在以下的情况下,本指南适合你:
你已获得Microsoft Defender for Office 365许可,并在 Office 365 中托管邮箱
你还使用非Microsoft来保障电子邮件安全
以下信息详细介绍了如何充分利用投资,具体细分为易于遵循的步骤。
所需内容
托管在 Office 365 中的邮箱
一个或多个:
保护功能的Microsoft Defender for Office 365 计划 1。
Microsoft Defender for Office 365 E5 计划) 中包含的大多数其他功能 (计划 2。
Microsoft Defender for Office 365试用版 (在) 向所有客户提供https://aka.ms/tryMDO。
有足够的权限来配置本文中讨论的功能。
步骤 1 - 了解已有的值
内置保护功能
内置保护提供基本级别的非侵入性保护,包括恶意软件、零日 (安全附件) ,以及电子邮件 (安全链接 (URL 保护) ,包括内部电子邮件) 、SharePoint、OneDrive 和 Microsoft Teams。 在此状态下提供的 URL 保护仅通过 API 调用提供。 它不会包装或重写 URL,但需要受支持的 Outlook 客户端。 可以创建自定义安全链接策略和安全附件策略来扩展保护。
阅读详细信息 & watch 此处的安全链接概述视频:完整安全链接概述
在此处阅读有关安全附件的详细信息:安全附件
检测、调查、响应和搜寻功能
当警报在Microsoft Defender for Office 365触发时,它们会自动关联,并合并到事件中,以帮助减少安全人员的警报疲劳。 自动调查和响应 (AIR) 触发调查以帮助修正和遏制威胁。
阅读详细信息,watch概述视频并在此处入门:使用Microsoft Defender XDR的事件响应
威胁分析是我们的产品内详细威胁情报解决方案,由专家Microsoft安全研究人员提供。 威胁分析包含详细报告,旨在让你了解最新的威胁组、攻击技术、如何使用入侵指标 (IOC) 等。
阅读详细信息,watch概述视频并在此处入门:威胁分析 in Microsoft Defender XDR
资源管理器可用于搜寻威胁、可视化邮件流模式、发现趋势,并确定在优化Defender for Office 365期间所做的更改的影响。 只需单击几下,即可快速删除组织中的邮件。
阅读详细信息并在此处入门:威胁资源管理器和实时检测
高级搜寻可用于主动搜寻组织中的威胁,使用来自社区的共享查询帮助你入门。 还可以使用自定义检测在满足个性化条件时设置警报。
阅读详细信息,watch概述视频并在此处入门:概述 - 高级搜寻
步骤 2 - 通过这些简单步骤进一步增强值
其他保护功能
请考虑启用内置保护之外的策略。 例如,启用单击保护或模拟保护,以添加额外的层或填补非Microsoft保护中缺少的空白。 如果邮件流规则 (也称为传输规则) 或连接筛选器, (也称为 SCL=-1 规则) 则需要在启用其他保护功能之前处理此配置。
在此处阅读详细信息:反钓鱼策略
如果当前安全提供程序配置为以任何方式修改消息,请务必注意,身份验证信号可能会影响Defender for Office 365防范欺骗等攻击的能力。 如果非Microsoft服务支持经过身份验证的接收链 (ARC) ,我们强烈建议在进行高级双重筛选的过程中启用 ARC。 将任何消息修改配置移动到Defender for Office 365也是一种替代方法。
在此处阅读详细信息:配置受信任的 ARC 密封器
连接器的增强筛选允许通过非Microsoft服务保留 IP 地址和发件人信息。 此功能提高了筛选 (保护) 堆栈的准确性、违规后功能 & 身份验证改进。
在此处阅读详细信息:Exchange Online 中连接器的增强筛选
优先帐户保护为工具中的帐户提供增强的可见性,并在处于高级防御深度配置状态时提供额外的保护。
在此处阅读详细信息:优先级帐户保护
应将高级传递配置为正确传递任何非Microsoft网络钓鱼模拟,如果你有安全作邮箱,请考虑将其定义为 SecOps 邮箱,以确保 不会 因威胁而从邮箱中删除电子邮件。
在此处阅读详细信息:高级交付
可以配置用户报告设置,以允许用户将好邮件或坏邮件报告给Microsoft、向指定的报告邮箱 (与当前安全工作流集成) 或同时使用受支持的 Outlook 版本中的内置“报告”按钮或使用受支持的非Microsoft解决方案集成。 管理员可以使用“提交”页上的“用户报告”选项卡对误报和误报用户报告的邮件进行会审。
在此处阅读详细信息:在 Outlook 中为管理员报告用户报告的设置和报告钓鱼和可疑电子邮件
教育版功能
攻击模拟训练允许你在组织中运行真实但良性的网络攻击方案。 如果还没有来自主要电子邮件安全提供商的网络钓鱼模拟功能,Microsoft的模拟攻击可以帮助你识别和查找易受攻击的用户、策略和做法。 此功能包含在实际攻击影响组织 之前 需要掌握和更正的重要知识。 在产品或自定义培训中分配模拟后,可让用户了解他们错过的威胁,最终降低组织的风险状况。 使用 攻击模拟训练,我们直接将消息传递到收件箱,因此用户体验非常丰富。 此体验还意味着无需进行任何安全更改,例如正确交付模拟所需的替代。
此处入门:开始使用攻击模拟。
在此处直接进行模拟:如何在攻击模拟训练内设置自动攻击和培训
步骤 3 及更高版本,成为双重用途英雄
安全团队应重复上述许多检测、调查、响应和搜寻活动。 本指南详细说明了建议的任务、节奏和团队分配。
阅读更多:Defender for Office 365的安全作指南
考虑用户体验,例如访问多个隔离区,或提交/报告误报和误报。 可以使用自定义 X 标头标记非Microsoft服务检测到的消息。 例如,可以使用邮件流规则来检测和隔离包含 X 标头的电子邮件。 此结果还为用户提供了一个访问隔离邮件的位置。
阅读更多:如何配置隔离权限和策略
迁移指南包含许多有关准备和优化环境以使其做好迁移准备的有用指南。 但许多步骤 也适用于 双重用途方案。 在最后的步骤中,请忽略 MX 交换机指南。
在此处阅读:从非Microsoft保护服务迁移到Microsoft Defender for Office 365
更多信息
从非Microsoft保护服务迁移到Microsoft Defender for Office 365
Defender for Office 365安全作指南
使用 Microsoft Defender XDR 获取更多Microsoft Defender for Office 365。