Share via

Migrace na Microsoft Defender pro Office 365 – fáze 3: Onboarding


Fáze 1: Příprava
Fáze 1: Příprava		 Fáze 2: Nastavení
Fáze 2: Nastavení		 Fáze 3: Onboarding
Fáze 3: Onboarding
Jste tady!

Vítá vás fáze 3: Onboardingmigrace do Microsoft Defender pro Office 365! Tato fáze migrace zahrnuje následující kroky:

  1. Zahájení onboardingu bezpečnostních týmů
  2. (Volitelné) Vyloučení pilotních uživatelů z filtrování podle vaší stávající služby ochrany
  3. Ladění falšování inteligentních funkcí
  4. Ladění ochrany před zosobněním a inteligentních funkcí poštovní schránky
  5. Použití dat ze zpráv hlášených uživatelem k měření a úpravě
  6. (Volitelné) Přidání dalších uživatelů do pilotního nasazení a iterace
  7. Rozšíření ochrany Microsoftu 365 na všechny uživatele a vypnutí pravidla toku pošty SCL=-1
  8. Přepnutí záznamů MX

Krok 1: Zahájení onboardingu bezpečnostních týmů

Pokud má vaše organizace tým pro reakce na zabezpečení, je teď čas začít integrovat Microsoft Defender pro Office 365 do procesů reakce, včetně systémů lístků. Tento proces je celé téma samo o sobě, ale někdy je přehlédnuto. Včasné zapojení týmu pro reakce na zabezpečení zajistí, že vaše organizace bude připravena řešit hrozby při přepínání záznamů MX. Reakce na incidenty musí být dobře vybavená, aby zvládla následující úlohy:

Pokud vaše organizace zakoupila Microsoft Defender pro Office 365 Plán 2, měla by se začít seznamovat s funkcemi, jako je Průzkumník hrozeb, rozšířené proaktivní vyhledávání a incidenty, a používat je. Relevantní školení najdete v tématu https://aka.ms/mdoninja.

Pokud váš tým pro reakce zabezpečení shromažďuje a analyzuje nefiltrované zprávy, můžete nakonfigurovat poštovní schránku SecOps tak, aby tyto nefiltrované zprávy přijímala. Pokyny najdete v tématu Konfigurace poštovních schránek SecOps v pokročilých zásadách doručování.

SIEM/SOAR

Další informace o integraci se systémem SIEM/SOAR najdete v následujících článcích:

Pokud vaše organizace nemá tým pro reakce na zabezpečení nebo existující toky procesů, můžete tuto dobu využít k seznámení se základními funkcemi proaktivního vyhledávání a reakcí v Defender pro Office 365. Další informace najdete v tématu Vyšetřování hrozeb a reakce na ně.

Role RBAC

Oprávnění v Defender pro Office 365 jsou založená na řízení přístupu na základě role (RBAC) a jsou vysvětlená v tématu Oprávnění na portálu Microsoft Defender. Tady jsou důležité body, které byste měli mít na paměti:

  • Microsoft Entra role udělují oprávnění všem úlohám v Microsoftu 365. Pokud například přidáte uživatele do správce zabezpečení v Azure Portal, bude mít všude oprávnění správce zabezpečení.
  • Email & role pro spolupráci na portálu Microsoft Defender udělujte oprávnění portálu Microsoft Defender a Portál dodržování předpisů Microsoft Purview. Pokud například přidáte uživatele do role Správce zabezpečení na portálu Microsoft Defender, bude mít správce zabezpečení přístup jenom na portálu Microsoft Defender a na Portál dodržování předpisů Microsoft Purview.
  • Mnoho funkcí na portálu Microsoft Defender je založeno na rutinách powershellu Exchange Online, a proto vyžaduje členství ve skupině rolí v odpovídajících rolích (technicky vzato skupinách rolí) v Exchange Online (zejména pro přístup k odpovídajícím Exchange Online PowerShellu). rutiny).
  • Portál Microsoft Defender má Email & role pro spolupráci, které nemají ekvivalent Microsoft Entra rolí a jsou důležité pro operace zabezpečení (například role Preview a role Search a Vymazání).

Další práva ke stahování zpráv přímo z poštovních schránek uživatelů obvykle potřebuje jenom podmnožina pracovníků zabezpečení. Tato potřeba vyžaduje další oprávnění, která čtenář zabezpečení ve výchozím nastavení nemá.

Krok 2: (Volitelné) Vyloučení pilotních uživatelů z filtrování podle vaší stávající služby ochrany

I když tento krok není povinný, měli byste zvážit konfiguraci pilotních uživatelů tak, aby obešli filtrování stávající službou ochrany. Tato akce umožňuje Defender pro Office 365 zpracovávat všechny povinnosti filtrování a ochrany pro pilotní uživatele. Pokud pilotní uživatele z existující služby ochrany nevyuhnete, Defender pro Office 365 efektivně funguje jenom s chybějícími informacemi z jiné služby (filtrováním zpráv, které už byly filtrovány).

Poznámka

Tento krok je explicitně vyžadován, pokud vaše aktuální služba ochrany poskytuje zabalení odkazů, ale chcete pilotní nasazení funkce Bezpečných odkazů. Dvojité zabalení odkazů není podporováno.

Krok 3: Ladění inteligence falšování identity

V přehledu s informacemi o falšování identity zjistíte, co je povolené nebo blokované jako falšování identity, a zjistěte, jestli potřebujete přepsat systémový verdikt pro falšování identity. Některé zdroje důležitých obchodních e-mailů můžou mít chybně nakonfigurované záznamy ověřování e-mailu v DNS (SPF, DKIM a DMARC) a možná používáte přepsání ve vaší stávající službě ochrany k maskování problémů s doménou.

Funkce Falšování identity může zachránit e-maily z domén bez správných záznamů o ověřování e-mailů v DNS, ale tato funkce někdy potřebuje pomoc při odlišení dobré falšování identity od špatné falšování identity. Zaměřte se na následující typy zdrojů zpráv:

  • Zdroje zpráv, které jsou mimo rozsahy IP adres definované v rozšířeném filtrování konektorů.
  • Zdroje zpráv, které mají nejvyšší počet zpráv.
  • Zdroje zpráv, které mají největší dopad na vaši organizaci.

Až nakonfigurujete nastavení nahlášená uživatelem, inteligence falšování se nakonec vyladí, takže není potřeba provádět dokonalost.

Krok 4: Ladění ochrany před zosobněním a inteligentních funkcí poštovní schránky

Jakmile budete mít dostatek času na sledování výsledků ochrany před zosobněním v režimu nepoužít žádnou akci , můžete jednotlivé akce ochrany před zosobněním jednotlivě zapnout v zásadách ochrany proti útokům phishing:

  • Ochrana před zosobněním uživatele: Umístěte zprávu do karantény pro standardní i striktní.
  • Ochrana před zosobněním domény: Umístěte zprávu do karantény pro standardní i striktní.
  • Ochrana poštovní schránky: Přesuňte zprávu do složek nevyžádaných Email příjemců pro Standard; Umístěte zprávu do karantény pro Strict.

Čím déle budete monitorovat výsledky ochrany před zosobněním bez zásahu na zprávy, tím více dat, která budete muset identifikovat, umožní nebo bloky, které můžou být potřeba. Zvažte použití prodlevy mezi zapnutím každé ochrany, která je dostatečně významná, aby umožňovala pozorování a úpravy.

Poznámka

Časté a nepřetržité monitorování a ladění těchto ochran je důležité. Pokud máte podezření na falešně pozitivní výsledek, vyšetřete příčinu a použijte přepsání pouze podle potřeby a pouze pro funkci detekce, která to vyžaduje.

Ladění inteligentních funkcí poštovní schránky

I když je inteligentní funkce poštovní schránky nakonfigurovaná tak, aby neprovážela žádnou akci se zprávami, u kterých bylo zjištěno, že se jedná o pokusy o zosobnění, je zapnutá a učí se vzorce odesílání a přijímání e-mailů pilotních uživatelů. Pokud je externí uživatel v kontaktu s jedním z vašich pilotních uživatelů, zprávy od daného externího uživatele se neidentigurují jako pokusy o zosobnění pomocí inteligentních funkcí poštovní schránky (což snižuje počet falešně pozitivních výsledků).

Až budete připraveni, proveďte následující kroky, abyste umožnili inteligentním funkcím poštovní schránky pracovat se zprávami, které jsou zjištěné jako pokusy o zosobnění:

  • V zásadách ochrany proti útokům phishing se standardním nastavením ochrany změňte hodnotu Pokud funkce poštovní schránky zjistí zosobněného uživatele na Přesunout zprávu do složek nevyžádané pošty příjemců Email.

  • V zásadách ochrany proti útokům phishing s nastavením Striktní ochrana změňte hodnotu Pokud funkce poštovní schránky rozpozná a zosobní uživatele z na Umístit zprávu do karantény.

Informace o úpravě zásad najdete v tématu Konfigurace zásad ochrany proti útokům phishing v Defender pro Office 365.

Po zjištění výsledků a provedení jakýchkoli úprav přejděte k další části a zprávy zjištěné zosobněním uživatele do karantény.

Ladění ochrany před zosobněním uživatele

V obou zásadách ochrany proti útokům phishing založených na standardním a striktním nastavení změňte hodnotu Pokud je zpráva zjištěna jako zosobnění uživatele na Umístit zprávu do karantény.

Projděte si přehled zosobnění a zjistěte, co je blokované při pokusech o zosobnění uživatele.

Informace o úpravě zásad najdete v tématu Konfigurace zásad ochrany proti útokům phishing v Defender pro Office 365.

Po zjištění výsledků a provedení jakýchkoli úprav přejděte k další části a zprávy zjištěné zosobněním domény do karantény.

Ladění ochrany před zosobněním domény

V obou zásadách ochrany proti útokům phishing založených na standardním a striktním nastavení změňte hodnotu Pokud se zpráva zjistí jako zosobnění domény na Karanténa zprávy.

V přehledu zosobnění se podívejte, co je blokované jako pokusy o zosobnění domény.

Informace o úpravě zásad najdete v tématu Konfigurace zásad ochrany proti útokům phishing v Defender pro Office 365.

Sledujte výsledky a podle potřeby proveďte případné úpravy.

Krok 5: Použití dat ze zpráv nahlášených uživatelem k měření a úpravě

Když vaši pilotní uživatelé hlásí falešně pozitivní a falešně negativní výsledky, zobrazí se zprávy na kartě Nahlášené uživatelemna stránce Odeslání na portálu Microsoft Defender. Chybně identifikované zprávy můžete nahlásit Microsoftu k analýze a podle potřeby je použít k úpravě nastavení a výjimek v zásadách pilotního nasazení.

Pomocí následujících funkcí můžete monitorovat a iterovat nastavení ochrany v Defender pro Office 365:

Pokud vaše organizace používá pro zprávy hlášené uživateli službu třetí strany, můžete tato data integrovat do smyčky zpětné vazby.

Krok 6: (Volitelné) Přidání dalších uživatelů do pilotního nasazení a iterace

Když najdete a opravíte problémy, můžete do pilotních skupin přidat další uživatele (a odpovídajícím způsobem tyto nové pilotní uživatele vyloučit z kontroly vaší stávající službou ochrany). Čím více testování teď děláte, tím méně uživatelských problémů budete muset řešit později. Tento "vodopádový" přístup umožňuje ladění ve větších částech organizace a poskytuje týmům zabezpečení čas, aby se přizpůsobily novým nástrojům a procesům.

  • Microsoft 365 generuje upozornění, když zásady organizace povolují vysoce důvěryhodné phishingové zprávy. Pokud chcete tyto zprávy identifikovat, máte k dispozici následující možnosti:

    • Přepíše se v sestavě stavu ochrany před hrozbami.
    • Filtrováním v Průzkumníku hrozeb identifikujte zprávy.
    • Filtrováním v rozšířeném proaktivním vyhledávání identifikujte zprávy.

    Co nejdříve nahlaste Microsoftu všechny falešně pozitivní výsledky prostřednictvím odeslání správce a pomocí funkce Seznam povolených/blokovaných tenantů nakonfigurujte bezpečné přepsání těchto falešně pozitivních výsledků.

  • Je také vhodné prozkoumat nepotřebná přepsání. Jinými slovy, podívejte se na rozsudky, které by Microsoft 365 ve zprávách poskytl. Pokud Microsoft 365 vygeneroval správný verdikt, je potřeba přepsání výrazně snížena nebo eliminována.

Krok 7: Rozšíření ochrany Microsoft 365 na všechny uživatele a vypnutí pravidla toku pošty SCL=-1

Kroky v této části proveďte, až budete připraveni přepnout záznamy MX tak, aby ukazovaly na Microsoft 365.

  1. Rozšiřte zásady pilotního nasazení na celou organizaci. V zásadě existují různé způsoby, jak zásady rozšířit:

    • Použijte přednastavené zásady zabezpečení a rozdělte uživatele mezi standardní profil ochrany a profil striktní ochrany (ujistěte se, že jsou pokryti všichni). Přednastavené zásady zabezpečení se použijí před všemi vlastními zásadami, které jste vytvořili, nebo před výchozími zásadami. Jednotlivé zásady pilotního nasazení můžete vypnout, aniž byste je odstranili.

      Nevýhodou přednastavených zásad zabezpečení je, že řadu důležitých nastavení nemůžete po jejich vytvoření změnit.

    • Změňte rozsah zásad, které jste vytvořili a upravili během pilotního nasazení, aby zahrnovaly všechny uživatele (například všechny příjemce ve všech doménách). Mějte na paměti, že pokud se na stejného uživatele vztahuje více zásad stejného typu (například zásady ochrany proti útokům phishing) (jednotlivě, podle členství ve skupině nebo e-mailové domény), použijí se pouze nastavení zásady s nejvyšší prioritou (nejnižší číslo priority) a pro tento typ zásad se zastaví zpracování.

  2. Vypněte pravidlo toku pošty SCL=-1 (můžete ho vypnout, aniž byste ho odstranili).

  3. Ověřte, že se projevily předchozí změny a že je teď Defender pro Office 365 správně povolený pro všechny uživatele. V tomto okamžiku můžou všechny funkce ochrany Defender pro Office 365 reagovat na poštu pro všechny příjemce, ale tato pošta už byla zkontrolována vaší stávající službou ochrany.

V této fázi se můžete pozastavit kvůli rozsáhlejšímu záznamu a ladění dat.

Krok 8: Přepnutí záznamů MX

Poznámka

  • Při přepnutí záznamu MX pro vaši doménu může trvat až 48 hodin, než se změny rozšíří po internetu.
  • Doporučujeme snížit hodnotu TTL vašich záznamů DNS, abyste umožnili rychlejší odezvu a případné vrácení zpět (v případě potřeby). Po dokončení a ověření přepnutí se můžete vrátit k původní hodnotě TTL.
  • Měli byste zvážit změnu domén, které se používají méně často. Před přesunem do větších domén můžete provést pozastavení a monitorování. I když to ale uděláte, měli byste se ujistit, že se zásady vztahují na všechny uživatele a domény, protože sekundární domény SMTP se před aplikací zásad přeloží na primární domény.
  • Několik záznamů MX pro jednu doménu bude technicky fungovat, což vám umožní rozdělit směrování za předpokladu, že jste postupovali podle všech pokynů v tomto článku. Konkrétně byste měli zajistit, aby se zásady použily pro všechny uživatele a aby se pravidlo toku pošty SCL=-1 použilo jenom na poštu, která prochází vaší stávající službou ochrany, jak je popsáno v části Instalace Krok 3: Údržba nebo vytvoření pravidla toku pošty SCL=-1. Tato konfigurace však zavádí chování, které řešení potíží výrazně ztěžuje, a proto ho obvykle nedoporučujeme, zejména po delší dobu.
  • Před přepnutím záznamů MX ověřte, že na příchozím konektoru nejsou povolená následující nastavení ze služby ochrany do Microsoftu 365. Konektor obvykle bude mít nakonfigurované jedno nebo více z následujících nastavení:
    • a vyžadovat, aby název subjektu na certifikátu, který partner používá k ověření pomocí Office 365, odpovídal tomuto názvu domény (RestrictDomainsToCertificate).
    • Odmítnout e-mailové zprávy, pokud se neodesílají z tohoto rozsahu IP adres (RestrictDomainsToIPAddresses). Pokud je typ konektoru Partner a je zapnuté některé z těchto nastavení, veškeré doručování pošty do vašich domén se po přepnutí záznamů MX nezdaří. Než budete pokračovat, musíte tato nastavení zakázat. Pokud je konektor místním konektorem, který se používá pro hybridní použití, nemusíte místní konektor upravovat. Přesto ale můžete zkontrolovat přítomnost konektoru Partner .
  • Pokud vaše aktuální poštovní brána také poskytuje ověření příjemce, můžete zkontrolovat, jestli je doména v Microsoftu 365 nakonfigurovaná jako autoritativní . To může zabránit zbytečným zprávám o nedoručitelnosti.

Až budete připraveni, přepněte záznam MX pro vaše domény. Můžete migrovat všechny domény najednou. Nebo můžete nejprve migrovat méně často používané domény a později migrovat zbytek.

Nebojte se zde kdykoli pozastavit a vyhodnotit. Mějte ale na paměti, že když pravidlo toku pošty SCL=-1 vypnete, můžou mít uživatelé dvě různá prostředí pro kontrolu falešně pozitivních výsledků. Čím dříve budete moct poskytnout jednotné a konzistentní prostředí, tím budou vaši uživatelé a týmy helpdesku spokojenější, když budou muset vyřešit chybějící zprávu.

Další kroky

Blahopřejeme! Dokončili jste migraci na Microsoft Defender pro Office 365! Vzhledem k tomu, že jste postupovali podle kroků v tomto průvodci migrací, mělo by být prvních několik dní, kdy se pošta doručuje přímo do Microsoftu 365, mnohem plynulejší.

Teď zahájíte normální provoz a údržbu Defender pro Office 365. Monitorujte a watch pro problémy, které se podobají problémům, ke kterým došlo během pilotního nasazení, ale ve větším měřítku. Přehled falšování informací a zosobnění jsou nejužitečnější, ale zvažte pravidelné výskyty následujících aktivit: