Xây dựng nền tảng bảo mật đáng tin cậy: Thiết lập chuyển đổi Microsoft Defender for Office 365

Tiếp sau các bước chuẩn bị khi di chuyển sang Microsoft Defender for Office 365 thì thiết lập là một giai đoạn rất quan trọng. Đây là quá trình nâng cấp và tối ưu hóa hệ thống bảo mật của doanh nghiệp thông qua các bước cài đặt và cấu hình phù hợp. Với Microsoft Defender for Office 365, tổ chức có thể tận dụng các tính năng bảo mật mạnh mẽ để bảo vệ dữ liệu và hệ thống của mình. 

Bước 1: Tạo nhóm phân phối cho người dùng thử nghiệm

Trong quá trình di chuyển sang Microsoft Defender for Office 365, việc tạo nhóm phân phối cho người dùng thử nghiệm là một bước không được bỏ qua. Nhóm phân phối là các nhóm được tạo trong Microsoft 365 để thực hiện các chức năng như bảo vệ và kiểm tra tin nhắn. Việc tạo nhóm phân phối có các vai trò cụ thể dưới đây.

Đặt ngoại lệ cho quy tắc luồng thư SCL=-1 

Việc quét các tin nhắn đến bằng Defender for Office 365 sẽ giúp người dùng thử nghiệm nhận được các tính năng đầy đủ của giải pháp này. 

Người dùng cần xác định nhóm phân phối cho các đối tượng thử nghiệm trong Microsoft 365, sau đó cấu hình nhóm này làm ngoại lệ cho quy tắc luồng thư SCL=-1. Khi đó, các tin nhắn đến của nhóm này sẽ được quét bởi Defender for Office 365.

Kiểm tra các tính năng bảo vệ cụ thể của Microsoft Defender for Office 365

Khi không muốn bật tất cả mọi tính năng cùng một lúc thì người dùng thử nghiệm nên sử dụng phương pháp ưu tiên theo giai đoạn cho các tính năng bảo vệ. Đó là cách đảm bảo việc xử lý sự cố và điều chỉnh bảo mật trở nên dễ dàng hơn. Với phương pháp này, người dùng sẽ cần tạo các nhóm phân phối sau đây:

• Nhóm thử nghiệm Safe Attachments: Ví dụ như MDOPilot_Safe Attachments.
• Nhóm thử nghiệm Safe Links: Ví dụ như MOPilot SafeLinks.
• Nhóm thử nghiệm cho Standard anti-spam và chính sách anti-phishing: Ví dụ như MDOPilot_SpamPhish_Strict.

Các lưu ý cơ bản khi tạo nhóm phân phối

Dưới đây là một số lưu ý khi tạo nhóm phân phối cho người dùng thử nghiệm:

• Do không thể tùy chỉnh việc cài đặt nên người dùng không sử dụng được các chính sách bảo mật đã thiết lập sẵn. Thay vào đó, họ sẽ phải tạo chính sách tùy chỉnh với cài đặt tương tự.
• Nếu người dùng muốn thử nghiệm cài đặt khác biệt, hãy tạo nhóm phân phối bổ sung.
• Sử dụng Configuration Analyzer để kiểm tra mức độ an toàn của cài đặt.
• Hãy đảm bảo áp dụng chính sách tùy chỉnh trước chính sách đề xuất cho quá trình di chuyển.
• Nếu một người dùng thuộc nhiều chính sách cùng loại thì chỉ chính sách có ưu tiên cao nhất mới được áp dụng.

Bước 2: Cấu hình các thiết lập báo cáo của người dùng

Trong quá trình di chuyển sang Microsoft Defender for Office 365, việc cho phép người dùng báo cáo các trường hợp tin nhắn rác, tin nhắn giả mạo từ Defender for Office 365 sẽ giúp đảm bảo tính bảo mật cho hệ thống. Để làm được điều này, doanh nghiệp cần cấu hình các thiết lập cho phép người dùng tham gia vào quá trình phản hồi và báo cáo các trường hợp giả mạo. Cụ thể việc cấu hình các thiết lập báo cáo của người dùng như sau:

• Chỉ định một hộp thư Exchange Online để nhận các tin nhắn mà người dùng báo cáo là độc hại hoặc không độc hại. Hộp thư này có thể nhận các bản sao của các tin nhắn mà người dùng gửi cho Microsoft. 
• Cần đảm bảo rằng toàn bộ người dùng trong nhóm thử nghiệm có cách hỗ trợ để báo cáo các trường hợp tin nhắn bị giả mạo từ Defender for Office 365. Một số tùy chọn để làm điều này bao gồm:

• Người dùng có thể sử dụng nút Report tích hợp trong Outlook trên web.
• Tích hợp sẵn tính năng báo cáo thư lừa đảo, thư rác trong Outlook.
• Sử dụng các công cụ báo cáo từ bên thứ ba.

Bước 3: Duy trì hoặc tạo quy tắc luồng thư SCL=-1

Hầu hết các dịch vụ bảo vệ bên thứ ba đều khuyến khích sử dụng quy tắc luồng thư SCL=-1 cho khách hàng Microsoft 365.

Nếu người dùng đang sử dụng những cơ chế khác để ghi đè lên ngăn chặn thư rác của Microsoft (ví dụ: danh sách IP cho phép) thì nên chuyển sang sử dụng quy tắc luồng thư SCL=-1. Tuy nhiên, cần đảm bảo tất cả thư đến từ Internet vào Microsoft 365 đều đi qua dịch vụ bảo vệ bên thứ ba.

Quy tắc luồng thư SCL=-1 rất hữu ích trong quá trình di chuyển sang Microsoft Defender for Office 365 bởi vì:

• Người dùng có thể sử dụng Threat Explorer để xem những tính năng của Microsoft đã hoạt động trên các thông điệp mà không ảnh hưởng đến kết quả từ dịch vụ bảo vệ hiện có.
• Người dùng có thể điều chỉnh dần đối tượng được bảo vệ bằng cách cấu hình các ngoại lệ cho quy tắc luồng thư SCL=-1.

Ở bước này, người dùng cần lưu ý một số điểm dưới đây:

• Nếu doanh nghiệp cho phép thư điện tử từ Internet được lọc  qua dịch vụ bảo vệ hiện có và trực tiếp đi vào Microsoft 365 cùng một lúc thì cần hạn chế quy tắc luồng thư SCL=-1.. 
• Để xác định chính xác những thư đã được quét bởi dịch vụ bảo vệ hiện có, người dùng có thể thêm một điều kiện vào quy tắc luồng thư SCL=-1. Chẳng hạn như sử dụng một tiêu đề và giá trị tiêu đề duy nhất cho doanh nghiệp. Khi đó, Microsoft 365 sẽ chỉ quét các thông điệp không có tiêu đề. Hoặc cũng có thể sử dụng địa chỉ IP nguồn để xác định luồng thư đến.

Bước 4: Cấu hình bộ lọc nâng cao cho Connectors

Bộ lọc nâng cao cho Connectors là yêu cầu bắt buộc của Defender for Office 365 để xác định nguồn gốc thư từ Internet. Bộ lọc này cải thiện đáng kể độ chính xác của hệ thống lọc (đặc biệt là khả năng chống giả mạo, điều tra và phản ứng tự động trong Threat Explorer và Automated Investigation & Response (AIR)).

Để bật bộ lọc nâng cao cho Connectors một cách chính xác, người dùng cần thêm các địa chỉ IP công khai của tất cả các dịch vụ bên thứ ba hoặc các máy chủ hệ thống email trong mạng nội bộ mà định tuyến thư đến vào Microsoft 365.

Để xác nhận rằng bộ lọc nâng cao cho Connectors đang hoạt động, hãy kiểm tra xem các thông điệp đến có chứa một hoặc chứa cả hai tiêu đề sau đây hay không:

• X-MS-Exchange-SkipListedInternetSender
• X-MS-Exchange-ExternalOriginalInternetSender

Bước 5: Tạo chính sách bảo vệ thử nghiệm

Bằng cách tạo ra các chính sách bảo vệ, ngay cả khi các chính sách này không áp dụng cho tất cả người dùng thì vẫn có thể kiểm tra các tính năng sau xâm nhập như Threat Explorer và kiểm tra tích hợp Defender for Office 365 vào quy trình phản ứng bảo mật của nhóm phân phối.

Các chính sách này có thể áp dụng cho người dùng, nhóm hoặc tên miền. Trong đó, đối với chính sách thử nghiệm thì nên áp dụng cho nhóm hoặc người dùng, còn các chính sách thực tế thì nên áp dụng cho tên miền.

Các chính sách bảo vệ thử nghiệm bao gồm:

• Chính sách Safe Attachments thử nghiệm: Đây là chính sách sử dụng tính năng Safe Attachments của Defender for Office 365 để kiểm tra và bảo vệ tập tin đính kèm trong thư đến. Safe Attachments được cấu hình để xác định cách xử lý các tập tin đính kèm có khả năng chứa mã độc hay không.
• Chính sách Safe Links thử nghiệm: Chính sách này sử dụng tính năng Safe Links của Defender for Office 365 để kiểm tra và bảo vệ liên kết trong nội dung thư đến. Safe Links giúp xác định cách xử lý các liên kết có khả năng là lừa đảo hoặc có chứa mã độc.
• Chính sách Anti-phishing thử nghiệm: Đây là chính sách sử dụng tính năng Anti-phishing của Defender for Office 365 để phát hiện và ngăn chặn các cuộc tấn công lừa đảo qua email. Anti-phishing được cấu hình để xác định các quy tắc và phương pháp phân loại các email lừa đảo.
• Chính sách Anti-spam thử nghiệm: Bằng cách sử dụng tính năng Anti-spam của Defender for Office 365 để nhận dạng và chặn các email rác, chính sách này sẽ xác định các quy tắc và phương pháp phân loại các email như spam và đưa vào phần thư rác.

Lời kết

Bằng việc thực hiện các bước thiết lập đúng cách, doanh nghiệp có thể đảm bảo rằng hệ thống được cấu hình phù hợp với các chức năng an ninh của Microsoft Defender. 

Giai đoạn thiết lập giúp doanh nghiệp tiến thêm một bước quan trọng trong quá trình chuyển sang Microsoft Defender for Office 365. Với giải pháp bảo vệ này, doanh nghiệp sẽ sẵn sàng đối phó được với những mối đe dọa bảo mật ngày càng phức tạp hiện nay.

Liên hệ với chúng tôi ngay để biết thêm thông tin chi tiết về các dịch vụ của FPT Smart Cloud.

• Fanpage: Microsoft For Business – FPT Smart Cloud
• Email: [email protected]
• Hotline: 1900 638 399