Ottenere il miglior valore di sicurezza da Microsoft Defender per Office 365 quando si dispone di filtri di posta elettronica di terze parti

  • Articolo

Questa guida è adatta all'utente se:

  • Si ha la licenza per Microsoft Defender per Office 365 e si ospitano le cassette postali in Office 365
  • Si usa anche una terza parte per la sicurezza della posta elettronica

Le informazioni seguenti illustrano come ottenere il massimo dall'investimento, suddivise in passaggi facili da seguire.

Ciò di cui hai bisogno

  • Cassette postali ospitate in Office 365
  • Uno o più di:
    • Microsoft Defender per Office 365 (piano 1) per le funzionalità di protezione
    • Microsoft Defender per Office 365 Piano 2 per la maggior parte delle altre funzionalità (incluse nei piani E5)
    • Microsoft Defender per Office 365 Versione di valutazione (disponibile per tutti i clienti in aka.ms/tryMDO)
  • Autorizzazioni sufficienti per configurare le funzionalità descritte di seguito

Passaggio 1: Comprendere il valore già disponibile

Funzionalità di protezione predefinite

  • La protezione predefinita offre un livello di base di protezione non invasiva e include malware, zero giorni (allegati sicuri) e protezione URL (collegamenti sicuri) nella posta elettronica (inclusa la posta elettronica interna), SharePoint Online, OneDrive e Teams. La protezione DELL'URL fornita in questo stato avviene solo tramite chiamata API. Non esegue il wrapping o la riscrittura degli URL, ma richiede un client Outlook supportato. È possibile creare criteri personalizzati per espandere la protezione.

Altre informazioni & watch un video di panoramica dei collegamenti sicuri qui:Panoramica completa dei collegamenti sicuri

Altre informazioni sugli allegati sicuri sono disponibili qui:Allegati sicuri

Funzionalità di rilevamento, indagine, risposta e ricerca

  • Quando gli avvisi vengono attivati in Microsoft Defender per Office 365, vengono automaticamente correlati e combinati in eventi imprevisti per ridurre l'affaticamento degli avvisi per il personale di sicurezza. L'indagine e la risposta automatizzate (AIR) attivano indagini per correggere e contenere le minacce.

Per altre informazioni, watch un video di panoramica e iniziare qui :Risposta agli eventi imprevisti con Microsoft Defender XDR

  • Analisi delle minacce è la nostra soluzione di intelligence dettagliata sulle minacce nel prodotto di esperti ricercatori di sicurezza Microsoft. Analisi delle minacce contiene report dettagliati progettati per velocizzare i gruppi di minacce più recenti, le tecniche di attacco, come proteggere l'organizzazione con indicatori di compromissione (IOC) e molto altro ancora.

Per altre informazioni, watch un video di panoramica e iniziare qui :Analisi delle minacce in Microsoft Defender XDR

  • Explorer può essere usato per individuare le minacce, visualizzare i modelli di flusso di posta, individuare le tendenze e identificare l'impatto delle modifiche apportate durante l'ottimizzazione Defender per Office 365. È anche possibile eliminare rapidamente i messaggi dall'organizzazione con pochi semplici clic.

Altre informazioni e introduzione qui:Esplora minacce e rilevamenti in tempo reale

Passaggio 2: migliorare ulteriormente il valore con questi semplici passaggi

Funzionalità di protezione aggiuntive

  • Valutare la possibilità di abilitare i criteri oltre la protezione predefinita. Abilitazione della protezione con tempo di clic o della protezione della rappresentazione, ad esempio, per aggiungere livelli aggiuntivi o colmare le lacune mancanti dalla protezione di terze parti. Se si dispone di una regola del flusso di posta (nota anche come regola di trasporto) o di un filtro di connessione che sostituisce i verdetti (nota anche come regola SCL=-1), è necessario risolvere questa configurazione prima di attivare altre funzionalità di protezione.

Per altre informazioni, vedere:Criteri anti-phishing

  • Se il provider di sicurezza corrente è configurato per modificare i messaggi in qualsiasi modo, è importante notare che i segnali di autenticazione possono influire sulla capacità di Defender per Office 365 di proteggersi da attacchi come lo spoofing. Se la terza parte supporta la catena di ricezione autenticata (ARC), l'abilitazione di questo è un passaggio altamente consigliato nel percorso verso il doppio filtro avanzato. Anche lo spostamento di qualsiasi configurazione di modifica dei messaggi in Defender per Office 365 è un'alternativa.

Per altre informazioni, vedere Configuraresealer ARC attendibili.

  • Il filtro avanzato per i connettori consente di mantenere le informazioni sull'indirizzo IP e sul mittente tramite terze parti. Questa funzionalità migliora l'accuratezza per lo stack di filtri (protezione), le funzionalità post-violazione & i miglioramenti dell'autenticazione.

Per altre informazioni, vedere Filtroavanzato per i connettori in Exchange Online

  • La protezione degli account con priorità offre visibilità migliorata per gli account negli strumenti, oltre a una protezione aggiuntiva quando si è in uno stato di configurazione avanzato di difesa avanzata.

Per altre informazioni, vedere:Protezione dell'account con priorità

  • Il recapito avanzato deve essere configurato per distribuire correttamente eventuali simulazioni di phishing di terze parti e, se si dispone di una cassetta postale operazioni di sicurezza, è consigliabile definirla come cassetta postale SecOps per garantire che i messaggi di posta elettronica non vengano rimossi dalla cassetta postale a causa di minacce.

Per altre informazioni, vedere:Recapito avanzato

  • È possibile configurare le impostazioni segnalate dall'utente per consentire agli utenti di segnalare messaggi validi o non validi a Microsoft, a una cassetta postale di report designata (da integrare con i flussi di lavoro di sicurezza correnti) o a entrambi. Gli amministratori possono usare la scheda Utente segnalato nella pagina Invii per valutare i falsi positivi e i messaggi segnalati da utenti falsi negativi.

Per altre informazioni,vedere Distribuire e configurare il componente aggiuntivo del messaggio di report per gli utenti.

Funzionalità di rilevamento, indagine, risposta e ricerca

  • La ricerca avanzata può essere usata per cercare in modo proattivo le minacce nell'organizzazione, usando query condivise della community per iniziare. È anche possibile usare rilevamenti personalizzati per configurare gli avvisi quando vengono soddisfatti criteri personalizzati.

Per altre informazioni, watch un video di panoramica e iniziare qui:Panoramica - Ricerca avanzata

Funzionalità per l'istruzione

  • Formazione con simulazione degli attacchi consente di eseguire scenari di attacco informatico realistici ma benigni nell'organizzazione. Se non si dispone già di funzionalità di simulazione del phishing dal provider di sicurezza della posta elettronica principale, gli attacchi simulati di Microsoft possono aiutare a identificare e trovare utenti, criteri e procedure vulnerabili. Questa funzionalità contiene informazioni importanti da avere e correggere prima che un attacco reale influenzi l'organizzazione. Dopo la simulazione viene assegnata una formazione personalizzata o di prodotto per informare gli utenti sulle minacce perse, riducendo in definitiva il profilo di rischio dell'organizzazione. Con Formazione con simulazione degli attacchi, i messaggi vengono recapitati direttamente nella posta in arrivo, quindi l'esperienza utente è avanzata. Ciò significa anche che non sono necessarie modifiche alla sicurezza, ad esempio le sostituzioni necessarie per ottenere la corretta distribuzione delle simulazioni.

Introduzione:Introduzione all'uso della simulazione degli attacchi.

Passare direttamente alla distribuzione di una simulazione:Come configurare gli attacchi automatizzati e il training all'interno di Formazione con simulazione degli attacchi

Passaggio 3 e successive, diventando un eroe a doppio uso

  • Molte delle attività di rilevamento, indagine, risposta e ricerca, come descritto in precedenza, devono essere ripetute dai team di sicurezza. Queste linee guida offrono una descrizione dettagliata delle attività, della cadenza e delle assegnazioni del team consigliate.

Altre informazioni:Guida alle operazioni di sicurezza per Defender per Office 365

  • Prendere in considerazione esperienze utente come l'accesso a più quarantene o l'invio/segnalazione di falsi positivi e falsi negativi. È possibile contrassegnare i messaggi rilevati dal servizio di terze parti con un'intestazione X personalizzata. Ad esempio, è possibile usare le regole del flusso di posta per rilevare e mettere in quarantena i messaggi di posta elettronica che contengono l'intestazione X . Questo risultato offre anche agli utenti un'unica posizione in cui accedere alla posta in quarantena.

Altre informazioni:Come configurare le autorizzazioni e i criteri di quarantena

  • La guida alla migrazione contiene molte indicazioni utili sulla preparazione e l'ottimizzazione dell'ambiente per prepararlo per una migrazione. Ma molti dei passaggi sono applicabili anche a uno scenario a doppio uso. È sufficiente ignorare le indicazioni del commutatore MX nei passaggi finali.

Leggerlo qui:Eseguire la migrazione da un servizio di protezione di terze parti a Microsoft Defender per Office 365 - Office 365 | Microsoft Docs.

Ulteriori informazioni

Eseguire la migrazione da un servizio di protezione di terze parti a Microsoft Defender per Office 365

Guida alle operazioni di sicurezza per Defender per Office 365

Ottieni di più da Microsoft Defender per Office 365 con Microsoft Defender XDR.