Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен рабочий процесс для пилотного развертывания и развертывания Microsoft Defender для Office 365 в организации. Эти рекомендации можно использовать для подключения Microsoft Defender для Office 365 в качестве отдельного средства кибербезопасности или в составе комплексного решения с Microsoft Defender XDR.
В этой статье предполагается, что у вас есть рабочий клиент Microsoft 365 и вы выполняете пилотное развертывание Microsoft Defender для Office 365 в этой среде. Эта практика будет поддерживать все параметры и настройки, настроенные во время пилотного проекта для полного развертывания.
Defender для Office 365 вносит свой вклад в архитектуру "Никому не доверяй", помогая предотвратить или уменьшить ущерб для бизнеса от нарушения безопасности. Дополнительные сведения см. в статье Предотвращение или уменьшение ущерба для бизнеса в результате нарушения бизнес-сценария платформы внедрения "Никому не доверяй" (Майкрософт).
Совет
Сведения о настройке защиты для Microsoft Teams см. в следующих статьях:
Комплексное развертывание для Microsoft Defender XDR
Это статья 3 из 6 в серии, помогающая развернуть компоненты Microsoft Defender XDR, включая расследование инцидентов и реагирование на них.
Статьи этой серии соответствуют следующим этапам комплексного развертывания:
| Этап | Ссылка |
|---|---|
| A. Запуск пилотного проекта | Запуск пилотного проекта |
| Б. Пилотное внедрение и развертывание компонентов Microsoft Defender XDR |
-
Опробуйте и разверните Defender for Identity - Пилотный проект и развертывание Defender для Office 365 (эта статья) - Пилотное внедрение и развертывание Defender for Endpoint - Пилотное внедрение и развертывание Microsoft Defender for Cloud Apps |
| C. Исследование угроз и реагирование на них | Практическое исследование инцидентов и реагирование на инциденты |
Пилотное внедрение и развертывание процесса для Defender для Office 365
На следующей схеме показан общий процесс развертывания продукта или службы в ИТ-среде.
Вы начинаете с оценки продукта или службы и того, как они будут работать в вашей организации. Затем вы пилотируете продукт или службу с подходящим небольшим подмножеством производственной инфраструктуры для тестирования, обучения и настройки. Затем постепенно увеличивайте область развертывания, пока не будет охвачена вся инфраструктура или организация.
Ниже приведен рабочий процесс для пилотного развертывания и развертывания Defender для Office 365 в рабочей среде.
Выполните следующие действия:
- Проверьте и подтвердите общедоступную запись MX
- Аудит принятых доменов
- Аудит входящих соединителей
- Активация оценки
- Создание пилотных групп
- Настройка защиты
- Опробуйте возможности
Ниже приведены рекомендуемые действия для каждого этапа развертывания.
| Этап развертывания | Описание |
|---|---|
| Оценка | Выполните оценку продукта для Defender для Office 365. |
| Пилотный проект | Выполните шаги 1–7 для пилотных групп. |
| Полное развертывание | Настройте пилотные группы пользователей на шаге 5 или добавьте группы пользователей, чтобы выйти за рамки пилотного проекта и в конечном итоге включить все учетные записи пользователей. |
Архитектура и требования Defender для Office 365
На следующей схеме показана базовая архитектура для Microsoft Defender для Office 365, которая может включать в себя сторонний шлюз SMTP или локальную интеграцию. Сценарии гибридного сосуществования (то есть рабочие почтовые ящики являются как локальными, так и сетевыми) требуют более сложных конфигураций и не рассматриваются в этой статье или руководстве по оценке.
Эта иллюстрация описана в следующей таблице.
| Выноска | Описание |
|---|---|
| 1 | Хост-сервер внешнего отправителя обычно выполняет публичный DNS-запрос записи MX, которая указывает целевой сервер для ретрансляции сообщения. Это перенаправление может указывать либо непосредственно на Exchange Online (EXO), либо на шлюз SMTP, настроенный для ретрансляции через EXO. |
| 2 | Встроенные функции безопасности для всех облачных почтовых ящиков согласовывают и проверяют входящее подключение, а также проверяют заголовки и содержимое сообщений, чтобы определить, какие дополнительные политики, теги или обработка требуются. |
| 3 | Exchange Online интегрируется с Microsoft Defender для Office 365, чтобы обеспечить более расширенную защиту от угроз, их устранение и исправление. |
| 4 | Сообщение, которое не является вредоносным, не заблокированным или помещенным в карантин, обрабатывается и доставляется получателю в EXO, где оцениваются и активируются пользовательские настройки, связанные с нежелательной почтой, правилами почтовых ящиков или другими параметрами. |
| 5 | Интеграцию с локальной службой Active Directory можно настроить с помощью Microsoft Entra Connect для синхронизации и подготовки почтовых объектов и учетных записей в Microsoft Entra ID и, в конечном итоге, в Exchange Online. |
| 6 | При интеграции локальной среды рекомендуется использовать сервер Exchange Server для поддерживаемого управления атрибутами, параметрами и конфигурациями, связанными с почтой. |
| 7 | Microsoft Defender для Office 365 передает сигналы Microsoft Defender XDR для расширенного обнаружения и реагирования (XDR). |
Локальная интеграция является распространенной, но необязательной. Если ваша среда доступна только для облака, это руководство также подходит для вас.
Для успешной оценки Defender для Office 365 или пилотного проекта в рабочей среде требуются следующие предварительные требования:
- Все почтовые ящики получателей в настоящее время находятся в Exchange Online.
- Ваша общедоступная запись MX указывает напрямую на Microsoft 365 или на сторонний шлюз протокола Simple Mail Transfer Protocol (SMTP), который затем пересылает входящие внешние сообщения электронной почты напрямую в Microsoft 365.
- Основной домен электронной почты настроен как полномочный в Exchange Online.
- Вы успешно развернули и настроили блокировку пограничных границ на основе каталога (DBEB) соответствующим образом. Дополнительные сведения см. в статье Использование блокировки Directory-Based Edge для отклонения сообщений, отправленных недопустимым получателям.
Важно!
Если эти требования не применимы или вы по-прежнему находитесь в сценарии гибридного сосуществования, Microsoft Defender для оценки Office 365 может потребовать более сложных или расширенных конфигураций, которые не полностью охвачены в этом руководстве.
Шаг 1. Аудит и проверка общедоступной записи MX
Чтобы эффективно оценить Microsoft Defender для Office 365, важно, чтобы входящие внешние сообщения электронной почты ретранслировались через встроенные функции безопасности для всех облачных почтовых ящиков.
- В центре администрирования M365 по адресу https://admin.microsoft.com, при необходимости разверните ...Показать все, разверните Параметры, а затем выберите Домены. Или, чтобы перейти непосредственно на страницу Домены , используйте https://admin.microsoft.com/Adminportal/Home#/Domains.
- На странице Домены выберите подтверждённый домен электронной почты, щёлкнув в любом месте строки, кроме флажка.
- Во всплывающем окне сведений о домене выберите вкладку Записи DNS . Запишите запись MX, созданную и назначенную вашему клиенту.
- Откройте внешнюю (публичную) зону DNS и проверьте основную запись MX, связанную с вашим почтовым доменом:
- Если ваша общедоступная запись MX в настоящее время соответствует назначенному адресу (например, contoso-com.mail.protection.outlook.com), дальнейшие изменения маршрутизации не требуются.
- Если ваша общедоступная запись MX в настоящее время указывает на сторонний или локально размещённый SMTP-шлюз, могут потребоваться дополнительные настройки маршрутизации.
- Если ваша общедоступная запись MX в настоящее время указывает на локальный сервер Exchange, возможно, вы по-прежнему работаете в гибридной среде, где некоторые почтовые ящики получателей еще не перенесены в EXO.
Шаг 2. Аудит принятых доменов
- В центре администрирования Exchange (EAC) по адресу https://admin.exchange.microsoft.com, разверните Поток почты, а затем выберите Принятые домены. Или, чтобы перейти непосредственно на страницу Принятые домены , используйте https://admin.exchange.microsoft.com/#/accepteddomains.
- На странице Принятые домены запишите значение Типа домена для основного домена электронной почты.
- Если для типа домена задано значение "Полномочный", предполагается, что все почтовые ящики получателей вашей организации в настоящее время находятся в Exchange Online.
- Если для типа домена задано значение InternalRelay, возможно, вы по-прежнему используете гибридную модель, в которой некоторые почтовые ящики получателей по-прежнему находятся в локальной среде.
Шаг 3. Аудит входящих соединителей
- В Центре администрирования Exchange (EAC) на странице https://admin.exchange.microsoft.com выберите Поток обработки почты, а затем щелкните Соединения. Или перейдите непосредственно на страницу Соединители по ссылке https://admin.exchange.microsoft.com/#/connectors.
- На странице Соединители запишите все соединители со следующими параметрами:
- Значение From — это организация партнера , которая может коррелировать со сторонним SMTP-шлюзом.
- Значение From — Ваша организация, что может указывать на то, что вы по-прежнему используете гибридную конфигурацию.
Шаг 4. Активация оценки
Используйте приведенные здесь инструкции, чтобы активировать Microsoft Defender для оценки Office 365 на портале Microsoft Defender.
Подробные сведения см. в статье Try Microsoft Defender для Office 365.
На портале Microsoft Defender по адресу https://security.microsoft.com разверните Электронная почта и совместная работа>, выберите Политики и правила>, выберите Политики угроз>, прокрутите вниз до раздела Другие, а затем выберите Режим оценки. Или, чтобы перейти непосредственно на страницу режима оценки , используйте https://security.microsoft.com/atpEvaluation.
На странице Режим оценки нажмите кнопку Начать оценку.
В диалоговом окне Включение защиты выберите Нет, мне нужны только отчеты, а затем нажмите кнопку Продолжить.
В диалоговом окне Выберите пользователей, которых вы хотите включить , выберите Все пользователи и нажмите кнопку Продолжить.
В диалоговом окне Помогите нам понять поток обработки почты автоматически выбирается один из следующих параметров в зависимости от обнаружения записи MX для вашего домена:
Я использую только Microsoft Exchange Online: записи MX для вашего домена указывают на Microsoft 365. Ничего не нужно настраивать, поэтому нажмите кнопку Готово.
Я использую стороннего или локального поставщика услуг. На предстоящих экранах выберите имя поставщика и входящий соединитель, который принимает почту из этого решения. Вам также нужно решить, требуется ли правило обработки почтового потока в Exchange Online (также известное как транспортное правило), которое обходит фильтрацию спама для входящих сообщений от сторонней службы или устройства защиты. Закончив, нажмите кнопку Готово.
Шаг 5. Создание пилотных групп
При пилотном развертывании Microsoft Defender для Office 365 вы можете сначала выбрать отдельных пользователей, прежде чем включить и применить политики для всей организации. Создание групп рассылки может помочь управлять процессами развертывания. Например, создайте такие группы, как Defender для пользователей Office 365 — защита Standard, Defender для пользователей Office 365 — строгая защита, Defender для пользователей Office 365 — настраиваемая защита или Defender для пользователей Office 365 — исключения.
Возможно, не очевидно, почему термины "Standard" и "Строгий" используются для этих групп, но это станет ясно, когда вы узнаете больше о предустановках безопасности Defender для Office 365. Названия групп «custom» и «exceptions» говорят сами за себя, и хотя большинство ваших пользователей должно относиться к стандартной и строгой группам, группы custom и exceptions помогут вам собрать ценные данные для управления рисками.
Группы рассылки можно создавать и настраивать непосредственно в Exchange Online или синхронизировать из локальной службы Active Directory.
Войдите в Центр администрирования Exchange (EAC) в https://admin.exchange.microsoft.com с помощью учетной записи, которой назначена роль администратора получателей или которой делегированы разрешения на управление группами.
Перейдите в раздел Группы получателей>.
На странице Группы выберите
Добавьте группу.Для типа группы выберите Распространение, а затем нажмите кнопку Далее.
Присвойте группе имя и необязательное описание, а затем нажмите кнопку Далее.
На остальных страницах назначьте владельца, добавьте участников в группу, задайте адрес электронной почты, ограничения присоединения и отъезда и другие параметры.
Шаг 6. Настройка защиты
Некоторые возможности в Defender для Office 365 настраиваются и включены по умолчанию, но операции безопасности могут потребовать повышения уровня защиты по умолчанию.
Некоторые возможности еще не настроены. У вас есть следующие параметры для настройки защиты (которые легко изменить позже):
Назначение пользователям предустановленных политик безопасности. Предустановленные политики безопасности — это рекомендуемый метод для быстрого назначения единообразного уровня защиты для всех возможностей. Вы можете выбрать стандартную или строгую защиту. Параметры для Standard и Strict описаны в таблицах здесь. Различия между Standard и Strict приведены в таблице ниже.
Преимущества предустановленных политик безопасности — вы максимально быстро защищаете группы пользователей с помощью рекомендуемых параметров Майкрософт на основе наблюдений в центрах обработки данных. По мере добавления новых возможностей защиты и изменения ландшафта безопасности параметры в предустановленных политиках безопасности автоматически обновляются до рекомендуемых параметров.
Недостаток предустановленных политик безопасности заключается в том, что в них нельзя настроить практически никакие параметры безопасности (например, нельзя изменить действие с доставки в папку "Нежелательная почта" на карантин и наоборот). Исключение составляют записи и необязательные исключения, связанные с имперсонацией пользователя и защитой от имперсонации домена, которые необходимо настроить вручную.
Кроме того, помните, что предустановленные политики безопасности всегда применяются перед пользовательскими политиками. Таким образом, если вы хотите создать и использовать какие-либо настраиваемые политики, необходимо исключить пользователей из этих настраиваемых политик из предустановленных политик безопасности.
Настройка настраиваемых политик защиты. Если вы предпочитаете настроить среду самостоятельно, сравните параметры по умолчанию, Standard и Строгие в разделе Рекомендуемые параметры политики угроз электронной почты и совместной работы для облачных организаций. Ведите таблицу, где указано, чем ваша пользовательская сборка отличается.
Анализатор конфигурации также можно использовать для сравнения параметров в пользовательских политиках со значениями Standard и Strict.
Подробные сведения о выборе предустановленных политик безопасности и пользовательских политик см. в статье Определение стратегии политики защиты.
Назначение предустановленных политик безопасности
Рекомендуется начать с предустановленных политик безопасности , назначив их определенным пользователям пилотного проекта или определенным группам в рамках оценки. Предустановленные политики предлагают базовый Standard шаблон защиты или более агрессивный шаблон строгой защиты, который можно назначать независимо.
Например, можно применить условие для встроенных функций безопасности для всех облачных почтовых ящиков для пилотных оценок, если получатели являются членами определенной встроенной группы защиты Standard. Вы определяете, кто получает или не получает защиту, управляя членством в группе.
Аналогичным образом можно применить условие для Defender для Office 365 в рамках пилотного тестирования, если получатели являются членами определенной группы Стандартная защита Defender для Office 365. Вы определяете, кто получает или не получает защиту, управляя членством в группе.
Полные инструкции см. в статье Использование портала Microsoft Defender для назначения пользователям стандартных и строгих предустановленных политик безопасности.
Настройка настраиваемых политик защиты
Предварительно определенные шаблоны политик Standard или Strict Defender для Office 365 предоставляют пользователям пилотного проекта рекомендуемую базовую защиту. Однако вы также можете создавать и назначать настраиваемые политики защиты в рамках оценки.
Важно учитывать, какой приоритет имеют эти политики защиты при их применении и обеспечении соблюдения, как описано в разделе Порядок применения предустановленных политик безопасности и других политик.
Описание и таблица в разделе Настройка политик защиты содержит удобные справочные сведения о том, что необходимо настроить.
Шаг 7. Опробуйте возможности
Теперь, когда пилотный проект настроен и настроен, полезно ознакомиться с инструментами создания отчетов, мониторинга и моделирования атак, которые уникальны для Microsoft Defender для Microsoft 365.
| Возможность | Описание | Дополнительная информация |
|---|---|---|
| Обозреватель угроз | Обозреватель угроз — это мощный инструмент практически в режиме реального времени, помогающий группам по операциям безопасности исследовать угрозы и реагировать на них, а также отображать сведения об обнаруженных вредоносных программах и фишинге в электронной почте и файлах в Office 365, а также другие угрозы безопасности и риски для вашей организации. | О Threat Explorer |
| Обучение симуляции атаки | Вы можете использовать Обучение эмуляции атак на портале Microsoft Defender для выполнения реалистичных сценариев атак в организации, которые помогают выявлять и находить уязвимых пользователей до того, как реальная атака повлияет на вашу среду. | Начало использования обучения симуляции атаки |
| Панель отчетов | В меню навигации слева щелкните «Отчеты» и разверните раздел «Электронная почта и совместная работа». Отчеты об электронной почте и совместной работе предназначены для выявления тенденций в области безопасности: некоторые из них позволяют выполнять действия с помощью кнопок, таких как «Перейти к отправкам», а другие показывают тенденции. Эти метрики создаются автоматически. |
Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender Просмотр отчетов Defender для Office 365 на портале Microsoft Defender |
Интеграция SIEM
Вы можете интегрировать Defender для Office 365 с Microsoft Sentinel или универсальной службой управления информационной безопасностью и событиями безопасности (SIEM), чтобы обеспечить централизованный мониторинг оповещений и действий из подключенных приложений. С помощью Microsoft Sentinel вы можете более полно анализировать события безопасности в организации и создавать сборники схем для эффективного и немедленного реагирования.
Microsoft Sentinel включает соединитель Defender для Office 365. Дополнительные сведения см. в статье Подключение оповещений из Microsoft Defender для Office 365.
Microsoft Defender для Office 365 также можно интегрировать в другие решения SIEM с помощью API управления действиями Office 365. Сведения об интеграции с универсальными системами SIEM см. в разделе Универсальная интеграция SIEM.
Следующее действие
Включите информацию из руководства по операциям безопасности Microsoft Defender для Office 365 в процессы SecOps.
Следующий шаг для комплексного развертывания Microsoft Defender XDR
Продолжайте комплексное развертывание Microsoft Defender XDR с помощью пилотного проекта и разверните Defender для конечной точки.
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.