用于 EOP 和 Microsoft Defender for Office 365 中的保护策略的配置分析器
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
Microsoft Defender门户中的配置分析器提供了一个中心位置,用于查找和修复设置不如预设安全策略中的Standard保护和严格保护配置文件设置安全策略。
配置分析器会分析以下类型的策略:
Exchange Online Protection (EOP) 策略:包括Microsoft 365 个具有Exchange Online邮箱的组织以及没有Exchange Online邮箱的独立 EOP 组织:
Microsoft Defender for Office 365策略:包括具有Microsoft 365 E5或Defender for Office 365加载项订阅的组织:
EOP 和Microsoft Defender for Office 365安全性的建议设置中介绍了用作基线的Standard和严格策略设置值。
配置分析器还会检查以下非策略设置:
开始前,有必要了解什么?
在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 “配置分析器 ”页,请使用 https://security.microsoft.com/configurationAnalyzer。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 或授权和设置/安全设置/核心安全设置 (读取) 。
Email & Microsoft Defender门户中的协作权限:
- 使用配置分析器并更新受影响的安全策略: 组织管理 或 安全管理员 角色组中的成员身份。
- 对配置分析器的只读访问权限: 全局读取者 或 安全读取者 角色组中的成员身份。
Exchange Online权限:“仅查看组织管理”角色组中的成员身份授予对配置分析器的只读访问权限。
Microsoft Entra权限:全局管理员*、安全管理员、全局读取者或安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
在 Microsoft Defender 门户中使用配置分析器
在 Microsoft Defender 门户中https://security.microsoft.com,转到模板化策略部分中Email &协作>策略& 规则>威胁策略>配置分析器。 若要直接转到 “配置分析器 ”页,请使用 https://security.microsoft.com/configurationAnalyzer。
“配置分析器”页有三个main选项卡:
- Standard建议:将现有安全策略与Standard建议进行比较。 可以调整设置值,使其达到与Standard相同的级别。
- 严格建议:将现有安全策略与严格建议进行比较。 可以调整设置值,使其达到与严格相同的级别。
- 配置偏移分析和历史记录:审核和跟踪一段时间内的策略更改。
配置分析器中的Standard建议和严格建议选项卡
默认情况下,配置分析器将在“Standard建议”选项卡上打开。可以切换到“严格建议”选项卡。这两个选项卡上的设置、布局和操作相同。
选项卡的第一部分显示与Standard或严格保护相比,每种策略类型中需要改进的设置数。 策略类型为:
- 反垃圾邮件
- 防网络钓鱼
- 反恶意软件
- 如果订阅包含Microsoft Defender for Office 365) , (安全附件
- 如果订阅包含Microsoft Defender for Office 365) , (安全链接
- DKIM
- 如果订阅包含Microsoft Defender for Office 365) ,则内置保护 (
- Outlook
如果未显示策略类型和编号,则该类型的所有策略都符合Standard或严格保护的建议设置。
选项卡的其余部分是需要提升到Standard或严格保护级别的设置表。 该表包含以下列*:
- 建议: 标准或严格保护配置文件中的设置值。
- 策略: 包含该设置的受影响策略的名称。
- 策略组/设置名称: 需要注意的设置 名称。
- 策略类型:反垃圾邮件、防钓鱼、反恶意软件、安全链接或安全附件。
- 当前配置:设置的当前值。
- 上次修改日期: 上次修改策略的日期。
- 状态:通常,此值为 “未启动”。
* 若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 在 Web 浏览器中缩小字体功能。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 反垃圾邮件
- 防网络钓鱼
- 反恶意软件
- 安全附件
- 安全链接
- ATP 内置保护规则
- DKIM
- Outlook
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用“ 搜索 ”框和相应的值查找特定条目。
查看有关建议的策略设置的详细信息
在配置分析器的“Standard保护”或“严格保护”选项卡上,单击建议名称旁边的“检查”框以外的任何位置,选择条目。 在打开的详细信息浮出控件中,提供了以下信息:
- 策略:受影响策略的名称。
- 原因?:有关建议设置的值的原因的信息。
- 要更改的特定设置以及要更改的值。
- 查看策略:此链接可转到Microsoft Defender门户中受影响策略的详细信息浮出控件,可在其中手动更新设置。
- 指向 EOP 和Microsoft Defender for Office 365安全性的建议设置的链接。
提示
若要查看有关其他建议的详细信息而不离开详细信息浮出控件,请使用浮出控件顶部的“上一个”和“下一个”。
完成详细信息浮出控件后,选择“ 关闭”。
对建议的策略设置执行操作
在配置分析器的“Standard保护”或“严格保护”选项卡上,通过选择建议名称旁边的“检查”框来选择条目。 页面上会显示以下操作:
应用建议:如果建议需要多个步骤,此操作将灰显。
选择此操作时,将 (打开一个确认对话框,其中包含“不再显示对话框”选项) 打开。 选择“ 确定”时,会发生以下情况:
- 设置将更新为建议的值。
- 建议仍处于选中状态,但唯一可用的操作是 “刷新”。
- 行的 “状态” 值更改为 “完成”。
查看策略:你将转到Microsoft Defender门户中受影响策略的详细信息浮出控件,可在其中手动更新设置。
导出:将所选建议导出到 .csv 文件,选择“ 导出”。
还可以在选择多个建议或选择所有建议后导出建议,方法是选择“建议”列标题旁边的“检查”框。
在自动更新或手动更新设置后,选择“刷新”以查看减少的建议数以及从结果中删除更新的行。
配置分析器中的配置偏移分析和历史记录选项卡
注意
需要为偏差分析启用统一审核。
此选项卡允许跟踪对安全策略的更改,以及这些更改与Standard或严格设置的比较情况。 默认情况下,显示以下信息:
- 上次修改时间
- 修改者
- 设置名称
- 策略:受影响策略的名称。
- 类型:反垃圾邮件、防钓鱼、反恶意软件、安全链接或安全附件。
- 配置更改:设置的旧值和新值
- 配置偏移:值“增加”或“减少”,指示与建议的“Standard”或“严格”设置相比,设置安全性增加或降低。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 日期:开始时间和结束时间。 从今天起,你可以回到 90 天。
- 类型:Standard保护或严格保护。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用 ::image type=“icon” source=“media/m365-cc-sc-search-icon.png” border=“false”::: 搜索框按特定的“修改者”、“设置名称”或“类型”值筛选条目。
若要将 “配置偏移分析和历史记录 ”选项卡上显示的条目导出到 .csv 文件,请选择“ 导出”。