Migrieren zu Microsoft Defender for Office 365 – Phase 3: Onboarding


Phase 1: Vorbereiten.
Phase 1: Vorbereiten
Phase 2: Einrichten.
Phase 2: Einrichten
Phase 3: Onboarding.
Phase 3: Onboarding
Sie sind hier!

Willkommen bei Phase 3: Onboarding Ihrer Migration zu Microsoft Defender for Office 365! Diese Migrationsphase umfasst die folgenden Schritte:

  1. Starten des Onboardings von Sicherheitsteams
  2. (Optional) Ausschließen von Pilotbenutzern von der Filterung nach Ihrem vorhandenen Schutzdienst
  3. Optimieren der Spoofintelligenz
  4. Optimieren des Identitätswechselschutzes und der Postfachintelligenz
  5. Verwenden von Daten aus vom Benutzer gemeldeten Nachrichten zum Messen und Anpassen
  6. (Optional) Hinzufügen weiterer Benutzer zu Ihrem Pilotprojekt und Durchlaufen
  7. Erweitern des Microsoft 365-Schutzes auf alle Benutzer und Deaktivieren der SCL=-1-Nachrichtenflussregel
  8. Wechseln Ihrer MX-Einträge

Schritt 1: Starten des Onboardings von Sicherheitsteams

Wenn Ihr organization über ein Security Response-Team verfügt, ist es jetzt an der Zeit, Microsoft Defender for Office 365 in Ihre Reaktionsprozesse zu integrieren, einschließlich Ticketingsystemen. Dieser Prozess ist ein ganzes Thema für sich selbst, wird aber manchmal übersehen. Die frühzeitige Einbindung des Sicherheitsreaktionsteams stellt sicher, dass Ihr organization bereit ist, mit Bedrohungen umzugehen, wenn Sie Ihre MX-Einträge wechseln. Die Reaktion auf Vorfälle muss gut ausgestattet sein, um die folgenden Aufgaben zu bewältigen:

Wenn Ihre organization Microsoft Defender for Office 365 Plan 2 erworben haben, sollten sie sich mit Features wie Bedrohungs-Explorer, Erweiterte Suche und Incidents vertraut machen und diese verwenden. Relevante Schulungen finden Sie unter https://aka.ms/mdoninja.

Wenn Ihr Sicherheitsreaktionsteam ungefilterte Nachrichten sammelt und analysiert, können Sie ein SecOps-Postfach für den Empfang dieser ungefilterten Nachrichten konfigurieren. Anweisungen finden Sie unter Konfigurieren von SecOps-Postfächern in der erweiterten Übermittlungsrichtlinie.

SIEM/SOAR

Weitere Informationen zur Integration in Siem/SOAR finden Sie in den folgenden Artikeln:

Wenn Ihr organization weder über ein Sicherheitsreaktionsteam noch über vorhandene Prozessabläufe verfügt, können Sie sich dieses Mal mit den grundlegenden Hunting- und Antwortfeatures in Defender for Office 365 vertraut machen. Weitere Informationen finden Sie unter Untersuchung und Reaktion auf Bedrohungen.

RBAC-Rollen

Berechtigungen in Defender for Office 365 basieren auf der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) und werden unter Berechtigungen im Microsoft Defender-Portal erläutert. Hier sind die wichtigen Punkte, die Sie beachten sollten:

  • Microsoft Entra Rollen erteilen Berechtigungen für alle Workloads in Microsoft 365. Wenn Sie z. B. einen Benutzer zum Sicherheitsadministrator im Azure-Portal hinzufügen, verfügt dieser überall über Sicherheitsadministratorberechtigungen.
  • Email & Rollen für die Zusammenarbeit im Microsoft Defender-Portal erteilen Berechtigungen für das Microsoft Defender-Portal und die Microsoft Purview-Complianceportal. Wenn Sie beispielsweise einen Benutzer im Microsoft Defender-Portal zum Sicherheitsadministrator hinzufügen, hat dieser zugriff nur im Microsoft Defender-Portal und im Microsoft Purview-Complianceportal.
  • Viele Features im Microsoft Defender-Portal basieren auf Exchange Online PowerShell-Cmdlets und erfordern daher die Rollengruppenmitgliedschaft in den entsprechenden Rollen (technisch gesehen, Rollengruppen) in Exchange Online (insbesondere für den Zugriff auf die entsprechende Exchange Online PowerShell). Cmdlets).
  • Es gibt Email & Rollen für die Zusammenarbeit im Microsoft Defender-Portal, die keine Entsprechung mit Microsoft Entra Rollen haben und für Sicherheitsvorgänge wichtig sind (z. B. die Rolle Vorschau und die Rolle Search und Bereinigen).

In der Regel benötigt nur eine Teilmenge des Sicherheitspersonals zusätzliche Rechte, um Nachrichten direkt aus Benutzerpostfächern herunterzuladen. Für diese Anforderung ist eine zusätzliche Berechtigung erforderlich, die standardmäßig nicht über Den Sicherheitsleseberechtigten verfügt.

Schritt 2: (Optional) Ausnehmen von Pilotbenutzern von der Filterung nach Ihrem vorhandenen Schutzdienst

Obwohl dieser Schritt nicht erforderlich ist, sollten Sie erwägen, Ihre Pilotbenutzer so zu konfigurieren, dass die Filterung nach Ihrem vorhandenen Schutzdienst umgangen wird. Diese Aktion ermöglicht es Defender for Office 365, alle Filter- und Schutzaufgaben für die Pilotbenutzer zu behandeln. Wenn Sie Ihre Pilotbenutzer nicht von Ihrem vorhandenen Schutzdienst ausschließen, funktioniert Defender for Office 365 effektiv nur bei Fehlern des anderen Diensts (Filtern von Nachrichten, die bereits gefiltert wurden).

Hinweis

Dieser Schritt ist explizit erforderlich, wenn Ihr aktueller Schutzdienst Link wrapping bereitstellt, Sie aber eine Pilotfunktion für sichere Links verwenden möchten. Das doppelte Umschließen von Links wird nicht unterstützt.

Schritt 3: Optimieren der Spoofintelligenz

Überprüfen Sie die Erkenntnisse zur Spoofintelligenz , um zu sehen, was als Spoofing zulässig oder blockiert wird, und um zu ermitteln, ob Sie die Systembewertung für Spoofing außer Kraft setzen müssen. Einige Quellen Ihrer unternehmenskritischen E-Mails verfügen möglicherweise über falsch konfigurierte E-Mail-Authentifizierungseinträge in DNS (SPF, DKIM und DMARC), und Sie verwenden möglicherweise Außerkraftsetzungen in Ihrem vorhandenen Schutzdienst, um ihre Domänenprobleme zu maskieren.

Spoofintelligenz kann E-Mails aus Domänen ohne ordnungsgemäße E-Mail-Authentifizierungsdatensätze in DNS retten, aber das Feature benötigt manchmal Unterstützung bei der Unterscheidung zwischen gutem Spoofing und schlechtem Spoofing. Konzentrieren Sie sich auf die folgenden Arten von Nachrichtenquellen:

  • Nachrichtenquellen, die sich außerhalb der IP-Adressbereiche befinden, die unter Erweiterte Filterung für Connectors definiert sind.
  • Nachrichtenquellen mit der höchsten Anzahl von Nachrichten.
  • Nachrichtenquellen, die die größten Auswirkungen auf Ihre organization haben.

Spoofintelligenz wird sich schließlich selbst optimieren, nachdem Sie vom Benutzer gemeldete Einstellungen konfiguriert haben, sodass keine Perfektion erforderlich ist.

Schritt 4: Optimieren des Identitätswechselschutzes und der Postfachintelligenz

Nachdem Sie genügend Zeit hatten, die Ergebnisse des Identitätswechselschutzes im Aktionsmodus Keine Aktion anwenden zu beobachten, können Sie jede Aktion zum Schutz vor Identitätswechseln in den Antiphishingrichtlinien einzeln aktivieren:

  • Schutz vor Benutzeridentitätswechseln: Isolieren Sie die Nachricht sowohl für Standard als auch für Strict.
  • Schutz vor Domänenidentitätswechseln: Isolieren Sie die Nachricht sowohl für Standard als auch für Strict.
  • Schutz der Postfachintelligenz: Verschieben Sie die Nachricht in die Junk-ordner der Empfänger Email für Standard; Quarantänen Sie die Nachricht für Strict.

Je länger Sie die Ergebnisse des Identitätswechselschutzes überwachen, ohne auf die Nachrichten zu reagieren, desto mehr Daten müssen Sie zu den zulässigen oder Blöcken identifizieren, die möglicherweise erforderlich sind. Erwägen Sie die Verwendung einer Verzögerung zwischen dem Aktivieren jedes Schutzes, die signifikant genug ist, um Beobachtung und Anpassung zu ermöglichen.

Hinweis

Eine häufige und kontinuierliche Überwachung und Optimierung dieser Schutzmaßnahmen ist wichtig. Wenn Sie ein falsch positives Ergebnis vermuten, untersuchen Sie die Ursache, und verwenden Sie Außerkraftsetzungen nur bei Bedarf und nur für das Erkennungsfeature, das dies erfordert.

Optimieren der Postfachintelligenz

Obwohl die Postfachintelligenz so konfiguriert ist, dass keine Aktion für Nachrichten ausgeführt wird, die als Identitätswechselversuche ermittelt wurden, ist sie aktiviert und lernt die Muster zum Senden und Empfangen von E-Mails der Pilotbenutzer kennen. Wenn ein externer Benutzer mit einem Ihrer Pilotbenutzer in Kontakt steht, werden Nachrichten von diesem externen Benutzer nicht als Identitätswechselversuche durch Postfachintelligenz identifiziert (wodurch falsch positive Ergebnisse reduziert werden).

Wenn Sie bereit sind, führen Sie die folgenden Schritte aus, um postfachintelligenz auf Nachrichten zu reagieren, die als Identitätswechselversuche erkannt werden:

  • Ändern Sie in der Antiphishingrichtlinie mit den Standardschutzeinstellungen den Wert von If mailbox intelligences detects an impersonated user to Move message to Junk Email folders der Empfänger.

  • Ändern Sie in der Antiphishing-Richtlinie mit den Einstellungen für strikten Schutz den Wert von Wenn Postfachintelligenz benutzer erkennt und imitiert von in Quarantäne der Nachricht.

Informationen zum Ändern der Richtlinien finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender for Office 365.

Nachdem Sie die Ergebnisse beobachtet und Anpassungen vorgenommen haben, fahren Sie mit dem nächsten Abschnitt fort, in dem Nachrichten, die vom Benutzeridentitätswechsel erkannt wurden, unter Quarantäne gestellt werden.

Optimieren des Schutzes vor Benutzeridentitätswechseln

Ändern Sie in ihren beiden Antiphishingrichtlinien basierend auf den Einstellungen "Standard" und "Strict" den Wert von Wenn eine Nachricht als Benutzeridentitätswechsel erkannt wird , um die Nachricht unter Quarantäne zu stellen.

Überprüfen Sie die Identitätswechsel-Erkenntnis , um zu sehen, was beim Benutzeridentitätswechsel blockiert wird.

Informationen zum Ändern der Richtlinien finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender for Office 365.

Nachdem Sie die Ergebnisse beobachtet und Anpassungen vorgenommen haben, fahren Sie mit dem nächsten Abschnitt fort, in dem Nachrichten, die durch Domänenidentitätswechsel erkannt wurden, unter Quarantäne gestellt werden.

Optimieren des Identitätswechselschutzes für Domänen

Ändern Sie in ihren beiden Antiphishingrichtlinien basierend auf den Einstellungen "Standard" und "Strict" den Wert von Wenn eine Nachricht als Domänenidentitätswechsel erkannt wird , um die Nachricht unter Quarantäne zu stellen.

Überprüfen Sie die Identitätswechsel-Erkenntnis , um zu sehen, was als Domänenidentitätswechsel blockiert wird.

Informationen zum Ändern der Richtlinien finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender for Office 365.

Beobachten Sie die Ergebnisse, und nehmen Sie ggf. Anpassungen vor.

Schritt 5: Verwenden von Daten aus vom Benutzer gemeldeten Nachrichten zum Messen und Anpassen

Wenn Ihre Pilotbenutzer falsch positive Ergebnisse und falsch negative Ergebnisse melden, werden die Meldungen auf der Registerkarte Benutzer gemeldet auf der Seite Übermittlungen im Microsoft Defender-Portal angezeigt. Sie können die falsch identifizierten Nachrichten an Microsoft zur Analyse melden und die Informationen verwenden, um die Einstellungen und Ausnahmen in Ihren Pilotrichtlinien nach Bedarf anzupassen.

Verwenden Sie die folgenden Features, um die Schutzeinstellungen in Defender for Office 365 zu überwachen und zu durchlaufen:

Wenn Ihr organization einen Drittanbieterdienst für vom Benutzer gemeldete Nachrichten verwendet, können Sie diese Daten in Ihre Feedbackschleife integrieren.

Schritt 6: (Optional) Hinzufügen weiterer Benutzer zu Ihrem Pilotprojekt und Durchlaufen

Wenn Sie Probleme finden und beheben, können Sie den Pilotgruppen weitere Benutzer hinzufügen (und diese neuen Pilotbenutzer entsprechend von der Überprüfung durch Ihren vorhandenen Schutzdienst ausschließen). Je mehr Tests Sie jetzt ausführen, desto weniger Benutzerprobleme müssen Sie später behandeln. Dieser "Wasserfall"-Ansatz ermöglicht die Optimierung für größere Teile der organization und gibt Ihren Sicherheitsteams Zeit, sich an die neuen Tools und Prozesse anzupassen.

  • Microsoft 365 generiert Warnungen, wenn Phishingnachrichten mit hoher Zuverlässigkeit durch Organisationsrichtlinien zulässig sind. Um diese Nachrichten zu identifizieren, haben Sie die folgenden Optionen:

    • Außerkraftsetzungen im Bericht Threat Protection status.
    • Filtern Sie in Threat Explorer, um die Nachrichten zu identifizieren.
    • Filtern Sie unter Erweiterte Suche, um die Nachrichten zu identifizieren.

    Melden Sie alle falsch positiven Ergebnisse so früh wie möglich über Administratorübermittlungen an Microsoft, und verwenden Sie das Feature Mandantenliste zulassen/blockieren , um sichere Außerkraftsetzungen für diese falsch positiven Ergebnisse zu konfigurieren.

  • Es ist auch eine gute Idee, unnötige Außerkraftsetzungen zu untersuchen. Mit anderen Worten, sehen Sie sich die Urteile an, die Microsoft 365 für die Nachrichten gegeben hätte. Wenn Microsoft 365 das richtige Urteil gerendert hat, wird die Notwendigkeit der Außerkraftsetzung erheblich verringert oder beseitigt.

Schritt 7: Erweitern des Microsoft 365-Schutzes auf alle Benutzer und Deaktivieren der SCL=-1-Nachrichtenflussregel

Führen Sie die Schritte in diesem Abschnitt aus, wenn Sie bereit sind, Ihre MX-Einträge so zu ändern, dass sie auf Microsoft 365 verweisen.

  1. Erweitern Sie die Pilotrichtlinien auf die gesamte organization. Grundsätzlich gibt es verschiedene Möglichkeiten, die Richtlinien zu erweitern:

    • Verwenden Sie voreingestellte Sicherheitsrichtlinien , und unterteilen Sie Ihre Benutzer zwischen dem Profil "Standardschutz" und dem Profil "Strenger Schutz" (stellen Sie sicher, dass alle Personen abgedeckt sind). Voreingestellte Sicherheitsrichtlinien werden vor allen von Ihnen erstellten benutzerdefinierten Richtlinien oder standardrichtlinien angewendet. Sie können Ihre einzelnen Pilotrichtlinien deaktivieren, ohne sie zu löschen.

      Der Nachteil voreingestellter Sicherheitsrichtlinien besteht darin, dass Sie viele der wichtigen Einstellungen nicht mehr ändern können, nachdem Sie sie erstellt haben.

    • Ändern Sie den Bereich der Richtlinien, die Sie während des Pilotprojekts erstellt und angepasst haben, sodass alle Benutzer (z. B. alle Empfänger in allen Domänen) einbezogen werden. Denken Sie daran: Wenn mehrere Richtlinien desselben Typs (z. B. Antiphishingrichtlinien) auf denselben Benutzer (einzeln, nach Gruppenmitgliedschaft oder E-Mail-Domäne) angewendet werden, werden nur die Einstellungen der Richtlinie mit der höchsten Priorität (niedrigste Prioritätsnummer) angewendet, und die Verarbeitung wird für diesen Richtlinientyp beendet.

  2. Deaktivieren Sie die Nachrichtenflussregel SCL=-1 (Sie können sie deaktivieren, ohne sie zu löschen).

  3. Vergewissern Sie sich, dass die vorherigen Änderungen wirksam wurden und Defender for Office 365 jetzt für alle Benutzer ordnungsgemäß aktiviert ist. An diesem Punkt können alle Schutzfunktionen von Defender for Office 365 jetzt für alle Empfänger auf E-Mails reagieren, aber diese E-Mails wurden bereits von Ihrem vorhandenen Schutzdienst gescannt.

Sie können in dieser Phase anhalten, um umfangreichere Datenaufzeichnungen und -optimierungen zu erhalten.

Schritt 8: Wechseln der MX-Einträge

Hinweis

  • Wenn Sie den MX-Eintrag für Ihre Domäne ändern, kann es bis zu 48 Stunden dauern, bis die Änderungen im Internet weitergegeben werden.
  • Es wird empfohlen, den TTL-Wert Ihrer DNS-Einträge zu senken, um eine schnellere Antwort und ein mögliches Rollback (falls erforderlich) zu ermöglichen. Sie können den ursprünglichen TTL-Wert rückgängig machen, nachdem die Umstellung abgeschlossen und überprüft wurde.
  • Sie sollten mit dem Ändern von Domänen beginnen, die seltener verwendet werden. Sie können anhalten und überwachen, bevor Sie zu größeren Domänen wechseln. Selbst wenn Sie dies tun, sollten Sie jedoch sicherstellen, dass alle Benutzer und Domänen von Richtlinien abgedeckt werden, da sekundäre SMTP-Domänen vor der Richtlinienanwendung in primäre Domänen aufgelöst werden.
  • Mehrere MX-Einträge für eine einzelne Domäne funktionieren technisch gesehen, sodass Sie geteiltes Routing haben können, vorausgesetzt, Sie haben alle Anleitungen in diesem Artikel befolgt. Insbesondere sollten Sie sicherstellen, dass Richtlinien auf alle Benutzer angewendet werden, dass die SCL=-1-Nachrichtenflussregel nur auf E-Mails angewendet wird, die Ihren vorhandenen Schutzdienst durchlaufen, wie unter Setupschritt 3: Verwalten oder Erstellen der SCL=-1-Nachrichtenflussregel beschrieben. Diese Konfiguration führt jedoch zu einem Verhalten ein, das die Problembehandlung erheblich erschwert. Daher wird dies in der Regel nicht empfohlen, insbesondere für längere Zeiträume.
  • Bevor Sie Ihre MX-Einträge wechseln, vergewissern Sie sich, dass die folgenden Einstellungen für den eingehenden Connector vom Schutzdienst zu Microsoft 365 nicht aktiviert sind. In der Regel ist für den Connector mindestens eine der folgenden Einstellungen konfiguriert:
    • und verlangen, dass der Antragstellername des Zertifikats, das der Partner für die Authentifizierung bei Office 365 verwendet, mit diesem Domänennamen übereinstimmt (RestrictDomainsToCertificate)
    • E-Mail-Nachrichten ablehnen, wenn sie nicht aus diesem IP-Adressbereich gesendet werden (RestrictDomainsToIPAddresses). Wenn der Connectortyp Partner lautet und eine dieser Einstellungen aktiviert ist, schlägt die gesamte E-Mail-Zustellung an Ihre Domänen fehl, nachdem Sie Ihre MX-Einträge gewechselt haben. Sie müssen diese Einstellungen deaktivieren, bevor Sie fortfahren. Wenn es sich bei dem Connector um einen lokalen Connector handelt, der für die Hybridbereitstellung verwendet wird, müssen Sie den lokalen Connector nicht ändern. Sie können jedoch weiterhin überprüfen, ob ein Partnerconnector vorhanden ist.
  • Wenn Ihr aktuelles E-Mail-Gateway auch empfängervalidiert, sollten Sie überprüfen, ob die Domäne in Microsoft 365 als Autoritativ konfiguriert ist. Dadurch können unnötige Unzustellbarkeitsnachrichten verhindert werden.

Wenn Sie bereit sind, wechseln Sie den MX-Eintrag für Ihre Domänen. Sie können alle Ihre Domänen gleichzeitig migrieren. Alternativ können Sie zuerst weniger häufig verwendete Domänen und dann später die restlichen Domänen migrieren.

Hier können Sie jederzeit innehalten und auswerten. Denken Sie jedoch daran: Nachdem Sie die SCL=-1-Nachrichtenflussregel deaktiviert haben, haben Benutzer möglicherweise zwei verschiedene Erfahrungen zum Überprüfen falsch positiver Ergebnisse. Je früher Sie eine einzige, konsistente Erfahrung bereitstellen können, desto zufriedener werden Ihre Benutzer und Helpdeskteams sein, wenn sie eine fehlende Nachricht beheben müssen.

Nächste Schritte

Herzlichen Glückwunsch! Sie haben ihre Migration zu Microsoft Defender for Office 365 abgeschlossen! Da Sie die Schritte in diesem Migrationsleitfaden befolgt haben, sollten die ersten Tage, an denen E-Mails direkt an Microsoft 365 übermittelt werden, viel reibungsloser ablaufen.

Jetzt beginnen Sie mit dem normalen Betrieb und der Wartung von Defender for Office 365. Überwachen und watch auf Probleme, die denen ähneln, die Sie während des Pilotprojekts erlebt haben, aber in größerem Umfang. Die Erkenntnisse zur Spoofintelligenz und die Erkenntnis des Identitätswechsels sind am hilfreichsten, aber erwägen Sie, die folgenden Aktivitäten zu einem regelmäßigen Auftreten zu machen: