Xây dựng nền tảng bảo mật đáng tin cậy: Tiếp nhận chuyển đổi Microsoft Defender for Office 365

Giai đoạn Onboard là bước kế tiếp sau khi thiết lập chuyển đổi và cũng là giai đoạn cuối cùng của quá trình di chuyển sang Microsoft Defender for Office 365. Đây là giai đoạn mà doanh nghiệp cần tích hợp các công cụ để có thể sử dụng giải pháp bảo vệ dữ liệu này một cách tối ưu nhất.

Bước 1: Bắt đầu tích hợp nhóm bảo mật

Đây là bước đầu tiên của giai đoạn tích hợp khi Di chuyển sang Microsoft Defender for Office 365. Việc liên kết sớm với nhóm bảo mật sẽ giúp doanh nghiệp chủ động xử lý các mối đe dọa khi chuyển đổi MX records. Ngoài ra, việc tích hợp này còn giúp doanh nghiệp xử lý các nhiệm vụ như:

• Nắm vững các công cụ mới và tích hợp chúng vào quy trình hiện có, tiêu biểu như SIEM/SOAR, RBAC.
• Xác định các rủi ro có thể đã xâm nhập vào tổ chức.
• Điều chỉnh và tùy chỉnh cảnh báo cho quy trình tổ chức.
• Quản lý sự cố phát sinh và khắc phục các rủi ro tiềm năng.

Nếu doanh nghiệp đã mua Microsoft Defender for Office 365 Plan 2 thì nên bắt đầu làm quen và sử dụng các tính năng như Threat Explorer, Advanced Hunting và Incidents. 

Bước 2: Miễn trừ người dùng thử nghiệm khỏi quá trình lọc của dịch vụ bảo vệ hiện tại (tùy chọn)

Đây là một bước không bắt buộc, tuy nhiên doanh nghiệp vẫn nên xem xét cấu hình cho phép người dùng thử nghiệm tránh việc lọc qua dịch vụ bảo vệ hiện tại. Hành động này cho phép Defender for Office 365 xử lý tất cả các nhiệm vụ lọc và bảo vệ cho người dùng thử nghiệm. Nếu không miễn trừ người dùng thử nghiệm khỏi dịch vụ bảo vệ hiện tại, Defender for Office 365 sẽ chỉ hoạt động trong những trường hợp không được dịch vụ khác lọc.

Bước này được yêu cầu rõ ràng nếu dịch vụ bảo vệ hiện tại của người dùng cung cấp tính năng bao gói liên kết (link wrapping), nhưng người dùng vẫn muốn thử nghiệm chức năng Safe Links. 

Bước 3: Tinh chỉnh tính năng phát hiện giả mạo

Đây là bước kiểm tra thông tin giả mạo để xác những nội dung được cho phép hoặc bị chặn, đồng thời xác định xem người dùng có cần ghi đè lên quyết định của hệ thống về giả mạo hay không.

Một số nguồn email quan trọng cho doanh nghiệp có thể có các bản ghi xác thực email (SPF, DKIM và DMARC) được cấu hình không chính xác trong DNS và người dùng có thể sử dụng ghi đè trong dịch vụ bảo vệ hiện tại để che giấu các vấn đề liên quan đến tên miền.

Tính năng phát hiện giả mạo có thể giải cứu email từ các tên miền không có bản ghi xác thực email đúng trong DNS, nhưng đôi khi tính năng này cần phải có sự hỗ trợ mới có thể phân biệt mức độ giả mạo một cách chính xác. Bước tinh chỉnh tính năng sẽ tập trung vào các loại nguồn tin nhắn sau đây:

• Nguồn tin nhắn nằm ngoài các dải địa chỉ IP được xác định trong Enhanced Filtering for Connectors.
• Nguồn có số lượng tin nhắn cao nhất.
• Nguồn tin nhắn có tác động cao nhất đến doanh nghiệp.
• Tính năng phát hiện giả mạo sẽ tự điều chỉnh sau khi người dùng cấu hình các thiết lập được báo cáo.

Bước 4: Tinh chỉnh bảo vệ giả mạo và hòm thư thông minh

Ở giai đoạn này, người dùng sẽ tích hợp tác tính năng bảo vệ giả mạo và hòm thư thông minh, cụ thể như sau:

• Bảo vệ giả mạo người dùng: Đây là một tính năng trong Defender for Office 365 nhằm ngăn chặn các cuộc tấn công giả mạo người dùng. Khi được kích hoạt, tính năng này sẽ giám sát các email đến hộp thư của người dùng và phát hiện tin giả mạo bằng cách so sánh thuộc tính và mẫu dữ liệu với các đặc điểm của người dùng.
• Bảo vệ giả mạo tên miền: Khi một email được xác định là cố gắng giả mạo tên miền, domain impersonation protection có thể thực hiện các hành động như di chuyển email vào thư mục thư rác hoặc cách ly để ngăn chặn người nhận tiếp cận email độc hại. Tính năng này giúp bảo vệ người dùng khỏi việc người khác giả mạo tên miền của tổ chức hoặc đối tác để lừa đảo hoặc thực hiện các hoạt động độc hại.
• Bảo vệ hòm thư thông minh: Tính năng này được thiết kế để phát hiện và ngăn chặn các cuộc tấn công giả mạo qua email. Tính năng bảo vệ hòm thư thông minh sử dụng công nghệ AI và phân tích thông tin từ các hộp thư điện tử trong doanh nghiệp để nhận diện các hoạt động đáng ngờ và xác định các mẫu tấn công giả mạo.

Bước 5: Sử dụng dữ liệu từ tin nhắn báo cáo của người dùng để đánh giá và điều chỉnh

Khi người dùng thử nghiệm báo cáo về các thông điệp bị nhận dạng sai hoặc không nhận dạng được, những thông điệp này sẽ xuất hiện ở tab User reported trên Submissions tại Trung tâm quản lý Microsoft 365 Defender. 

Người dùng có thể báo cáo những thông điệp được xác định sai cho Microsoft để phân tích, sau đó sử dụng thông tin này để điều chỉnh các cài đặt và ngoại lệ trong chính sách thử nghiệm.

Người dùng có thể sử dụng các tính năng sau để theo dõi và điều chỉnh các cài đặt bảo vệ trong Defender for Office 365:

• Quarantine
• Threat Explorer
• Email security reports
• Defender for Office 365 reports
• Mail flow insights
• Mail flow reports

Nếu doanh nghiệp sử dụng dịch vụ của bên thứ ba để báo cáo thông điệp người dùng thì có thể tích hợp dữ liệu đó vào vòng lặp phản hồi.

Bước 6: Thêm người dùng vào nhóm thử nghiệm và lặp lại quá trình (tùy chọn)

Đây là bước giúp nhóm bảo mật của doanh nghiệp có thời gian thích nghi với các công cụ và quy trình mới. Khi phát sinh vấn đề cần sửa đổi, doanh nghiệp có thể thêm người dùng vào nhóm thử nghiệm (và tương tự thì cũng có thể loại bỏ người dùng khỏi danh sách cần quét bảo vệ nếu cần thiết).

Bước 7: Mở rộng bảo vệ Microsoft Defender for Office 365 cho tất cả người dùng và tắt chế độ mail flow SCL=-1

Sau khi chuyển MX records trỏ đến Microsoft 365, hãy thực hiện một trong những lựa chọn dưới đây để mở rộng các chính sách thử nghiệm cho toàn bộ doanh nghiệp:

• Sử dụng các chính sách bảo mật được thiết lập trước và chia người dùng giữa các hồ sơ bảo vệ tiêu chuẩn và hồ sơ bảo vệ nghiêm ngặt (đảm bảo rằng tất cả người dùng đều được bảo vệ). Các chính sách bảo mật được thiết lập đầu tiên sẽ ưu tiên áp dụng trước bất kỳ chính sách tùy chỉnh nào. Người dùng có thể tắt các chính sách thử nghiệm cá nhân nhưng không được xóa các chính sách đó.
• Thay đổi phạm vi của các chính sách đã tạo ra và điều chỉnh trong suốt quá trình thử nghiệm, chẳng hạn thay đổi từ việc áp dụng cho cùng một người dùng sang nhóm thành viên hoặc miền email.

Ở bước này, người dùng cần tắt chế độ mail flow SCL=-1 (lưu ý là chỉ tắt mà không xóa chế độ này). Tiếp theo, cần xác nhận rằng các thay đổi trước đó đã có hiệu lực và Defender for Office 365 đã được kích hoạt đúng cho tất cả người dùng. Tại thời điểm này, tất cả các tính năng bảo vệ của Defender for Office 365 đã được phép hoạt động trên thư cho tất cả người nhận, nhưng thư đó đã được quét bởi dịch vụ bảo vệ hiện có.

Bước 8: Chuyển đổi bản ghi MX

Khi thực hiện bước này, người dùng cần lưu ý một số điểm quan trọng dưới đây:

• Khi chuyển đổi MX records, có thể mất đến 48 giờ để các thay đổi được cập nhật toàn bộ. Điều này có nghĩa là việc gửi và nhận thư có thể bị ảnh hưởng trong khoảng thời gian diễn ra quá trình chuyển đổi.
• Để đảm bảo phản hồi nhanh chóng và khả năng phục hồi, người dùng nên giảm giá trị TTL của bản ghi DNS. Sau khi hoàn tất việc chuyển đổi thì có thể khôi phục lại giá trị TTL ban đầu.
• Khi chuyển đổi, hãy xem xét bắt đầu với các tên miền ít được sử dụng. Tuy nhiên, hãy đảm bảo rằng tất cả người dùng và tên miền đều được bảo vệ bởi các chính sách, vì các miền SMTP phụ sẽ được chuyển thành miền chính trước khi áp dụng chính sách.
• Trước khi chuyển đổi MX records, hãy kiểm tra xem các cài đặt sau đây đã được kích hoạt trên bộ kết nối đến Microsoft 365 hay chưa. Thông thường, bộ kết nối sẽ có một hoặc nhiều cài đặt sau được cấu hình:

– Yêu cầu rằng tên chủ đề trên chứng chỉ mà người dùng sử dụng để xác thực với Office 365 phải khớp với tên miền này (Restrict Domains To Certificate).

– Từ chối các tin nhắn email không được gửi từ phạm vi địa chỉ IP này (RestrictDomainsToIPAddresses).

• Trước khi tắt quy tắc mail flow SCL=-1, hãy kiểm tra xem các quy tắc này có được kích hoạt trên bộ kết nối đến Microsoft 365 không. Nếu sử dụng bộ kết nối loại Partner và có bật các cài đặt này, việc gửi thư đến miền sẽ bị lỗi sau khi chuyển đổi MX records. Do đó, người dùng cần tắt các cài đặt này trước khi tiếp tục. 

Khi đã sẵn sàng, hãy chuyển đổi bản ghi MX cho các miền. Doanh nghiệp có thể di chuyển tất cả các miền của mình cùng một lúc hoặc có thể di chuyển các miền ít được sử dụng trước rồi di chuyển phần còn lại sau.

Lời kết

Với các bước nêu trên ở giai đoạn 3, doanh nghiệp đã hoàn thành quá trình di chuyển sang Microsoft Defender for Office 365. Hãy bắt đầu sử dụng giải pháp này để bảo vệ hệ thống bởi so với nhiều phần mềm antivirus khác thì Microsoft Defender for Office 365 thực sự là một lựa chọn tối ưu, với mức giá hợp lý cho mọi doanh nghiệp.

Liên hệ với chúng tôi ngay để biết thêm thông tin chi tiết về các dịch vụ của FPT Smart Cloud.

• Fanpage: Microsoft For Business – FPT Smart Cloud
• Email: [email protected]
• Hotline: 1900 638 399