Migrera till Microsoft Defender för Office 365 – Fas 2: Installation

Gäller för:


Fas 1: Förbereda.
Fas 1: Förbereda
Fas 2: Konfigurera.
Fas 2: Konfigurera
Fas 3: Introduktion.
Fas 3: Introduktion
Du är här!

Välkommen till Steg 2: Installationen av migreringen till Microsoft Defender för Office 365! Den här migreringsfasen omfattar följande steg:

  1. Skapa distributionsgrupper för pilotanvändare
  2. Konfigurera användarinskickning för meddelanderapportering
  3. Underhålla eller skapa e-postflödesregeln SCL=-1
  4. Konfigurera utökad filtrering för kopplingar
  5. Skapa pilotskyddsprinciper

Steg 1: Skapa distributionsgrupper för pilotanvändare

Distributionsgrupper måste i Microsoft 365 för följande aspekter av migreringen:

  • Undantag för e-postflödesregeln för SCL=-1: Du vill att pilotanvändarna ska få full effekt av Defender för Office 365-skydd, så du behöver att deras inkommande meddelanden genomsöks av Defender för Office 365. Det gör du genom att definiera pilotanvändarna i lämpliga distributionsgrupper i Microsoft 365 och konfigurera de här grupperna som undantag till e-postflödesregeln för SCL=-1.

    Som vi beskrev i steg 2: (Valfritt) Undanta pilotanvändare från filtrering genom din befintliga skyddstjänst bör du överväga att undanta samma pilotanvändare från skanning genom din befintliga skyddstjänst. Att eliminera möjligheten att filtrera med din befintliga skyddstjänst och bara förlita dig på Defender för Office 365 är den bästa och närmaste representationen av vad som kommer att hända efter migreringen.

  • Testning av specifika Defender Office 365 skyddsfunktioner: Även för pilotanvändare vill du inte aktivera allt på en gång. Om du fasar ut de skyddsfunktioner som är i kraft för pilotanvändarna blir felsökningen och justeringen mycket enklare. Vi rekommenderar följande distributionsgrupper med den här metoden i åtanke:

    • En Valv pilotgrupp för bifogade filer: Till exempel MDOPilotSafeAttachments_
    • En Valv för länkar: Till exempel MDOPilotSafeLinks_
    • En pilotgrupp för standardinställningar för skydd mot skräppost och nätfiske: Till exempel MDOPilotSpamPhishStandard__
    • En pilotgrupp för strikta policyinställningar för skydd mot skräppost och nätfiske: Till exempel MDOPilotSpamPhishStrict__

Vi använder dessa specifika gruppnamn i den här artikeln, men du kan använda dina egna namngivningskonventioner.

När du är redo att börja testa lägger du till grupperna som undantag i e-postflödesregeln för SCL=-1. När du skapar principer för de olika skyddsfunktioner i Defender för Office 365, kommer du att använda dessa grupper som villkor som definierar vem principen gäller.

Anteckningar:

  • Termerna Standard och Strikt kommer från våra rekommenderade säkerhetsinställningar, som också används i förinställda säkerhetsprinciper. Under idealiska som helst bör vi tala om för dig att definiera dina pilotanvändare i de standard- och strikt förinställda säkerhetsprinciperna, men vi kan inte göra det. Varför? Eftersom du inte kan anpassa inställningarna i förinställda säkerhetsprinciper (särskilt åtgärder som vidtas på meddelanden eller justering av inställningar för personifieringsskydd). Under migreringstestningen kan du se vad Defender för Office 365 skulle göra med meddelanden, kontrollera att du vill göra det och eventuellt justera principkonfigurationerna för att tillåta eller förhindra dessa resultat.

    I stället för att använda förinställda säkerhetsprinciper kommer du därför att manuellt skapa anpassade principer med inställningar som påminner mycket om varandra, men i vissa fall skiljer sig inställningarna för förvalda säkerhetsprinciper enligt Standard och Strikt.

  • Om du vill experimentera med inställningar som avsevärt skiljer sig från våra rekommenderade standardvärden eller striktvärden bör du överväga att skapa och använda ytterligare och specifika distributionsgrupper för pilotanvändarna i de scenarierna. Du kan använda Configuration Analyzer för att se hur säkra dina inställningar är. Instruktioner finns i Konfigurationsanalys för skyddsprinciper i EOP och Microsoft Defender för Office 365.

    För de flesta organisationer är det bäst att börja med principer som ligger nära våra rekommenderade standardinställningar. Efter så mycket observation och feedback som du kan göra under den tillgängliga tidsperioden kan du gå över till mer aggressiva inställningar senare. Personifieringsskydd och -leverans till mappen Skräppost och leverans till karantän kan kräva anpassning.

    Om du använder anpassade principer ser du bara till att de tillämpas före de principer som innehåller våra rekommenderade inställningar för migreringen. Om en användare identifieras i flera principer av samma typ (till exempel skydd mot nätfiske) tillämpas endast en av den typens principer på användaren (baserat på prioritetsvärdet för principen). Mer information finns i Ordning och prioritet för e-postskydd.

Steg 2: Konfigurera inskickad användare för meddelanderapportering

Möjligheten för användare att identifiera falska positiva och falska negativa identifieringar från Defender för Office 365 är en viktig del av migreringen.

Du kan ange Exchange Online postlådan ska ta emot meddelanden som användarna rapporterar som skadliga. Fler instruktioner finns i Inställningar för användarrapporter. Den här postlådan kan ta emot kopior av meddelanden som dina användare skickat till Microsoft, eller så kan postlådan snappa upp meddelanden utan att rapportera dem till Microsoft (ditt säkerhetsteam kan manuellt analysera och skicka meddelanden). Men denna avlyssningsmetod tillåter inte att tjänsten automatiskt finjusterar och lär sig.

Du bör också bekräfta att alla användare i piloten har ett meddelanderapporteringsprogram som stöds installerat i Outlook som är kompatibelt med användarinskick. De här apparna omfattar:

Se inte till att det här steget är viktigt. Data från användarinskickade användare ger dig feedbackslingan som du behöver för att kontrollera en bra och konsekvent slutanvändarupplevelse före och efter migreringen. Den här feedbacken hjälper dig att fatta välgrundade konfigurationsbeslut och att tillhandahålla databackade rapporter till hanteringen av migreringen.

I stället för att förlita sig på data som backas upp av hela organisationens upplevelse har mer än en migrering lett till känslomässiga känslor baserat på en enstaka negativ användarupplevelse. Om du har kört nätfiskebedrägerier kan du dessutom använda feedback från dina användare för att informera dig när de ser något riskabelt som kan kräva undersökning.

Steg 3: Underhålla eller skapa e-postflödesregeln SCL=-1

Eftersom din inkommande e-post dirigeras genom en annan skyddstjänst som sitter framför Microsoft 365 är det mycket troligt att du redan har en e-postflödesregel (kallas även transportregel) i Exchange Online som anger konfidensnivån för skräppost (SCL) för all inkommande e-post till värdet -1 (kringgå skräppostfiltrering). De flesta e-postflödestjänster från tredje part uppmuntrar den här e-postflödesregeln Microsoft 365 kunder som vill använda sina tjänster.

Om du använder någon annan mekanism för att åsidosätta Microsoft-filtreringsstacken (till exempel en lista över tillåtna IP-adresser) rekommenderar vi att du byter till en SCL=-1-e-postflödesregel så länge all inkommande Internet-e-post till Microsoft 365 kommer från tredje parts skyddstjänst (inga e-postmeddelanden flödar direkt från Internet till Microsoft 365).

E-postflödesregeln för SCL=-1 är viktig under migreringen av följande anledningar:

  • Du kan använda Threat Explorer för att se vilka funktioner i Microsoft-stacken som skulle ha agerat på meddelanden utan att påverka resultatet från din befintliga skyddstjänst.

  • Du kan gradvis justera vem som skyddas av Microsoft 365 genom att konfigurera undantag till e-postflödesregeln SCL=-1. Undantagen blir medlemmar i pilotdistributionsgrupperna som vi rekommenderar längre fram i den här artikeln.

    Före eller under mx-postens tid för Microsoft 365 inaktiverar du den här regeln för att aktivera det fullständiga skyddet för Microsoft 365 skydd för alla mottagare i organisationen.

Mer information finns i Använda e-postflödesregler för att ange SCL (Spam Confidence Level) i meddelanden i Exchange Online.

Anmärkningar:

  • Om du planerar att låta Internet-e-post flöda genom din befintliga skyddstjänst och direkt till Microsoft 365 samtidigt måste du begränsa e-postflödesregeln för SCL=-1 (e-post som kringgår skräppostfiltrering) till e-post som bara går genom din befintliga skyddstjänst. Du vill inte att ofiltrerad internet-e-postlandning ska kunna skickas till användarnas Microsoft 365.

    Om du vill identifiera e-post som redan har sökts igenom av den befintliga skyddstjänsten kan du lägga till ett villkor i e-postflödesregeln SCL=-1. Till exempel:

    • För molnbaserade skyddstjänster: Du kan använda ett sidhuvud- och rubrikvärde som är unikt för din organisation. Meddelanden med sidhuvudet genomsöks inte av Microsoft 365. Meddelanden utan sidhuvud skannas av Microsoft 365
    • För lokala skyddstjänster eller enheter: Du kan använda käll-IP-adresser. Meddelanden från käll-IP-adresserna genomsöks inte av Microsoft 365. Meddelanden som inte kommer från käll-IP-adresserna skannas av Microsoft 365.
  • Förlita dig inte enbart på MX-poster för att styra om e-post filtreras. Avsändare kan enkelt ignorera MX-posten och skicka e-post direkt till Microsoft 365.

Steg 4: Konfigurera utökad filtrering för kopplingar

Det första du kan göra är att konfigurera utökad filtrering för kopplingar (kallas även hoppa över posten) för den koppling som används för e-postflödet från den befintliga skyddstjänsten till Microsoft 365. Du kan använda rapporten Inkommande meddelanden för att identifiera kopplingen.

Förbättrad filtrering för kopplingar krävs av Defender för att Office 365 se var internetmeddelanden faktiskt kommer från. Förbättrad filtrering för kopplingar förbättrar avsevärt noggrannheten i Microsoft-filtreringsstacken (särskilt förfalskningsinformation samt funktioner efter intrång i Threat Explorer och Automated Investigation & Response (AIR).

Om du vill aktivera utökad filtrering för kopplingar på rätt sätt måste du lägga till offentliga IP-adresser **** för alla tredjepartstjänster och/eller lokala e-postsystemvärdar som dirigerar inkommande e-post till Microsoft 365.

Bekräfta att Utökad filtrering för kopplingar fungerar genom att kontrollera att inkommande meddelanden innehåller ett eller båda av följande rubriker:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

Steg 5: Skapa pilotskyddsprinciper

Genom att skapa produktionsprinciper, även om de inte tillämpas för alla användare, kan du testa funktioner efter intrång som Threat Explorer och testa integrering av Defender för Office 365 i dina processer för säkerhetssvarsteamet.

Viktigt

Principer kan vara begränsade till användare, grupper eller domäner. Vi rekommenderar inte att alla tre blandas i en princip eftersom bara användare som matchar alla tre faller inom principens omfattning. För pilotprinciper rekommenderar vi att du använder grupper eller användare. För produktionsprinciper rekommenderar vi att du använder domäner. Det är mycket viktigt att förstå att det är bara användarens primära e-postdomän som avgör om användaren faller inom principens omfattning. Så om du byter MX-post för en användares sekundära domän ska du se till att användarens primära domän också omfattas av en princip.

Skapa principer för Valv för bifogade filer

Valv bifogade filer är den enklaste Defender Office 365 att aktivera och testa innan du byter MX-post. Valv bifogade filer har följande fördelar:

  • Minimal konfiguration.
  • Mycket låg risk för falska positiva resultat.
  • Liknande beteende som skydd mot skadlig programvara, som alltid är på och inte påverkas av E-postflödesregeln för SCL=-1.

Skapa en Valv för bifogade filer för dina pilotanvändare.

Rekommenderade inställningar finns i Rekommenderade inställningar Valv principinställningar för bifogade filer. Observera att rekommendationerna Standard och Strikt är desamma. Information om hur du skapar principen finns i Valv principer för bifogade filer. Se till att du använder gruppens MDOPilotSafeAttachments_ som villkor för principen (vem principen gäller för).

Viktigt

Det finns i dag ingen standardprincip Valv för bifogade filer. Innan du byter MX-poster rekommenderar vi att du har en Valv för bifogade filer som skyddar hela organisationen.

Anteckning

Vi har inte stöd för att radbruta eller skriva om redan radbrutna eller omskrivna länkar. Om din aktuella skyddstjänst redan radbryts eller omsignera länkar i e-postmeddelanden måste du inaktivera den här funktionen för pilotanvändarna. Ett sätt att se till att det inte sker är att utesluta URL-domänen för den andra tjänsten Valv Links.

Valv skydd för länkar som Office-appar är en global inställning som gäller för alla licensierade användare. Du kan aktivera eller inaktivera det globalt, inte för specifika användare. Mer information finns i Konfigurera Valv för länkar för Office 365 appar.

Skapa en Valv för dina pilotanvändare. Risken för falska positiva resultat Valv länkar är också ganska låg, men du bör överväga att testa funktionen på ett mindre antal pilotanvändare än om du Valv bilagor. Eftersom funktionen påverkar användarupplevelsen bör du överväga en plan för att utbilda användarna.

Rekommenderade inställningar finns i rekommenderade inställningar Valv principinställningar för länkar. Observera att rekommendationerna Standard och Strikt är desamma. Information om hur du skapar principen finns i Valv principer för länkar. Se till att du använder gruppens MDOPilotSafeLinks_ som villkor för principen (vem principen gäller för).

Viktigt

I dag finns det ingen standardprincip Valv länkar. Innan du byter MX-poster rekommenderar vi att du har en Valv-princip som skyddar hela organisationen.

Skapa pilotprinciper för skydd mot skräppost

Skapa två principer för skydd mot skräppost för pilotanvändare:

  • En princip som använder standardinställningarna. Använd gruppen MDOPilotSpamPhishStandard__ som villkor för principen (vem principen gäller för).
  • En princip som använder strikt inställningar. Använd gruppen MDOPilotSpamPhishStrict__ som villkor för principen (vem principen gäller för). Den här principen bör ha högre prioritet (lägre tal) än principen med standardinställningarna.

Rekommenderade standardinställningar och strikt-inställningar finns i Rekommenderade inställningar för skydd mot skräppost. Information om hur du skapar principerna finns i Konfigurera principer för skräppostskydd.

Skapa pilotprinciper för skydd mot nätfiske

Skapa två principer mot nätfiske för pilotanvändare:

  • En princip som använder standardinställningarna, med undantag för identifieringsåtgärder för personifiering enligt beskrivningen nedan. Använd gruppen MDOPilotSpamPhishStandard__ som villkor för principen (vem principen gäller för).
  • En princip som använder inställningarna Strikt, förutom identifieringsåtgärder för personifiering enligt beskrivningen nedan. Använd gruppen MDOPilotSpamPhishStrict__ som villkor för principen (vem principen gäller för). Den här principen bör ha högre prioritet (lägre tal) än principen med standardinställningarna.

För förfalskning är den rekommenderade standardåtgärden Flytta meddelandet till mottagarnas skräppostmappar och den rekommenderade strikt-åtgärden är att sätta meddelandet i karantän. Använd förfalskningsinformation för att observera resultaten. I nästa avsnitt beskrivs åsidosättningar. Mer information finns i Insikt om förfalskningsinformation i EOP.

Vid identifiering av personifiering ignorerar du rekommenderade standard- och strikt-åtgärder för pilotprinciperna. Använd i stället värdet Använd inte någon åtgärd för följande inställningar:

  • Om meddelandet identifieras som en imiterad användare
  • Om meddelandet identifieras som imiterad domän
  • Om postlådeinformation identifierar en imiterad användare

Använd personifieringsinsikten för att observera resultaten. Mer information finns i Personifieringsinsikt i Defender för Office 365.

Du kommer att finjustera förfalskningsskyddet (anpassa tillbud och blockeringar) och aktivera varje personifieringsskyddsåtgärd för att sätta meddelanden i karantän eller flytta dem till mappen Skräppost (baserat på rekommendationerna Standard eller Strikt). Du kan observera resultaten och justera inställningarna efter behov.

Mer information finns i följande avsnitt:

Nästa steg

Grattis! Du har slutfört konfigurationsfasen av migreringen till Microsoft Defender för Office 365!