Användarhandbok för utvärdering: Microsoft Defender för Office 365
Tips
Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
Välkommen till användarhandboken för Microsoft Defender för Office 365 utvärderingsversion! Den här användarhandboken hjälper dig att få ut det mesta av din kostnadsfria utvärderingsversion genom att lära dig hur du skyddar din organisation mot skadliga hot från e-postmeddelanden, länkar (URL:er) och samarbetsverktyg.
Vad är Defender för Office 365?
Defender för Office 365 hjälper organisationer att skydda sitt företag genom att erbjuda en omfattande uppsättning funktioner, inklusive hotskyddsprinciper, rapporter, funktioner för hotundersökning och svar samt automatiserade undersöknings- och svarsfunktioner.
Förutom identifiering av avancerade hot visar följande video hur SecOps-funktionerna i Defender för Office 365 kan hjälpa ditt team att svara på hot:
Granskningsläge jämfört med blockeringsläge för Defender för Office 365
Vill du att din Defender för Office 365 ska vara aktiv eller passiv? Det här är de två lägena som du kan välja mellan:
Granskningsläge: Särskilda utvärderingsprinciper skapas för skydd mot nätfiske (som omfattar personifieringsskydd), säkra bifogade filer och säkra länkar. Dessa utvärderingsprinciper är konfigurerade för att endast identifiera hot. Defender för Office 365 identifierar skadliga meddelanden för rapportering, men meddelandena åtgärdas inte (till exempel identifieras inte meddelanden i karantän). Inställningarna för dessa utvärderingsprinciper beskrivs i avsnittet Principer i granskningsläge senare i den här artikeln.
Granskningsläget ger åtkomst till anpassade rapporter för hot som identifieras av utvärderingsprinciperna i Defender för Office 365 på Microsoft Defender för Office 365 utvärderingssidan på https://security.microsoft.com/atpEvaluation.
Blockeringsläge: Standardmallen för förinställda säkerhetsprinciper är aktiverad och används för utvärderingsversionen, och de användare som du anger att inkludera i utvärderingsversionen läggs till i standardprincipen för förinställd säkerhet. Defender för Office 365 identifierar och vidtar åtgärder för skadliga meddelanden (till exempel sätts identifierade meddelanden i karantän).
Standardvalet och det rekommenderade valet är att begränsa dessa Defender för Office 365 principer till alla användare i organisationen. Men under eller efter installationen av utvärderingsversionen kan du ändra principtilldelningen till specifika användare, grupper eller e-postdomäner i Microsoft Defender-portalen eller i PowerShell.
Blockeringsläget tillhandahåller inte anpassade rapporter för hot som identifieras av Defender för Office 365. Informationen är i stället tillgänglig i vanliga rapporter och undersökningsfunktioner i Defender för Office 365 plan 2. Mer information finns i Rapporter för blockeringsläge.
De viktigaste faktorerna som avgör vilka lägen som är tillgängliga för dig är:
Oavsett om du för närvarande har Defender för Office 365 (plan 1 eller plan 2) enligt beskrivningen i Utvärdering kontra utvärdering för Defender för Office 365.
Så här levereras e-post till din Microsoft 365-organisation enligt beskrivningen i följande scenarier:
E-post från Internet flödar direkt från Microsoft 365, men din aktuella prenumeration har bara Exchange Online Protection (EOP) eller Defender för Office 365 abonnemang 1.
I dessa miljöer är granskningsläge eller blockeringsläge tillgängligt , beroende på din licensiering.
Du använder för närvarande en tjänst eller enhet från tredje part för e-postskydd av dina Microsoft 365-postlådor. E-post från Internet flödar via skyddstjänsten innan den levereras till din Microsoft 365-organisation. Microsoft 365-skyddet är så lågt som möjligt (det är aldrig helt avstängt, till exempel tillämpas skydd mot skadlig kod alltid).
I dessa miljöer är endast granskningsläge tillgängligt. Du behöver inte ändra ditt e-postflöde (MX-poster) för att utvärdera Defender för Office 365 plan 2.
Nu sätter vi igång!
Blockeringsläge
Steg 1: Komma igång i blockeringsläge
Starta din utvärderingsversion av Microsoft Defender för Office 365
När du har påbörjat utvärderingsversionen och slutfört installationen kan det ta upp till 2 timmar innan ändringarna träder i kraft.
Vi har automatiskt aktiverat standardprincipen för förinställd säkerhet i din miljö. Den här profilen representerar en baslinjeskyddsprofil som passar de flesta användare. Standardskydd omfattar:
- Säkra länkar, säkra bifogade filer och principer för skydd mot nätfiske som är begränsade till hela klientorganisationen eller delmängden av användare som du kan ha valt under utvärderingsinstallationen.
- Skydd mot säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams.
- Skydd mot säkra länkar för Office 365-appar som stöds.
Titta på den här videon om du vill veta mer: Skydda mot skadliga länkar med säkra länkar i Microsoft Defender för Office 365 – YouTube.
Gör det möjligt för användare att rapportera misstänkt innehåll i blockeringsläge
Defender för Office 365 gör det möjligt för användare att rapportera meddelanden till sina säkerhetsteam och gör det möjligt för administratörer att skicka meddelanden till Microsoft för analys.
- Verifiera eller konfigurera användarrapporterade inställningar så att rapporterade meddelanden går till en angiven rapporteringspostlåda, till Microsoft eller båda.
- Distribuera tillägget rapportmeddelande eller tillägget För rapportfiske så att användarna kan rapportera meddelanden. Eller så kan användarna använda den inbyggda rapportknappen i Outlook på webben (kallades tidigare Outlook Web App eller OWA).
- Upprätta ett arbetsflöde för att Rapportera falska positiva och falska negativa.
- Använd fliken Användarrapporterad på sidan Inskickade meddelanden på https://security.microsoft.com/reportsubmission?viewid=user för att se och hantera användarrapporterade meddelanden.
Titta på den här videon om du vill veta mer: Lär dig hur du använder sidan Inskickade meddelanden för att skicka meddelanden för analys – YouTube.
Granska rapporter för att förstå hotlandskapet i blockeringsläge
Använd rapportfunktionerna i Defender för att Office 365 få mer information om din miljö.
- Förstå hot som tas emot i e-post- och samarbetsverktyg med statusrapporten för skydd mot hot.
- Se var hot blockeras med statusrapporten e-postflöde.
- Använd URL-skyddsrapporten för att granska länkar som har visats av användare eller blockerats av systemet.
Steg 2: Mellanliggande steg i blockeringsläge
Prioritera fokus på dina mest riktade användare
Skydda dina mest riktade och mest synliga användare med Prioritering av kontoskydd i Defender för Office 365, vilket hjälper dig att prioritera ditt arbetsflöde för att säkerställa att dessa användare är säkra.
- Identifiera dina mest riktade eller mest synliga användare.
- Tagga dessa användare som prioriterade konton.
- Spåra hot mot prioritetskonton i hela portalen.
Titta på den här videon om du vill veta mer: Skydda prioriterade konton i Microsoft Defender för Office 365 – YouTube.
Undvik kostsamma överträdelser genom att förhindra att användare komprometteras
Få aviseringar om potentiella kompromisser och begränsa automatiskt effekten av dessa hot för att förhindra att angripare får djupare åtkomst till din miljö.
- Granska komprometterade användaraviseringar.
- Undersöka och svara till komprometterade användare.
Titta på den här videon om du vill veta mer: Identifiera och svara på kompromisser i Microsoft Defender för Office 365 – YouTube.
Använda Hotutforskaren för att undersöka skadlig e-post
Med Defender för Office 365 kan du undersöka aktiviteter som utsätter personer i organisationen för risk och vidta åtgärder för att skydda din organisation. Du kan göra detta med Threat Explorer (Explorer):
- Hitta misstänkt e-post som levererades: Hitta och ta bort meddelanden, identifiera IP-adressen för en skadlig e-postsändare eller starta en incident för vidare undersökning.
- Email säkerhetsscenarier i Hotutforskaren och realtidsidentifieringar
Visa kampanjer som riktar sig till din organisation
Se helheten med kampanjvyer i Defender för Office 365, som ger dig en översikt över de attackkampanjer som riktar sig mot din organisation och vilken inverkan de har på dina användare.
Identifiera kampanjer som riktar sig till dina användare.
Spåra användarinteraktion med dessa meddelanden.
Titta på den här videon om du vill veta mer: kampanjvyer i Microsoft Defender för Office 365 – YouTube.
Använda automatisering för att åtgärda risker
Svara effektivt med hjälp av automatiserad undersökning och svar (AIR) för att granska, prioritera och svara på hot.
- Läs mer om användarguider för undersökning.
- Visa information och resultat från en undersökning.
- Eliminera hot genom att godkänna reparationsåtgärder.
Steg 3: Avancerat innehåll i blockeringsläge
Fördjupa dig i data med frågebaserad jakt
Använd avancerad jakt för att skriva anpassade identifieringsregler, proaktivt inspektera händelser i din miljö och hitta hotindikatorer. Utforska rådata i din miljö.
- Skapa anpassade identifieringsregler.
- Delade frågor i Access som skapats av andra.
Titta på den här videon om du vill veta mer: Hotjakt med Microsoft Defender XDR – YouTube.
Träna användare att upptäcka hot genom att simulera attacker
Ge användarna rätt kunskap för att identifiera hot och rapportera misstänkta meddelanden med utbildning i attacksimulering i Defender för Office 365.
Simulera realistiska hot för att identifiera sårbara användare.
Tilldela utbildning till användare baserat på simuleringsresultat.
Spåra förloppet för din organisation i simuleringar och slutförande av utbildning.
Granskningsläge
Steg 1: Kom igång i granskningsläge
Starta din utvärderingsversion av Microsoft Defender för Office 365
När du har slutfört installationen kan det ta upp till 2 timmar innan ändringarna träder i kraft. Vi har automatiskt konfigurerat förinställda utvärderingsprinciper i din miljö.
Utvärderingsprinciper säkerställer att inga åtgärder vidtas för e-post som identifieras av Defender för Office 365.
Gör det möjligt för användare att rapportera misstänkt innehåll i granskningsläge
Defender för Office 365 gör det möjligt för användare att rapportera meddelanden till sina säkerhetsteam och gör det möjligt för administratörer att skicka meddelanden till Microsoft för analys.
- Verifiera eller konfigurera användarrapporterade inställningar så att rapporterade meddelanden går till en angiven rapporteringspostlåda, till Microsoft eller båda.
- Distribuera tillägget rapportmeddelande eller tillägget För rapportfiske så att användarna kan rapportera meddelanden. Eller så kan användarna använda den inbyggda rapportknappen i Outlook på webben (kallades tidigare Outlook Web App eller OWA).
- Upprätta ett arbetsflöde för att Rapportera falska positiva och falska negativa.
- Använd fliken Användarrapporterad på sidan Inskickade meddelanden på https://security.microsoft.com/reportsubmission?viewid=user för att se och hantera användarrapporterade meddelanden.
Titta på den här videon om du vill veta mer: Lär dig hur du använder sidan Inskickade meddelanden för att skicka meddelanden för analys – YouTube.
Granska rapporter för att förstå hotlandskapet i granskningsläge
Använd rapportfunktionerna i Defender för att Office 365 få mer information om din miljö.
- Instrumentpanelen Utvärdering ger en enkel vy över de hot som identifieras av Defender för Office 365 under utvärderingen.
- Förstå hot som tas emot i e-post- och samarbetsverktyg med statusrapporten för skydd mot hot.
Steg 2: Mellanliggande steg i granskningsläge
Använda Hotutforskaren för att undersöka skadlig e-post i granskningsläge
Med Defender för Office 365 kan du undersöka aktiviteter som utsätter personer i organisationen för risk och vidta åtgärder för att skydda din organisation. Du kan göra detta med Threat Explorer (Explorer):
- Hitta misstänkt e-post som levererades: Hitta och ta bort meddelanden, identifiera IP-adressen för en skadlig e-postsändare eller starta en incident för vidare undersökning.
- Email säkerhetsscenarier i Hotutforskaren och realtidsidentifieringar
Konvertera till standardskydd i slutet av utvärderingsperioden
När du är redo att aktivera Defender för Office 365 principer i produktion kan du använda Konvertera till standardskydd för att enkelt gå från granskningsläge till blockeringsläge genom att aktivera standardinställningens säkerhetsprincip, som innehåller alla mottagare från granskningsläge.
Migrera från en säkerhetstjänst eller enhet från tredje part till Defender för Office 365
Om du redan har en befintlig skyddstjänst eller enhet från tredje part som finns framför Microsoft 365 kan du migrera ditt skydd till Microsoft Defender för Office 365 för att få fördelarna med en konsoliderad hanteringsupplevelse, potentiellt lägre kostnader (med produkter som du redan betalar för) och en vuxen produkt med integrerat säkerhetsskydd.
Mer information finns i Migrera från en skyddstjänst eller enhet från tredje part till Microsoft Defender för Office 365.
Steg 3: Avancerat innehåll i granskningsläge
Träna användare att upptäcka hot genom att simulera attacker i granskningsläge
Ge användarna rätt kunskap för att identifiera hot och rapportera misstänkta meddelanden med utbildning i attacksimulering i Defender för Office 365.
Simulera realistiska hot för att identifiera sårbara användare.
Tilldela utbildning till användare baserat på simuleringsresultat.
Spåra förloppet för din organisation i simuleringar och slutförande av utbildning.
Ytterligare resurser
- interaktiv guide: Inte bekant med Defender för Office 365? Läs interaktiva guiden för att förstå hur du kommer igång.
- Snabbstartsguide: Microsoft Defender för Office 365
- Microsoft Defender för Office 365 dokumentation: Få detaljerad information om hur Defender för Office 365 fungerar och hur du bäst implementerar den för din organisation. Besök dokumentationen för Microsoft Defender för Office 365.
- Vad som ingår: En fullständig lista över säkerhetsfunktioner för e-post i Office 365 som listas efter produktnivå finns i Funktionsmatris.
- Varför Defender för Office 365: Databladet Defender för Office 365 visar de 10 främsta orsakerna till att kunder väljer Microsoft.