Udostępnij za pośrednictwem

Migrowanie do Ochrona usługi Office 365 w usłudze Microsoft Defender — faza 2: konfiguracja


Faza 1. Przygotowanie.
Faza 1. Przygotowanie		 Faza 2. Konfigurowanie.
Faza 2. Konfiguracja		 Faza 3. Dołączanie.
Faza 3. Dołączenie
Jesteś tutaj!

Witamy w fazie 2: Konfigurowaniemigracji do Ochrona usługi Office 365 w usłudze Microsoft Defender! Ta faza migracji obejmuje następujące kroki:

  1. Tworzenie grup dystrybucyjnych dla użytkowników pilotażowych
  2. Konfigurowanie ustawień komunikatów zgłoszonych przez użytkownika
  3. Obsługa lub tworzenie reguły przepływu poczty SCL=-1
  4. Konfigurowanie rozszerzonego filtrowania dla łączników
  5. Tworzenie zasad ochrony pilotażowej

Krok 1. Tworzenie grup dystrybucyjnych dla użytkowników pilotażowych

Grupy dystrybucyjne są wymagane w usłudze Microsoft 365 dla następujących aspektów migracji:

  • Wyjątki dla reguły przepływu poczty SCL=-1: chcesz, aby użytkownicy pilotażowi uzyskali pełny efekt ochrony Ochrona usługi Office 365 w usłudze Defender, więc musisz Ochrona usługi Office 365 w usłudze Defender do skanowania ich przychodzących wiadomości. Ten wynik można uzyskać, definiując użytkowników pilotażowych w odpowiednich grupach dystrybucyjnych na platformie Microsoft 365 i konfigurując te grupy jako wyjątki od reguły przepływu poczty SCL=-1.

    Jak opisano w kroku 2 dołączania: (opcjonalnie) Wykluczenie użytkowników pilotażowych z filtrowania według istniejącej usługi ochrony, należy rozważyć wykluczenie tych samych użytkowników pilotażowych ze skanowania przez istniejącą usługę ochrony. Wyeliminowanie możliwości filtrowania według istniejącej usługi ochrony i polegania wyłącznie na Ochrona usługi Office 365 w usłudze Defender jest najlepszą i najbliższą reprezentacją tego, co stanie się po zakończeniu migracji.

  • Testowanie określonych funkcji ochrony Ochrona usługi Office 365 w usłudze Defender: nawet w przypadku użytkowników pilotażowych nie chcesz włączać wszystkiego jednocześnie. Zastosowanie podejścia etapowego dla funkcji ochrony, które są dostępne dla użytkowników pilotażowych, ułatwia rozwiązywanie problemów i dostosowywanie. Mając to na uwadze, zalecamy następujące grupy dystrybucji:

    • Grupa pilotażowa Bezpieczne załączniki: na przykład MDOPilot_SafeAttachments
    • Grupa pilotażowa bezpiecznych linków: na przykład MDOPilot_SafeLinks
    • Grupa pilotażowa dla standardowych ustawień zasad ochrony przed spamem i wyłudzaniem informacji: na przykład MDOPilot_SpamPhish_Standard
    • Grupa pilotażowa dotycząca ścisłych ustawień zasad ochrony przed spamem i wyłudzaniem informacji: na przykład MDOPilot_SpamPhish_Strict

Dla jasności używamy tych konkretnych nazw grup w tym artykule, ale możesz korzystać z własnej konwencji nazewnictwa.

Gdy wszystko będzie gotowe do rozpoczęcia testowania, dodaj te grupy jako wyjątki do reguły przepływu poczty SCL=-1. Podczas tworzenia zasad dla różnych funkcji ochrony w Ochrona usługi Office 365 w usłudze Defender użyj tych grup jako warunków definiujących, do kogo mają zastosowanie zasady.

Uwagi:

  • Terminy Standardowa i Ścisła pochodzą z zalecanych przez nas ustawień zabezpieczeń, które są również używane w wstępnie ustawionych zasadach zabezpieczeń. W idealnym przypadku zalecamy zdefiniowanie użytkowników pilotażowych w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych, ale nie możemy tego zrobić. Dlaczego? Ponieważ nie można dostosować ustawień w wstępnie ustawionych zasad zabezpieczeń (w szczególności akcji wykonywanych w komunikatach). Podczas testowania migracji chcesz zobaczyć, co Ochrona usługi Office 365 w usłudze Defender zrobić z komunikatami, sprawdzić, czy jest to pożądany wynik, i ewentualnie dostosować konfiguracje zasad, aby zezwolić na te wyniki lub zapobiec temu.

    Dlatego zamiast używać wstępnie ustawionych zasad zabezpieczeń, ręcznie utworzysz zasady niestandardowe z ustawieniami podobnymi do, ale w niektórych przypadkach różnią się od ustawień standardowych i ścisłych zasad zabezpieczeń wstępnie ustawionych.

  • Jeśli chcesz eksperymentować z ustawieniami , które znacznie różnią się od zalecanych wartości standardowych lub ścisłych, rozważ utworzenie dodatkowych i określonych grup dystrybucyjnych dla użytkowników pilotażowych w tych scenariuszach. Możesz użyć analizatora konfiguracji, aby sprawdzić, jak bezpieczne są ustawienia. Aby uzyskać instrukcje, zobacz Configuration analyzer for protection policies in EOP and Ochrona usługi Office 365 w usłudze Microsoft Defender (Analizator konfiguracji dla zasad ochrony w ramach operacji EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender).

    W przypadku większości organizacji najlepszym rozwiązaniem jest rozpoczęcie od zasad, które są ściśle zgodne z zalecanymi ustawieniami standardowymi. Po tak dużej ilości obserwacji i opinii, jak możesz to zrobić w dostępnym okresie, możesz później przejść do bardziej agresywnych ustawień. Ochrona przed personifikacją i dostarczanie do folderu Junk Email a dostarczenie do kwarantanny może wymagać dostosowania.

    Jeśli używasz dostosowanych zasad, upewnij się, że są one stosowane przed zasadami zawierającymi zalecane ustawienia migracji. Jeśli użytkownik jest identyfikowany w wielu zasadach tego samego typu (na przykład w przypadku ochrony przed wyłudzaniem informacji), tylko jedna zasada tego typu jest stosowana do użytkownika (na podstawie wartości priorytetu zasad). Aby uzyskać więcej informacji, zobacz Kolejność i pierwszeństwo ochrony poczty e-mail.

Krok 2. Konfigurowanie ustawień komunikatów zgłoszonych przez użytkownika

Ważną częścią migracji jest możliwość zgłaszania przez użytkowników wyników fałszywie dodatnich lub fałszywie ujemnych z Ochrona usługi Office 365 w usłudze Defender.

Możesz określić skrzynkę pocztową Exchange Online do odbierania wiadomości zgłaszanych przez użytkowników jako złośliwe lub złośliwe. Aby uzyskać instrukcje, zobacz Ustawienia zgłaszane przez użytkownika. Ta skrzynka pocztowa może odbierać kopie wiadomości przesłanych przez użytkowników do firmy Microsoft lub skrzynka pocztowa może przechwytywać wiadomości bez zgłaszania ich do firmy Microsoft (twój zespół ds. zabezpieczeń może ręcznie analizować i przesyłać same wiadomości). Jednak podejście do przechwytywania nie umożliwia usłudze automatycznego dostrajania i uczenia się.

Należy również potwierdzić, że wszyscy użytkownicy pilotażu mają obsługiwany sposób zgłaszania komunikatów, które otrzymały nieprawidłowy werdykt od Ochrona usługi Office 365 w usłudze Defender. Te opcje obejmują:

Nie lekceważ znaczenia tego kroku. Dane z komunikatów zgłoszonych przez użytkownika zapewnią pętlę opinii, której potrzebujesz, aby zweryfikować dobre, spójne środowisko użytkownika końcowego przed migracją i po niej. Ta opinia ułatwia podejmowanie świadomych decyzji dotyczących konfiguracji zasad i dostarczanie raportów opartych na danych do zarządzania, że migracja przebiegła bezproblemowo.

Zamiast polegać na danych opartych na doświadczeniach całej organizacji, więcej niż jedna migracja doprowadziła do emocjonalnych spekulacji opartych na jednym negatywnym środowisku użytkownika. Ponadto jeśli korzystasz z symulacji wyłudzania informacji, możesz użyć opinii użytkowników, aby poinformować Cię, kiedy widzą coś ryzykownego, co może wymagać zbadania.

Krok 3. Obsługa lub tworzenie reguły przepływu poczty SCL=-1

Ponieważ przychodząca wiadomość e-mail jest kierowana przez inną usługę ochrony, która znajduje się przed platformą Microsoft 365, prawdopodobnie masz już regułę przepływu poczty (znaną również jako reguła transportu) w Exchange Online, która ustawia poziom ufności spamu (SCL) wszystkich wiadomości przychodzących do wartości -1 (pomiń filtrowanie spamu). Większość usług ochrony innych firm zachęca do stosowania tej reguły przepływu poczty SCL=-1 dla klientów platformy Microsoft 365, którzy chcą korzystać ze swoich usług.

Jeśli używasz innego mechanizmu do zastąpienia stosu filtrowania firmy Microsoft (na przykład listy dozwolonych adresów IP), zalecamy przełączenie się do korzystania z reguły przepływu poczty SCL=-1 , o ile cała przychodząca poczta internetowa do usługi Microsoft 365 pochodzi z usługi ochrony innej firmy (brak przepływów poczty bezpośrednio z Internetu do usługi Microsoft 365).

Reguła przepływu poczty SCL=-1 jest ważna podczas migracji z następujących powodów:

  • Za pomocą Eksploratora zagrożeń (Eksplorator) można sprawdzić, które funkcje w stosie firmy Microsoft działałyby na komunikatach bez wpływu na wyniki istniejącej usługi ochrony.

  • Możesz stopniowo dostosowywać, kto jest chroniony przez stos filtrowania platformy Microsoft 365, konfigurując wyjątki od reguły przepływu poczty SCL=-1. Wyjątki są członkami pilotażowych grup dystrybucyjnych, które zalecamy w dalszej części tego artykułu.

    Przed lub w trakcie przechodzenia rekordu MX na platformę Microsoft 365 należy wyłączyć tę regułę, aby włączyć pełną ochronę stosu ochrony platformy Microsoft 365 dla wszystkich adresatów w organizacji.

Aby uzyskać więcej informacji, zobacz Używanie reguł przepływu poczty do ustawiania poziomu ufności spamu (SCL) w wiadomościach w Exchange Online.

Uwagi:

  • Jeśli planujesz zezwolić na przepływ poczty internetowej przez istniejącą usługę ochrony i bezpośrednio do usługi Microsoft 365 w tym samym czasie, musisz ograniczyć regułę przepływu poczty SCL=-1 (pocztę, która pomija filtrowanie spamu) do poczty, która przeszła tylko przez istniejącą usługę ochrony. Nie chcesz, aby niefiltrowana poczta internetowa była lądowana w skrzynkach pocztowych użytkowników na platformie Microsoft 365.

    Aby poprawnie zidentyfikować pocztę, która została już przeskanowana przez istniejącą usługę ochrony, możesz dodać warunek do reguły przepływu poczty SCL=-1. Przykład:

    • W przypadku usług ochrony opartej na chmurze: możesz użyć wartości nagłówka i nagłówka, która jest unikatowa dla Twojej organizacji. Komunikaty z nagłówkiem nie są skanowane przez platformę Microsoft 365. Komunikaty bez nagłówka są skanowane przez platformę Microsoft 365
    • W przypadku lokalnych usług ochrony lub urządzeń: możesz użyć źródłowych adresów IP. Komunikaty ze źródłowych adresów IP nie są skanowane przez platformę Microsoft 365. Komunikaty, które nie pochodzą ze źródłowych adresów IP, są skanowane przez usługę Microsoft 365.

  • Nie polegaj wyłącznie na rekordach MX, aby kontrolować, czy poczta jest filtrowana. Nadawcy mogą łatwo ignorować rekord MX i wysyłać wiadomości e-mail bezpośrednio na platformę Microsoft 365.

Krok 4. Konfigurowanie rozszerzonego filtrowania dla łączników

Pierwszą rzeczą do wykonania jest skonfigurowanie rozszerzonego filtrowania łączników (znanego również jako pomijanie listy) w łączniku używanym do przepływu poczty z istniejącej usługi ochrony do platformy Microsoft 365. Możesz użyć raportu Komunikaty przychodzące, aby ułatwić identyfikację łącznika.

Rozszerzone filtrowanie łączników jest wymagane przez Ochrona usługi Office 365 w usłudze Defender, aby zobaczyć, skąd faktycznie pochodzą wiadomości internetowe. Ulepszone filtrowanie łączników znacznie zwiększa dokładność stosu filtrowania firmy Microsoft (zwłaszcza analizy podróbek i możliwości po naruszeniu zabezpieczeń w Eksploratorze zagrożeń i zautomatyzowanym badaniu & odpowiedzi (AIR).

Aby poprawnie włączyć filtrowanie rozszerzone dla łączników, należy dodać publiczne adresy IP **wszystkich** usług innych firm i/lub lokalnych hostów systemu poczty e-mail, które kierują pocztę przychodzącą do platformy Microsoft 365.

Aby potwierdzić, że rozszerzone filtrowanie łączników działa, sprawdź, czy komunikaty przychodzące zawierają jeden lub oba z następujących nagłówków:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

Krok 5. Tworzenie zasad ochrony pilotażowej

Tworząc zasady produkcyjne, nawet jeśli nie są one stosowane do wszystkich użytkowników, możesz przetestować funkcje po naruszeniu zabezpieczeń, takie jak Eksplorator zagrożeń, i przetestować integrację Ochrona usługi Office 365 w usłudze Defender z procesami zespołu reagowania na zabezpieczenia.

Ważna

Zasady mogą być ograniczone do użytkowników, grup lub domen. Nie zalecamy mieszania wszystkich trzech w jednej zasad, ponieważ tylko użytkownicy, którzy pasują do wszystkich trzech, będą wchodzić w zakres zasad. W przypadku zasad pilotażowych zalecamy używanie grup lub użytkowników. W przypadku zasad produkcyjnych zalecamy używanie domen. Niezwykle ważne jest zrozumienie, że tylko podstawowa domena poczty e-mail użytkownika określa, czy użytkownik wchodzi w zakres zasad. Dlatego jeśli przełączysz rekord MX dla domeny pomocniczej użytkownika, upewnij się, że jego domena podstawowa jest również objęta zasadami.

Tworzenie pilotażowych zasad bezpiecznych załączników

Bezpieczne załączniki to najłatwiejsza funkcja Ochrona usługi Office 365 w usłudze Defender do włączenia i przetestowania przed przełączeniem rekordu MX. Bezpieczne załączniki mają następujące korzyści:

  • Minimalna konfiguracja.
  • Bardzo małe prawdopodobieństwo fałszywie dodatnich wyników.
  • Podobne zachowanie do ochrony przed złośliwym oprogramowaniem, które jest zawsze włączone i nie ma na nie wpływu reguła przepływu poczty SCL=-1.

Aby zapoznać się z zalecanymi ustawieniami, zobacz Zalecane ustawienia zasad bezpiecznych załączników. Zalecenia standardowe i ścisłe są takie same. Aby utworzyć zasady, zobacz Konfigurowanie zasad bezpiecznych załączników. Pamiętaj, aby użyć grupy MDOPilot_SafeAttachments jako warunku zasad (do których mają zastosowanie zasady).

Uwaga

Wbudowane zasady zabezpieczeń wstępnie ustawionej ochrony zapewniają ochronę bezpiecznych załączników wszystkim adresatom, którzy nie są zdefiniowani w żadnych zasadach bezpiecznych załączników. Aby uzyskać więcej informacji, zobacz Preset security policies in EOP and Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia wstępne zasad zabezpieczeń w usłudze EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender).

Uwaga

Nie obsługujemy opakowywania ani ponownego pisania już opakowanych lub ponownie napisanych linków. Jeśli bieżąca usługa ochrony już zawija lub ponownie zapisuje linki w wiadomościach e-mail, musisz wyłączyć tę funkcję dla użytkowników pilotażowych. Jednym ze sposobów zapewnienia, że tak się nie stanie, jest wykluczenie domeny adresu URL drugiej usługi w zasadach bezpiecznych łączy.

Szanse na wyniki fałszywie dodatnie w bezpiecznych linkach są również dość niskie, ale należy rozważyć przetestowanie tej funkcji na mniejszej liczbie użytkowników pilotażowych niż bezpieczne załączniki. Ponieważ ta funkcja ma wpływ na środowisko użytkownika, należy wziąć pod uwagę plan edukacji użytkowników.

Aby zapoznać się z zalecanymi ustawieniami, zobacz Ustawienia zasad bezpiecznych łączy. Zalecenia standardowe i ścisłe są takie same. Aby utworzyć zasady, zobacz Konfigurowanie zasad bezpiecznych łączy. Pamiętaj, aby użyć grupy MDOPilot_SafeLinks jako warunku zasad (do których mają zastosowanie zasady).

Uwaga

Wbudowane zasady zabezpieczeń wstępnie ustawionej ochrony zapewniają ochronę bezpiecznych łączy wszystkim adresatom, którzy nie są zdefiniowani w żadnych zasadach bezpiecznych łączy. Aby uzyskać więcej informacji, zobacz Preset security policies in EOP and Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia wstępne zasad zabezpieczeń w usłudze EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender).

Tworzenie pilotażowych zasad ochrony przed spamem

Utwórz dwie zasady ochrony przed spamem dla użytkowników pilotażowych:

  • Zasady używające ustawień standardowych. Użyj grupy MDOPilot_SpamPhish_Standard jako warunku zasad (do których mają zastosowanie zasady).
  • Zasady, które używają ustawień ścisłych. Użyj grupy MDOPilot_SpamPhish_Strict jako warunku zasad (do których mają zastosowanie zasady). Te zasady powinny mieć wyższy priorytet (mniejszą liczbę) niż zasady z ustawieniami standardowymi.

Aby zapoznać się z zalecanymi ustawieniami standardowymi i ścisłymi, zobacz Zalecane ustawienia zasad ochrony przed spamem. Aby utworzyć zasady, zobacz Konfigurowanie zasad ochrony przed spamem.

Tworzenie pilotażowych zasad ochrony przed wyłudzaniem informacji

Utwórz dwie zasady ochrony przed wyłudzaniem informacji dla użytkowników pilotażowych:

  • Zasady, które używają ustawień standardowych, z wyjątkiem akcji wykrywania personifikacji zgodnie z poniższym opisem. Użyj grupy MDOPilot_SpamPhish_Standard jako warunku zasad (do których mają zastosowanie zasady).
  • Zasady, które używają ustawień ścisłych, z wyjątkiem akcji wykrywania personifikacji zgodnie z poniższym opisem. Użyj grupy MDOPilot_SpamPhish_Strict jako warunku zasad (do których mają zastosowanie zasady). Te zasady powinny mieć wyższy priorytet (mniejszą liczbę) niż zasady z ustawieniami standardowymi.

W przypadku wykrywania fałszowania zalecaną akcją Standardowa jest przeniesienie komunikatu do folderów Email wiadomości-śmieci adresatów, a zalecaną akcją ścisłą jest kwarantanna komunikatu. Użyj analizy fałszowania, aby obserwować wyniki. Przesłonięcia zostały wyjaśnione w następnej sekcji. Aby uzyskać więcej informacji, zobacz Spoof intelligence insight in EOP (Fałszowanie analizy w ramach EOP).

W przypadku wykrywania personifikacji zignoruj zalecane akcje standardowe i ścisłe dla zasad pilotażowych. Zamiast tego użyj wartości Nie stosuj żadnej akcji dla następujących ustawień:

  • Jeśli zostanie wykryty komunikat jako personifikacja użytkownika
  • Jeśli komunikat zostanie wykryty jako domena personifikowana
  • Jeśli analiza skrzynki pocztowej wykryje personifikowanego użytkownika

Użyj szczegółowych informacji o personifikacji, aby obserwować wyniki. Aby uzyskać więcej informacji, zobacz Szczegółowe informacje o personifikacji w Ochrona usługi Office 365 w usłudze Defender.

Dostosuj ochronę przed fałszowaniem (dostosuj opcje i bloki) i włącz każdą akcję ochrony przed personifikacją, aby poddać kwarantannie lub przenieść komunikaty do folderu Junk Email (na podstawie zaleceń standardowych lub ścisłych). Obserwuj wyniki i w razie potrzeby dostosuj ich ustawienia.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

Następny krok

Gratulacje! Ukończono fazę konfiguracji migracji do Ochrona usługi Office 365 w usłudze Microsoft Defender!