Delen via


Migreren naar Microsoft Defender voor Office 365 - Fase 2: instellen


Fase 1: Voorbereiden.
Fase 1: Voorbereiden
Fase 2: Instellen.
Fase 2: Instellen
Fase 3: Onboarden.
Fase 3: Onboarden
Je bent hier!

Welkom bij Fase 2: Installatie van uw migratie naar Microsoft Defender voor Office 365! Deze migratiefase omvat de volgende stappen:

  1. Distributiegroepen maken voor testgebruikers
  2. Door de gebruiker gerapporteerde berichtinstellingen configureren
  3. De regel SCL=-1-e-mailstroom onderhouden of maken
  4. Uitgebreide filtering configureren voor connectors
  5. Testbeveiligingsbeleid maken

Stap 1: Distributiegroepen maken voor testgebruikers

Distributiegroepen zijn vereist in Microsoft 365 voor de volgende aspecten van uw migratie:

  • Uitzonderingen voor de E-mailstroomregel SCL=-1: U wilt dat testgebruikers het volledige effect van Defender voor Office 365-beveiliging krijgen, dus u moet Defender voor Office 365 hun binnenkomende berichten scannen. U krijgt dit resultaat door uw testgebruikers in de juiste distributiegroepen in Microsoft 365 te definiëren en deze groepen te configureren als uitzonderingen op de E-mailstroomregel SCL=-1.

    Zoals we hebben beschreven in Onboard Stap 2: (optioneel) Testgebruikers uitsluiten van filteren door uw bestaande beveiligingsservice, kunt u overwegen om dezelfde testgebruikers uit te sluiten van scannen door uw bestaande beveiligingsservice. Het elimineren van de mogelijkheid om te filteren door uw bestaande beveiligingsservice en uitsluitend te vertrouwen op Defender voor Office 365 is de beste en dichtstbijzijnde weergave van wat er gaat gebeuren nadat uw migratie is voltooid.

  • Testen van specifieke Defender voor Office 365 beveiligingsfuncties: Zelfs voor testgebruikers wilt u niet alles tegelijk inschakelen. Het gebruik van een gefaseerde aanpak voor de beveiligingsfuncties die van kracht zijn voor uw testgebruikers, maakt het oplossen van problemen en het aanpassen eenvoudiger. Met deze aanpak in het achterhoofd raden we de volgende distributiegroepen aan:

    • Een testgroep voor Veilige bijlagen: bijvoorbeeld MDOPilot_SafeAttachments
    • Een testgroep voor veilige koppelingen: bijvoorbeeld MDOPilot_SafeLinks
    • Een testgroep voor standaardinstellingen voor antispam- en antiphishingbeleidsinstellingen: bijvoorbeeld MDOPilot_SpamPhish_Standard
    • Een testgroep voor strikte instellingen voor antispam- en antiphishingbeleid: bijvoorbeeld MDOPilot_SpamPhish_Strict

Voor de duidelijkheid gebruiken we deze specifieke groepsnamen in dit artikel, maar u kunt uw eigen naamconventie gebruiken.

Wanneer u klaar bent om te beginnen met testen, voegt u deze groepen als uitzonderingen toe aan de regel SCL=-1-mailstroom. Wanneer u beleidsregels maakt voor de verschillende beveiligingsfuncties in Defender voor Office 365, gebruikt u deze groepen als voorwaarden die bepalen op wie het beleid van toepassing is.

Opmerkingen:

  • De termen Standard en Strict zijn afkomstig van onze aanbevolen beveiligingsinstellingen, die ook worden gebruikt in vooraf ingesteld beveiligingsbeleid. In het ideale plaats raden we u aan om uw testgebruikers te definiëren in het vooraf ingestelde standaard- en strikte beveiligingsbeleid, maar dat kan niet. Waarom? Omdat u de instellingen in vooraf ingesteld beveiligingsbeleid niet kunt aanpassen (met name acties die worden uitgevoerd op berichten). Tijdens het testen van de migratie wilt u zien wat Defender voor Office 365 zou doen met berichten, controleren of dit het gewenste resultaat is en mogelijk de beleidsconfiguraties aanpassen om deze resultaten toe te staan of te voorkomen.

    In plaats van vooraf ingesteld beveiligingsbeleid te gebruiken, gaat u dus handmatig aangepaste beleidsregels maken met instellingen die vergelijkbaar zijn met, maar in sommige gevallen anders zijn dan de instellingen van Standaard en Strikt vooraf ingesteld beveiligingsbeleid.

  • Als u wilt experimenteren met instellingen die aanzienlijk afwijken van onze standaard- of strikte aanbevolen waarden, kunt u overwegen om extra en specifieke distributiegroepen te maken en te gebruiken voor de testgebruikers in die scenario's. U kunt Configuration Analyzer gebruiken om te zien hoe veilig uw instellingen zijn. Zie Configuratieanalyse voor beveiligingsbeleid in EOP en Microsoft Defender voor Office 365 voor instructies.

    Voor de meeste organisaties is de beste aanpak om te beginnen met beleid dat nauw aansluit bij onze aanbevolen standaardinstellingen. Na zoveel observatie en feedback als u in uw beschikbare tijdsbestek kunt doen, kunt u later overschakelen naar agressievere instellingen. Beveiliging tegen imitatie en bezorging in de map Ongewenste Email versus bezorging in quarantaine moeten mogelijk worden aangepast.

    Als u aangepaste beleidsregels gebruikt, moet u ervoor zorgen dat deze worden toegepast vóór het beleid dat onze aanbevolen instellingen voor de migratie bevat. Als een gebruiker wordt geïdentificeerd in meerdere beleidsregels van hetzelfde type (bijvoorbeeld antiphishing), wordt slechts één beleid van dat type toegepast op de gebruiker (op basis van de prioriteitswaarde van het beleid). Zie Volgorde en prioriteit van e-mailbeveiliging voor meer informatie.

Stap 2: door de gebruiker gerapporteerde berichtinstellingen configureren

De mogelijkheid voor gebruikers om fout-positieven of fout-negatieven van Defender voor Office 365 te rapporteren, is een belangrijk onderdeel van de migratie.

U kunt een Exchange Online postvak opgeven voor het ontvangen van berichten die gebruikers melden als schadelijk of niet schadelijk. Zie Door de gebruiker gerapporteerde instellingen voor instructies. Dit postvak kan kopieën ontvangen van berichten die uw gebruikers naar Microsoft hebben verzonden, of het postvak kan berichten onderscheppen zonder ze aan Microsoft te melden (uw beveiligingsteam kan de berichten zelf handmatig analyseren en verzenden). Met de interceptiebenadering kan de service echter niet automatisch afstemmen en leren.

U moet ook controleren of alle gebruikers in de testfase een ondersteunde manier hebben om berichten te rapporteren die een onjuist oordeel van Defender voor Office 365 hebben ontvangen. Deze opties zijn onder andere:

Onderschat het belang van deze stap niet. Gegevens van door de gebruiker gerapporteerde berichten geven u de feedbacklus die u nodig hebt om een goede, consistente eindgebruikerservaring vóór en na de migratie te controleren. Deze feedback helpt u bij het nemen van weloverwogen beleidsconfiguratiebeslissingen en het leveren van rapporten met gegevens aan het management dat de migratie soepel is verlopen.

In plaats van te vertrouwen op gegevens die zijn gebaseerd op de ervaring van de hele organisatie, heeft meer dan één migratie geleid tot emotionele speculatie op basis van één negatieve gebruikerservaring. Als u phishingsimulaties hebt uitgevoerd, kunt u bovendien feedback van uw gebruikers gebruiken om u te informeren wanneer ze iets riskants zien waarvoor onderzoek nodig is.

Stap 3: de regel SCL=-1-e-mailstroom onderhouden of maken

Omdat uw inkomende e-mail wordt gerouteerd via een andere beveiligingsservice die zich vóór Microsoft 365 bevindt, hebt u waarschijnlijk al een e-mailstroomregel (ook wel transportregel genoemd) in Exchange Online waarmee het spamvertrouwensniveau (SCL) van alle binnenkomende e-mail wordt ingesteld op de waarde -1 (spamfiltering omzeilen). De meeste beveiligingsservices van derden moedigen deze regel voor SCL=-1-e-mailstroom aan voor Microsoft 365-klanten die hun services willen gebruiken.

Als u een ander mechanisme gebruikt om de Microsoft-filterstack te overschrijven (bijvoorbeeld een lijst met toegestane IP-adressen), raden we u aan over te schakelen naar het gebruik van een SCL=-1-e-mailstroomregel , zolang alle inkomende internetmail in Microsoft 365 afkomstig is van de beveiligingsservice van derden (geen e-mail stroomt rechtstreeks van internet naar Microsoft 365).

De regel voor SCL=-1-e-mailstroom is belangrijk tijdens de migratie om de volgende redenen:

  • U kunt Threat Explorer (Explorer) gebruiken om te zien welke functies in de Microsoft-stack zouden hebben gereageerd op berichten zonder de resultaten van uw bestaande beveiligingsservice te beïnvloeden.

  • U kunt geleidelijk aanpassen wie wordt beveiligd door de Microsoft 365-filterstack door uitzonderingen op de regel SCL=-1-e-mailstroom te configureren. De uitzonderingen zijn de leden van de testdistributiegroepen die we verderop in dit artikel aanbevelen.

    Voor of tijdens de cutover van uw MX-record naar Microsoft 365 schakelt u deze regel uit om de volledige beveiliging van de Microsoft 365-beveiligingsstack in te schakelen voor alle geadresseerden in uw organisatie.

Zie E-mailstroomregels gebruiken om het spamvertrouwensniveau (SCL) in berichten in Exchange Online in te stellen voor meer informatie.

Opmerkingen:

  • Als u van plan bent om internet-e-mail te laten stromen via uw bestaande beveiligingsservice en rechtstreeks naar Microsoft 365 op hetzelfde moment, moet u de regel SCL=-1-e-mailstroom (e-mail die spamfilters omzeilt) beperken tot e-mail die alleen via uw bestaande beveiligingsservice is gegaan. U wilt niet dat ongefilterde internetmail in postvakken van gebruikers terechtkomt in Microsoft 365.

    Als u e-mail die al is gescand door uw bestaande beveiligingsservice correct wilt identificeren, kunt u een voorwaarde toevoegen aan de regel SCL=-1-mailstroom. Bijvoorbeeld:

    • Voor cloudbeveiligingsservices: u kunt een header- en headerwaarde gebruiken die uniek is voor uw organisatie. Berichten met de koptekst worden niet gescand door Microsoft 365. Berichten zonder koptekst worden gescand door Microsoft 365
    • Voor on-premises beveiligingsservices of apparaten: u kunt bron-IP-adressen gebruiken. Berichten van de bron-IP-adressen worden niet gescand door Microsoft 365. Berichten die niet afkomstig zijn van de bron-IP-adressen, worden gescand door Microsoft 365.
  • Vertrouw niet uitsluitend op MX-records om te bepalen of e-mail wordt gefilterd. Afzenders kunnen de MX-record eenvoudig negeren en e-mail rechtstreeks verzenden naar Microsoft 365.

Stap 4: Uitgebreide filtering configureren voor connectors

Het eerste wat u moet doen is uitgebreide filtering voor connectors configureren (ook wel overslaan genoemd) op de connector die wordt gebruikt voor de e-mailstroom van uw bestaande beveiligingsservice naar Microsoft 365. U kunt het rapport Binnenkomende berichten gebruiken om de connector te identificeren.

Verbeterde filtering voor connectors is vereist voor Defender voor Office 365 om te zien waar internetberichten daadwerkelijk vandaan komen. Verbeterde filtering voor connectors verbetert de nauwkeurigheid van de Microsoft-filterstack (met name spoof intelligence en mogelijkheden na inbreuk in Threat Explorer en Automated Investigation & Response (AIR) aanzienlijk.

Als u verbeterde filtering voor connectors correct wilt inschakelen, moet u de openbare IP-adressen toevoegen van **alle** services van derden en/of hosts van het on-premises e-mailsysteem die inkomende e-mail naar Microsoft 365 routeren.

Controleer of binnenkomende berichten een of beide van de volgende headers bevatten om te controleren of Uitgebreid filteren voor connectors werkt:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

Stap 5: testbeveiligingsbeleid maken

Door productiebeleid te maken, zelfs als ze niet op alle gebruikers worden toegepast, kunt u functies na inbreuk, zoals Threat Explorer, testen en de integratie van Defender voor Office 365 testen in de processen van uw beveiligingsresponsteam.

Belangrijk

Beleidsregels kunnen worden gericht op gebruikers, groepen of domeinen. We raden u niet aan om alle drie in één beleid te combineren, omdat alleen gebruikers die overeenkomen met alle drie binnen het bereik van het beleid vallen. Voor testbeleid wordt u aangeraden groepen of gebruikers te gebruiken. Voor productiebeleid raden we u aan domeinen te gebruiken. Het is uiterst belangrijk om te begrijpen dat alleen het primaire e-maildomein van de gebruiker bepaalt of de gebruiker binnen het bereik van het beleid valt. Als u dus de MX-record voor het secundaire domein van een gebruiker wijzigt, moet u ervoor zorgen dat het primaire domein ook wordt gedekt door een beleid.

Proefbeleid voor veilige bijlagen maken

Veilige bijlagen is de eenvoudigste Defender voor Office 365 functie om in te schakelen en te testen voordat u uw MX-record overschakelt. Veilige bijlagen heeft de volgende voordelen:

  • Minimale configuratie.
  • Extreem lage kans op fout-positieven.
  • Vergelijkbaar gedrag als antimalwarebeveiliging, die altijd is ingeschakeld en niet wordt beïnvloed door de regel SCL=-1-mailstroom.

Zie Aanbevolen beleidsinstellingen voor veilige bijlagen voor de aanbevolen instellingen. De standaard- en strikte aanbevelingen zijn hetzelfde. Zie Beleid voor veilige bijlagen instellen om het beleid te maken. Zorg ervoor dat u de groep MDOPilot_SafeAttachments gebruikt als voorwaarde van het beleid (op wie het beleid van toepassing is).

Opmerking

Het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging biedt beveiliging tegen veilige bijlagen aan alle geadresseerden die niet zijn gedefinieerd in een beleid voor veilige bijlagen. Zie Vooraf ingesteld beveiligingsbeleid in EOP en Microsoft Defender voor Office 365 voor meer informatie.

Opmerking

We bieden geen ondersteuning voor het verpakken of herschrijven van al verpakte of herschreven koppelingen. Als uw huidige beveiligingsservice al koppelingen in e-mailberichten verpakt of herschrijft, moet u deze functie uitschakelen voor uw testgebruikers. Een manier om ervoor te zorgen dat dit niet gebeurt, is door het URL-domein van de andere service uit te sluiten in het beleid voor veilige koppelingen.

De kans op fout-positieven in Veilige koppelingen is ook vrij laag, maar u kunt overwegen om de functie te testen op een kleiner aantal testgebruikers dan Veilige bijlagen. Omdat de functie van invloed is op de gebruikerservaring, moet u een plan overwegen om gebruikers te informeren.

Zie Beleidsinstellingen voor veilige koppelingen voor de aanbevolen instellingen. De standaard- en strikte aanbevelingen zijn hetzelfde. Zie Beleidsregels voor veilige koppelingen instellen om het beleid te maken. Zorg ervoor dat u de groep MDOPilot_SafeLinks gebruikt als voorwaarde van het beleid (op wie het beleid van toepassing is).

Opmerking

Het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging biedt veilige koppelingen beveiliging voor alle geadresseerden die niet zijn gedefinieerd in een safe links-beleid. Zie Vooraf ingesteld beveiligingsbeleid in EOP en Microsoft Defender voor Office 365 voor meer informatie.

Antispambeleid voor pilots maken

Maak twee antispambeleidsregels voor testgebruikers:

  • Een beleid dat gebruikmaakt van de standaardinstellingen. Gebruik de groep MDOPilot_SpamPhish_Standard als voorwaarde van het beleid (op wie het beleid van toepassing is).
  • Een beleid dat gebruikmaakt van de strikte instellingen. Gebruik de groep MDOPilot_SpamPhish_Strict als voorwaarde van het beleid (op wie het beleid van toepassing is). Dit beleid moet een hogere prioriteit (lager getal) hebben dan het beleid met de standaardinstellingen.

Zie Aanbevolen instellingen voor antispambeleid voor de aanbevolen standaard- en strikte instellingen. Zie Antispambeleid configureren om het beleid te maken.

Testbeleid voor antiphishing maken

Maak twee antiphishingbeleidsregels voor testgebruikers:

  • Een beleid dat gebruikmaakt van de standaardinstellingen, met uitzondering van detectieacties voor imitatie, zoals hieronder wordt beschreven. Gebruik de groep MDOPilot_SpamPhish_Standard als voorwaarde van het beleid (op wie het beleid van toepassing is).
  • Een beleid dat gebruikmaakt van de strikte instellingen, met uitzondering van detectieacties voor imitatie, zoals hieronder wordt beschreven. Gebruik de groep MDOPilot_SpamPhish_Strict als voorwaarde van het beleid (op wie het beleid van toepassing is). Dit beleid moet een hogere prioriteit (lager getal) hebben dan het beleid met de standaardinstellingen.

Voor detectie van adresvervalsing is de aanbevolen standaardactie Het bericht verplaatsen naar de mappen ongewenste e-mail Email van de geadresseerden. De aanbevolen strikte actie is Het bericht in quarantaine plaatsen. Gebruik het inzicht in spoof intelligence om de resultaten te bekijken. Onderdrukkingen worden uitgelegd in de volgende sectie. Zie Inzicht in adresvervalsingsanalyse in EOP voor meer informatie.

Voor imitatiedetecties negeert u de aanbevolen standaard- en strikte acties voor het testbeleid. Gebruik in plaats daarvan de waarde Geen actie toepassen voor de volgende instellingen:

  • Als een bericht wordt gedetecteerd als gebruikersimitatie
  • Als bericht wordt gedetecteerd als geïmiteerd domein
  • Als postvakinformatie een geïmiteerde gebruiker detecteert

Gebruik het imitatie-inzicht om de resultaten te bekijken. Zie Inzicht in imitatie in Defender voor Office 365 voor meer informatie.

Stem de beveiliging tegen adresvervalsing af (hiermee kunt u toestaan en blokkeren) en schakel elke beveiligingsactie voor imitatie in om de berichten in quarantaine te plaatsen of te verplaatsen naar de map Ongewenste e-mail Email (op basis van de standaard- of strikte aanbevelingen). Bekijk de resultaten en pas de instellingen zo nodig aan.

Zie de volgende artikelen voor meer informatie:

Volgende stap

Gefeliciteerd! U hebt de installatiefase van uw migratie naar Microsoft Defender voor Office 365 voltooid.