Få det bästa säkerhetsvärdet från Microsoft Defender för Office 365 när du har e-postfiltrering från tredje part
Den här guiden är till för dig om:
- Du är licensierad för Microsoft Defender för Office 365 och är värd för dina postlådor i Office 365
- Du använder också en tredje part för din e-postsäkerhet
Följande information beskriver hur du får ut mesta möjliga av din investering, uppdelad i enkla att följa steg.
Vad du behöver
- Postlådor i Office 365
- En eller flera av:
- Microsoft Defender för Office 365 abonnemang 1 för skyddsfunktioner.
- Microsoft Defender för Office 365 plan 2 för de flesta andra funktioner (ingår i E5-abonnemang).
- Microsoft Defender för Office 365 utvärderingsversion (tillgänglig för alla kunder på https://aka.ms/tryMDO).
- Tillräcklig behörighet för att konfigurera de funktioner som beskrivs i den här artikeln.
Steg 1 – Förstå det värde du redan har
Inbyggda skyddsfunktioner
Inbyggt skydd erbjuder en grundläggande nivå av diskret skydd och innehåller skadlig kod, noll dag (säkra bifogade filer) och URL-skydd (säkra länkar) i e-post (inklusive intern e-post), SharePoint, OneDrive och Microsoft Teams. URL-skydd som tillhandahålls i det här tillståndet sker endast via API-anrop. Den omsluter eller skriver inte om URL:er, men kräver en Outlook-klient som stöds. Du kan skapa egna anpassade principer för att utöka skyddet.
Läs mer & watch en översiktsvideo över säkra länkar här:Översikt över fullständiga säkra länkar
Läs mer om säkra bifogade filer här:Säkra bifogade filer
Identifierings-, undersöknings-, svars- och jaktfunktioner
När aviseringar utlöses i Microsoft Defender för Office 365 korreleras de automatiskt och kombineras till Incidenter för att minska säkerhetspersonalens varningströtthet. Automatiserad undersökning och svar (AIR) utlöser undersökningar för att hjälpa till att åtgärda och begränsa hot.
Läs mer watch en översiktsvideo och kom igång här:Incidenthantering med Microsoft Defender XDR
Threat Analytics är vår produktspecifika, detaljerade hotinformationslösning från microsofts säkerhetsexperter. Threat Analytics innehåller detaljerade rapporter som är utformade för att få dig att komma igång med de senaste hotgrupperna, attacktekniker, hur du skyddar din organisation med IOK (Indicators of Compromise) och mycket mer.
Läs mer watch en översiktsvideo och kom igång här:Hotanalys i Microsoft Defender XDR
Explorer kan användas för att jaga hot, visualisera e-postflödesmönster, upptäcka trender och identifiera effekten av ändringar som du gör under justering Defender för Office 365. Du kan också snabbt ta bort meddelanden från din organisation med några enkla klick.
Läs mer och kom igång här:Hotutforskaren och realtidsidentifieringar
Avancerad jakt kan användas för att proaktivt jaga hot i din organisation med hjälp av delade frågor från communityn för att hjälpa dig att komma igång. Du kan också använda anpassade identifieringar för att konfigurera aviseringar när anpassade kriterier uppfylls.
Läs mer watch en översiktsvideo och kom igång här:Översikt – Avancerad jakt
Steg 2 – Förbättra värdet ytterligare med dessa enkla steg
Ytterligare skyddsfunktioner
Överväg att aktivera principer utöver det inbyggda skyddet. Aktivera klicktidsskydd eller personifieringsskydd, till exempel för att lägga till extra lager eller fylla luckor som saknas i ditt tredjepartsskydd. Om du har en e-postflödesregel (kallas även för en transportregel) eller ett anslutningsfilter som åsidosätter domar (kallas även en SCL=-1-regel) måste du åtgärda den här konfigurationen innan du aktiverar andra skyddsfunktioner.
Läs mer här:Principer för skydd mot nätfiske
Om din nuvarande säkerhetsleverantör är konfigurerad för att ändra meddelanden på något sätt är det viktigt att notera att autentiseringssignaler kan påverka möjligheten för Defender för Office 365 att skydda dig mot attacker som förfalskning. Om din tredje part stöder autentiserad mottagen kedja (ARC) rekommenderar vi starkt att du aktiverar ARC i din resa till avancerad dubbel filtrering. Att flytta en konfiguration av meddelandeändringar till Defender för Office 365 är också ett alternativ.
Läs mer här:Konfigurera betrodda ARC-förseglare
Förbättrad filtrering för anslutningsappar gör att IP-adress- och avsändarinformation kan bevaras via tredje part. Den här funktionen förbättrar noggrannheten för filtreringsstacken (skydd), funktionerna efter intrång & autentiseringsförbättringar.
Läs mer här:Förbättrad filtrering för anslutningsappar i Exchange Online
Prioritetskontoskydd ger bättre synlighet för konton i verktyg, tillsammans med ytterligare skydd när det är i ett avancerat skydd av djupgående konfigurationstillstånd.
Läs mer här:Prioriterat kontoskydd
Avancerad leverans bör konfigureras för att leverera nätfiskesimuleringar från tredje part korrekt, och om du har en säkerhetsåtgärdspostlåda bör du överväga att definiera den som en SecOps-postlåda för att säkerställa att e-postmeddelanden inte tas bort från postlådan på grund av hot.
Läs mer här:Avancerad leverans
Du kan konfigurera användarrapporterade inställningar så att användarna kan rapportera bra eller dåliga meddelanden till Microsoft, till en angiven rapporteringspostlåda (för att integrera med aktuella säkerhetsarbetsflöden) eller båda med hjälp av den inbyggda rapportknappen i versioner av Outlook som stöds eller med hjälp av lösningar från tredje part som stöds. Administratörer kan använda fliken Användarrapporterad på sidan Inskickade för att sortera falska positiva och falska negativa användarrapporterade meddelanden.
Läs mer här:Användarrapporterade inställningar och Rapportera nätfiske och misstänkta e-postmeddelanden i Outlook för administratörer
Utbildningsfunktioner
- Övning av attacksimulering gör att du kan köra realistiska men godartade scenarier för cyberattacker i din organisation. Om du inte redan har funktioner för nätfiskesimulering från din primära e-postsäkerhetsleverantör kan Microsofts simulerade attacker hjälpa dig att identifiera och hitta sårbara användare, principer och metoder. Den här funktionen innehåller viktig kunskap att ha och korrigera innan en verklig attack påverkar din organisation. Efter simuleringen tilldelar vi i produkt- eller anpassad utbildning för att utbilda användarna om de hot de missade, vilket i slutändan minskar organisationens riskprofil. Med Övning av attacksimulering levererar vi meddelanden direkt till inkorgen, så användarupplevelsen blir omfattande. Den här upplevelsen innebär också att inga säkerhetsändringar, till exempel åsidosättningar, behövs för att få simuleringar korrekt levererade.
Kom igång här:Kom igång med attacksimulering.
Hoppa direkt till att leverera en simulering här:Så här konfigurerar du automatiserade attacker och utbildningar inom Övning av attacksimulering
Steg 3 och senare, och bli en hero med dubbla användningsområden
Säkerhetsteamen bör upprepa många av aktiviteterna identifiering, undersökning, svar och jakt enligt beskrivningen ovan. Den här vägledningen innehåller en detaljerad beskrivning av uppgifter, takt och teamtilldelningar som vi rekommenderar.
Överväg användarupplevelser, till exempel åtkomst till flera karantäner eller överföring/rapportering av falska positiva och falska negativa identifieringar. Du kan markera meddelanden som identifieras av tredjepartstjänsten med en anpassad X-rubrik . Du kan till exempel använda e-postflödesregler för att identifiera och placera e-post i karantän som innehåller X-huvudet . Det här resultatet ger också användarna en enda plats där de kan komma åt e-post i karantän.
Läs mer:Så här konfigurerar du karantänbehörigheter och principer
Migreringsguiden innehåller många användbara riktlinjer för hur du förbereder och justerar din miljö för att förbereda den för en migrering. Men många av stegen gäller även för ett scenario med dubbel användning. Ignorera vägledningen för MX-växeln i de sista stegen.
Mer information
Migrera från en skyddstjänst från tredje part till Microsoft Defender för Office 365
Säkerhetsåtgärdsguide för Defender för Office 365
Få ut mer av Microsoft Defender för Office 365 med Microsoft Defender XDR.