用于 EOP 和 Microsoft Defender for Office 365 中的保护策略的配置分析器

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

Microsoft Defender门户中的配置分析器提供了一个中心位置,用于查找和修复设置不如预设安全策略中的Standard保护和严格保护配置文件设置安全策略

配置分析器会分析以下类型的策略:

EOP 和Microsoft Defender for Office 365安全性的建议设置中介绍了用作基线的Standard和严格策略设置值。

配置分析器还会检查以下非策略设置:

  • DKIM:是否在 DNS 中检测到指定域的 SPFDKIM 记录。
  • Outlook:是否在组织中 启用 本机 Outlook 外部发件人标识符。

开始前,有必要了解什么?

  • 在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 “配置分析器 ”页,请使用 https://security.microsoft.com/configurationAnalyzer

  • 若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell

  • 需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:

    • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 授权和设置/安全设置/核心安全设置 (读取)

    • Email & Microsoft Defender门户中的协作权限

      • 使用配置分析器并更新受影响的安全策略组织管理安全管理员 角色组中的成员身份。
      • 对配置分析器的只读访问权限全局读取者安全读取者 角色组中的成员身份。
    • Exchange Online权限“仅查看组织管理”角色组中的成员身份授予对配置分析器的只读访问权限。

    • Microsoft Entra权限全局管理员*安全管理员全局读取者安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限权限。

      重要

      * Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

在 Microsoft Defender 门户中使用配置分析器

在 Microsoft Defender 门户中https://security.microsoft.com,转到模板策略部分中Email &协作>策略& 规则>威胁策略>配置分析器。 若要直接转到 “配置分析器 ”页,请使用 https://security.microsoft.com/configurationAnalyzer

“配置分析器”页有三个main选项卡:

  • Standard建议:将现有安全策略与Standard建议进行比较。 可以调整设置值,使其达到与Standard相同的级别。
  • 严格建议:将现有安全策略与严格建议进行比较。 可以调整设置值,使其达到与严格相同的级别。
  • 配置偏移分析和历史记录:审核和跟踪一段时间内的策略更改。

配置分析器中的Standard建议和严格建议选项卡

默认情况下,配置分析器将在“Standard建议”选项卡上打开。可以切换到“严格建议”选项卡。这两个选项卡上的设置、布局和操作相同。

配置分析器中的“设置和建议”视图

选项卡的第一部分显示与Standard或严格保护相比,每种策略类型中需要改进的设置数。 策略类型为:

  • 反垃圾邮件
  • 防网络钓鱼
  • 反恶意软件
  • 如果订阅包含Microsoft Defender for Office 365) , (安全附件
  • 如果订阅包含Microsoft Defender for Office 365) , (安全链接
  • DKIM
  • 如果订阅包含Microsoft Defender for Office 365) ,则内置保护 (
  • Outlook

如果未显示策略类型和编号,则该类型的所有策略都符合Standard或严格保护的建议设置。

选项卡的其余部分是需要提升到Standard或严格保护级别的设置表。 该表包含以下列*

  • 建议: 标准或严格保护配置文件中的设置值。
  • 策略: 包含该设置的受影响策略的名称。
  • 策略组/设置名称: 需要注意的设置 名称。
  • 策略类型:反垃圾邮件、防钓鱼、反恶意软件、安全链接或安全附件。
  • 当前配置:设置的当前值。
  • 上次修改日期: 上次修改策略的日期。
  • 状态:通常,此值为 “未启动”。

* 若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:

  • 在 Web 浏览器中水平滚动。
  • 缩小相应列的宽度。
  • 在 Web 浏览器中缩小字体功能。

若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:

  • 反垃圾邮件
  • 防网络钓鱼
  • 反恶意软件
  • 安全附件
  • 安全链接
  • ATP 内置保护规则
  • DKIM
  • Outlook

完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。

使用“ 搜索 ”框和相应的值查找特定条目。

在配置分析器的“Standard保护”或“严格保护”选项卡上,单击建议名称旁边的“检查”框以外的任何位置,选择条目。 在打开的详细信息浮出控件中,提供了以下信息:

  • 策略:受影响策略的名称。
  • 原因?:有关建议设置的值的原因的信息。
  • 要更改的特定设置以及要更改的值。
  • 查看策略:此链接可转到Microsoft Defender门户中受影响策略的详细信息浮出控件,可在其中手动更新设置。
  • 指向 EOP 和Microsoft Defender for Office 365安全性的建议设置的链接。

提示

若要查看有关其他建议的详细信息而不离开详细信息浮出控件,请使用浮出控件顶部的“上一个”和“下一个”。

完成详细信息浮出控件后,选择“ 关闭”。

配置分析器中的浮出控件体验

在配置分析器的“Standard保护”或“严格保护”选项卡上,通过选择建议名称旁边的“检查”框来选择条目。 页面上会显示以下操作:

  • 应用建议:如果建议需要多个步骤,此操作将灰显。

    选择此操作时,将 (打开一个确认对话框,其中包含“不再显示对话框”选项) 打开。 选择“ 确定”时,会发生以下情况:

    • 设置将更新为建议的值。
    • 建议仍处于选中状态,但唯一可用的操作是 “刷新”。
    • 行的 “状态” 值更改为 “完成”。
  • 查看策略:你将转到Microsoft Defender门户中受影响策略的详细信息浮出控件,可在其中手动更新设置。

  • 导出:将所选建议导出到 .csv 文件,选择“ 导出”。

    还可以在选择多个建议或选择所有建议后导出建议,方法是选择“建议”列标题旁边的“检查”框。

在自动更新或手动更新设置后,选择“刷新以查看减少的建议数以及从结果中删除更新的行。

配置分析器中的配置偏移分析和历史记录选项卡

注意

需要为偏差分析启用统一审核

此选项卡允许跟踪对安全策略的更改,以及这些更改与Standard或严格设置的比较情况。 默认情况下,显示以下信息:

  • 上次修改时间
  • 修改者
  • 设置名称
  • 策略:受影响策略的名称。
  • 类型:反垃圾邮件、防钓鱼、反恶意软件、安全链接或安全附件。
  • 配置更改:设置的旧值和新值
  • 配置偏移:值“增加”或“减少”,指示与建议的“Standard”或“严格”设置相比,设置安全性增加或降低。

若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:

  • 日期开始时间和结束时间。 从今天起,你可以回到 90 天。
  • 类型Standard保护严格保护

完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。

使用 ::image type=“icon” source=“media/m365-cc-sc-search-icon.png” border=“false”::: 搜索框按特定的“修改者”、“设置名称”“类型”值筛选条目。

若要将 “配置偏移分析和历史记录 ”选项卡上显示的条目导出到 .csv 文件,请选择“ 导出”。

配置分析器中的配置偏移分析和历史记录视图