Megosztás a következőn keresztül:

Az Office 365-höz készült Defender próbaüzeme és üzembe helyezése

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

Ez a cikk egy munkafolyamatot biztosít az Office 365-höz készült Microsoft Defender kipróbálásához és üzembe helyezéséhez a szervezetében. Ezekkel a javaslatokkal az Office 365-höz készült Microsoft Defendert egyéni kiberbiztonsági eszközként vagy a Microsoft Defender XDR teljes körű megoldásának részeként készítheti elő.

Ez a cikk feltételezi, hogy éles Microsoft 365-bérlővel rendelkezik, és ebben a környezetben teszteli és telepíti az Office 365-höz készült Microsoft Defendert. Ez a gyakorlat megőrzi a próbaüzem során konfigurált beállításokat és testreszabásokat a teljes üzembe helyezéshez.

Az Office 365-höz készült Defender azzal járul hozzá a zéró megbízhatóságú architektúrához, hogy segít megelőzni vagy csökkenteni a biztonsági incidensekből eredő üzleti károkat. További információ: A Microsoft Zero Trust bevezetési keretrendszerének üzleti incidensből eredő üzleti kárainak megelőzése vagy csökkentése .

Teljes körű üzembe helyezés a Microsoft Defender XDR-hez

Ez egy sorozat 6.cikkének 3. cikke, amely segítséget nyújt a Microsoft Defender XDR összetevőinek üzembe helyezéséhez, beleértve az incidensek kivizsgálását és megválaszolását.

Az Office 365-höz készült Microsoft Defendert bemutató ábra a Microsoft Defender XDR-folyamat próbaüzemében és üzembe helyezésében.

A sorozat cikkei:

Fázis Link
A. A próbaüzem indítása A próbaüzem indítása
B. Microsoft Defender XDR-összetevők kipróbálása és üzembe helyezése - A Defender for Identity próbaüzeme és üzembe helyezése

- Az Office 365-höz készült Defender próbaüzeme és üzembe helyezése (ez a cikk)

- Végponthoz készült Defender próbaüzeme és üzembe helyezése

- A Microsoft Defender for Cloud Apps próbaüzeme és üzembe helyezése
C. Veszélyforrások vizsgálata és reagálás rájuk Incidensvizsgálat és reagálás gyakorlata

Az Office 365-höz készült Defender munkafolyamatának próbaüzeme és üzembe helyezése

Az alábbi ábra egy termék vagy szolgáltatás informatikai környezetben történő üzembe helyezésének gyakori folyamatát szemlélteti.

A próbaüzem, a kiértékelés és a teljes üzembe helyezés bevezetési fázisának ábrája.

Első lépésként értékelje ki a terméket vagy szolgáltatást, és hogy hogyan fog működni a szervezeten belül. Ezután tesztelheti a terméket vagy szolgáltatást az éles infrastruktúra megfelelő kis részhalmazával a teszteléshez, a tanuláshoz és a testreszabáshoz. Ezután fokozatosan növelje az üzembe helyezés hatókörét, amíg a teljes infrastruktúrára vagy szervezetre ki nem terjed.

Íme az Office 365-höz készült Defender éles környezetben való kipróbálásának és üzembe helyezésének munkafolyamata. Az Office 365-höz készült Microsoft Defender próbaüzemének és üzembe helyezésének lépéseit bemutató ábra.

Hajtsa végre az alábbi lépéseket:

  1. A nyilvános MX rekord naplózása és ellenőrzése
  2. Elfogadott tartományok naplózása
  3. Bejövő összekötők naplózása
  4. A kiértékelés aktiválása
  5. Próbacsoportok létrehozása
  6. Védelem konfigurálása
  7. Képességek kipróbálás

Az egyes üzembehelyezési szakaszokhoz az alábbi javasolt lépések tartoznak.

Üzembe helyezési szakasz Leírás
Értékelje Végezze el az Office 365-höz készült Defender termékértékelését.
Pilóta Végezze el az 1–7. lépést a próbacsoportok esetében.
Teljes üzembe helyezés Konfigurálja a próbafelhasználói csoportokat az 5. lépésben, vagy adjon hozzá felhasználói csoportokat, hogy a próbaüzemen túl is kiterjedjenek, és végül tartalmazzák az összes felhasználói fiókot.

Az Office 365-höz készült Defender architektúrája és követelményei

Az alábbi ábra az Office 365-höz készült Microsoft Defender alaparchitektúráját mutatja be, amely tartalmazhat külső SMTP-átjárót vagy helyszíni integrációt. A hibrid párhuzamossági forgatókönyvek (azaz az éles postaládák helyszíni és online is) összetettebb konfigurációkat igényelnek, és ezekről a cikk vagy az értékelési útmutató nem nyújt tájékoztatást.

Diagram az Office 365-höz készült Microsoft Defender architektúrájáról.

Az alábbi táblázat ezt az ábrát ismerteti.

Kihívás Leírás
1 A külső feladó gazdakiszolgálója általában egy MX rekord nyilvános DNS-keresését hajtja végre, amely biztosítja a célkiszolgáló számára az üzenet továbbítását. Ez a javaslat lehet közvetlenül az Exchange Online (EXO) vagy egy OLYAN SMTP-átjáró, amely az EXO-nak való továbbításra van konfigurálva.
2 Az Exchange Online Protection egyezteti és ellenőrzi a bejövő kapcsolatot, és megvizsgálja az üzenetfejléceket és -tartalmakat annak meghatározásához, hogy milyen további szabályzatokra, címkézésre vagy feldolgozásra van szükség.
3 Az Exchange Online integrálható az Office 365-höz készült Microsoft Defenderrel, így fejlettebb veszélyforrások elleni védelmet, kockázatcsökkentést és szervizelést kínál.
4 A nem rosszindulatú, letiltott vagy karanténba helyezett üzenetek feldolgozása és kézbesítése a címzettnek az EXO-ban történik, ahol a rendszer kiértékeli és aktiválja a levélszeméttel, a postaláda-szabályokkal vagy más beállításokkal kapcsolatos felhasználói beállításokat.
5 A helyszíni Active Directoryval való integráció a Microsoft Entra Connecttel engedélyezhető a levelezési objektumok és fiókok szinkronizálásához és kiépítéséhez a Microsoft Entra ID-val és végül az Exchange Online-nal.
6 Helyszíni környezet integrálásakor javasoljuk, hogy exchange-kiszolgálót használjon a levelezéshez kapcsolódó attribútumok, beállítások és konfigurációk támogatott felügyeletéhez és felügyeletéhez.
7 Az Office 365-höz készült Microsoft Defender jeleket oszt meg a Microsoft Defender XDR-nek a kiterjesztett észlelés és reagálás (XDR) érdekében.

A helyszíni integráció gyakori, de nem kötelező. Ha a környezete csak felhőalapú, ez az útmutató önnek is megfelel.

Az Office 365-höz készült Defender sikeres kiértékeléséhez vagy éles próbaüzeméhez a következő előfeltételek szükségesek:

  • Az összes címzett postaládája jelenleg az Exchange Online-ban található.
  • A nyilvános MX rekord feloldása közvetlenül az EOP-ra vagy egy külső SMTP-átjáróra történik, amely ezután közvetlenül továbbítja a bejövő külső e-maileket az EOP-nak.
  • Az elsődleges levelezési tartomány mérvadóként van konfigurálva az Exchange Online-ban.
  • Szükség szerint sikeresen üzembe helyezte és konfigurálta a címtáralapú peremhálózati blokkolást (DBEB). További információ: Az érvénytelen címzetteknek küldött üzenetek elutasítása Directory-Based Edge-blokkolással.

Fontos

Ha ezek a követelmények nem alkalmazhatók, vagy még mindig hibrid párhuzamos forgatókönyvben van, akkor az Office 365-höz készült Microsoft Defender kiértékeléséhez összetettebb vagy összetettebb konfigurációkra lehet szükség, amelyekről az útmutató nem nyújt teljes körű tájékoztatást.

1. lépés: A nyilvános MX rekord naplózása és ellenőrzése

Az Office 365-höz készült Microsoft Defender hatékony kiértékeléséhez fontos, hogy a bejövő külső e-mailek továbbítása a bérlőhöz társított Exchange Online Protection -példányon keresztül történik.

  1. Az M365 felügyeleti portálon https://admin.microsoft.combontsa ki a ... Ha szükséges, jelenítse meg az összeset , bontsa ki a Beállítások elemet, majd válassza a Tartományok lehetőséget. Vagy ha közvetlenül a Tartományok lapra szeretne lépni, használja a következőt https://admin.microsoft.com/Adminportal/Home#/Domains: .
  2. A Tartományok lapon jelölje ki ellenőrzött e-mail-tartományát úgy, hogy a jelölőnégyzeten kívül bárhová kattint a bejegyzésen.
  3. A megnyíló tartományadatok úszó panelen válassza a DNS-rekordok lapot. Jegyezze fel az EOP-bérlőhöz létrehozott és hozzárendelt MX rekordot.
  4. Hozzáférés a külső (nyilvános) DNS-zónához, és ellenőrizze az e-mail-tartományhoz társított elsődleges MX rekordot:
    • Ha a nyilvános MX rekord jelenleg megegyezik a hozzárendelt EOP-címmel (például contoso-com.mail.protection.outlook.com), akkor nincs szükség további útválasztási módosításokra.
    • Ha a nyilvános MX rekord jelenleg egy külső vagy helyszíni SMTP-átjáróra oldható fel, további útválasztási konfigurációkra lehet szükség.
    • Ha a nyilvános MX rekordja jelenleg a helyszíni Exchange-et oldja fel, akkor előfordulhat, hogy továbbra is hibrid modellben van, ahol néhány címzett postaládája még nem lett áttelepítve az EXO-ba.

2. lépés: Elfogadott tartományok naplózása

  1. Az Exchange Felügyeleti központban (EAC) https://admin.exchange.microsoft.combontsa ki a Levelezési folyamat csomópontot, majd kattintson az Elfogadott tartományok elemre. Vagy ha közvetlenül az Elfogadott tartományok lapra szeretne lépni, használja a következőt https://admin.exchange.microsoft.com/#/accepteddomains: .
  2. Az Elfogadott tartományok lapon jegyezze fel az elsődleges e-mail-tartomány Tartománytípus értékét.
    • Ha a tartománytípus Mérvadó értékre van állítva, akkor a rendszer azt feltételezi, hogy a szervezet összes címzett postaládája jelenleg az Exchange Online-ban található.
    • Ha a tartomány típusa InternalRelay értékre van állítva, akkor előfordulhat, hogy olyan hibrid modellben van, amelyben egyes címzett postaládák továbbra is a helyszínen találhatók.

3. lépés: Bejövő összekötők naplózása

  1. Az Exchange Felügyeleti központban (EAC) https://admin.exchange.microsoft.combontsa ki a Levélfolyam elemet, majd kattintson az Összekötők elemre. Vagy ha közvetlenül az Összekötők lapra szeretne lépni, használja a következőt https://admin.exchange.microsoft.com/#/connectors: .
  2. Az Összekötők lapon jegyezze fel az alábbi beállításokkal rendelkező összekötőket:
    • A Forrás érték olyan partneri szervezet , amely egy külső SMTP-átjáróval lehet korrelálva.
    • A Feladó érték a Szervezet , amely azt jelezheti, hogy még mindig hibrid forgatókönyvben van.

4. lépés: A kiértékelés aktiválása

Az itt található utasításokat követve aktiválhatja az Office 365-höz készült Microsoft Defender próbaverzióját a Microsoft Defender portálról.

További információ: Az Office 365-höz készült Microsoft Defender kipróbálás.

  1. A Microsoft Defender portálján https://security.microsoft.combontsa ki az E-mail & együttműködés> lehetőséget, válassza a Szabályzatok & szabályok> elemet, válassza a Fenyegetési szabályzatok> elemet, görgessen le a Többi szakaszhoz, majd válassza a Kiértékelési mód lehetőséget. Vagy ha közvetlenül a Kiértékelési mód lapra szeretne lépni, használja a következőt https://security.microsoft.com/atpEvaluation: .

  2. A Kiértékelési mód lapon kattintson a Kiértékelés indítása elemre.

    Képernyőkép a Kiértékelési mód oldalról és a Kattintásra a Kiértékelés indítása gombra kattintva.

  3. A Védelem bekapcsolása párbeszédpanelen válassza a Nem, csak a jelentéskészítést szeretném lehetőséget, majd kattintson a Folytatás gombra.

    Képernyőkép a Védelem bekapcsolása párbeszédpanelről és a Nem, csak a jelentéskészítés lehetőséget szeretném kiválasztani.

  4. A Jelölje ki a felvenni kívánt felhasználókat párbeszédpanelen válassza a Minden felhasználó lehetőséget, majd kattintson a Folytatás gombra.

    Képernyőkép a Jelölje ki a felvenni kívánt felhasználókat párbeszédpanelről és a kijelölendő Minden felhasználó lehetőségről.

  5. A Segítség az e-mail-forgalom megértéséhez párbeszédpanelen a tartomány MX rekordjának észlelése alapján automatikusan kiválasztja az alábbi lehetőségek egyikét:

    • Csak a Microsoft Exchange Online-t használom: A tartomány MX rekordjai a Microsoft 365-höz mutatnak. Nincs mit konfigurálni, ezért kattintson a Befejezés gombra.

      Képernyőkép a Segítség az e-mail-forgalom értelmezéséhez párbeszédpanelről, amelyen a Csak a Microsoft Exchange Online-t használom lehetőség van kiválasztva.

    • Külső és/vagy helyszíni szolgáltatót használok: A következő képernyőkön válassza ki a szállító nevét a megoldástól érkező leveleket fogadó bejövő összekötővel együtt. Azt is eldöntheti, hogy szükség van-e egy Exchange Online levelezési szabályra (más néven átviteli szabályra), amely kihagyja a külső védelmi szolgáltatásból vagy eszközről érkező üzenetek levélszemétszűrését. Ha végzett, kattintson a Befejezés gombra.

5. lépés: Próbacsoportok létrehozása

Az Office 365-höz készült Microsoft Defender próbaüzeme során dönthet úgy, hogy a szabályzatok teljes szervezetre vonatkozó engedélyezése és betartatása előtt teszteli az adott felhasználókat. A terjesztési csoportok létrehozása segíthet az üzembehelyezési folyamatok kezelésében. Létrehozhat például olyan csoportokat, mint a Defender for Office 365 Users – Standard Protection, Defender for Office 365 Users – Strict Protection, Defender for Office 365 Users – Custom Protection vagy Defender for Office 365 Users – Exceptions.

Lehet, hogy nem egyértelmű, hogy miért a "Standard" és a "Szigorú" kifejezéseket használják ezekhez a csoportokhoz, de ez egyértelművé válik, ha többet is megtudhat az Office 365-höz készült Defender biztonsági beállításairól. Az "egyéni" és a "kivételek" elnevezési csoportok magukért beszélnek, és bár a felhasználók többsége standard és szigorú kategóriába tartozik, az egyéni és kivételcsoportok értékes adatokat gyűjtenek a kockázatok kezeléséről.

A terjesztési csoportok közvetlenül az Exchange Online-ban hozhatók létre és definiálhatók, vagy szinkronizálhatók a helyszíni Active Directoryból.

  1. Jelentkezzen be az Exchange Felügyeleti központba (EAC) https://admin.exchange.microsoft.com egy olyan fiókkal, amely címzett-rendszergazdai szerepkörrel rendelkezik, vagy delegált csoportkezelési engedélyekkel rendelkezik.

  2. Lépjen a Címzettcsoportok>elemre.

    Képernyőkép a Csoportok menüelemről.

  3. A Csoportok lapon válassza a Csoport hozzáadása ikont.Csoport hozzáadása.

    Képernyőkép a Csoport hozzáadása lehetőségről.

  4. Csoporttípusként válassza a Terjesztés lehetőséget, majd kattintson a Tovább gombra.

    Képernyőkép a Csoporttípus kiválasztása szakaszról.

  5. Adja meg a csoportnak a Nevet és az opcionális Leírást, majd kattintson a Tovább gombra.

    Képernyőkép az Alapok beállítása szakaszról.

  6. A fennmaradó oldalakon rendeljen hozzá egy tulajdonost, adjon hozzá tagokat a csoporthoz, adja meg az e-mail-címet, a csatlakozásra vonatkozó korlátozásokat és egyéb beállításokat.

6. lépés: A védelem konfigurálása

Az Office 365-höz készült Defender egyes funkciói alapértelmezés szerint konfigurálva vannak és be vannak kapcsolva, de előfordulhat, hogy a biztonsági műveletek az alapértelmezett védelmi szintet szeretnék növelni.

Egyes képességek még nincsenek konfigurálva. A védelem konfigurálásához a következő lehetőségek állnak rendelkezésre (amelyek később könnyen módosíthatók):

  • Felhasználók hozzárendelése előre beállított biztonsági szabályzatokhoz: Az előre beállított biztonsági szabályzatok az ajánlott módszer az egységes védelmi szint minden képességhez való gyors hozzárendeléséhez. Választhat a Standard vagy a Szigorú védelem közül. A Standard és a Strict beállításokat az itt található táblázatok ismertetik. A Standard és a Strict közötti különbségeket az itt található táblázat foglalja össze.

    Az előre beállított biztonsági szabályzatok előnye, hogy a lehető leggyorsabban védi a felhasználói csoportokat a Microsoft által javasolt beállítások használatával az adatközpontokban végzett megfigyelések alapján. Az új védelmi képességek hozzáadásával és a biztonsági környezet változásaival a rendszer automatikusan frissíti az előre beállított biztonsági szabályzatok beállításait az ajánlott beállításokra.

    Az előre beállított biztonsági szabályzatok hátránya, hogy az előre beállított biztonsági szabályzatokban gyakorlatilag nem szabhatja testre a biztonsági beállításokat (például nem módosíthatja a műveletet a levélszemétről a karanténra, vagy fordítva). Ez alól kivételt képeznek a felhasználói megszemélyesítés és a tartományszemélyesítés elleni védelem bejegyzései és opcionális kivételei, amelyeket manuálisan kell konfigurálnia.

    Azt is vegye figyelembe, hogy az előre beállított biztonsági szabályzatok mindig az egyéni szabályzatok előtt kerülnek alkalmazásra. Ha tehát egyéni szabályzatokat szeretne létrehozni és használni, az egyéni házirendek felhasználóit ki kell zárnia az előre beállított biztonsági szabályzatokból.

  • Egyéni védelmi szabályzatok konfigurálása: Ha inkább saját maga szeretné konfigurálni a környezetet, hasonlítsa össze az alapértelmezett, a Standard és a Szigorú beállításokat az Ajánlott beállítások az EOP-hoz és az Office 365-höz készült Microsoft Defender biztonsági beállításai között. Tartson egy táblázatot, amelyben az egyéni build eltér.

    A Konfigurációelemző használatával összehasonlíthatja az egyéni szabályzatok beállításait a Standard és a Szigorú értékekkel.

Az előre beállított biztonsági szabályzatok és az egyéni szabályzatok kiválasztásával kapcsolatos részletes információkért lásd : A védelmi szabályzat stratégiájának meghatározása.

Előre beállított biztonsági szabályzatok hozzárendelése

Azt javasoljuk, hogy kezdje az előre beállított biztonsági szabályzatokkal az EOP-ban és az Office 365-höz készült Defenderben, ha azokat a próbafelhasználókhoz vagy meghatározott csoportokhoz rendeli az értékelés részeként. Az előre beállított szabályzatok alapkonfigurációs standard védelmi sablont vagy agresszívebb szigorú védelmi sablont kínálnak, amely egymástól függetlenül rendelhető hozzá.

A próbaértékelések EOP-feltétele például akkor alkalmazható, ha a címzettek egy meghatározott EOP Standard Protection-csoporttagjai, majd úgy kezelik, hogy fiókokat adnak hozzá a csoporthoz, vagy eltávolítják a fiókot a csoportból.

Hasonlóképpen, az Office 365-höz készült Defender próbaértékelési feltétele is alkalmazható, ha a címzettek egy meghatározott Office 365-höz készült Defender Standard Protection-csoporttagjai, majd a csoporton keresztüli fiókok hozzáadásával vagy eltávolításával kezelhetők.

A teljes útmutatásért lásd : Standard és Szigorú előzetes biztonsági szabályzatok hozzárendelése a felhasználókhoz a Microsoft Defender portál használatával.

Egyéni védelmi szabályzatok konfigurálása

Az Előre definiált Standard vagy Strict Defender for Office 365 szabályzatsablonok biztosítják a próbafelhasználók számára az ajánlott alapkonfiguráció-védelmet. A kiértékelés részeként azonban egyéni védelmi szabályzatokat is létrehozhat és hozzárendelhet.

Fontos tisztában lenni azzal, hogy ezek a védelmi szabályzatok milyen sorrendben lépnek érvénybe az alkalmazásukkor és kikényszerítésükkor, ahogy azt az Előre beállított biztonsági szabályzatok és más szabályzatok sorrendjében című cikk ismerteti.

A Védelmi szabályzatok konfigurálása című cikk magyarázata és táblázata hasznos referenciaként szolgál a konfiguráláshoz szükséges tudnivalókhoz.

7. lépés: Képességek kipróbálás

Most, hogy beállította és konfigurálta a próbaüzemet, hasznos lehet megismerkedni a Microsoft 365-höz készült Microsoft Defenderre egyedi jelentéskészítési, monitorozási és támadásszimulációs eszközökkel.

Képesség Leírás További információ
Veszélyforrás-felderítő A Threat Explorer egy hatékony, közel valós idejű eszköz, amellyel a biztonsági üzemeltetési csapatok kivizsgálhatnak és reagálhatnak a fenyegetésekre, és információkat jelenít meg az észlelt kártevőkről és adathalászatról az Office 365-ben e-mailekben és fájlokban, valamint a szervezetet fenyegető egyéb biztonsági fenyegetésekről és kockázatokról. Tudnivalók a Threat Explorerről
Támadásszimulációs betanítás A Microsoft Defender portál támadásszimulációs betanításával valós támadási forgatókönyveket futtathat a szervezetben, amelyek segítenek azonosítani és megtalálni a sebezhető felhasználókat, mielőtt egy valós támadás hatással lenne a környezetre. Ismerkedés a támadásszimulációs képzéssel
Jelentések irányítópult A bal oldali navigációs menüben kattintson a Jelentések elemre, és bontsa ki az E-mail & együttműködés fejlécet. Az e-mail-& együttműködési jelentések a biztonsági trendek azonosításáról szólnak, amelyek közül néhány lehetővé teszi a műveletek megtételét (például "Ugrás a beküldésekre" gombokkal), és más, trendeket megjelenítő jelentéseket. Ezek a metrikák automatikusan jönnek létre. E-mail biztonsági jelentések megtekintése a Microsoft Defender portálon

Az Office 365-höz készült Defender-jelentések megtekintése a Microsoft Defender portálon

SIEM-integráció

Az Office 365-höz készült Defender integrálható a Microsoft Sentinellel vagy egy általános biztonsági információ- és eseménykezelési (SIEM) szolgáltatással a csatlakoztatott alkalmazások riasztásainak és tevékenységeinek központosított figyeléséhez. A Microsoft Sentinel segítségével átfogóbban elemezheti a szervezet biztonsági eseményeit, és forgatókönyveket hozhat létre a hatékony és azonnali reagálás érdekében.

Az Office 365-höz készült Microsoft Defender SIEM-integrációval rendelkező architektúráját bemutató ábra.

A Microsoft Sentinel tartalmaz egy Office 365-höz készült Defender-összekötőt. További információ: Riasztások csatlakoztatása az Office 365-höz készült Microsoft Defenderből.

Az Office 365-höz készült Microsoft Defender más SIEM-megoldásokba is integrálható az Office 365 Activity Management API használatával. További információ az általános SIEM-rendszerekkel való integrációról: Általános SIEM-integráció.

További lépés

Az Office 365-höz készült Microsoft Defender biztonsági üzemeltetési útmutatójában található információkat beépítheti a SecOps-folyamatokba.

A Microsoft Defender XDR teljes körű üzembe helyezésének következő lépése

Folytassa a Microsoft Defender XDR teljes körű üzembe helyezését a Próbaüzemeléssel és a Végponthoz készült Defender üzembe helyezésével.

Egy diagram, amely a Végponthoz készült Microsoft Defendert mutatja be a Microsoft Defender XDR-folyamat próbaüzemében és üzembe helyezésében.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.