Migrar para Microsoft Defender para Office 365 – Fase 3: Integrar
Fase 1: preparação |
Fase 2: configuração |
Fase 3: integração |
---|---|---|
Está aqui! |
Bem-vindo à Fase 3: Integrar a migração para o Microsoft Defender para Office 365! Esta fase de migração inclui os seguintes passos:
- Iniciar a integração das Equipas de Segurança
- (Opcional) Isentar os utilizadores piloto da filtragem pelo serviço de proteção existente
- Otimizar inteligência spoof
- Otimizar a proteção de representação e a inteligência da caixa de correio
- Utilizar dados de mensagens comunicadas pelo utilizador para medir e ajustar
- (Opcional) Adicionar mais utilizadores ao seu piloto e iterar
- Expandir a proteção do Microsoft 365 a todos os utilizadores e desativar a regra de fluxo de correio SCL=-1
- Mudar os registos MX
Passo 1: Começar a integrar as Equipas de Segurança
Se a sua organização tiver uma equipa de resposta de segurança, chegou a altura de começar a integrar Microsoft Defender para Office 365 nos seus processos de resposta, incluindo sistemas de pedidos de suporte. Este processo é um tópico completo em si, mas por vezes é ignorado. Obter a equipa de resposta de segurança envolvida antecipadamente garante que a sua organização está pronta para lidar com ameaças quando mudar de registos MX. A resposta a incidentes tem de estar bem equipada para processar as seguintes tarefas:
- Conheça as novas ferramentas e integre-as em fluxos existentes. Por exemplo:
- Administração gestão de mensagens em quarentena é importante. Para obter instruções, consulte Gerir mensagens e ficheiros em quarentena como administrador.
- O rastreio de mensagens permite-lhe ver o que aconteceu às mensagens à medida que entram ou saem do Microsoft 365. Para obter mais informações, veja Rastreio de mensagens no centro de administração do Exchange moderno no Exchange Online.
- Identifique os riscos que podem ter sido colocados na organização.
- Otimizar e personalizar alertas para processos organizacionais.
- Gerir a fila de incidentes e remediar potenciais riscos.
Se a sua organização comprou Microsoft Defender para Office 365 Plano 2, deve começar a familiarizar-se e a utilizar funcionalidades como o Explorador de Ameaças, Investigação Avançada e Incidentes. Para obter formações relevantes, consulte https://aka.ms/mdoninja.
Se a sua equipa de resposta de segurança recolher e analisar mensagens não filtradas, pode configurar uma caixa de correio SecOps para receber estas mensagens não filtradas. Para obter instruções, consulte Configurar caixas de correio SecOps na política de entrega avançada.
SIEM/SOAR
Para obter mais informações sobre a integração com o SIEM/SOAR, veja os seguintes artigos:
- Descrição geral das APIs do Microsoft Defender XDR
- API de Transmissão em Fluxo
- API de Investigação Avançada
- APIs de Incidentes
Se a sua organização não tiver uma equipa de resposta de segurança ou fluxos de processos existentes, pode utilizar este tempo para se familiarizar com as funcionalidades básicas de investigação e resposta no Defender para Office 365. Para obter mais informações, veja Investigação e resposta a ameaças.
Funções RBAC
As permissões no Defender para Office 365 baseiam-se no controlo de acesso baseado em funções (RBAC) e são explicadas em Permissões no portal Microsoft Defender. Eis os pontos importantes a ter em conta:
- Microsoft Entra funções dão permissões a todas as cargas de trabalho no Microsoft 365. Por exemplo, se adicionar um utilizador ao Administrador de Segurança no portal do Azure, este tem permissões de Administrador de Segurança em todo o lado.
- Email & funções de colaboração no portal do Microsoft Defender conceder permissões ao portal do Microsoft Defender e ao Portal de Conformidade do Microsoft Purview. Por exemplo, se adicionar um utilizador ao Administrador de Segurança no portal Microsoft Defender, este só terá acesso de Administrador de Segurança no portal do Microsoft Defender e no Portal de Conformidade do Microsoft Purview.
- Muitas funcionalidades no portal do Microsoft Defender baseiam-se em cmdlets do Exchange Online PowerShell e, por conseguinte, requerem a associação a grupos de funções nas funções correspondentes (tecnicamente, grupos de funções) no Exchange Online (em particular, para aceder ao Exchange Online PowerShell correspondente cmdlets).
- Existem Email & funções de colaboração no portal do Microsoft Defender que não têm equivalentes a funções de Microsoft Entra e são importantes para operações de segurança (por exemplo, a função pré-visualização e a função Pesquisa e Remoção).
Normalmente, apenas um subconjunto de pessoal de segurança precisa de direitos adicionais para transferir mensagens diretamente das caixas de correio dos utilizadores. Esta necessidade requer uma permissão adicional que o Leitor de Segurança não tem por predefinição.
Passo 2: (Opcional) Isentar os utilizadores piloto da filtragem pelo serviço de proteção existente
Embora este passo não seja necessário, deve considerar configurar os utilizadores piloto para ignorar a filtragem pelo serviço de proteção existente. Esta ação permite Defender para Office 365 processar todas as funções de filtragem e proteção para os utilizadores piloto. Se não isentar os utilizadores piloto do seu serviço de proteção existente, Defender para Office 365 funciona efetivamente apenas em falhas do outro serviço (filtrar mensagens que já foram filtradas).
Nota
Este passo é explicitamente necessário se o seu serviço de proteção atual fornecer encapsulamento de ligações, mas pretender testar a funcionalidade Ligações Seguras. A moldagem dupla de ligações não é suportada.
Passo 3: otimizar a inteligência spoof
Verifique as informações de inteligência do Spoof para ver o que está a ser permitido ou bloqueado como spoofing e para determinar se precisa de anular o veredicto do sistema por spoofing. Algumas origens do seu e-mail crítico para a empresa podem ter registos de autenticação de e-mail configurados incorretamente no DNS (SPF, DKIM e DMARC) e poderá estar a utilizar substituições no seu serviço de proteção existente para mascarar os problemas de domínio.
As informações de spoof podem resgatar e-mails de domínios sem registos de autenticação de e-mail adequados no DNS, mas a funcionalidade por vezes precisa de assistência para distinguir o bom spoofing do spoofing incorreto. Concentre-se nos seguintes tipos de origens de mensagens:
- Origens de mensagens que estão fora dos intervalos de endereços IP definidos na Filtragem Avançada para Conectores.
- Origens de mensagens com o maior número de mensagens.
- Origens de mensagens que têm o maior impacto na sua organização.
As informações de spoof acabarão por se ajustar depois de configurar as definições comunicadas pelo utilizador, pelo que não há necessidade de perfeição.
Passo 4: Otimizar a proteção contra representação e as informações da caixa de correio
Depois de ter tido tempo suficiente para observar os resultados da proteção contra representação em Não aplicar nenhum modo de ação , pode ativar individualmente cada ação de proteção de representação nas políticas anti-phishing:
- Proteção contra representação do utilizador: coloque a mensagem em quarentena para Standard e Strict.
- Proteção de representação de domínio: coloque a mensagem em quarentena para Standard e Strict.
- Proteção de informações da caixa de correio: mova a mensagem para as pastas de Email de Lixo dos destinatários para Standard; Coloque a mensagem em quarentena para Estrita.
Quanto mais tempo monitorizar os resultados da proteção de representação sem agir nas mensagens, mais dados tem de identificar permite ou blocos que possam ser necessários. Considere utilizar um atraso entre ativar cada proteção que seja suficientemente significativa para permitir a observação e o ajuste.
Nota
A monitorização e otimização frequentes e contínuas destas proteções são importantes. Se suspeitar de um falso positivo, investigue a causa e utilize substituições apenas conforme necessário e apenas para a funcionalidade de deteção que o requer.
Otimizar as informações da caixa de correio
Embora as informações da caixa de correio estejam configuradas para não efetuar qualquer ação nas mensagens que foram determinadas como tentativas de representação, está ativada e a aprender os padrões de envio e receção de e-mail dos utilizadores piloto. Se um utilizador externo estiver em contacto com um utilizador piloto, as mensagens desse utilizador externo não serão identificadas como tentativas de representação por informações de caixa de correio (reduzindo assim falsos positivos).
Quando estiver pronto, efetue os seguintes passos para permitir que as informações da caixa de correio atuem em mensagens que são detetadas como tentativas de representação:
Na política anti-phishing com as definições de proteção Padrão, altere o valor de If mailbox intelligence detects an impersonated user to Move message to recipients's Junk Email folders.
Na política anti-phishing com as definições de proteção Estrita, altere o valor se a inteligência da caixa de correio detetar e representar o utilizador de para Colocar a mensagem em quarentena.
Para modificar as políticas, veja Configurar políticas anti-phishing no Defender para Office 365.
Depois de observar os resultados e efetuar quaisquer ajustes, avance para a secção seguinte para as mensagens de quarentena detetadas pela representação do utilizador.
Otimizar a proteção de representação do utilizador
Em ambas as políticas anti-phishing baseadas nas definições Padrão e Estrita, altere o valor se for detetada uma mensagem como representação do utilizador para Colocar a mensagem em quarentena.
Verifique as informações de representação para ver o que está a ser bloqueado como tentativas de representação do utilizador.
Para modificar as políticas, veja Configurar políticas anti-phishing no Defender para Office 365.
Depois de observar os resultados e efetuar quaisquer ajustes, avance para a secção seguinte para colocar as mensagens de quarentena detetadas por representação de domínio.
Otimizar a proteção de representação de domínio
Em ambas as políticas anti-phishing baseadas nas definições Padrão e Estrita, altere o valor se for detetada uma mensagem como representação de domínio para Colocar a mensagem em quarentena.
Verifique as informações de representação para ver o que está a ser bloqueado como tentativas de representação de domínio.
Para modificar as políticas, veja Configurar políticas anti-phishing no Defender para Office 365.
Observe os resultados e faça os ajustes conforme necessário.
Passo 5: Utilizar dados de mensagens comunicadas pelo utilizador para medir e ajustar
À medida que os utilizadores piloto comunicam falsos positivos e falsos negativos, as mensagens são apresentadas no separador Utilizador comunicado da página Submissões no portal Microsoft Defender. Pode comunicar as mensagens mal identificadas à Microsoft para análise e utilizar as informações para ajustar as definições e exceções nas suas políticas piloto conforme necessário.
Utilize as seguintes funcionalidades para monitorizar e iterar as definições de proteção no Defender para Office 365:
- Quarentena
- Explorador de Ameaças (Explorador)
- Email relatórios de segurança
- Defender para Office 365 relatórios
- Informações do fluxo de correio
- Relatórios de fluxo de correio
Se a sua organização utilizar um serviço de terceiros para mensagens comunicadas pelo utilizador, pode integrar esses dados no ciclo de comentários.
Passo 6: (Opcional) Adicionar mais utilizadores ao seu piloto e iterar
À medida que encontra e corrige problemas, pode adicionar mais utilizadores aos grupos piloto (e, correspondentemente, isentar esses novos utilizadores piloto de analisar pelo serviço de proteção existente conforme adequado). Quanto mais testes fizer agora, menos problemas de utilizador terá de lidar mais tarde. Esta abordagem de "cascata" permite ajustar-se a partes maiores da organização e dá tempo às suas equipas de segurança para se ajustarem às novas ferramentas e processos.
O Microsoft 365 gera alertas quando as mensagens de phishing de alta confiança são permitidas por políticas organizacionais. Para identificar estas mensagens, tem as seguintes opções:
- Substituições no relatório Estado da proteção contra ameaças.
- Filtre no Explorador de Ameaças para identificar as mensagens.
- Filtre na Investigação Avançada para identificar as mensagens.
Comunique falsos positivos à Microsoft o mais cedo possível através de submissões de administradores e utilize a funcionalidade Lista de Permissões/Bloqueios de Inquilinos para configurar substituições seguras para esses falsos positivos.
Também é boa ideia examinar substituições desnecessárias. Por outras palavras, veja os veredictos que o Microsoft 365 teria fornecido sobre as mensagens. Se o Microsoft 365 deu o veredicto correto, a necessidade de substituição será muito reduzida ou eliminada.
Passo 7: Expandir a proteção do Microsoft 365 a todos os utilizadores e desativar a regra de fluxo de correio SCL=-1
Siga os passos nesta secção quando estiver pronto para mudar os registos MX para apontarem para o Microsoft 365.
Expandir as políticas piloto para toda a organização. Fundamentalmente, existem diferentes formas de alargar as políticas:
Utilize políticas de segurança predefinidas e divida os seus utilizadores entre o perfil de proteção Standard e o perfil de proteção Estrita (certifique-se de que todos estão abrangidos). As políticas de segurança predefinidas são aplicadas antes de quaisquer políticas personalizadas que tenha criado ou quaisquer políticas predefinidas. Pode desativar as suas políticas piloto individuais sem as eliminar.
A desvantagem das políticas de segurança predefinidas é que não pode alterar muitas das definições importantes depois de as criar.
Altere o âmbito das políticas que criou e ajustou durante o piloto para incluir todos os utilizadores (por exemplo, todos os destinatários em todos os domínios). Lembre-se de que, se forem aplicadas múltiplas políticas do mesmo tipo (por exemplo, políticas anti-phishing) ao mesmo utilizador (individualmente, por associação a grupos ou domínio de e-mail), apenas as definições da política com a prioridade mais alta (número de prioridade mais baixa) são aplicadas e o processamento para esse tipo de política.
Desative a regra de fluxo de correio SCL=-1 (pode desativá-la sem a eliminar).
Verifique se as alterações anteriores produziram efeito e que Defender para Office 365 está agora devidamente ativada para todos os utilizadores. Neste momento, todas as funcionalidades de proteção do Defender para Office 365 estão agora autorizadas a agir por correio para todos os destinatários, mas esse e-mail já foi analisado pelo serviço de proteção existente.
Pode colocar em pausa nesta fase para uma gravação e otimização de dados em grande escala.
Passo 8: Mudar os registos MX
Nota
- Quando muda o registo MX para o seu domínio, pode demorar até 48 horas para que as alterações se propaguem pela Internet.
- Recomendamos que reduza o valor TTL dos seus registos DNS para permitir uma resposta mais rápida e uma possível reversão (se necessário). Pode reverter para o valor original do TTL depois de a transição estar concluída e verificada.
- Deve considerar começar com a alteração de domínios que são utilizados com menos frequência. Pode colocar em pausa e monitorizar antes de passar para domínios maiores. No entanto, mesmo que o faça, deve certificar-se de que todos os utilizadores e domínios estão abrangidos por políticas, uma vez que os domínios SMTP secundários são resolvidos para domínios primários antes da aplicação de política.
- Tecnicamente, vários registos MX para um único domínio funcionarão, permitindo-lhe dividir o encaminhamento, desde que tenha seguido todas as orientações neste artigo. Especificamente, deve certificar-se de que as políticas são aplicadas a todos os utilizadores, de que a regra de fluxo de correio SCL=-1 é aplicada apenas ao correio que passa pelo seu serviço de proteção existente, conforme descrito no Passo 3 da Configuração: Manter ou criar a regra de fluxo de correio SCL=-1. No entanto, esta configuração apresenta um comportamento que dificulta muito mais a resolução de problemas e, por conseguinte, normalmente não o recomendamos, especialmente por longos períodos de tempo.
- Antes de mudar os registos MX, verifique se as seguintes definições não estão ativadas no conector de entrada do serviço de proteção para o Microsoft 365. Normalmente, o conector terá uma ou mais das seguintes definições configuradas:
- e exigem que o nome do requerente no certificado que o parceiro utiliza para autenticar com Office 365 corresponda a este nome de domínio (RestrictDomainsToCertificate)
- Rejeitar mensagens de e-mail se não forem enviadas a partir deste intervalo de endereços IP (RestrictDomainsToIPAddresses) Se o tipo de conector for Parceiro e qualquer uma destas definições estiver ativada, todas as entregas de correio para os seus domínios falharão depois de mudar os registos MX. Tem de desativar estas definições antes de continuar. Se o conector for um conector no local que é utilizado para o híbrido, não precisa de modificar o conector no local. No entanto, ainda pode verificar a presença de um Conector de parceiros .
- Se o seu gateway de correio atual também estiver a fornecer a validação do destinatário, poderá querer verificar se o domínio está configurado como Autoritativo no Microsoft 365. Isto pode impedir mensagens de devolução desnecessárias.
Quando estiver pronto, mude o registo MX para os seus domínios. Pode migrar todos os seus domínios de uma só vez. Em alternativa, pode migrar primeiro os domínios utilizados com menos frequência e, em seguida, migrar os restantes mais tarde.
Não hesite em colocar em pausa e avaliar aqui em qualquer altura. No entanto, lembre-se: assim que desativar a regra de fluxo de correio SCL=-1, os utilizadores poderão ter duas experiências diferentes para verificar falsos positivos. Quanto mais cedo puder proporcionar uma experiência única e consistente, mais feliz serão os seus utilizadores e equipas de suporte técnico quando tiverem de resolver problemas com uma mensagem em falta.
Passos seguintes
Parabéns! Concluiu a migração para o Microsoft Defender para Office 365! Uma vez que seguiu os passos neste guia de migração, os primeiros dias em que o correio é entregue diretamente no Microsoft 365 devem ser muito mais suaves.
Agora, inicia o funcionamento normal e a manutenção de Defender para Office 365. Monitorize e watch problemas semelhantes aos que ocorreu durante o piloto, mas numa escala maior. As informações de spoof intelligence e as informações de representação são mais úteis, mas considere tornar as seguintes atividades uma ocorrência regular:
- Reveja as mensagens comunicadas pelo utilizador, especialmente as mensagens de phishing comunicadas pelo utilizador
- Reveja as substituições no relatório Estado da proteção contra ameaças.
- Utilize consultas de Investigação Avançada para procurar oportunidades de otimização e mensagens de risco.