Sdílet prostřednictvím

Migrace na Microsoft Defender pro Office 365 – fáze 2: Nastavení


Fáze 1: Příprava
Fáze 1: Příprava		 Fáze 2: Nastavení
Fáze 2: Nastavení		 Fáze 3: Onboarding
Fáze 3: Onboarding
Jste tady!

Vítá vás fáze 2: Nastavenímigrace do Microsoft Defender pro Office 365! Tato fáze migrace zahrnuje následující kroky:

  1. Create distribučních skupin pro pilotní uživatele
  2. Konfigurace nastavení zpráv nahlášených uživatelem
  3. Údržba nebo vytvoření pravidla toku pošty SCL=-1
  4. Konfigurace rozšířeného filtrování pro konektory
  5. zásady pilotní ochrany Create

Krok 1: Create distribučních skupin pro pilotní uživatele

Distribuční skupiny se v Microsoftu 365 vyžadují pro následující aspekty migrace:

  • Výjimky pro pravidlo toku pošty SCL=-1: Chcete, aby pilotní uživatelé získali plný účinek ochrany Defender pro Office 365, takže potřebujete Defender pro Office 365 kontrolovat příchozí zprávy. Tento výsledek získáte definováním pilotních uživatelů v odpovídajících distribučních skupinách v Microsoftu 365 a konfigurací těchto skupin jako výjimek z pravidla toku pošty SCL=-1.

    Jak jsme popsali v části Onboard Step 2: (Optional) Vyloučení pilotních uživatelů z filtrování podle vaší stávající služby ochrany, měli byste zvážit vyloučení těchto stejných pilotních uživatelů z kontroly vaší stávající službou ochrany. Odstranění možnosti filtrování podle vaší stávající služby ochrany a spoléhat se výhradně na Defender pro Office 365 je tou nejlepší a nejbližší reprezentací toho, co se stane po dokončení migrace.

  • Testování konkrétních funkcí ochrany Defender pro Office 365: Ani pro pilotní uživatele nechcete zapnout všechno najednou. Použití fázovaného přístupu k funkcím ochrany, které platí pro pilotní uživatele, usnadňuje řešení potíží a úpravy. S ohledem na tento přístup doporučujeme následující distribuční skupiny:

    • Pilotní skupina Bezpečných příloh: Například MDOPilot_SafeAttachments
    • Pilotní skupina Bezpečných odkazů: Například MDOPilot_SafeLinks
    • Pilotní skupina pro standardní nastavení zásad ochrany proti spamu a útokům phishing: Například MDOPilot_SpamPhish_Standard
    • Pilotní skupina pro nastavení zásad striktní ochrany proti spamu a útokům phishing: Například MDOPilot_SpamPhish_Strict

Pro přehlednost používáme v tomto článku tyto konkrétní názvy skupin, ale můžete použít vlastní zásady vytváření názvů.

Až budete připraveni začít testovat, přidejte tyto skupiny jako výjimky do pravidla toku pošty SCL=-1. Při vytváření zásad pro různé funkce ochrany v Defender pro Office 365 používejte tyto skupiny jako podmínky, které definují, na koho se zásady vztahují.

Poznámky:

  • Termíny Standard a Strict pocházejí z našich doporučených nastavení zabezpečení, která se používají také v přednastavených zásadách zabezpečení. V ideálním případě bychom vám řekli, abyste definovali pilotní uživatele v přednastavených zásadách zabezpečení Standard a Strict, ale nemůžeme to udělat. Proč? Protože nemůžete přizpůsobit nastavení v přednastavených zásadách zabezpečení (zejména akce prováděné u zpráv). Během testování migrace chcete zjistit, co by Defender pro Office 365 se zprávami udělala, ověřit, že je to požadovaný výsledek, a případně upravit konfigurace zásad tak, aby povolovaly nebo zabránily těmto výsledkům.

    Takže místo použití přednastavených zásad zabezpečení budete ručně vytvářet vlastní zásady s nastavením, která jsou podobná, ale v některých případech se liší od nastavení standardních a striktních přednastavených zásad zabezpečení.

  • Pokud chcete experimentovat s nastaveními, která se výrazně liší od doporučených hodnot Standard nebo Strict, měli byste zvážit vytvoření a použití dalších a specifických distribučních skupin pro pilotní uživatele v těchto scénářích. Pomocí Analyzátoru konfigurace můžete zjistit, jak zabezpečená jsou vaše nastavení. Pokyny najdete v tématu Analyzátor konfigurace zásad ochrany v EOP a Microsoft Defender pro Office 365.

    Pro většinu organizací je nejlepším přístupem začít se zásadami, které jsou v souladu s doporučeným standardním nastavením. Po tolika pozorováních a zpětné vazbě, kolik jste schopni udělat v dostupném časovém rámci, můžete později přejít na agresivnější nastavení. Ochrana před zosobněním a doručování do složky Nevyžádaná pošta Email a doručování do karantény může vyžadovat přizpůsobení.

    Pokud používáte přizpůsobené zásady, ujistěte se, že jsou použité před zásadami, které obsahují naše doporučená nastavení pro migraci. Pokud je uživatel identifikován ve více zásadách stejného typu (například anti-phishing), použije se na uživatele pouze jedna zásada tohoto typu (na základě hodnoty priority zásady). Další informace najdete v tématu Pořadí a priorita ochrany e-mailu.

Krok 2: Konfigurace nastavení zpráv nahlášených uživatelem

Schopnost uživatelů hlásit falešně pozitivní nebo falešně negativní výsledky z Defender pro Office 365 je důležitou součástí migrace.

Můžete zadat Exchange Online poštovní schránku, která bude přijímat zprávy, které uživatelé hlásí jako škodlivé nebo škodlivé. Pokyny najdete v tématu Nastavení nahlášených uživatelem. Tato poštovní schránka může přijímat kopie zpráv, které uživatelé odeslali do Microsoftu, nebo může zachytávat zprávy, aniž by je ohlásila Microsoftu (váš bezpečnostní tým může zprávy analyzovat a odeslat ručně). Přístup k zachycování ale neumožňuje službě automatické ladění a učení.

Měli byste také ověřit, že všichni uživatelé v pilotním nasazení mají podporovaný způsob, jak hlásit zprávy, které obdržely nesprávný verdikt od Defender pro Office 365. Mezi tyto možnosti patří:

Nepodceňujte důležitost tohoto kroku. Data ze zpráv nahlášených uživateli vám poskytnou smyčku zpětné vazby, kterou potřebujete k ověření dobrého a konzistentního prostředí koncového uživatele před migrací a po migraci. Tato zpětná vazba vám pomůže činit informovaná rozhodnutí o konfiguraci zásad a poskytovat správě sestavy založené na datech, že migrace proběhla hladce.

Místo toho, aby se spoléhalo na data založená na zkušenostech celé organizace, vedlo více než jedna migrace k emocionálním spekulacím založeným na jediném negativním uživatelském prostředí. Kromě toho, pokud spouštíte simulace útoků phishing, můžete pomocí zpětné vazby od uživatelů informovat, když uvidí něco rizikového, co by mohlo vyžadovat šetření.

Krok 3: Údržba nebo vytvoření pravidla toku pošty SCL=-1

Protože se příchozí e-maily směrují přes jinou službu ochrany, která se nachází před Microsoftem 365, je pravděpodobné, že už máte pravidlo toku pošty (označované také jako pravidlo přenosu) v Exchange Online, které nastaví úroveň spolehlivosti spamu (SCL) všech příchozích e-mailů na hodnotu -1 (obejití filtrování spamu). Většina služeb ochrany třetích stran podporuje toto pravidlo toku pošty SCL=-1 pro zákazníky Microsoftu 365, kteří chtějí používat své služby.

Pokud k přepsání zásobníku filtrování Microsoftu používáte nějaký jiný mechanismus (například seznam povolených IP adres), doporučujeme přepnout na pravidlo toku pošty SCL=-1, pokud veškerá příchozí internetová pošta do Microsoftu 365 pochází ze služby ochrany třetí strany (žádná pošta neteče přímo z internetu do Microsoftu 365).

Pravidlo toku pošty SCL=-1 je během migrace důležité z následujících důvodů:

  • Pomocí Průzkumníka hrozeb (Explorer) můžete zjistit, které funkce v zásobníku Microsoftu by na zprávy reagovaly, aniž by to mělo vliv na výsledky z vaší stávající služby ochrany.

  • Uživatele chráněné zásobníkem filtrování Microsoftu 365 můžete postupně upravit konfigurací výjimek pro pravidlo toku pošty SCL=-1. Výjimkou jsou členové pilotních distribučních skupin, které doporučujeme dále v tomto článku.

    Před nebo během přechodu záznamu MX do Microsoftu 365 zakážete toto pravidlo, aby se zapnula úplná ochrana zásobníku ochrany Microsoftu 365 pro všechny příjemce ve vaší organizaci.

Další informace najdete v tématu Nastavení úrovně spolehlivosti spamu (SCL) ve zprávách v Exchange Online pomocí pravidel toku pošty.

Poznámky:

  • Pokud chcete povolit, aby internetová pošta procházela vaší stávající službou ochrany a přímo do Microsoftu 365 současně, musíte pravidlo toku pošty SCL=-1 (pošta, která obchází filtrování spamu) omezit jenom na poštu, která prošla vaší stávající službou ochrany. Nechcete, aby se nefiltrovaná internetová pošta zasílala do poštovních schránek uživatelů v Microsoftu 365.

    Pokud chcete správně identifikovat poštu, která už byla zkontrolována vaší stávající službou ochrany, můžete do pravidla toku pošty SCL=-1 přidat podmínku. Příklady:

    • Pro cloudové služby ochrany: Můžete použít hlavičku a hodnotu hlavičky, která je pro vaši organizaci jedinečná. Zprávy, které mají hlavičku, microsoft 365 nekontroluje. Zprávy bez hlavičky kontroluje Microsoft 365
    • Pro místní služby ochrany nebo zařízení: Můžete použít zdrojové IP adresy. Zprávy ze zdrojových IP adres microsoft 365 nekontroluje. Zprávy, které nejsou ze zdrojových IP adres, kontroluje Microsoft 365.

  • Při kontrole, jestli se pošta filtruje, nespoléhejte výhradně na záznamy MX. Odesílatelé můžou záznam MX snadno ignorovat a posílat e-maily přímo do Microsoftu 365.

Krok 4: Konfigurace rozšířeného filtrování pro konektory

První věc, kterou je potřeba udělat, je nakonfigurovat rozšířené filtrování konektorů (označované také jako skip listing) na konektoru, který se používá pro tok pošty z vaší stávající služby ochrany do Microsoftu 365. K identifikaci konektoru můžete použít sestavu příchozích zpráv .

Rozšířené filtrování konektorů vyžaduje Defender pro Office 365, aby zjistili, odkud internetové zprávy skutečně pocházejí. Rozšířené filtrování konektorů výrazně zlepšuje přesnost zásobníku filtrování od Microsoftu (zejména funkce falšování identity a funkce po porušení zabezpečení v Průzkumníku hrozeb a automatizovaném vyšetřování & Response (AIR)).

Pokud chcete správně povolit rozšířené filtrování konektorů, musíte přidat veřejné IP adresy **všech** služeb třetích stran a/nebo místních hostitelů e-mailového systému, kteří směrují příchozí poštu do Microsoftu 365.

Pokud chcete ověřit, že rozšířené filtrování konektorů funguje, ověřte, že příchozí zprávy obsahují jednu nebo obě následující hlavičky:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

Krok 5: Create zásady pilotní ochrany

Vytvořením produkčních zásad, i když se nepoužijí pro všechny uživatele, můžete otestovat funkce po porušení zabezpečení, jako je Průzkumník hrozeb, a otestovat integraci Defender pro Office 365 do procesů týmu reakce na zabezpečení.

Důležité

Zásady můžou být vymezeny na uživatele, skupiny nebo domény. Nedoporučujeme směšovat všechny tři do jedné zásady, protože do rozsahu zásad spadají jenom uživatelé, kteří splňují všechny tři zásady. V případě pilotních zásad doporučujeme používat skupiny nebo uživatele. Pro produkční zásady doporučujeme používat domény. Je velmi důležité si uvědomit, že jestli uživatel spadá do rozsahu zásad, určuje pouze primární e-mailová doména uživatele. Pokud tedy přepnete záznam MX pro sekundární doménu uživatele, ujistěte se, že se zásady vztahují také na jeho primární doménu.

zásady bezpečných příloh Create pilotního nasazení

Bezpečné přílohy jsou nejjednodušší Defender pro Office 365 funkce, kterou je možné povolit a otestovat před přepnutím záznamu MX. Bezpečné přílohy mají následující výhody:

  • Minimální konfigurace.
  • Extrémně nízká pravděpodobnost falešně pozitivních výsledků.
  • Podobné chování jako antimalwarová ochrana, která je vždy zapnutá a není ovlivněna pravidlem toku pošty SCL=-1.

Doporučené nastavení najdete v tématu Nastavení zásad doporučených bezpečných příloh. Standardní a striktní doporučení jsou stejná. Informace o vytvoření zásady najdete v tématu Nastavení zásad bezpečných příloh. Nezapomeňte použít MDOPilot_SafeAttachments skupiny jako podmínku zásady (na koho se zásada vztahuje).

Poznámka

Předdefinovaná zásada zabezpečení ochrany poskytuje ochranu bezpečných příloh všem příjemcům, kteří nejsou definováni v zásadách bezpečných příloh. Další informace najdete v tématu Přednastavené zásady zabezpečení v EOP a Microsoft Defender pro Office 365.

Poznámka

Nepodporujeme zalamování nebo přepisování již zabalených nebo přepsaných odkazů. Pokud vaše aktuální služba ochrany už zabaluje nebo přepisuje odkazy v e-mailových zprávách, musíte tuto funkci pro pilotní uživatele vypnout. Jedním ze způsobů, jak zajistit, aby se to nestalo, je vyloučit doménu URL jiné služby v zásadách Bezpečný odkaz.

Pravděpodobnost falešně pozitivních výsledků v bezpečných odkazech je také poměrně nízká, ale měli byste zvážit testování funkce u menšího počtu pilotních uživatelů než u bezpečných příloh. Vzhledem k tomu, že tato funkce ovlivňuje uživatelské prostředí, měli byste zvážit plán, jak uživatele poučit.

Doporučená nastavení najdete v tématu Nastavení zásad bezpečných odkazů. Standardní a striktní doporučení jsou stejná. Informace o vytvoření zásady najdete v tématu Nastavení zásad bezpečných odkazů. Nezapomeňte použít MDOPilot_SafeLinks skupiny jako podmínku zásady (na koho se zásada vztahuje).

Poznámka

Předdefinovaná zásada zabezpečení ochrany poskytuje ochranu Bezpečnými odkazy všem příjemcům, kteří nejsou definováni v zásadách bezpečných odkazů. Další informace najdete v tématu Přednastavené zásady zabezpečení v EOP a Microsoft Defender pro Office 365.

Create pilotních antispamových zásad

Create dvě zásady ochrany proti spamu pro pilotní uživatele:

  • Zásada, která používá standardní nastavení. Jako podmínku zásad použijte MDOPilot_SpamPhish_Standard skupiny (na koho se zásada vztahuje).
  • Zásady, které používají striktní nastavení. Jako podmínku zásad použijte MDOPilot_SpamPhish_Strict skupiny (na koho se zásada vztahuje). Tato zásada by měla mít vyšší prioritu (nižší číslo) než zásada se standardním nastavením.

Doporučené standardní a striktní nastavení najdete v tématu Doporučené nastavení zásad ochrany proti spamu. Informace o vytvoření zásad najdete v tématu Konfigurace zásad ochrany proti spamu.

Create pilotních zásad ochrany proti útokům phishing

Create dvě zásady ochrany proti útokům phishing pro pilotní uživatele:

  • Zásada, která používá standardní nastavení s výjimkou akcí detekce zosobnění, jak je popsáno níže. Jako podmínku zásad použijte MDOPilot_SpamPhish_Standard skupiny (na koho se zásada vztahuje).
  • Zásada, která používá striktní nastavení s výjimkou akcí detekce zosobnění, jak je popsáno níže. Jako podmínku zásad použijte MDOPilot_SpamPhish_Strict skupiny (na koho se zásada vztahuje). Tato zásada by měla mít vyšší prioritu (nižší číslo) než zásada se standardním nastavením.

V případě zjišťování falšování identity je doporučenou standardní akcí Přesunout zprávu do složek nevyžádaných Email příjemců a doporučená akce Striktní je Umístit zprávu do karantény. Pomocí přehledu falšování informací můžete sledovat výsledky. Přepsání je vysvětleno v další části. Další informace najdete v tématu Přehled informací o falšování identity v EOP.

V případě detekce zosobnění ignorujte doporučené standardní a striktní akce pro pilotní zásady. Místo toho použijte hodnotu Nepoužívat žádnou akci pro následující nastavení:

  • Pokud se zpráva zjistí jako zosobnění uživatele
  • Pokud je zpráva zjištěna jako zosobněná doména
  • Pokud inteligentní funkce poštovní schránky zjistí zosobněného uživatele

Výsledky můžete sledovat pomocí přehledu zosobnění. Další informace najdete v tématu Přehled zosobnění v Defender pro Office 365.

Vylaďte ochranu před falšováním identity (upravte povolení a blokování) a zapněte každou akci ochrany před zosobněním, abyste zprávy přesunuli do karantény nebo přesunuli do složky Nevyžádaná Email pošta (na základě standardních nebo striktních doporučení). Sledujte výsledky a podle potřeby upravte jejich nastavení.

Další informace najdete v následujících článcích:

Další krok

Blahopřejeme! Dokončili jste fázi instalacemigrace na Microsoft Defender pro Office 365!