di protezione dalla posta indesiderata. Per creare i criteri, vedere Configurare i criteri di protezione dalla posta indesiderata.

Creare criteri di anti-phishing pilota

Creare due criteri anti-phishing per gli utenti pilota:

• Criteri che usano le impostazioni di Standard, ad eccezione delle azioni di rilevamento della rappresentazione come descritto di seguito. Usare il MDOPilot_SpamPhish_Standard di gruppo come condizione dei criteri (a cui si applicano i criteri).
• Criteri che usano le impostazioni Strict, ad eccezione delle azioni di rilevamento della rappresentazione come descritto di seguito. Usare il MDOPilot_SpamPhish_Strict di gruppo come condizione dei criteri (a cui si applicano i criteri). Questo criterio deve avere una priorità più alta (numero inferiore) rispetto ai criteri con le impostazioni di Standard.

Per i rilevamenti di spoofing, l'azione di Standard consigliata è Spostare il messaggio nelle cartelle Email indesiderata dei destinatari e l'azione Strict consigliata è Mettere in quarantena il messaggio. Usare le informazioni dettagliate sull'intelligence per lo spoofing per osservare i risultati. Le sostituzioni sono illustrate nella sezione successiva. Per altre informazioni, vedere Dati analitici di spoof intelligence in EOP.

Per i rilevamenti di rappresentazione, ignorare le azioni consigliate Standard e Strict per i criteri pilota. Usare invece il valore Non applicare alcuna azione per le impostazioni seguenti:

• Se viene rilevato un messaggio come rappresentazione utente
• Se il messaggio viene rilevato come dominio rappresentato
• Se l'intelligence per le cassette postali rileva un utente rappresentato

Usare le informazioni dettagliate sulla rappresentazione per osservare i risultati. Per altre informazioni, vedere Informazioni dettagliate sulla rappresentazione in Defender per Office 365.

Ottimizzare la protezione dello spoofing (regolare i blocchi e i blocchi) e attivare ogni azione di protezione della rappresentazione per mettere in quarantena o spostare i messaggi nella cartella Junk Email (in base alle raccomandazioni Standard o Strict). Osservare i risultati e regolare le impostazioni in base alle esigenze.

Per altre informazioni, vedere gli articoli seguenti:

• Protezione anti-spoofing
• Impostazioni di rappresentazione nei criteri anti-phishing
• Configurare i criteri anti-phishing in Defender per Office 365.

Passaggio successivo

Congratulazioni! È stata completata la fase di installazione della migrazione a Microsoft Defender per Office 365.

• Passare alla fase 3: Onboarding.