Migrar para Microsoft Defender para Office 365 – Fase 3: Integração
Fase 1: Preparar |
Fase 2: Configurar |
Fase 3: Integrar |
---|---|---|
Você está aqui! |
Bem-vindo à Fase 3: Integração da migração para Microsoft Defender para Office 365! Essa fase de migração inclui as seguintes etapas:
- Começar a integrar equipes de segurança
- (Opcional) Isentar usuários piloto de filtragem pelo serviço de proteção existente
- Ajustar inteligência falsa
- Ajustar a proteção de representação e a inteligência da caixa de correio
- Usar dados de mensagens relatadas pelo usuário para medir e ajustar
- (Opcional) Adicionar mais usuários ao seu piloto e iterar
- Estender a proteção do Microsoft 365 a todos os usuários e desativar a regra de fluxo de email SCL=-1
- Alternar seus registros MX
Etapa 1: Começar a integrar equipes de segurança
Se sua organização tiver uma equipe de resposta de segurança, agora é a hora de começar a integrar Microsoft Defender para Office 365 em seus processos de resposta, incluindo sistemas de tíquete. Esse processo é um tópico inteiro para si mesmo, mas às vezes é negligenciado. Obter a equipe de resposta de segurança envolvida antecipadamente garante que sua organização esteja pronta para lidar com ameaças quando você alternar seus registros MX. A resposta a incidentes precisa estar bem equipada para lidar com as seguintes tarefas:
- Aprenda as novas ferramentas e integre-as aos fluxos existentes. Por exemplo:
- Administração gerenciamento de mensagens em quarentena é importante. Para obter instruções, consulte Gerenciar mensagens e arquivos em quarentena como um administrador.
- O rastreamento de mensagens permite que você veja o que aconteceu com as mensagens quando elas entram ou saem do Microsoft 365. Para obter mais informações, consulte Rastreamento de mensagens no centro de administração do Exchange moderno em Exchange Online.
- Identifique os riscos que podem ter sido deixados entrar na organização.
- Ajuste e personalize alertas para processos organizacionais.
- Gerencie a fila de incidentes e corrija possíveis riscos.
Se sua organização comprou Microsoft Defender para Office 365 Plano 2, ela deve começar a se familiarizar e usar recursos como Explorer de Ameaças, Caça Avançada e Incidentes. Para treinamentos relevantes, consulte https://aka.ms/mdoninja.
Se sua equipe de resposta de segurança coletar e analisar mensagens não filtradas, você poderá configurar uma caixa de correio SecOps para receber essas mensagens não filtradas. Para obter instruções, consulte Configurar caixas de correio SecOps na política de entrega avançada.
SIEM/SOAR
Para obter mais informações sobre como integrar com o SIEM/SOAR, confira os seguintes artigos:
- Visão geral das APIs do Microsoft Defender XDR
- API de Streaming
- API de Caça Avançada
- APIs de Incidentes
Se sua organização não tiver uma equipe de resposta de segurança ou fluxos de processo existentes, você poderá usar esse tempo para se familiarizar com recursos básicos de caça e resposta em Defender para Office 365. Para obter mais informações, consulte Investigação e resposta contra ameaças.
Funções RBAC
As permissões no Defender para Office 365 são baseadas no RBAC (controle de acesso baseado em função) e são explicadas em Permissões no portal Microsoft Defender. Aqui estão os pontos importantes a serem considerados:
- Microsoft Entra funções dão permissões a todas as cargas de trabalho no Microsoft 365. Por exemplo, se você adicionar um usuário ao Administrador de Segurança no portal do Azure, ele terá permissões do Administrador de Segurança em todos os lugares.
- Email & funções de colaboração no portal Microsoft Defender dão permissões ao portal Microsoft Defender e ao portal de conformidade do Microsoft Purview. Por exemplo, se você adicionar um usuário ao Administrador de Segurança no portal Microsoft Defender, ele terá acesso do Administrador de Segurança somente no portal Microsoft Defender e no portal de conformidade do Microsoft Purview.
- Muitos recursos no portal Microsoft Defender são baseados em cmdlets Exchange Online PowerShell e, portanto, exigem associação de grupo de função nas funções correspondentes (tecnicamente, grupos de funções) em Exchange Online (em particular, para acesso ao Exchange Online PowerShell correspondente cmdlets).
- Há Email & funções de colaboração no portal Microsoft Defender que não têm equivalente a funções Microsoft Entra e são importantes para operações de segurança (por exemplo, a função Preview e a função Pesquisa e Purge).
Normalmente, apenas um subconjunto de pessoal de segurança precisa de direitos adicionais para baixar mensagens diretamente das caixas de correio do usuário. Essa necessidade requer uma permissão adicional que o Leitor de Segurança não tem por padrão.
Etapa 2: (Opcional) Isentar usuários piloto de filtragem pelo serviço de proteção existente
Embora essa etapa não seja necessária, você deve considerar configurar seus usuários piloto para ignorar a filtragem pelo serviço de proteção existente. Essa ação permite que Defender para Office 365 lide com todas as funções de filtragem e proteção para os usuários piloto. Se você não isentar seus usuários pilotos do serviço de proteção existente, Defender para Office 365 funcionar efetivamente somente em erros do outro serviço (filtrando mensagens que já foram filtradas).
Observação
Essa etapa será explicitamente necessária se o serviço de proteção atual fornecer o encapsulamento de link, mas você deseja pilotar a funcionalidade de Links Seguros. Não há suporte para encapsulamento duplo de links.
Etapa 3: Ajustar inteligência falsa
Verifique o insight de inteligência spoof para ver o que está sendo permitido ou bloqueado como falsificação e para determinar se você precisa substituir o veredicto do sistema por falsificação. Algumas fontes de seu email comercialmente crítico podem ter configurado incorretamente registros de autenticação de email no DNS (SPF, DKIM e DMARC) e você pode estar usando substituições em seu serviço de proteção existente para mascarar seus problemas de domínio.
A inteligência falsa pode resgatar emails de domínios sem registros de autenticação de email adequados no DNS, mas o recurso às vezes precisa de ajuda para distinguir uma boa falsificação de falsificação ruim. Concentre-se nos seguintes tipos de fontes de mensagem:
- Fontes de mensagem que estão fora dos intervalos de endereços IP definidos em Filtragem Aprimorada para Conectores.
- Fontes de mensagens que têm o maior número de mensagens.
- Fontes de mensagens que têm o maior impacto em sua organização.
A inteligência falsa eventualmente se ajustará depois que você configurar as configurações relatadas pelo usuário, portanto, não há necessidade de perfeição.
Etapa 4: ajustar a proteção de representação e a inteligência da caixa de correio
Depois de ter tempo suficiente para observar os resultados da proteção contra representação em Não aplicar nenhum modo de ação , você pode ativar individualmente cada ação de proteção de representação nas políticas anti-phishing:
- Proteção de representação do usuário: coloque em quarentena a mensagem para Standard e Strict.
- Proteção de representação de domínio: coloque em quarentena a mensagem para Standard e Strict.
- Proteção de inteligência de caixa de correio: mova a mensagem para as pastas junk Email dos destinatários para Standard; Coloque em quarentena a mensagem para Strict.
Quanto mais tempo você monitorar os resultados da proteção de representação sem agir nas mensagens, mais dados você precisa identificar permite ou bloqueia que possam ser necessários. Considere usar um atraso entre ativar cada proteção que seja significativa o suficiente para permitir observação e ajuste.
Observação
O monitoramento e o ajuste frequentes e contínuos dessas proteções são importantes. Se você suspeitar de um falso positivo, investigue a causa e use substituições apenas conforme necessário e somente para o recurso de detecção que o requer.
Ajustar inteligência de caixa de correio
Embora a inteligência da caixa de correio esteja configurada para não tomar nenhuma ação em mensagens que foram determinadas como tentativas de representação, ela está ativada e aprendendo o email enviando e recebendo padrões dos usuários piloto. Se um usuário externo estiver em contato com um usuário piloto, as mensagens desse usuário externo não serão identificadas como tentativas de representação por inteligência de caixa de correio (reduzindo assim falsos positivos).
Quando estiver pronto, faça as seguintes etapas para permitir que a inteligência da caixa de correio atue em mensagens detectadas como tentativas de representação:
Na política anti-phishing com as configurações de proteção Standard, altere o valor de Se a inteligência da caixa de correio detectar um usuário representado para Mover mensagem para as pastas junk Email dos destinatários.
Na política anti-phishing com as configurações de proteção estrita, altere o valor de Se a inteligência da caixa de correio detectar e representar o usuário de para Quarentena da mensagem.
Para modificar as políticas, consulte Configurar políticas anti-phishing no Defender para Office 365.
Depois de observar os resultados e fazer quaisquer ajustes, vá para a próxima seção para colocar em quarentena as mensagens detectadas pela representação do usuário.
Ajustar a proteção de representação do usuário
Em ambas as políticas anti-phishing com base nas configurações Standard e Strict, altere o valor de Se uma mensagem for detectada como representação do usuário para Colocar a mensagem em quarentena.
Verifique o insight de representação para ver o que está sendo bloqueado à medida que a representação do usuário tenta.
Para modificar as políticas, consulte Configurar políticas anti-phishing no Defender para Office 365.
Depois de observar os resultados e fazer ajustes, prossiga para a próxima seção para colocar em quarentena as mensagens detectadas pela representação de domínio.
Ajustar a proteção de representação de domínio
Em ambas as políticas anti-phishing com base nas configurações Standard e Strict, altere o valor de Se uma mensagem for detectada como representação de domínio para Colocar a mensagem em quarentena.
Verifique o insight de representação para ver o que está sendo bloqueado como tentativas de representação de domínio.
Para modificar as políticas, consulte Configurar políticas anti-phishing no Defender para Office 365.
Observe os resultados e faça os ajustes conforme necessário.
Etapa 5: usar dados de mensagens relatadas pelo usuário para medir e ajustar
À medida que seus usuários piloto relatam falsos positivos e falsos negativos, as mensagens aparecem na guia Usuário relatado da página Envios no portal Microsoft Defender. Você pode relatar as mensagens mal identificadas à Microsoft para análise e usar as informações para ajustar as configurações e exceções em suas políticas piloto conforme necessário.
Use os seguintes recursos para monitorar e iterar nas configurações de proteção no Defender para Office 365:
- Quarentena
- Explorer de ameaças (Explorer)
- Email relatórios de segurança
- Relatórios do Defender para Office 365
- Insights de fluxo de email
- Relatórios de fluxo de email
Se sua organização usar um serviço de terceiros para mensagens relatadas pelo usuário, você poderá integrar esses dados ao loop de comentários.
Etapa 6: (Opcional) Adicionar mais usuários ao seu piloto e iterar
À medida que você encontra e corrige problemas, você pode adicionar mais usuários aos grupos piloto (e, correspondentemente, isentar esses novos usuários pilotos de examinar pelo serviço de proteção existente conforme apropriado). Quanto mais testes você fizer agora, menos problemas de usuário que você precisa lidar mais tarde. Essa abordagem de "cascata" permite ajustar-se a partes maiores da organização e dá tempo para suas equipes de segurança se ajustarem às novas ferramentas e processos.
O Microsoft 365 gera alertas quando mensagens de phishing de alta confiança são permitidas por políticas organizacionais. Para identificar essas mensagens, você tem as seguintes opções:
- Substitui no relatório status proteção contra ameaças.
- Filtrar no Explorer de Ameaças para identificar as mensagens.
- Filtre na Caça Avançada para identificar as mensagens.
Denuncie os falsos positivos para a Microsoft o mais cedo possível por meio de envios de administradores e use o recurso Permitir/Bloquear Lista de Locatários para configurar substituições seguras para esses falsos positivos.
Também é uma boa ideia examinar substituições desnecessárias. Em outras palavras, veja os veredictos que o Microsoft 365 teria fornecido nas mensagens. Se o Microsoft 365 tomou o veredicto correto, a necessidade de substituição será muito reduzida ou eliminada.
Etapa 7: estender a proteção do Microsoft 365 a todos os usuários e desativar a regra de fluxo de email SCL=-1
Faça as etapas nesta seção quando estiver pronto para alternar seus registros MX para apontar para o Microsoft 365.
Estenda as políticas piloto para toda a organização. Fundamentalmente, há diferentes maneiras de estender as políticas:
Use políticas de segurança predefinidas e divida seus usuários entre o perfil de proteção Standard e o perfil de proteção estrita (verifique se todos estão cobertos). As políticas de segurança predefinidas são aplicadas antes de quaisquer políticas personalizadas criadas ou políticas padrão. Você pode desativar suas políticas piloto individuais sem excluí-las.
A desvantagem das políticas de segurança predefinidas é que você não pode alterar muitas das configurações importantes depois de criá-las.
Altere o escopo das políticas criadas e ajustadas durante o piloto para incluir todos os usuários (por exemplo, todos os destinatários em todos os domínios). Lembre-se de que, se várias políticas do mesmo tipo (por exemplo, políticas anti-phishing) se aplicarem ao mesmo usuário (individualmente, por associação de grupo ou domínio de email), somente as configurações da política com a maior prioridade (menor número de prioridade) serão aplicadas e as paradas de processamento para esse tipo de política.
Desative a regra de fluxo de email SCL=-1 (você pode desativá-la sem excluí-la).
Verifique se as alterações anteriores tiveram efeito e que Defender para Office 365 agora está habilitada corretamente para todos os usuários. Neste ponto, todos os recursos de proteção de Defender para Office 365 agora estão autorizados a agir por email para todos os destinatários, mas esse email já foi verificado pelo seu serviço de proteção existente.
Você pode pausar nesta fase para obter mais gravação e ajuste de dados em grande escala.
Etapa 8: Alternar seus registros MX
Observação
- Quando você alterna o registro MX para seu domínio, pode levar até 48 horas para que as alterações se propagassem por toda a Internet.
- Recomendamos reduzir o valor TTL dos registros DNS para habilitar uma resposta mais rápida e uma possível reversão (se necessário). Você pode reverter ao valor TTL original depois que a substituição for concluída e verificada.
- Você deve considerar começar com a alteração de domínios que são usados com menos frequência. Você pode pausar e monitorar antes de migrar para domínios maiores. No entanto, mesmo que você faça isso, você ainda deve garantir que todos os usuários e domínios sejam cobertos por políticas, pois domínios SMTP secundários são resolvidos para domínios primários antes do aplicativo de política.
- Vários registros MX para um único domínio funcionarão tecnicamente, permitindo que você tenha roteamento dividido, desde que você tenha seguido todas as diretrizes neste artigo. Especificamente, você deve garantir que as políticas sejam aplicadas a todos os usuários, que a regra de fluxo de email SCL=-1 seja aplicada apenas ao email que passa pelo serviço de proteção existente, conforme descrito na Etapa de Instalação 3: Manter ou criar a regra de fluxo de email SCL=-1. No entanto, essa configuração apresenta um comportamento que torna a solução de problemas muito mais difícil e, portanto, normalmente não a recomendamos, especialmente por longos períodos de tempo.
- Antes de alternar seus registros MX, verifique se as seguintes configurações não estão habilitadas no conector de entrada do serviço de proteção para o Microsoft 365. Normalmente, o conector terá uma ou mais das seguintes configurações configuradas:
- e exigir que o nome do assunto no certificado que o parceiro usa para autenticar com Office 365 corresponda a esse nome de domínio (RestrictDomainsToCertificate)
- Rejeitar mensagens de email se elas não forem enviadas de dentro desse intervalo de endereços IP (RestrictDomainsToIPAddresses) Se o tipo de conector for Partner e qualquer uma dessas configurações estiver ativada, toda a entrega de email para seus domínios falhará depois que você alternar seus registros MX. Você precisa desabilitar essas configurações antes de continuar. Se o conector for um conector local usado para híbrido, você não precisará modificar o conector local. Mas, você ainda pode marcar para a presença de um conector do Partner.
- Se o gateway de email atual também estiver fornecendo a validação do destinatário, talvez você queira marcar que o domínio esteja configurado como Autoritativo no Microsoft 365. Isso pode evitar mensagens de salto desnecessárias.
Quando estiver pronto, alterne o registro MX para seus domínios. Você pode migrar todos os seus domínios de uma só vez. Ou, primeiro, você pode migrar domínios usados com menos frequência e migrar o restante mais tarde.
Sinta-se à vontade para pausar e avaliar aqui a qualquer momento. Mas lembre-se: depois de desativar a regra de fluxo de email SCL=-1, os usuários poderão ter duas experiências diferentes para verificar falsos positivos. Quanto mais cedo você puder fornecer uma experiência única e consistente, mais felizes serão seus usuários e equipes de help desk quando precisarem solucionar uma mensagem ausente.
Próximas etapas
Parabéns! Você concluiu sua migração para Microsoft Defender para Office 365! Como você seguiu as etapas neste guia de migração, os primeiros dias em que o email é entregue diretamente no Microsoft 365 devem ser muito mais suaves.
Agora você começa a operação normal e a manutenção de Defender para Office 365. Monitore e watch para problemas semelhantes ao que você experimentou durante o piloto, mas em uma escala maior. O insight de inteligência falsa e o insight de representação são mais úteis, mas considere tornar as seguintes atividades uma ocorrência regular:
- Examinar mensagens relatadas pelo usuário, especialmente mensagens de phishing relatadas pelo usuário
- Examine as substituições no relatório status de proteção contra ameaças.
- Use consultas de Caça Avançada para procurar oportunidades de ajuste e mensagens arriscadas.