Dela via

Migrera till Microsoft Defender för Office 365 – Fas 3: Registrera


Fas 1: Förbered.
Fas 1: Förbereda		 Fas 2: Konfigurera.
Fas 2: Konfigurera		 Fas 3: Publicera.
Fas 3: Introduktion
Du är här!

Välkommen till fas 3: Registreramigreringen för att Microsoft Defender för Office 365! Den här migreringsfasen innehåller följande steg:

  1. Börja registrera säkerhetsteam
  2. (Valfritt) Undanta pilotanvändare från filtrering av din befintliga skyddstjänst
  3. Justera förfalskningsinformation
  4. Justera personifieringsskydd och postlådeinformation
  5. Använda data från användarrapporterade meddelanden för att mäta och justera
  6. (Valfritt) Lägga till fler användare i pilottestet och iterera
  7. Utöka Microsoft 365-skyddet till alla användare och inaktivera SCL=-1-e-postflödesregeln
  8. Växla dina MX-poster

Steg 1: Börja registrera säkerhetsteam

Om din organisation har ett team för säkerhetssvar är det dags att börja integrera Microsoft Defender för Office 365 i dina svarsprocesser, inklusive biljettsystem. Den här processen är ett helt ämne för sig självt, men det förbises ibland. Att involvera säkerhetshanteringsteamet tidigt säkerställer att din organisation är redo att hantera hot när du byter MX-poster. Incidenthantering måste vara väl rustat för att hantera följande uppgifter:

Om din organisation har köpt Microsoft Defender för Office 365 plan 2 bör de börja bekanta sig med och använda funktioner som Hotutforskaren, Avancerad jakt och Incidenter. Relevanta utbildningar finns i https://aka.ms/mdoninja.

Om ditt säkerhetssvarsteam samlar in och analyserar ofiltrerade meddelanden kan du konfigurera en SecOps-postlåda för att ta emot dessa ofiltrerade meddelanden. Anvisningar finns i Konfigurera SecOps-postlådor i den avancerade leveransprincipen.

SIEM/SOAR

Mer information om hur du integrerar med SIEM/SOAR finns i följande artiklar:

Om din organisation inte har något säkerhetssvarsteam eller befintliga processflöden kan du använda den här tiden för att bekanta dig med grundläggande jakt- och svarsfunktioner i Defender för Office 365. Mer information finns i Hotundersökning och svar.

RBAC-roller

Behörigheter i Defender för Office 365 baseras på rollbaserad åtkomstkontroll (RBAC) och förklaras i Behörigheter i Microsoft Defender-portalen. Här är de viktiga punkterna att tänka på:

  • Microsoft Entra roller ger behörigheter till alla arbetsbelastningar i Microsoft 365. Om du till exempel lägger till en användare i säkerhetsadministratören i Azure Portal har de behörigheter som säkerhetsadministratör överallt.
  • Email & samarbetsroller i Microsoft Defender-portalen ger behörigheter till Microsoft Defender-portalen och efterlevnadsportal i Microsoft Purview. Om du till exempel lägger till en användare i Säkerhetsadministratör i Microsoft Defender-portalen har de endast åtkomst till säkerhetsadministratörer i Microsoft Defender-portalen och efterlevnadsportal i Microsoft Purview.
  • Många funktioner i Microsoft Defender-portalen baseras på Exchange Online PowerShell-cmdletar och kräver därför rollgruppsmedlemskap i motsvarande roller (tekniskt sett rollgrupper) i Exchange Online (särskilt för åtkomst till motsvarande Exchange Online PowerShell cmdletar).
  • Det finns Email & samarbetsroller i Microsoft Defender-portalen som inte har någon motsvarighet till Microsoft Entra roller och är viktiga för säkerhetsåtgärder (till exempel rollen Förhandsversion och rollen Search och Rensning).

Vanligtvis behöver endast en delmängd säkerhetspersonal ytterligare behörighet att ladda ned meddelanden direkt från användarpostlådor. Det här behovet kräver ytterligare en behörighet som säkerhetsläsaren inte har som standard.

Steg 2: (Valfritt) Undanta pilotanvändare från filtrering av din befintliga skyddstjänst

Även om det här steget inte krävs bör du överväga att konfigurera pilotanvändare för att kringgå filtrering av din befintliga skyddstjänst. Med den här åtgärden kan Defender för Office 365 hantera alla filtrerings- och skyddsuppgifter för pilotanvändare. Om du inte undantar dina pilotanvändare från din befintliga skyddstjänst fungerar Defender för Office 365 effektivt endast på missar från den andra tjänsten (filtrering av meddelanden som redan har filtrerats).

Obs!

Det här steget krävs uttryckligen om den aktuella skyddstjänsten tillhandahåller länkomslutning, men du vill testa funktionerna för säkra länkar. Dubbel omslutning av länkar stöds inte.

Steg 3: Finjustera förfalskningsinformation

Kontrollera insikten om förfalskningsinformation för att se vad som tillåts eller blockeras som förfalskning och för att avgöra om du behöver åsidosätta systemutfallet för förfalskning. Vissa källor i din affärskritiska e-post kan ha felkonfigurerade e-postautentiseringsposter i DNS (SPF, DKIM och DMARC) och du kanske använder åsidosättningar i din befintliga skyddstjänst för att maskera deras domänproblem.

Förfalskningsinformation kan rädda e-post från domäner utan rätt e-postautentiseringsposter i DNS, men funktionen behöver ibland hjälp med att skilja bra förfalskning från felaktig förfalskning. Fokusera på följande typer av meddelandekällor:

  • Meddelandekällor som ligger utanför IP-adressintervallen som definierats i Utökad filtrering för anslutningsappar.
  • Meddelandekällor som har det högsta antalet meddelanden.
  • Meddelandekällor som har störst inverkan på din organisation.

Förfalskningsinformation justeras så småningom efter att du har konfigurerat användarrapporterade inställningar, så det finns inget behov av perfektion.

Steg 4: Justera personifieringsskydd och postlådeinformation

När du har haft tillräckligt med tid för att observera resultatet av personifieringsskydd i Använd inte något åtgärdsläge kan du aktivera varje personifieringsskyddsåtgärd individuellt i principerna för skydd mot nätfiske:

  • Skydd mot användarpersonifiering: Placera meddelandet i karantän för både Standard och Strict.
  • Skydd mot domänpersonifiering: Placera meddelandet i karantän för både Standard och Strict.
  • Skydd mot postlådeinformation: Flytta meddelandet till mottagarnas skräppostmappar Email för Standard; Placera meddelandet i karantän för Strikt.

Ju längre du övervakar personifieringsskyddsresultaten utan att agera på meddelandena, desto mer data måste du identifiera tillåter eller block som kan krävas. Överväg att använda en fördröjning mellan att aktivera varje skydd som är tillräckligt viktigt för att möjliggöra observation och justering.

Obs!

Frekvent och kontinuerlig övervakning och justering av dessa skydd är viktigt. Om du misstänker en falsk positiv identifiering undersöker du orsaken och använder endast åsidosättningar efter behov och endast för identifieringsfunktionen som kräver det.

Finjustera postlådeinformation

Även om postlådeinformation är konfigurerad för att inte vidta några åtgärder för meddelanden som har bedömts vara personifieringsförsök, är den aktiverad och lär sig pilotanvändares e-post som skickar och tar emot mönster. Om en extern användare har kontakt med en pilotanvändare identifieras inte meddelanden från den externa användaren som personifieringsförsök av postlådeinformation (vilket minskar falska positiva identifieringar).

När du är klar gör du följande för att tillåta postlådeinformation att agera på meddelanden som identifieras som personifieringsförsök:

  • I principen för skydd mot nätfiske med standardskyddsinställningarna ändrar du värdet för Om postlådeinformation identifierar en personifierad användare till Flytta meddelande till mottagarnas skräppostmappar Email.

  • I principen för skydd mot nätfiske med strikt skydd ändrar du värdet för If mailbox intelligence detects and impersonated user from to Quarantine the message (Om postlådeinformation identifierar och personifierade användare från till Karantän för meddelandet).

Information om hur du ändrar principerna finns i Konfigurera principer för skydd mot nätfiske i Defender för Office 365.

När du har observerat resultaten och gjort justeringar fortsätter du till nästa avsnitt för att placera meddelanden som identifierats av användarpersonifiering i karantän.

Justera användar personifieringsskydd

I båda dina principer för skydd mot nätfiske baserat på standard- och strikta inställningar ändrar du värdet om ett meddelande identifieras som användarpersonifiering för att placera meddelandet i karantän.

Kontrollera personifieringsinsikten för att se vad som blockeras när användarpersonifieringsförsök görs.

Information om hur du ändrar principerna finns i Konfigurera principer för skydd mot nätfiske i Defender för Office 365.

När du har observerat resultaten och gjort justeringar går du vidare till nästa avsnitt för att placera meddelanden som identifierats av domänimitation i karantän.

Justera skydd mot domänimitation

I båda dina principer för skydd mot nätfiske baserat på standard- och strikta inställningar ändrar du värdet om ett meddelande identifieras som domänpersonifiering för att placera meddelandet i karantän.

Kontrollera personifieringsinsikten för att se vad som blockeras när domänimitationsförsök görs.

Information om hur du ändrar principerna finns i Konfigurera principer för skydd mot nätfiske i Defender för Office 365.

Observera resultaten och gör eventuella justeringar efter behov.

Steg 5: Använd data från användarrapporterade meddelanden för att mäta och justera

När pilotanvändarna rapporterar falska positiva identifieringar och falska negativa identifieringar visas meddelandena på fliken Användarrapporteradesidan Inskickade i Microsoft Defender-portalen. Du kan rapportera felidentifierade meddelanden till Microsoft för analys och använda informationen för att justera inställningarna och undantagen i pilotprinciperna efter behov.

Använd följande funktioner för att övervaka och iterera skyddsinställningarna i Defender för Office 365:

Om din organisation använder en tredjepartstjänst för användarrapporterade meddelanden kan du integrera dessa data i din feedbackloop.

Steg 6: (Valfritt) Lägg till fler användare i pilottestet och iterera

När du hittar och åtgärdar problem kan du lägga till fler användare i pilotgrupperna (och på motsvarande sätt undanta de nya pilotanvändarna från att genomsökas av din befintliga skyddstjänst efter behov). Ju mer testning du gör nu, desto färre användarproblem behöver du hantera senare. Med den här vattenfallsmetoden kan du justera mot större delar av organisationen och ge dina säkerhetsteam tid att anpassa sig till de nya verktygen och processerna.

  • Microsoft 365 genererar aviseringar när nätfiskemeddelanden med hög konfidens tillåts av organisationsprinciper. För att identifiera dessa meddelanden har du följande alternativ:

    • Åsidosättningar i rapporten Hotskyddsstatus.
    • Filtrera i Hotutforskaren för att identifiera meddelandena.
    • Filtrera i Avancerad jakt för att identifiera meddelandena.

    Rapportera eventuella falska positiva identifieringar till Microsoft så tidigt som möjligt via administratörsöverföringar och använd funktionen Tillåt/blockera lista för klientorganisation för att konfigurera säkra åsidosättningar för dessa falska positiva identifieringar.

  • Det är också en bra idé att undersöka onödiga åsidosättningar. Med andra ord kan du titta på de domar som Microsoft 365 skulle ha angett på meddelandena. Om Microsoft 365 har gjort rätt bedömning minskar eller elimineras behovet av åsidosättning avsevärt.

Steg 7: Utöka Microsoft 365-skyddet till alla användare och inaktivera E-postflödesregeln SCL=-1

Utför stegen i det här avsnittet när du är redo att byta MX-poster så att de pekar på Microsoft 365.

  1. Utöka pilotprinciperna till hela organisationen. I grunden finns det olika sätt att utöka politiken:

    • Använd förinställda säkerhetsprinciper och dela upp användarna mellan standardskyddsprofilen och profilen Strikt skydd (se till att alla omfattas). Förinställda säkerhetsprinciper tillämpas före alla anpassade principer som du har skapat eller några standardprinciper. Du kan inaktivera dina enskilda pilotprinciper utan att ta bort dem.

      Nackdelen med förinställda säkerhetsprinciper är att du inte kan ändra många av de viktiga inställningarna när du har skapat dem.

    • Ändra omfånget för de principer som du skapade och justerade under pilottestet så att alla användare inkluderas (till exempel alla mottagare i alla domäner). Kom ihåg att om flera principer av samma typ (till exempel principer för skydd mot nätfiske) gäller för samma användare (individuellt, efter gruppmedlemskap eller e-postdomän), tillämpas endast inställningarna för principen med högst prioritet (lägst prioritetsnummer) och bearbetningen stoppas för den typen av princip.

  2. Inaktivera E-postflödesregeln SCL=-1 (du kan inaktivera den utan att ta bort den).

  3. Kontrollera att de tidigare ändringarna har verkställts och att Defender för Office 365 nu är korrekt aktiverat för alla användare. I det här läget tillåts nu alla skyddsfunktioner i Defender för Office 365 att agera på e-post för alla mottagare, men den e-postmeddelandet har redan genomsökts av din befintliga skyddstjänst.

Du kan pausa i det här skedet för mer storskalig datainspelning och justering.

Steg 8: Växla dina MX-poster

Obs!

  • När du växlar MX-posten för din domän kan det ta upp till 48 timmar innan ändringarna sprids över internet.
  • Vi rekommenderar att du sänker TTL-värdet för dina DNS-poster för att möjliggöra snabbare svar och eventuell återställning (om det behövs). Du kan återgå till det ursprungliga TTL-värdet när övergången har slutförts och verifierats.
  • Du bör börja med att ändra domäner som används mindre ofta. Du kan pausa och övervaka innan du flyttar till större domäner. Även om du gör detta bör du dock fortfarande se till att alla användare och domäner omfattas av principer, eftersom sekundära SMTP-domäner matchas till primära domäner före principprogrammet.
  • Flera MX-poster för en enda domän fungerar tekniskt, så att du kan ha delad routning, förutsatt att du har följt all vägledning i den här artikeln. Mer specifikt bör du se till att principer tillämpas på alla användare, att E-postflödesregeln SCL=-1 endast tillämpas på e-post som passerar genom din befintliga skyddstjänst enligt beskrivningen i Installationssteg 3: Underhålla eller skapa E-postflödesregeln SCL=-1. Den här konfigurationen introducerar dock beteende som gör felsökning mycket svårare, och därför rekommenderar vi vanligtvis inte det, särskilt inte under längre tidsperioder.
  • Innan du byter MX-poster kontrollerar du att följande inställningar inte är aktiverade på den inkommande anslutningsappen från skyddstjänsten till Microsoft 365. Normalt har anslutningsappen en eller flera av följande inställningar konfigurerade:
    • och kräver att ämnesnamnet på certifikatet som partnern använder för att autentisera med Office 365 matchar det här domännamnet (RestrictDomainsToCertificate)
    • Avvisa e-postmeddelanden om de inte skickas inom det här IP-adressintervallet (RestrictDomainsToIPAddresses) Om anslutningstypen är Partner och någon av dessa inställningar är aktiverade misslyckas all e-postleverans till dina domäner när du har bytt MX-poster. Du måste inaktivera de här inställningarna innan du fortsätter. Om anslutningsappen är en lokal anslutningsapp som används för hybrid, behöver du inte ändra den lokala anslutningsappen. Men du kan fortfarande kontrollera om det finns en partneranslutning .
  • Om din aktuella e-postgateway även tillhandahåller mottagarverifiering kan du kontrollera att domänen har konfigurerats som auktoritativ i Microsoft 365. Detta kan förhindra onödiga studsmeddelanden.

När du är klar växlar du MX-posten för dina domäner. Du kan migrera alla dina domäner samtidigt. Eller så kan du migrera domäner som används mindre ofta först och sedan migrera resten senare.

Du kan pausa och utvärdera här när som helst. Men kom ihåg att när du inaktiverar E-postflödesregeln SCL=-1 kan användarna ha två olika funktioner för att kontrollera falska positiva identifieringar. Ju tidigare du kan ge en enda, konsekvent upplevelse, desto gladare blir dina användare och supportteam när de måste felsöka ett meddelande som saknas.

Nästa steg

Grattis! Du har slutfört migreringen till Microsoft Defender för Office 365! Eftersom du följde stegen i den här migreringsguiden bör de första dagarna då e-post levereras direkt till Microsoft 365 vara mycket smidigare.

Nu påbörjar du normal drift och underhåll av Defender för Office 365. Övervaka och watch för problem som liknar det du upplevde under piloten, men i större skala. Insikten om förfalskningsinformation och personifieringsinsikten är till stor hjälp, men överväg att göra följande aktiviteter till en vanlig händelse: