Obter o melhor valor de segurança de Microsoft Defender para Office 365 quando você tiver filtragem de email de terceiros

Artigo
04/26/2024

Este guia será para você se:

Você está licenciado para Microsoft Defender para Office 365 e hospeda suas caixas de correio em Office 365
Você também está usando um terceiro para sua segurança de email

As informações a seguir detalham como aproveitar ao máximo o investimento, divididos em etapas fáceis de seguir.

O que você precisa

Caixas de correio hospedadas em Office 365
Um ou mais de:
- Microsoft Defender para Office 365 Plano 1 para recursos de proteção
- Microsoft Defender para Office 365 Plano 2 para a maioria dos outros recursos (incluídos nos planos E5)
- Microsoft Defender para Office 365 Avaliação (disponível para todos os clientes em aka.ms/tryMDO)
Permissões suficientes para configurar os recursos discutidos abaixo

Etapa 1 – Entender o valor que você já tem

Recursos de proteção interna

A proteção interna oferece um nível base de proteção discreta e inclui malware, zero dia (Anexos Seguros) e proteção de URL (Links Seguros) em email (incluindo email interno), SharePoint Online, OneDrive e Teams. A proteção de URL fornecida nesse estado é somente por meio de chamada de API. Ele não encapsula ou reescreve URLs, mas requer um cliente do Outlook com suporte. Você pode criar suas próprias políticas personalizadas para expandir sua proteção.

Leia mais & watch um vídeo de visão geral de Links Seguros aqui:Visão geral completa dos Links Seguros

Leia mais sobre anexos seguros aqui:Anexos seguros

Recursos de detecção, investigação, resposta e caça

Quando os alertas disparam em Microsoft Defender para Office 365, eles são automaticamente correlacionados e combinados em Incidentes para ajudar a reduzir a fadiga do alerta na equipe de segurança. A AIR (Investigação e Resposta Automatizada) dispara investigações para ajudar a corrigir e conter ameaças.

Leia mais, watch um vídeo de visão geral e comece aqui :Resposta a incidentes com Microsoft Defender XDR

O Threat Analytics é nossa solução detalhada de inteligência contra ameaças no produto de pesquisadores especializados em segurança da Microsoft. O Threat Analytics contém relatórios detalhados que foram projetados para acelerar os grupos de ameaças mais recentes, técnicas de ataque, como proteger sua organização com Indicadores de Comprometimento (COI) e muito mais.

Leia mais, watch um vídeo de visão geral e comece aqui :Análise de ameaças no Microsoft Defender XDR

Explorer pode ser usado para caçar ameaças, visualizar padrões de fluxo de email, detectar tendências e identificar o impacto das alterações feitas durante o ajuste Defender para Office 365. Você também pode excluir rapidamente mensagens de sua organização com alguns cliques simples.

Leia mais e comece aqui:Detecçõesde Explorer de ameaças e em tempo real

Etapa 2 – Aprimorar ainda mais o valor com essas etapas simples

Recursos adicionais de proteção

Considere habilitar políticas além da Proteção interna. Habilitar a proteção de tempo de clique ou a proteção de representação, por exemplo, para adicionar camadas extras ou preencher lacunas ausentes da proteção de terceiros. Se você tiver uma regra de fluxo de email (também conhecida como regra de transporte) ou filtro de conexão que substitua veredictos (também conhecido como regra SCL=-1) você precisará resolver essa configuração antes de ativar outros recursos de proteção.

Leia mais aqui:Políticas anti-phishing

Se o provedor de segurança atual estiver configurado para modificar mensagens de alguma forma, é importante observar que os sinais de autenticação podem afetar a capacidade de Defender para Office 365 protegê-lo contra ataques como falsificação. Se o terceiro der suporte à ARC (Cadeia Recebida Autenticada), habilitar essa é uma etapa altamente recomendada em sua jornada para filtragem dupla avançada. Mover qualquer configuração de modificação de mensagem para Defender para Office 365 também é uma alternativa.

Leia mais aqui:Configurar selos ARC confiáveis.

A filtragem aprimorada para conectores permite que informações de endereço IP e remetente sejam preservadas por meio de terceiros. Esse recurso melhora a precisão da pilha de filtragem (proteção), pós-violação & aprimoramentos de autenticação.

A proteção de conta prioritária oferece visibilidade aprimorada para contas em ferramentas, juntamente com proteção adicional quando em um estado avançado de configuração de defesa em profundidade.

Leia mais aqui:Proteção de conta prioritária

A Entrega Avançada deve ser configurada para fornecer simulações de phish de terceiros corretamente e, se você tiver uma caixa de correio operações de segurança, considere defini-la como uma caixa de correio SecOps para garantir que os emails não sejam removidos da caixa de correio devido a ameaças.

Leia mais aqui:Entrega avançada

Você pode configurar configurações relatadas pelo usuário para permitir que os usuários denunciem mensagens boas ou ruins para a Microsoft, para uma caixa de correio de relatório designada (para integrar com os fluxos de trabalho de segurança atuais) ou ambos. Os administradores podem usar a guia Usuário relatado na página Envios para triagem de falsos positivos e mensagens falsas negativas relatadas pelo usuário.

Recursos de detecção, investigação, resposta e caça

A caça avançada pode ser usada para procurar ameaças proativamente em sua organização, usando consultas compartilhadas da comunidade para ajudá-lo a começar. Você também pode usar detecções personalizadas para configurar alertas quando os critérios personalizados forem atendidos.

Leia mais, watch um vídeo de visão geral e comece aqui:Visão geral - Caça avançada

Recursos de educação

Treinamento de simulação de ataque permite que você execute cenários realistas, mas benignos de ataque cibernético em sua organização. Se você ainda não tiver recursos de simulação de phishing do provedor de segurança de email principal, os ataques simulados da Microsoft podem ajudá-lo a identificar e encontrar usuários vulneráveis, políticas e práticas. Essa funcionalidade contém conhecimentos importantes para ter e corrigir antes que um ataque real impacte sua organização. Após a simulação, atribuimos em treinamento personalizado ou produto para instruir os usuários sobre as ameaças que eles perderam, reduzindo o perfil de risco da sua organização. Com Treinamento de simulação de ataque, entregamos mensagens diretamente na caixa de entrada, portanto, a experiência do usuário é rica. Isso também significa que não há alterações de segurança, como substituições necessárias para obter simulações entregues corretamente.

Introdução aqui:Introdução ao uso de simulação de ataque.

Pule para a direita para entregar uma simulação aqui:Como configurar ataques automatizados e treinamento dentro de Treinamento de simulação de ataque

Etapa 3 e além, tornando-se um herói de uso duplo

Muitas das atividades de detecção, investigação, resposta e caça, conforme descrito anteriormente, devem ser repetidas por suas equipes de segurança. Essa diretriz oferece uma descrição detalhada de tarefas, cadência e atribuições de equipe que recomendamos.

Considere experiências do usuário, como acessar várias quarentenas ou envio/relatório de falsos positivos e falsos negativos. Você pode marcar mensagens detectadas pelo serviço de terceiros com um cabeçalho X personalizado. Por exemplo, você pode usar regras de fluxo de email para detectar e colocar em quarentena email que contém o cabeçalho X . Esse resultado também fornece aos usuários um único lugar para acessar emails em quarentena.

O guia Migração contém muitas diretrizes úteis sobre como preparar e ajustar seu ambiente para prepará-lo para uma migração. Mas muitas das etapas também são aplicáveis a um cenário de uso duplo. Basta ignorar as diretrizes de opção MX nas etapas finais.

Leia aqui:Migrar de um serviço de proteção de terceiros para Microsoft Defender para Office 365 - Office 365 | Microsoft Docs.