Udostępnij za pośrednictwem

Uzyskiwanie najlepszej wartości zabezpieczeń z usługi Microsoft Defender dla usługi Office 365 w przypadku filtrowania wiadomości e-mail innych firm

  • Artykuł

Ten przewodnik jest przeznaczony dla Ciebie, jeśli:

  • Masz licencję usługi Microsoft Defender dla usługi Office 365 i hostujesz skrzynki pocztowe w usłudze Office 365
  • Używasz również innej firmy na potrzeby zabezpieczeń poczty e-mail

Poniższe informacje zawierają szczegółowe informacje na temat sposobu jak najlepiej wykorzystać inwestycję, w podziale na łatwe do wykonania kroki.

Czego potrzebujesz

  • Skrzynki pocztowe hostowane w usłudze Office 365
  • Co najmniej jeden z następujących elementów:
    • Microsoft Defender dla usługi Office 365 Plan 1 na potrzeby funkcji ochrony
    • Microsoft Defender dla usługi Office 365 Plan 2 dla większości innych funkcji (uwzględnionych w planach E5)
    • Wersja próbna usługi Microsoft Defender dla usługi Office 365 (dostępna dla wszystkich klientów w aka.ms/tryMDO)
  • Wystarczające uprawnienia do konfigurowania funkcji omówionych poniżej

Krok 1 . Zrozumienie wartości, którą już masz

Wbudowane funkcje ochrony

  • Wbudowana ochrona zapewnia podstawowy poziom dyskretnej ochrony i obejmuje złośliwe oprogramowanie, zero dni (bezpieczne załączniki) oraz ochronę adresu URL (bezpieczne linki) w wiadomościach e-mail (w tym wewnętrznej wiadomości e-mail), sharepoint online, onedrive i teams. Ochrona adresu URL podana w tym stanie odbywa się tylko za pośrednictwem wywołania interfejsu API. Nie zawija ani nie zapisuje ponownie adresów URL, ale wymaga obsługiwanego klienta programu Outlook. Możesz utworzyć własne zasady niestandardowe, aby rozszerzyć ochronę.

Przeczytaj więcej & obejrzyj wideo z omówieniem bezpiecznych linków tutaj:Pełne omówienie bezpiecznych linków

Przeczytaj więcej o bezpiecznych załącznikach tutaj:Bezpieczne załączniki

Funkcje wykrywania, badania, reagowania i wyszukiwania zagrożeń

  • Gdy alerty są wyzwalane w usłudze Microsoft Defender dla usługi Office 365, są one automatycznie skorelowane i łączone z zdarzeniami, aby zmniejszyć zmęczenie alertów pracowników ochrony. Zautomatyzowane badanie i reagowanie (AIR) uruchamia badania, aby pomóc w skorygowaniu i powstrzymaniu zagrożeń.

Przeczytaj więcej, obejrzyj wideo z omówieniem i rozpocznij tutaj:Reagowanie na zdarzenia za pomocą usługi Microsoft Defender XDR

  • Analiza zagrożeń to nasze produktowe, szczegółowe rozwiązanie do analizy zagrożeń od ekspertów badaczy zabezpieczeń firmy Microsoft. Analiza zagrożeń zawiera szczegółowe raporty, które zostały zaprojektowane w celu przyspieszenia działania najnowszych grup zagrożeń, technik ataków, sposobu ochrony organizacji za pomocą wskaźników naruszenia zabezpieczeń (IOC) i wielu innych.

Przeczytaj więcej, obejrzyj wideo z omówieniem i rozpocznij pracę tutaj:Analiza zagrożeń w usłudze Microsoft Defender XDR

  • Eksplorator może służyć do wyszukiwania zagrożeń, wizualizowania wzorców przepływu poczty, wykrywania trendów i identyfikowania wpływu zmian wprowadzonych podczas dostrajania usługi Defender dla usługi Office 365. Możesz również szybko usuwać komunikaty z organizacji za pomocą kilku prostych kliknięć.

Przeczytaj więcej i rozpocznij tutaj:Wykrywanie zagrożeń i wykrywanie w czasie rzeczywistym

Krok 2 . Dalsze zwiększanie wartości za pomocą tych prostych kroków

Dodatkowe funkcje ochrony

  • Rozważ włączenie zasad wykraczających poza wbudowaną ochronę. Włączanie ochrony przed kliknięciem lub ochrony przed personifikacją, na przykład w celu dodania dodatkowych warstw lub wypełnienia brakujących luk w ochronie innej firmy. Jeśli masz regułę przepływu poczty (znaną również jako regułę transportu) lub filtr połączenia, który zastępuje werdykty (nazywane również regułą SCL=-1), musisz rozwiązać ten problem przed włączeniem innych funkcji ochrony.

Przeczytaj więcej tutaj:Zasady ochrony przed wyłudzaniem informacji

  • Jeśli bieżący dostawca zabezpieczeń jest skonfigurowany do modyfikowania komunikatów w jakikolwiek sposób, należy pamiętać, że sygnały uwierzytelniania mogą mieć wpływ na możliwość ochrony usługi Defender dla usługi Office 365 przed atakami, takimi jak fałszowanie. Jeśli twoja inna firma obsługuje uwierzytelniony łańcuch odebranych danych (ARC), włączenie tej funkcji jest wysoce zalecanym krokiem w drodze do zaawansowanego filtrowania podwójnego. Przenoszenie dowolnej konfiguracji modyfikacji komunikatów do usługi Defender dla usługi Office 365 jest również alternatywą.

Przeczytaj więcej tutaj:Konfigurowanie zaufanych uszczelniaczy ARC.

  • Ulepszone filtrowanie łączników umożliwia zachowywanie informacji o adresach IP i nadawcy za pośrednictwem innej firmy. Ta funkcja zwiększa dokładność stosu filtrowania (ochrony), możliwości po naruszeniu zabezpieczeń & ulepszenia uwierzytelniania.

Przeczytaj więcej tutaj:Rozszerzone filtrowanie łączników w usłudze Exchange Online

  • Priorytetowa ochrona konta zapewnia rozszerzony wgląd w konta w narzędziach, a także dodatkową ochronę w stanie zaawansowanej konfiguracji ochrony.

Przeczytaj więcej tutaj:Priorytet ochrony konta

  • Usługa Advanced Delivery powinna być skonfigurowana tak, aby prawidłowo dostarczała dowolne symulacje phish innych firm, a jeśli masz skrzynkę pocztową operacji zabezpieczeń, rozważ zdefiniowanie jej jako skrzynki pocztowej SecOps, aby upewnić się, że wiadomości e-mail nie zostaną usunięte ze skrzynki pocztowej z powodu zagrożeń.

Przeczytaj więcej tutaj:Zaawansowane dostarczanie

  • Możesz skonfigurować ustawienia zgłaszane przez użytkownika, aby umożliwić użytkownikom zgłaszanie dobrych lub złych wiadomości do firmy Microsoft, do wyznaczonej skrzynki pocztowej raportowania (w celu integracji z bieżącymi przepływami pracy zabezpieczeń) lub obu tych przepływów pracy. Administratorzy mogą używać karty Raporty użytkowników na stronie Przesłane do klasyfikowania fałszywych alarmów i fałszywie negatywnych komunikatów zgłoszonych przez użytkownika.

Przeczytaj więcej tutaj:Wdrażanie i konfigurowanie dodatku komunikatu raportu dla użytkowników.

Funkcje wykrywania, badania, reagowania i wyszukiwania zagrożeń

  • Zaawansowane wyszukiwanie zagrożeń może służyć do aktywnego wyszukiwania zagrożeń w organizacji przy użyciu udostępnionych zapytań od społeczności, które ułatwiają rozpoczęcie pracy. Możesz również użyć wykrywania niestandardowego, aby skonfigurować alerty po spełnieniu spersonalizowanych kryteriów.

Przeczytaj więcej, obejrzyj wideo z omówieniem i rozpocznij tutaj:Omówienie — zaawansowane wyszukiwanie zagrożeń

Funkcje edukacyjne

  • Trenowanie symulacji ataków umożliwia uruchamianie realistycznych, ale niegroźnych scenariuszy cyberataków w organizacji. Jeśli nie masz jeszcze możliwości symulacji wyłudzania informacji od podstawowego dostawcy zabezpieczeń poczty e-mail, symulowane ataki firmy Microsoft mogą pomóc w zidentyfikowaniu i znalezieniu narażonych użytkowników, zasad i praktyk. Ta funkcja zawiera ważną wiedzę, która ma być poprawna , zanim rzeczywisty atak wpłynie na Organizację. Po symulacji przypisywanej przez nas w ramach trenowania produktu lub niestandardowego w celu informowania użytkowników o pominiętych zagrożeniach, co ostatecznie zmniejsza profil ryzyka organizacji. Dzięki trenowaniu symulacji ataków dostarczamy komunikaty bezpośrednio do skrzynki odbiorczej, dzięki czemu środowisko użytkownika jest bogate. Oznacza to również, że żadne zmiany zabezpieczeń, takie jak przesłonięcia, nie są wymagane do poprawnego dostarczania symulacji.

Rozpocznij tutaj:Wprowadzenie do symulacji ataków.

Przejdź bezpośrednio do realizacji symulacji tutaj:Jak skonfigurować zautomatyzowane ataki i trenowanie w ramach szkolenia symulacji ataków

Krok 3 i nowsze, staje się bohaterem podwójnego zastosowania

  • Wiele działań związanych z wykrywaniem, badaniem, reagowaniem i wyszukiwaniem zagrożeń zgodnie z wcześniejszym opisem powinno zostać powtórzone przez zespoły ds. zabezpieczeń. Te wskazówki zawierają szczegółowy opis zadań, kadencji i przypisań zespołu, które zalecamy.

Czytaj więcej:Przewodnik po operacjach zabezpieczeń dla usługi Defender dla usługi Office 365

  • Rozważ środowisko użytkownika, takie jak uzyskiwanie dostępu do wielu kwarantann lub przesyłanie/raportowanie wyników fałszywie dodatnich i fałszywie ujemnych. Komunikaty wykryte przez usługę innej firmy można oznaczyć niestandardowym nagłówkiem X . Na przykład można użyć reguł przepływu poczty do wykrywania i kwarantanny wiadomości e-mail zawierającej nagłówek X . Ten wynik zapewnia również użytkownikom pojedyncze miejsce dostępu do poczty poddanej kwarantannie.

Czytaj więcej:Jak skonfigurować uprawnienia i zasady kwarantanny

  • Przewodnik po migracji zawiera wiele przydatnych wskazówek dotyczących przygotowywania i dostrajania środowiska w celu przygotowania go do migracji. Jednak wiele kroków dotyczy również scenariusza podwójnego użycia. Po prostu zignoruj wskazówki dotyczące przełącznika MX w końcowych krokach.

Przeczytaj tutaj:Migrowanie z usługi ochrony innej firmy do usługi Microsoft Defender dla usługi Office 365 — Office 365 | Microsoft Docs.

Więcej informacji

Migrowanie z usługi ochrony innej firmy do usługi Microsoft Defender dla usługi Office 365

Przewodnik po operacjach zabezpieczeń dla usługi Defender dla usługi Office 365

Uzyskaj więcej informacji z usługi Microsoft Defender dla usługi Office 365 za pomocą usługi Microsoft Defender XDR.