试点和部署Defender for Office 365

  • 项目

适用于:

  • Microsoft Defender XDR

本文提供在组织中试点和部署Microsoft Defender for Office 365的工作流。 可以使用这些建议将Microsoft Defender for Office 365加入为单独的网络安全工具,或者将其作为端到端解决方案的一部分与Microsoft Defender XDR。

本文假设你有一个生产Microsoft 365 租户,并且正在试点和部署此环境中的Microsoft Defender for Office 365。 这种做法将维护在试点期间为完整部署配置的任何设置和自定义项。

Defender for Office 365有助于防止或减少违规造成的业务损失,从而为零信任体系结构做出贡献。 有关详细信息,请参阅Microsoft零信任采用框架中的防止或减少违规业务造成的业务损失

Microsoft Defender XDR的端到端部署

这是系列文章 3(共 6 篇),可帮助你部署Microsoft Defender XDR的组件,包括调查和响应事件。

显示试点和部署Microsoft Defender XDR过程中Microsoft Defender for Office 365的关系图。

本系列文章对应于端到端部署的以下阶段:

阶段 链接
A. 启动试点 启动试点
B. 试点和部署Microsoft Defender XDR组件 - 试点和部署 Defender for Identity

- 本文) (试点和部署Defender for Office 365

- 试点和部署 Defender for Endpoint

- 试点和部署Microsoft Defender for Cloud Apps
C. 调查并响应威胁 实践事件调查和响应

试点和部署Defender for Office 365工作流

下图演示了在 IT 环境中部署产品或服务的常见过程。

试点、评估和完整部署采用阶段的示意图。

首先评估产品或服务及其在组织中的工作方式。 然后,使用适当的一小部分生产基础结构来试用产品或服务,以便进行测试、学习和自定义。 然后,逐步增加部署范围,直到涵盖整个基础结构或组织。

下面是在生产环境中试点和部署Defender for Office 365的工作流。

显示试点和部署Microsoft Defender for Office 365的步骤的关系图。

请按照下列步骤操作:

  1. 审核和验证公共 MX 记录
  2. 审核接受的域
  3. 审核入站连接器
  4. 激活评估
  5. 创建试点组
  6. 配置保护
  7. 试用功能

下面是每个部署阶段的建议步骤。

部署阶段 说明
评估 对Defender for Office 365执行产品评估。
试点 为试点组执行步骤 1-7。
完全部署 在步骤 5 中配置试点用户组或添加用户组,以扩展到试点之外,最终包括所有用户帐户。

Defender for Office 365体系结构和要求

下图演示了Microsoft Defender for Office 365的基线体系结构,其中可能包括第三方 SMTP 网关或本地集成。 混合共存方案 (即,生产邮箱既是本地邮箱,也是联机) 需要更复杂的配置,本文或评估指南中未介绍。

Microsoft Defender for Office 365体系结构的关系图。

下表描述了此图示。

标注 说明
1 外部发送方的主机服务器通常对 MX 记录执行公共 DNS 查找,该记录提供目标服务器来中继消息。 此引荐可以直接Exchange Online (EXO) ,也可以是配置为针对 EXO 中继的 SMTP 网关。
2 Exchange Online Protection协商并验证入站连接,并检查消息标头和内容,以确定需要哪些额外的策略、标记或处理。
3 Exchange Online与 Microsoft Defender for Office 365 集成,以提供更高级的威胁防护、缓解和修正。
4 将处理非恶意邮件、阻止邮件或隔离邮件并将其传递到 EXO 中的收件人,其中会评估和触发与垃圾邮件、邮箱规则或其他设置相关的用户首选项。
5 可以使用 Microsoft Entra Connect 启用与 本地 Active Directory 的集成,以便同步和预配启用邮件的对象和帐户,以Microsoft Entra ID并最终Exchange Online。
6 集成本地环境时,最好使用 Exchange 服务器来管理和管理与邮件相关的属性、设置和配置。
7 Microsoft Defender for Office 365将信号共享给Microsoft Defender XDR,以 (XDR) 进行扩展检测和响应。

本地集成很常见,但可选。 如果环境仅限云,则本指南也适合你。

成功的Defender for Office 365评估或生产试点需要以下先决条件:

  • 所有收件人邮箱当前都在Exchange Online。
  • 公共 MX 记录直接解析为 EOP 或第三方简单邮件传输协议, (SMTP) 网关,然后将入站外部电子邮件直接中继到 EOP。
  • 主电子邮件域在 Exchange Online 中配置为权威
  • 已根据需要成功部署和配置 基于目录的边缘阻止 (DBEB) 。 有关详细信息,请参阅 使用 Directory-Based Edge 阻止拒绝发送给无效收件人的邮件

重要

如果这些要求不适用,或者你仍处于混合共存方案中,则Microsoft Defender for Office 365评估可能需要更复杂或更高级的配置,但本指南中未完全涵盖这些配置。

步骤 1:审核和验证公共 MX 记录

若要有效地评估Microsoft Defender for Office 365,请务必通过与租户关联的 Exchange Online Protection (EOP) 实例中继入站外部电子邮件。

  1. 在 M365 管理员 门户中https://admin.microsoft.com,展开...如有必要,请全部显示,展开“设置”,然后选择“”。 或者,若要直接转到 “域” 页,请使用 https://admin.microsoft.com/Adminportal/Home#/Domains
  2. “域”页上,单击“检查”框以外的条目上的任意位置,选择已验证的电子邮件域。
  3. 在打开的域详细信息浮出控件中,选择“ DNS 记录 ”选项卡。记下已生成并分配给 EOP 租户的 MX 记录。
  4. 访问外部 (公共) DNS 区域,并检查与电子邮件域关联的主 MX 记录:
    • 例如,如果公共 MX 记录当前与分配的 EOP 地址 (匹配,contoso-com.mail.protection.outlook.com) 则不需要进一步的路由更改
    • 如果公共 MX 记录当前解析为第三方或本地 SMTP 网关,则可能需要其他路由配置。
    • 如果公共 MX 记录当前解析为本地 Exchange,则可能仍处于混合模型中,其中某些收件人邮箱尚未迁移到 EXO。

步骤 2:审核接受的域

  1. 在 Exchange 管理中心 (EAC) , https://admin.exchange.microsoft.com展开 “邮件流”,然后单击“ 接受的域”。 或者,若要直接转到 “接受的域 ”页,请使用 https://admin.exchange.microsoft.com/#/accepteddomains
  2. “接受的域 ”页上,记下主电子邮件域的 “域类型 ”值。
    • 如果域类型设置为“权威”,则假定组织的所有收件人邮箱当前都驻留在Exchange Online中。
    • 如果域类型设置为 InternalRelay,则可能仍处于混合模型中,其中某些收件人邮箱仍驻留在本地。

步骤 3:审核入站连接器

  1. 在 Exchange 管理中心 (EAC) , https://admin.exchange.microsoft.com展开 “邮件流”,然后单击“ 连接器”。 或者,若要直接转到“连接器”页,请使用 https://admin.exchange.microsoft.com/#/connectors
  2. 在“ 连接器 ”页上,记下具有以下设置的任何连接器:
    • “发件人”值是可能与第三方 SMTP 网关关联的合作伙伴组织
    • From 值是可能指示你仍处于混合方案中的你的组织

步骤 4:激活评估

按照此处的说明从Microsoft Defender门户激活Microsoft Defender for Office 365评估。

有关详细信息,请参阅试用Microsoft Defender for Office 365

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,展开“Email &协作>”,选择“策略 & 规则>”,选择“威胁策略>”向下滚动到“其他”部分,然后选择“评估模式”。 或者,若要直接转到 “评估模式 ”页,请使用 https://security.microsoft.com/atpEvaluation

  2. “评估模式 ”页上,单击“ 开始评估”。

    “评估模式”页和要单击的“开始评估”按钮的屏幕截图。

  3. “启用保护 ”对话框中,选择“ 否,我只想报告”,然后单击“ 继续”。

    “打开保护”对话框和“否,我只想选择报告”选项的屏幕截图。

  4. “选择要包含的用户 ”对话框中,选择“ 所有用户”,然后单击“ 继续”。

    “选择要包含的用户”对话框和要选择的“所有用户”选项的屏幕截图。

  5. “帮助我们了解你的邮件流 ”对话框中,根据我们对域的 MX 记录的检测,自动选择以下选项之一:

    • 我仅使用 Microsoft Exchange Online:域的 MX 记录指向 Microsoft 365。 无需配置任何内容,因此请单击“ 完成”。

      “帮助我们了解邮件流”对话框的屏幕截图,其中选择了“我仅使用Microsoft Exchange Online”选项。

    • 我使用的是第三方和/或本地服务提供商:在即将到来的屏幕中,选择供应商名称以及接受来自该解决方案的邮件的入站连接器。 你还需要决定是否需要Exchange Online邮件流规则 (也称为传输规则) ,该规则跳过来自第三方保护服务或设备的传入邮件的垃圾邮件筛选。 完成后,单击“ 完成”。

步骤 5:创建试点组

试点Microsoft Defender for Office 365时,可以选择在为整个组织启用和实施策略之前对特定用户进行试点。 创建通讯组有助于管理部署过程。 例如,创建Defender for Office 365用户 - 标准保护Defender for Office 365用户 - 严格保护Defender for Office 365用户 - 自定义保护Defender for Office 365用户 - 异常

为什么“标准”和“严格”是用于这些组的术语可能并不明显,但当你深入了解Defender for Office 365安全预设时,这一点会变得清晰起来。 将组命名为“自定义”和“例外”不言而喻,尽管大多数用户应属于 标准严格,但自定义和异常组将收集有关管理风险的宝贵数据。

可以直接在 Exchange Online 中创建和定义通讯组,也可以从本地 Active Directory同步通讯组。

  1. 使用已被授予收件人管理员角色或已委派组管理权限的帐户, (EAC) https://admin.exchange.microsoft.com 登录到 Exchange 管理员中心。

  2. 转到收件人>

    组菜单项的屏幕截图。

  3. “组”页上,选择“添加组”图标。添加组

    “添加组”选项的屏幕截图。

  4. 对于组类型,请选择“ 分发”,然后单击“ 下一步”。

    “选择组类型”部分的屏幕截图。

  5. 为组提供 “名称” 和可选 “说明”,然后单击“下一步”。

    “设置基础知识”部分的屏幕截图。

  6. 在剩余的页面上,分配所有者、将成员添加到组、设置电子邮件地址、加入/离开限制和其他设置。

步骤 6:配置保护

默认情况下,Defender for Office 365中的某些功能已配置并启用,但安全操作可能希望提高默认保护级别。

某些功能 尚未 配置。 可以使用以下选项来配置保护 (以后) 更改这些选项:

  • 将用户分配到预设的安全策略预设安全策略 是针对所有功能快速分配统一保护级别的建议方法。 可以选择 “标准”“严格 保护”。 此处的表中介绍了“标准”和“严格”的设置。 此处的表中汇总了“标准”和“严格”之间的差异。

    预设安全策略的优点是,根据数据中心中的观察结果使用Microsoft的建议设置,尽快保护用户组。 随着新保护功能的添加和安全环境的变化,预设安全策略中的设置会自动更新为建议的设置。

    预设安全策略的缺点是,无法自定义预设安全策略中的任何安全设置, (例如,无法将操作从“交付”更改为“垃圾邮件”更改为“隔离”,反之亦然,) 。 例外是 用户模拟和域模拟保护的条目和可选异常,必须手动配置。

    此外,请记住,预设的安全策略 始终 在自定义策略之前应用。 因此,如果要创建和使用任何自定义策略,则需要从预设的安全策略中排除这些自定义策略中的用户。

  • 配置自定义保护策略:如果希望自行配置环境,请比较 EOP 和Microsoft Defender for Office 365安全性的建议设置中的默认设置、标准设置和严格设置。 保留自定义生成偏离位置的电子表格。

    还可以使用 配置分析器 将自定义策略中的设置与标准和严格值进行比较。

有关选择预设安全策略与自定义策略的详细信息,请参阅 确定保护策略策略

分配预设的安全策略

建议从 EOP 中的预设安全策略开始,并将这些策略分配给特定试点用户或定义的组作为评估的一部分,从而快速Defender for Office 365。 预设策略提供基线 标准 保护模板或更激进的 严格 保护模板,可以单独分配该模板。

例如,如果收件人是定义的 EOP 标准保护组 的成员 ,然后通过向组添加帐户或从中删除帐户来管理,则可以应用试点评估的 EOP 条件。

同样,如果收件人是定义的Defender for Office 365标准保护的成员,然后通过组添加或删除帐户进行管理,则可以应用试点评估的Defender for Office 365条件。

有关完整说明,请参阅使用Microsoft Defender门户向用户分配标准和严格预设安全策略

配置自定义保护策略

预定义的标准严格Defender for Office 365策略模板为试点用户提供建议的基线保护。 但是,还可以在评估过程中生成和分配自定义保护策略。

请务必注意应用和强制实施这些保护策略时的优先级,如预设安全策略和其他策略的优先级顺序中所述。

配置保护策略中的说明和表提供了有关需要配置的内容的便捷参考。

步骤 7:试用功能

设置和配置试点后,熟悉 Microsoft 365 Microsoft Defender特有的报告、监视和攻击模拟工具会很有帮助。

功能 说明 更多信息
威胁资源管理器 威胁资源管理器是一个功能强大的准实时工具,可帮助安全运营团队调查和响应威胁,并显示有关Office 365电子邮件和文件中检测到的恶意软件和网络钓鱼的信息,以及组织面临的其他安全威胁和风险。 关于威胁资源管理器
攻击模拟培训 可以使用 Microsoft Defender 门户中的攻击模拟训练在组织中运行实际攻击方案,这有助于在实际攻击影响环境之前识别和查找易受攻击的用户。 开始使用攻击模拟培训
报表仪表板 在左侧导航菜单上,单击“报表”,然后展开“Email &协作”标题。 Email &协作报告涉及发现安全趋势,其中一些趋势允许你通过“转到提交”) 等按钮 (采取操作,而另一些则显示趋势。 这些指标是自动生成的。 在Microsoft Defender门户中查看电子邮件安全报告

在Microsoft Defender门户中查看Defender for Office 365报表

SIEM 集成

可以将Defender for Office 365与Microsoft Sentinel或通用安全信息和事件管理 (SIEM) 服务集成,以集中监视来自连接的应用的警报和活动。 借助Microsoft Sentinel,你可以更全面地分析整个组织的安全事件,并生成 playbook,以便进行有效和即时的响应。

显示具有 SIEM 集成的Microsoft Defender for Office 365体系结构的关系图。

Microsoft Sentinel包括Defender for Office 365连接器。 有关详细信息,请参阅连接来自Microsoft Defender for Office 365的警报

还可以使用Office 365活动管理 API 将Microsoft Defender for Office 365集成到其他 SIEM 解决方案中。 有关与泛型 SIEM 系统集成的信息,请参阅 泛型 SIEM 集成

后续步骤

Microsoft Defender for Office 365 安全操作指南中的信息合并到 SecOps 流程中。

Microsoft Defender XDR的端到端部署的下一步

使用 Pilot 继续端到端部署 Microsoft Defender XDR,并部署 Defender for Endpoint

显示试点和部署Microsoft Defender XDR过程中Microsoft Defender for Endpoint的关系图。

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区