試驗和部署 適用於 Office 365 的 Defender
適用於:
- Microsoft Defender XDR
本文提供在組織中試驗和部署 適用於 Office 365 的 Microsoft Defender 的工作流程。 您可以使用這些建議,將 適用於 Office 365 的 Microsoft Defender 作為個別的網路安全性工具上線,或作為端對端解決方案的一部分,Microsoft Defender 全面偵測回應。
本文假設您有生產Microsoft 365 租使用者,並在此環境中試驗和部署 適用於 Office 365 的 Microsoft Defender。 此做法會維護您在試驗期間為完整部署所設定的任何設定和自定義。
適用於 Office 365 的 Defender 藉由協助防止或減少因外洩而造成的業務損害,為 零信任 架構做出貢獻。 如需詳細資訊,請參閱 Microsoft 零信任 採用架構中的防止或減少因外泄商務案例造成的業務損害。
Microsoft Defender 全面偵測回應 的端對端部署
這是系列文章 6 的第 3 篇文章,可協助您部署 Microsoft Defender 全面偵測回應元件,包括調查和回應事件。
本系列中的文章會對應至下列端對端部署階段:
階段 | 連結 |
---|---|
答: 啟動試驗 | 啟動試驗 |
B. 試驗和部署 Microsoft Defender 全面偵測回應元件 |
-
試驗和部署適用於身分識別的Defender - 在本文 (試驗和部署 適用於 Office 365 的 Defender) - 試驗和部署適用於端點的Defender - 試驗和部署 Microsoft Defender for Cloud Apps |
C. 調查和回應威脅 | 練習事件調查和回應 |
試驗和部署 適用於 Office 365 的 Defender 的工作流程
下圖說明在IT環境中部署產品或服務的常見程式。
首先,您會評估產品或服務,以及其在組織內的運作方式。 然後,您可以使用適當的小型生產基礎結構子集來試驗產品或服務,以進行測試、學習和自定義。 然後,逐漸增加部署的範圍,直到涵蓋整個基礎結構或組織為止。
以下是在生產環境中試驗和部署 適用於 Office 365 的 Defender 的工作流程。
依照下列步驟執行:
以下是每個部署階段的建議步驟。
部署階段 | 描述 |
---|---|
評估 | 執行 適用於 Office 365 的 Defender 的產品評估。 |
試驗 | 針對試驗群組執行步驟 1-7。 |
完整部署 | 在步驟 5 中設定試驗使用者群組,或新增使用者群組,以擴充試驗之外,最後包含所有用戶帳戶。 |
適用於 Office 365 的 Defender架構和需求
下圖說明 適用於 Office 365 的 Microsoft Defender 的基準架構,其中可包含第三方 SMTP 閘道或內部部署整合。 混合式共存案例 (也就是,生產信箱是內部部署和在線信箱,) 需要更複雜的設定,本文或評估指引並未涵蓋。
下表描述此圖例。
註銷 | 描述 |
---|---|
1 | 外部傳送者的主機伺服器通常會執行 MX 記錄的公用 DNS 查閱,以提供目標伺服器來轉送訊息。 此轉介可以直接 Exchange Online (EXO) 或設定為針對 EXO 轉送的 SMTP 閘道。 |
2 | Exchange Online Protection 會交涉並驗證輸入連線,並檢查訊息標頭和內容,以判斷需要哪些額外的原則、標記或處理。 |
3 | Exchange Online 與 適用於 Office 365 的 Microsoft Defender整合,以提供更進階的威脅防護、風險降低和補救。 |
4 | 非惡意、封鎖或隔離的郵件會在EXO中處理並傳遞給收件者,其中會評估並觸發與垃圾郵件、信箱規則或其他設定相關的使用者喜好設定。 |
5 | 您可以使用 Microsoft Entra Connect 來啟用與 內部部署的 Active Directory 整合,以同步處理並布建啟用郵件功能的物件和帳戶,以 Microsoft Entra ID 並最終 Exchange Online。 |
6 | 整合內部部署環境時,最好使用 Exchange 伺服器來支援郵件相關屬性、設定和設定的管理。 |
7 | 適用於 Office 365 的 Microsoft Defender 與 Microsoft Defender 全面偵測回應 共用訊號,以進行擴充偵測和回應 (XDR) 。 |
內部部署整合很常見,但為選擇性。 如果您的環境僅限雲端,本指引也適用於您。
成功的 適用於 Office 365 的 Defender 評估或生產試驗需要下列必要條件:
- 您所有的收件者信箱目前都在 Exchange Online 中。
- 您的公用 MX 記錄會直接解析為 EOP 或第三方的簡易郵件傳輸通訊協定 (SMTP) 閘道,然後直接將輸入外部電子郵件轉送至 EOP。
- 您的主要電子郵件網域已在 Exchange Online 中設定為授權。
- 您已成功部署並設定以 目錄為基礎的Edge封鎖 (適當地) DBEB。 如需詳細資訊,請 參閱使用 Directory-Based Edge 封鎖來拒絕傳送給無效收件者的訊息。
重要事項
如果這些需求不適用,或您仍在混合式共存案例中,則 適用於 Office 365 的 Microsoft Defender 評估可能需要更複雜或進階的設定,但本指引並未完整涵蓋這些設定。
步驟 1:稽核和驗證公用 MX 記錄
若要有效地評估 適用於 Office 365 的 Microsoft Defender,請務必透過與租使用者相關聯的 Exchange Online Protection (EOP) 實例轉送輸入外部電子郵件。
- 在 M365 管理員 入口網站中https://admin.microsoft.com,展開 ...視需要顯示全部內容,展開 [設定],然後選取 [網域]。 或者,若要直接移至 [ 網域] 頁面,請使用 https://admin.microsoft.com/Adminportal/Home#/Domains。
- 在 [ 網域] 頁面上,按下複選框以外的專案上的任何位置,選取已驗證的電子郵件網域。
- 在開啟的網域詳細數據飛出視窗中,選取 [DNS 記錄] 索引 標籤。記下產生並指派給 EOP 租使用者的 MX 記錄。
- 存取外部 (公用) DNS 區域,並檢查與您的電子郵件網域相關聯的主要 MX 記錄:
- 例如,如果您的公用 MX 記錄目前符合指派的 EOP 位址 (,contoso-com.mail.protection.outlook.com) 则不需要进一步的路由变更。
- 如果您的公用 MX 記錄目前解析為第三方或內部部署 SMTP 閘道,則可能需要額外的路由設定。
- 如果您的公用 MX 記錄目前解析為內部部署 Exchange,則您可能仍在混合式模型中,其中某些收件者信箱尚未移轉至 EXO。
步驟 2:稽核接受的網域
- 在 Exchange 系統管理中心 (EAC) , https://admin.exchange.microsoft.com展開 [郵件流程],然後按兩下 [ 接受的網域]。 或者,若要直接移至 [ 已接受的網域] 頁面,請使用 https://admin.exchange.microsoft.com/#/accepteddomains。
- 在 [ 已接受的網域 ] 頁面上,記下您主要電子郵件網域的 [ 網域類型 ] 值。
- 如果網域類型設定為 [授權],則假設您組織的所有收件者信箱目前都位於 Exchange Online。
- 如果網域類型設定為 InternalRelay,則您可能仍在混合式模型中,其中某些收件者信箱仍位於內部部署。
步驟 3:稽核輸入連接器
- 在 Exchange 系統管理中心 (EAC) , https://admin.exchange.microsoft.com展開 [郵件流程],然後按兩下 [ 連接器]。 或者,若要直接前往 連接器 頁面,請使用 https://admin.exchange.microsoft.com/#/connectors。
- 在 [ 連接器 ] 頁面上,記下具有下列設定的任何連接器:
- From 值是可能與第三方 SMTP 閘道相互關聯的合作夥伴組織。
- From 值是您的組織,可能表示您仍在混合式案例中。
步驟 4:啟用評估
使用此處的指示,從 Microsoft Defender 入口網站啟用 適用於 Office 365 的 Microsoft Defender 評估。
如需詳細資訊,請參閱試用 適用於 Office 365 的 Microsoft Defender。
在 Microsoft Defender 入口網站https://security.microsoft.com中,展開 Email & 共同作業>選取 [原則 & 規則>],選取 [威脅原則>] 向下卷動至 [其他] 區段,然後選取 [評估模式]。 或者,若要直接移至 評估模式 頁面,請使用 https://security.microsoft.com/atpEvaluation。
在 [ 評估模式] 頁面上,按兩下 [開始評估]。
在 [ 開啟保護 ] 對話框中,選取 [ 否,我只想要報告],然後按兩下 [ 繼續]。
在 [ 選取您要包含的使用者 ] 對話框中,選取 [ 所有使用者],然後按兩下 [ 繼續]。
在 [ 協助我們瞭解您的郵件流程 ] 對話框中,會根據我們偵測到您網域的 MX 記錄,自動選取下列其中一個選項:
步驟 5:建立試驗群組
當您試驗 適用於 Office 365 的 Microsoft Defender 時,您可以選擇先試驗特定使用者,再為整個組織啟用和強制執行原則。 建立通訊群組有助於管理部署程式。 例如,建立群組,例如 適用於 Office 365 的 Defender 使用者 - Standard 保護、適用於 Office 365 的 Defender 使用者 - 嚴格保護、適用於 Office 365 的 Defender 使用者 - 自定義保護或適用於 Office 365 的 Defender 使用者 - 例外狀況。
「Standard」和「嚴格」是用於這些群組的詞彙可能不明顯,但當您深入探索 適用於 Office 365 的 Defender 安全性默認值時,這會變得很明顯。 命名群組「自定義」和「例外狀況」代表自己,雖然您大部分的使用者都應該落在 標準 和 嚴格之下,但自定義和例外狀況群組會為您收集有關管理風險的寶貴數據。
通訊群組可以直接在 Exchange Online 中建立和定義,或從 內部部署的 Active Directory 同步處理。
使用已獲授與收件者系統管理員角色或已委派群組管理許可權的帳戶,登入 Exchange 管理員 Center (EAC) https://admin.exchange.microsoft.com。
移至 [收件者>群組] 。
在 [群組] 頁面上,選取 [新增群組。
針對群組類型,選取 [ 散發],然後按 [ 下一步]。
為群組提供 [名稱 ] 和選用的 [描述],然後按 [下一步]。
在其餘頁面上,指派擁有者、將成員新增至群組、設定電子郵件位址、加入離職限制和其他設定。
步驟 6:設定保護
默認會設定並開啟 適用於 Office 365 的 Defender 中的某些功能,但安全性作業可能會想要提高預設的保護層級。
某些功能尚未設定。 您有下列選項可用來設定保護 (稍後很容易變更) :
將使用者指派給預設安全策略: 建議使用預設安全 策略來快速指派所有功能的統一保護層級。 您可以從 Standard 或嚴格保護中選擇。 這裏的數據表說明 Standard 和 Strict 的設定。 Standard 與 Strict 之間的差異摘要於此處的表格中。
默認安全策略的優點是,您可以根據數據中心內的觀察,使用Microsoft的建議設定,儘快保護使用者群組。 隨著新的保護功能新增,而且隨著安全性環境的變更,預設安全策略中的設定會自動更新為我們建議的設定。
默認安全策略的缺點是您無法在預設安全策略中幾乎自定義任何安全性設定 (例如,您無法將動作從傳遞變更為垃圾郵件到隔離,反之亦然) 。 例外狀況是 用戶模擬和網域模擬保護的專案和選擇性例外狀況,您必須手動設定。
此外,請記住,預設安全策略 一律 會在自定義原則之前套用。 因此,如果您想要建立並使用任何自定義原則,則必須將這些自定義原則中的使用者從預設的安全策略中排除。
設定自定義保護原則:如果您想要自行設定環境,請比較 EOP 和 適用於 Office 365 的 Microsoft Defender 安全性建議設定中的默認、Standard 和 Strict 設定。 保留自定義組建偏差位置的電子表格。
您也可以使用組態分析器,將自定義原則中的設定與 Standard 和 Strict 值進行比較。
如需選擇預設安全策略與自定義原則的詳細資訊,請參閱 判斷您的保護原則策略。
指派預設安全策略
建議您從 EOP 中的預設安全策略開始,並在評估過程中將它們指派給特定試驗使用者或已定義的群組,以快速 適用於 Office 365 的 Defender。 默認原則提供基準 Standard 保護範本或更積極嚴格保護範本,可獨立指派。
例如,如果收件者是已定義的 EOP Standard 保護群組的成員,然後藉由將帳戶新增至群組或從群組移除帳戶來管理,則可以套用試驗評估的 EOP 條件。
同樣地,如果收件者是已定義 適用於 Office 365 的 Defender Standard 保護群組的成員,然後透過群組新增或移除帳戶來管理,則可以套用試驗評估的 適用於 Office 365 的 Defender 條件。
如需完整指示,請參閱使用 Microsoft Defender 入口網站將 Standard 和嚴格預設安全策略指派給使用者。
設定自定義保護原則
預先定義的 Standard 或 Strict 適用於 Office 365 的 Defender 原則範本可為試驗使用者提供建議的基準保護。 不過,您也可以在評估過程中建置和指派自定義保護原則。
請 務必 留意套用和強制執行這些保護原則時所採取的優先順序,如 預設安全策略和其他原則的優先順序順序中所述。
設定 保護 原則中的說明和表格提供您需要設定之專案的方便參考。
步驟 7:試用功能
現在,您的試驗已設定完成,因此熟悉針對 Microsoft 365 Microsoft Defender 特有的報表、監視和攻擊模擬工具會很有説明。
功能 | 描述 | 其他資訊 |
---|---|---|
威脅總管 | 威脅總管是一個功能強大的近乎即時工具,可協助安全性作業小組調查和回應威脅,並在 Office 365 中顯示電子郵件和檔案中偵測到的惡意代碼和網路釣魚的相關信息,以及組織的其他安全性威脅和風險。 | 關於威脅總管 |
攻擊模擬訓練 | 您可以在 Microsoft Defender 入口網站中使用 攻擊模擬訓練,在組織中執行實際的攻擊案例,協助您在實際攻擊影響您的環境之前找出易受攻擊的使用者。 | 開始使用攻擊模擬訓練 |
報表儀錶板 | 在左側導覽功能表上,按兩下 [報告],然後展開 Email & 共同作業標題。 Email & 共同作業報告是關於找出安全性趨勢,其中一些趨勢可讓您透過 [移至提交] ) 等按鈕 (採取動作,以及其他會顯示趨勢的按鈕。 這些計量會自動產生。 |
在 Microsoft Defender 入口網站中檢視電子郵件安全性報告 在 Microsoft Defender 入口網站中檢視 適用於 Office 365 的 Defender 報告 |
SIEM 整合
您可以將 適用於 Office 365 的 Defender 與 Microsoft Sentinel 或一般安全性資訊和事件管理整合 (SIEM) 服務,以啟用從已連線應用程式集中監視警示和活動的功能。 透過 Microsoft Sentinel,您可以更全面地分析整個組織的安全性事件,並建置劇本以獲得有效且立即的回應。
Microsoft Sentinel 包含 適用於 Office 365 的 Defender 連接器。 如需詳細資訊,請參閱從 適用於 Office 365 的 Microsoft Defender 連線警示。
適用於 Office 365 的 Microsoft Defender 也可以使用 Office 365 活動管理 API 整合到其他 SIEM 解決方案中。 如需與泛型 SIEM 系統整合的相關信息,請參閱 一般 SIEM 整合。
下一步
將 適用於 Office 365 的 Microsoft Defender 安全性作業指南中的資訊併入您的 SecOps 程式中。
端對端部署 Microsoft Defender 全面偵測回應的下一個步驟
使用試驗和部署適用於端點的Defender,繼續進行 Microsoft Defender 全面偵測回應的端對端部署。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。