Få den beste sikkerhetsverdien fra Microsoft Defender for Office 365 når du har tredjeparts filtrering av e-post

Artikkel
04/27/2024

Denne veiledningen er for deg hvis:

Du er lisensiert for Microsoft Defender for Office 365 og er vert for postboksene dine i Office 365
Du bruker også en tredjepart for e-postsikkerheten din

Følgende informasjon beskriver hvordan du får mest mulig ut av investeringen, delt inn i enkle å følge trinnene.

Det du trenger

Postbokser som driftes i Office 365
Én eller flere av:
- Microsoft Defender for Office 365-pakke 1 for beskyttelsesfunksjoner
- Microsoft Defender for Office 365 Plan 2 for de fleste andre funksjoner (inkludert i E5-abonnementer)
- Microsoft Defender for Office 365 prøveversjon (tilgjengelig for alle kunder på aka.ms/tryMDO)
Tilstrekkelige tillatelser til å konfigurere funksjonene som er beskrevet nedenfor

Trinn 1 – Forstå verdien du allerede har

Innebygde beskyttelsesfunksjoner

Innebygd beskyttelse gir et grunnleggende nivå av diskret beskyttelse, og omfatter skadelig programvare, null dag (klarerte vedlegg) og nettadressebeskyttelse (klarerte koblinger) i e-post (inkludert intern e-post), SharePoint Online, OneDrive og Teams. Url-beskyttelsen som er angitt i denne tilstanden, er bare via API-kall. Den bryter ikke eller omskriver ikke URL-adresser, men krever en støttet Outlook-klient. Du kan opprette dine egne egendefinerte policyer for å utvide beskyttelsen.

Les mer & se en oversiktsvideo over klarerte koblinger her:Oversikt over fullstendige klarerte koblinger

Les mer om klarerte vedlegg her:Klarerte vedlegg

Funksjoner for oppdagelse, undersøkelse, respons og jakt

Når varsler utløses i Microsoft Defender for Office 365, blir de automatisk korrelert, og kombinert i hendelser for å redusere varslingstrettheten på sikkerhetspersonalet. Automatisert undersøkelse og respons (AIR) utløser undersøkelser for å bidra til å utbedre og inneholde trusler.

Les mer, se en oversiktsvideo og kom i gang her :Svar på hendelser med Microsoft Defender XDR

Trusselanalyse er vår produktspesifikke, detaljerte løsning for trusselintelligens fra eksperter på Microsoft-sikkerhet. Trusselanalyse inneholder detaljerte rapporter som er utformet for å gjøre deg oppdatert på de nyeste trusselgruppene, angrepsteknikker, hvordan du beskytter organisasjonen med indikatorer for kompromiss (IOC) og mye mer.

Les mer, se en oversiktsvideo og kom i gang her:Trusselanalyse i Microsoft Defender XDR

Explorer kan brukes til å jakte på trusler, visualisere mønstre for e-postflyt, oppdage trender og identifisere virkningen av endringer du gjør under justering Defender for Office 365. Du kan også raskt slette meldinger fra organisasjonen med noen få enkle klikk.

Les mer, og kom i gang her:Trusselutforsker og sanntidsregistreringer

Trinn 2 – Forbedre verdien ytterligere med disse enkle trinnene

Tilleggsbeskyttelsesfunksjoner

Vurder å aktivere policyer utover den innebygde beskyttelsen. Aktivering av tidsklikkbeskyttelse eller representasjonsbeskyttelse, for eksempel for å legge til ekstra lag eller fylle hull som mangler i tredjepartsbeskyttelsen. Hvis du har en e-postflytregel (også kjent som en transportregel) eller et tilkoblingsfilter som overstyrer dommer (også kjent som en SCL=-1-regel), må du ta opp denne konfigurasjonen før du slår på andre beskyttelsesfunksjoner.

Les mer her:Policyer for anti-phishing

Hvis den gjeldende sikkerhetsleverandøren er konfigurert til å endre meldinger på noen måte, er det viktig å være oppmerksom på at godkjenningssignaler kan påvirke muligheten for Defender for Office 365 til å beskytte deg mot angrep som for eksempel forfalskning. Hvis tredjeparten støtter Arc (Authenticated Received Chain), er aktivering av dette et sterkt anbefalt trinn i reisen til avansert dobbeltfiltrering. Det er også et alternativ å flytte en meldingsendringskonfigurasjon til Defender for Office 365.

Les mer her:Konfigurer klarerte ARC-tetninger.

Forbedret filtrering for koblinger gjør at IP-adresse og avsenderinformasjon kan bevares gjennom tredjeparten. Denne funksjonen forbedrer nøyaktigheten for filtreringsstakken (beskyttelse), funksjoner for brudd etter brudd & godkjenningsforbedringer.

Les mer her:Forbedret filtrering for koblinger i Exchange Online

Beskyttelse av prioritert konto gir bedre synlighet for kontoer i verktøy, sammen med ekstra beskyttelse når du er i en avansert forsvar dyptgående konfigurasjonstilstand.

Les mer her:Beskyttelse av prioritetskonto

Avansert levering bør konfigureres til å levere eventuelle tredjeparts phish simuleringer riktig, og hvis du har en Security Operations postboks, bør du vurdere å definere det som en SecOps postboks for å sikre at e-postmeldinger ikke blir fjernet fra postboksen på grunn av trusler.

Les mer her:Avansert levering

Du kan konfigurere brukerrapporterte innstillinger slik at brukere kan rapportere gode eller dårlige meldinger til Microsoft, til en angitt postboks for rapportering (for å integrere med gjeldende sikkerhetsarbeidsflyter) eller begge deler. Administratorer kan bruke den rapporterte brukerfanen på Innsendinger-siden til å dele opp falske positiver og falske, negative brukerrapporterte meldinger.

Les mer her:Distribuer og konfigurer rapportmeldingstillegget for brukere.

Funksjoner for oppdagelse, undersøkelse, respons og jakt

Avansert jakt kan brukes til proaktivt å jakte på trusler i organisasjonen ved hjelp av delte spørringer fra fellesskapet for å hjelpe deg med å komme i gang. Du kan også bruke egendefinerte gjenkjenninger til å konfigurere varsler når tilpassede kriterier oppfylles.

Les mer, se en oversiktsvideo og kom i gang her:Oversikt – Avansert jakt

Education-funksjoner

Opplæring med simulert angrep lar deg kjøre realistiske, men godartede scenarioer for cyberangrep i organisasjonen. Hvis du ikke allerede har phishing-simuleringsfunksjoner fra din primære leverandør av e-postsikkerhet, kan Microsofts simulerte angrep hjelpe deg med å identifisere og finne sårbare brukere, policyer og fremgangsmåter. Denne funksjonen inneholder viktig kunnskap å ha og korrigere før et reelt angrep påvirker organisasjonen. Etter simuleringen vi tildeler i produkt- eller tilpasset opplæring for å lære brukerne om truslene de gikk glipp av, noe som til slutt reduserer organisasjonens risikoprofil. Med Opplæring med simulert angrep leverer vi meldinger direkte inn i innboksen, slik at brukeropplevelsen er rik. Dette betyr heller ingen sikkerhetsendringer som overstyringer som trengs for å få simuleringer levert riktig.

Kom i gang her:Kom i gang med angrepssimulering.

Hopp rett inn i å levere en simulering her:Hvordan sette opp automatiserte angrep og opplæring innen Opplæring med simulert angrep

Trinn 3 og utover, bli en dual use hero

Mange av oppdagelses-, undersøkelses-, respons- og jaktaktivitetene som tidligere beskrevet, bør gjentas av sikkerhetsteamene dine. Denne veiledningen gir en detaljert beskrivelse av oppgaver, frekvens og teamtildelinger vi vil anbefale.

Les mer:Veiledning for sikkerhetsoperasjoner for Defender for Office 365

Vurder brukeropplevelser som å få tilgang til flere karantene, eller innsending/rapportering av falske positiver og falske negativer. Du kan merke meldinger som oppdages av tredjepartstjenesten med et egendefinert X-hode . Du kan for eksempel bruke regler for e-postflyt til å oppdage og sette e-post i karantene som inneholder X-hodet . Dette resultatet gir også brukere ett enkelt sted å få tilgang til e-post som er satt i karantene.

Les mer:Slik konfigurerer du karantenetillatelser og -policyer

Overføringsveiledningen inneholder mange nyttige veiledninger om hvordan du klargjør og justerer miljøet for å klargjøre det for en overføring. Men mange av trinnene gjelder også for et dobbeltbruksscenario. Bare ignorer MX-bryterveiledningen i de siste trinnene.

Les det her:Overføre fra en tredjeparts beskyttelsestjeneste til Microsoft Defender for Office 365 – Office 365 | Microsoft Docs.