Migrera till Microsoft Defender för Office 365 – Fas 3: Onboard

Gäller för


Fas 1: Förbereda.
Fas 1: Förbereda
Fas 2: Konfigurera.
Fas 2: Konfigurera
Fas 3: Introduktion.
Fas 3: Introduktion
Du är här!

Välkommen till steg 3: Migreringen introduceras till Microsoft Defender för Office 365! Den här migreringsfasen omfattar följande steg:

  1. Börja använda Teams
  2. (Valfritt) Undanta pilotanvändare från filtrering genom din befintliga skyddstjänst
  3. Finjustera förfalskningsinformation
  4. Justera personifieringsskydd och postlådeinformation
  5. Använd data från användarinskick för att mäta och justera
  6. (Valfritt) Lägga till fler användare i din pilot och iterera
  7. Utöka Microsoft 365 skydd till alla användare och inaktivera e-postflödesregeln för SCL=-1
  8. Ändra MX-poster

Steg 1: Börja Teams

Om din organisation har ett säkerhetssvarsteam är det dags att börja integrera Microsoft Defender för Office 365 i dina svarsprocesser, inklusive biljettsystem. Det här är ett helt ämne som är helt undersytt, men det kan ibland bli missat. Om säkerhetssvarsteamet blir involverat tidigt ser du till att din organisation är redo att hantera hot när du byter MX-post. Incidentsvar måste vara väl utrustad för att hantera följande uppgifter:

Om din organisation har köpt Microsoft Defender för Office 365 abonnemang 2 bör de börja bekanta sig med och använda funktioner som Threat Explorer, Advanced Hunting och Incidents. Mer information om relevanta kurser finns i https://aka.ms/mdoninja.

Om ditt säkerhetsteam samlar in och analyserar ofiltrerade meddelanden kan du konfigurera en SecOps-postlåda så att den får de här ofiltrerade meddelandena. Instruktioner finns i Konfigurera SecOps-postlådor i den avancerade leveransprincipen.

SIEM/SOAR

Mer information om integrering med SIEM/SOAR finns i följande artiklar:

Om din organisation inte har ett säkerhetssvarsteam eller befintliga processflöden kan du nu bekanta dig med grundläggande funktioner för söker och svar i Defender för Office 365. Mer information finns i Undersökning av hot och svar.

RBAC-roller

Behörigheterna i Defender Office 365 är baserad på rollbaserad åtkomstkontroll (RBAC) och förklaras i Behörigheter i Microsoft 365 Defender portalen. Det här är några viktiga saker att tänka på:

  • Azure AD-roller ger behörigheter till alla arbetsbelastningar i Microsoft 365. Om du till exempel lägger till en användare till säkerhetsadministratören i Azure-portalen har de säkerhetsadministratörsbehörigheter överallt.
  • E& för samarbete i Microsoft 365 Defender-portalen ger behörighet till Microsoft 365 Defender-portalen, Microsoft 365 Efterlevnadscenter & och det äldre säkerhets- och efterlevnadscentret. Om du till exempel lägger till en användare i säkerhetsadministratören i Microsoft 365 Defender-portalen har de endast åtkomst som säkerhetsadministratör i Microsoft 365 Defender-portalen, Microsoft 365 Efterlevnadscenter-portalen och Säkerhets- och & efterlevnadscenter.
  • Många funktioner i Microsoft 365 Defender-portalen baseras på Exchange Online PowerShell-cmdlets och kräver därför rollgruppsmedlemskap i motsvarande roller (tekniskt sett rollgrupper) i Exchange Online (särskilt för åtkomst till motsvarande Exchange Online PowerShell-cmdlets).
  • Det finns e& för samarbete i Microsoft 365 Defender-portalen som inte motsvarar Azure AD-roller och är viktiga för säkerhetsåtgärder (till exempel rollen Förhandsgranska och Sök och Rensning).

Vanligtvis behöver endast en delmängd av säkerhetspersonalen ytterligare rättigheter att ladda ned meddelanden direkt från användarnas postlådor. Det kräver ytterligare en behörighet som säkerhetsläsaren inte har som standard.

Steg 2: (Valfritt) Undanta pilotanvändare från filtrering genom din befintliga skyddstjänst

Även om det här steget inte krävs bör du överväga att konfigurera pilotanvändarna att kringgå filtrering genom din befintliga skyddstjänst. Med den här åtgärden kan Defender Office 365 hantera all filtrering och skyddsuppgift för pilotanvändarna. Om du inte undantar dina pilotanvändare från din befintliga skyddstjänst fungerar Defender för Office 365 effektivt endast på missar från den andra tjänsten (filtrera meddelanden som redan har filtrerats).

Anteckning

Det här steget krävs uttryckligen om den aktuella skyddstjänsten tillhandahåller länkbrytning men du vill pilottesta Valv av länkar. Dubbel radbrytning av länkar stöds inte.

Steg 3: Justera förfalskningsinformation

Kontrollera förfalskningsinformation för att se vad som är tillåtet eller blockerat som förfalskning, och för att avgöra om du behöver åsidosätta systemets bedömning för förfalskning. Vissa källor för affärskritiska e-postmeddelanden kan ha felaktigt konfigurerade e-postautentiseringsposter i DNS (SPF, DKIM och DMARC), och du kanske använder åsidosättningar i din befintliga skyddstjänst för att maskera deras domänproblem.

Förfalskningsinformation kan ta hjälp av e-post från domäner utan rätt e-postautentiseringsposter i DNS, men funktionen behöver ibland hjälp med att skilja bra förfalskning från felaktig förfalskning. Fokusera på följande typer av meddelandekällor:

Förfalskningsinformation kommer så småningom att finjusteras efter att du har konfigurerat användarinskick, så det finns inget behov av att inkonfigurera den.

Steg 4: Justera personifieringsskydd och postlådeinformation

När du har haft tillräckligt med tid att observera resultatet av personifieringsskydd i Använd inte något åtgärdsläge kan du individuellt aktivera varje personifieringsskyddsåtgärd i principerna för skydd mot nätfiske:

  • Skydd för användarpersonifiering: Sätt meddelandet i karantän för både Standard och Strikt.
  • Domänpersonifieringsskydd: Sätt meddelandet i karantän för både Standard och Strikt.
  • Skydd mot postlådeintelligens: Flytta meddelandet till mottagarnas skräppostmappar för Standard. Sätt meddelandet i karantän för strikt.

Ju längre tid du övervakar personifieringsskyddets resultat utan att ta hand om meddelandena, desto mer data måste du identifiera tillåts eller block som kan krävas. Överväg att använda en fördröjning mellan att aktivera varje skydd som är tillräckligt stort för observation och justering.

Anteckning

Det är viktigt att du övervakar och stämmer skydden ofta och kontinuerligt. Om du misstänker att något är falskt positivt ska du undersöka orsaken och bara använda åsidosättningen om det behövs och bara för den identifieringsfunktion som kräver det.

Finjustera postlådeintelligens

Även om postlådeinformation inte har konfigurerats att vidta någon åtgärd för meddelanden som var försök till personifiering , har det varit på och fått lära sig pilotanvändens mönster för att skicka och ta emot e-post. Om en extern användare är i kontakt med en av dina pilotanvändare identifieras inte meddelanden från den externa användaren som personifieringsförsök av postlådeinformation (vilket minskar antalet falska positiva identifieringar).

När du är redo gör du följande för att tillåta postlådeintelligens att agera på meddelanden som identifieras som personifieringsförsök:

  • I principen mot nätfiske med standardinställningarna för skydd ändrar du värdet för Om postlådeintelligens identifierar en imiterad användare till Flytta meddelandet till mottagarnas skräppostmappar.

  • I principen mot nätfiske med inställningarna för strikt skydd ändrar du värdet för Om postlådeintelligen identifierar och utger sig för att vara användare från till karantän meddelandet.

Information om hur du ändrar principerna finns i Konfigurera principer för skydd mot nätfiske i Defender för Office 365.

När du har observerat resultaten och gjort eventuella justeringar går du till nästa avsnitt för att sätta meddelanden i karantän som identifieras av användarpersonifiering.

Anpassa personifieringsskydd för användare

I båda dina principer för skydd mot nätfiske baserat på standardinställningarna och striktinställningarna ändrar du värdet för Om meddelande identifieras som en imiterad användare till karantän meddelandet.

Kontrollera personifieringsinsikten om du vill se vad som blockeras som försök till personifiering.

Information om hur du ändrar principerna finns i Konfigurera principer för skydd mot nätfiske i Defender för Office 365.

När du har observerat resultaten och gjort eventuella justeringar går du till nästa avsnitt för att sätta meddelanden i karantän som identifieras av domänpersonifiering.

Finjustera skydd för domänpersonifiering

I båda dina principer för nätfiske baserat på standardinställningarna och strikt-inställningarna ändrar du värdet för Om meddelande identifieras som en imiterad domän till Karantän meddelandet.

Kontrollera personifieringsinsikten för att se vad som blockeras som domänpersonifieringsförsök.

Information om hur du ändrar principerna finns i Konfigurera principer för skydd mot nätfiske i Defender för Office 365.

Observera resultaten och gör eventuella justeringar efter behov.

Steg 5: Mät och justera med hjälp av data från användarinskick

När dina pilotanvändare rapporterar falska positiva och falska negativa resultat visas meddelandena på sidan Inskickade meddelanden i Microsoft 365 Defender portalen. Du kan rapportera de felidentifierade meddelandena till Microsoft för analys och använda informationen för att justera inställningarna och undantagen i pilotmetoderna efter behov.

Använd följande funktioner för att övervaka och iterera skyddsinställningarna i Defender för Office 365:

Om din organisation använder en tredjepartstjänst för användarrapporter kan du integrera dessa data i feedbackslingan.

Steg 6: (Valfritt) Lägga till fler användare i piloten och iterera

När du hittar och åtgärdar problem kan du lägga till fler användare i pilotgrupperna (och på motsvarande sätt undanta dessa nya pilotanvändare från att söka efter den befintliga skyddstjänsten). Ju fler tester du gör nu, desto färre användarproblem behöver du ta itu med senare. Med denna "vattenfalls"-metod kan du justera mot större delar av organisationen och ger dina säkerhetsteam tid att justera till de nya verktygen och processerna.

  • Microsoft 365 genererar aviseringar när nätfiskemeddelanden med hög säkerhet tillåts av organisationens principer. Du har följande alternativ för att identifiera dessa meddelanden:

    • Åsidosätter i rapporten om skydd mot hot.
    • Filtrera i Hotutforskaren för att identifiera meddelandena.
    • Filtrera i Avancerad sökning för att identifiera meddelandena.

    Rapportera eventuella falska positiva resultat till Microsoft så tidigt som möjligt via administratörsinskick, använd funktionen tillåt / blockera lista för klientorganisation för att konfigurera säkra åsidosättningar för dessa falska positiva resultat.

  • Det är också en bra idé att undersöka onödiga åsidosättningar. Med andra ord, ta en titt på de bedömningar Microsoft 365 skulle ha angett i meddelandena. Om Microsoft365 återger rätt bedömning, minskar behovet av åsidosättning avsevärt eller tas bort.

Steg 7: Microsoft 365 skydd till alla användare och inaktivera e-postflödesregeln för SCL=-1

Gör stegen i det här avsnittet när du är redo att ändra MX-posterna så att de pekar på Microsoft 365.

  1. Utöka pilotprinciperna till hela organisationen. Det finns i grunden olika sätt att göra det på:

    • Använd förinställda säkerhetsprinciper och dela upp användarna mellan profilen för standardskydd och profilen För strikt skydd (kontrollera att alla omfattas). Förinställda säkerhetsprinciper används före eventuella anpassade principer som du har skapat eller standardprinciper. Du kan inaktivera dina enskilda pilotprinciper utan att ta bort dem.

      Nackdelen med förinställda säkerhetsprinciper är att du inte kan ändra många av de viktiga inställningarna när du har skapat dem.

    • Ändra omfattningen av de principer som du skapade och justerade under pilotens gång så att de omfattar alla användare (till exempel alla mottagare i alla domäner). Tänk på att om flera principer av samma typ (till exempel principer mot nätfiske) gäller för samma användare (individuellt, per gruppmedlemskap eller e-postdomän) tillämpas endast inställningarna för principen med högst prioritet (lägsta prioritetsnummer) och bearbetningsstopp för den typen av princip.

  2. Inaktivera e-postflödesregeln för SCL=-1 (du kan inaktivera den utan att ta bort den).

  3. Kontrollera att tidigare ändringar har verkställts och att Defender för Office 365 är aktiverat för alla användare. I det här läget tillåts nu alla skyddsfunktioner i Defender för Office 365 att agera för e-post för alla mottagare, men att e-post redan har skannats av din befintliga skyddstjänst.

Du kan pausa vid det här skedet för mer omfattande datainspelning och justering.

Steg 8: Ändra MX-posterna

Anteckning

  • När du byter MX-post för din domän kan det ta upp till 48 timmar innan ändringarna har spridits över hela Internet.

  • Vi rekommenderar att sänka TTL-värdet för dina DNS-poster för att ge snabbare svar och eventuell återställning (om det behövs). Du kan återgå till det ursprungliga TTL-värdet när övergången är klar och verifierad.

  • Du bör överväga att börja med att ändra domäner som används mer sällan. Du kan pausa och övervaka innan du flyttar till större domäner. Men även om du gör det bör du fortfarande se till att alla användare och domäner omfattas av principer, eftersom sekundära SMTP-domäner matchas med primära domäner före principprogrammet.

  • Flera MX-poster för en enskild domän fungerar tekniskt så att du kan ha delad routning, förutsatt att du har följt alla anvisningar i den här artikeln. Mer specifikt bör du se till att principer tillämpas på alla användare, att SCL=-1-e-postflödesregeln endast tillämpas på e-post som passerar genom den befintliga skyddstjänsten enligt beskrivningen i Konfiguration Steg 3: Underhålla eller skapa E-postflödesregeln för SCL=-1. Den här konfigurationen introducerar dock beteenden som gör felsökningen mycket svårare och därför rekommenderar vi det normalt inte, särskilt under längre perioder.

  • Innan du byter MX-post ska du kontrollera att följande inställningar inte är aktiverade på den inkommande anslutningen från skyddstjänsten till Microsoft 365. Vanligtvis har kopplingen en eller flera av följande inställningar konfigurerade:

    • och kräver att ämnesnamnet på certifikatet som partnern använder för att autentisera med Office 365 matchar domännamnet (RestrictDomainsToCertificate)
    • Avvisa e-postmeddelanden om de inte skickas inifrån det här IP-adressintervallet (RestrictDomainsToIPAddresses)

    Om kopplingstypen är Partner och någon av de här inställningarna är aktiverad kommer all e-postleverans till dina domäner att misslyckas när du har växlat mx-posterna. Du måste inaktivera de här inställningarna innan du fortsätter. Om kopplingen är en lokal koppling som används för hybriden behöver du inte ändra den lokala kopplingen. Men du kan fortfarande kontrollera om det finns en partnerkoppling .

  • Om din aktuella e-postgateway också tillhandahåller mottagarverifiering kanske du vill kontrollera att domänen är konfigurerad som auktoritativ i Microsoft 365. Det kan förhindra onödiga studsande meddelanden.

När du är klar byter du MX-posten för domänerna. Du kan migrera alla dina domäner på en gång. Eller så kan du migrera mindre vanliga domäner först och sedan migrera resten senare.

Du kan pausa och utvärdera här när som helst. Men kom ihåg att när du har inaktiverat e-postflödesregeln för SCL=-1 kan användarna ha två olika funktioner för att kontrollera falska positiva resultat. Ju tidigare du kan få en enda enhetlig upplevelse, desto nöjdare blir användarna och supportteamen när de får felsöka meddelandet som saknas.

Nästa steg

Grattis! Du har slutfört migreringen till Microsoft Defender för Office 365! Eftersom du följde stegen i den här migreringsguiden bör de första dagarna då e-post levereras direkt till Microsoft 365 mycket smidigare.

Nu startar du den normala åtgärden och underhållet av Defender för Office 365. Övervaka och titta efter problem som liknar de som upplevts under piloten, men i större skala. Förfalskningsinsikter och personifieringsinsikter är mest användbara, men tänk på att göra följande aktiviteter till en vanlig förekomst: