Microsoft Defender for Office 365 中的新增功能

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

本文列出了最新版本的 Microsoft Defender for Office 365 中的新功能。 当前处于预览状态的功能用 (预览) 表示。

观看此视频了解更多信息。

若要搜索Defender for Office 365功能的 Microsoft 365 路线图,请使用此链接

有关其他 Microsoft Defender 安全产品的新增功能的详细信息,请参阅:

2024 年 12 月

2024 年 11 月

2024 年 10 月

  • Microsoft 365 中的租户允许/阻止列表现在支持 IPv6 地址租户允许/阻止列表 现在支持 [允许和阻止 IPv6 地址] (tenant-allow-block-list-ip-addresses-configure.md) 。 它适用于由世纪互联环境运营的 Microsoft 365 Worldwide、GCC、GCC High、DoD 和 Office 365。

2024 年 9 月

  • 只需单击一下,SecOps 人员即可直接从资源管理器 (威胁资源管理器) 或Email实体页执行隔离释放操作, (无需转到 Defender 门户中的“隔离”页) 。 有关详细信息,请参阅修正Office 365中传递的恶意电子邮件
  • 使用 Outlook 中的内置“报告”按钮:Outlook for Mac v16.89 (24090815) 或更高版本中的内置“报告”按钮现在支持用户报告设置体验,将邮件报告为“钓鱼”、“垃圾邮件”和“非垃圾邮件”。
  • 我们正在更新最终用户体验,以便对其电子邮件进行允许和阻止列表管理。 单击一下,用户可以阻止来自不需要的发件人的电子邮件,并阻止这些邮件出现在其默认隔离视图和隔离通知中。 如果没有管理员替代) ,用户还可以允许来自受信任的电子邮件,并阻止来自这些发件人的将来邮件被隔离 (。 用户还可以了解导致隔离电子邮件的任何管理员替代。 有关详细信息,请参阅 查看隔离的电子邮件
  • 管理员可以查看批量投诉级别的 策略 What-if 见解, (BCL) 阈值、欺骗和模拟设置,从而根据历史数据了解设置更改的含义。 此功能使管理员能够自信地调整其设置,而无需担心用户可能会重新购买。

2024 年 8 月

  • (预览版) 现在可以在 攻击模拟训练 中使用 QR 码有效负载运行模拟。 可以跟踪用户响应并将培训分配给最终用户。

  • 使用 Outlook 中的内置“报告”按钮:Microsoft 365 专属 Outlook 和 Outlook 2021 中的内置“报告”按钮现在支持用户报告设置体验,将邮件报告为“钓鱼”、“垃圾邮件”和“非垃圾邮件”。

  • 我们将推出新的详细信息,介绍谁或哪些人负责从隔离区发布邮件。 这些详细信息包含在可从“隔离”页访问的电子邮件摘要浮出控件中。 有关详细信息,请参阅 查看隔离的电子邮件

2024 年 7 月

  • 由世纪互联环境运营的 Microsoft 365 GCC、GCC High、DoD 和 Office 365中的租户允许/阻止列表:租户允许/阻止列表现已提供这些环境。 它们与 WW 商业体验持平。

  • 上次使用日期后的 45 天:在上次使用日期后> 45 天后删除允许输入的值现在是提交中新允许条目的默认值。 还可以修改租户允许/阻止列表中的现有允许条目,以包含上次使用日期后> 45 天后删除允许条目的值。 在邮件流期间或单击时遇到实体并将其标识为恶意时,将触发允许条目并更新 LastUsedDate 属性。 筛选系统确定实体干净后,允许项会在 45 天后自动删除。 默认情况下,允许欺骗发件人的条目永不过期。

  • (GA) 学习中心资源已从Microsoft Defender门户移动到 learn.microsoft.com。 访问Microsoft Defender XDR忍者培训、学习路径、培训模块等。 浏览 学习路径列表,并按产品、角色、级别和主题进行筛选。

  • (GA) SecOps 人员现在可以从隔离区释放电子邮件,或者直接从威胁资源管理器中的“执行操作”、“高级搜寻”、“自定义检测”、“Email实体页”和“Email摘要面板”将隔离邮件移回用户收件箱。 此功能允许安全操作员更高效地管理误报,而不会丢失上下文。 有关详细信息,请参阅威胁搜寻:Email修正

  • 我们正在将组织内部保护数据引入三个面向客户的核心报表: 邮件流状态报告威胁防护状态报告以及 主要发件人和收件人报告。 管理员和安全操作员现在可以深入了解Exchange Online Protection和Defender for Office 365如何保护用户免受组织内部恶意电子邮件流量的侵害。 有关详细信息,请参阅 Microsoft Defender 门户中Email安全报告更改

2024 年 5 月

  • 租户允许/阻止列表中的顶级域和子域阻止:可以使用 格式 *.TLD在域 & 电子邮件地址下创建阻止条目,其中 TLD 可以是任何顶级域或 *.SD1.TLD, *.SD2.SD1.TLD*.SD3.SD2.SD1.TLD以及子域阻止的类似模式。 在邮件流期间,条目将阻止从域或子域中的任何电子邮件地址接收或发送到任何电子邮件地址的所有电子邮件。

  • 自动最终用户反馈:Microsoft Defender for Office 365 中的用户提交自动反馈响应功能使组织能够根据自动调查的判决自动响应最终用户提交的钓鱼。 了解详细信息

  • 我们将在威胁资源管理器、电子邮件实体、摘要面板和高级搜寻中引入 发件人的副本清理功能 。 这些新功能简化了管理已发送邮件的过程,特别是对于使用“移动到邮箱文件夹软删除”和“移动到邮箱文件夹>>收件箱”操作的管理员。 有关详细信息,请参阅 威胁搜寻:执行操作向导。 主要亮点:

  • 与软删除集成:发件人的副本清理作为软删除操作的一部分合并。

    • 广泛支持:跨各种Defender XDR平台支持此操作,包括威胁资源管理器、电子邮件实体中的“执行操作”向导、摘要面板、高级搜寻,以及Microsoft图形 API。
    • 撤消功能:撤消操作可用,使你可以通过将项目移回“已发送”文件夹来撤消清理。

2024 年 4 月

  • 上次使用日期 已添加到域和电子邮件地址、文件和 URL 的租户允许/阻止列表条目。

  • 提高了提交结果的清晰度:管理员和安全操作员现在可跨电子邮件、Microsoft Teams 邮件、电子邮件附件、URL 和用户报告邮件看到提交的增强结果。 这些更新旨在消除与当前提交结果相关的任何歧义。 对结果进行了优化,以确保清晰度、一致性和简洁性,使提交结果更具可操作性。 了解详细信息

  • “执行操作”将替换“Email”选项卡上的“邮件操作”下拉列表, (“威胁资源管理器 (资源管理器”中“所有电子邮件”、“恶意软件”或“网络钓鱼”视图的详细信息区域) ) :

    • SecOps 人员现在可以直接从威胁资源管理器通过 租户允许/阻止列表 在 URL 和文件上创建租户级块条目。
    • 对于在威胁资源管理器中选择的 100 个或更少的消息,SecOps 人员可以从同一页对所选邮件执行多个操作。 例如:
      • 清除电子邮件或建议电子邮件修正。
      • 将邮件提交到Microsoft。
      • 触发调查。
      • 阻止租户允许/阻止列表中的条目。
    • 操作在上下文中基于邮件的最新传递位置,但 SecOps 人员可以使用 “显示所有响应操作” 开关来允许所有可用操作。
    • 对于所选的 101 封或更多封邮件,仅电子邮件清除和建议修正选项可用。

    提示

    新的面板允许 SecOps 人员在租户级别查找泄露指标,并且阻止操作随时可用。

    有关详细信息,请参阅威胁搜寻:Email修正

2024 年 3 月

  • 复制攻击模拟训练中的模拟功能:管理员现在可以复制现有模拟,并根据其特定要求对其进行自定义。 在创建新模拟时,此功能通过使用以前启动的模拟作为模板来节省时间和精力。 了解详细信息
  • 攻击模拟训练现已在 Microsoft 365 DoD 中提供。 了解详细信息

2024 年 2 月

  • 搜寻和响应基于 QR 码的攻击:安全团队现在可以在“Email实体”页的“URL”选项卡上查看从 QR 码中提取的 URL,并在“高级搜寻”中 EmailUrlInfo 表的 UrlLocation 列中查看 QR 码作为 URL 源。 还可以使用威胁资源管理器中“所有电子邮件恶意软件网络钓鱼”视图中的 URL 源筛选器值筛选嵌入 QR 码的电子邮件, (资源管理器)

2024 年 1 月

  • 攻击模拟培训中提供了新的培训模块:教用户识别并保护自己免受 QR 码钓鱼攻击。 有关详细信息,请参阅此博客文章
  • 提交时提供意向现已正式发布:管理员可以确定他们是否正在向Microsoft提交项目以获取第二个意见,或者他们正在提交邮件,因为邮件是恶意邮件,并且Microsoft错过了邮件。 通过此更改,Microsoft分析管理员提交的邮件 (电子邮件和Microsoft Teams) 、URL 和电子邮件附件将进一步简化,并得到更准确的分析。 了解详细信息

2023 年 12 月

  • Exchange Online Protection和Microsoft Defender for Office 365内与 QR 代码相关的网络钓鱼防护:使用图像检测、威胁信号、URL 分析的新检测功能现在从 URL 中提取 QR 码,并阻止来自电子邮件正文的基于 QR 码的钓鱼攻击。 若要了解详细信息,请参阅我们的 博客

  • Microsoft Defender XDR统一 RBAC 现已正式发布:Defender XDR统一 RBAC 支持以前由Email &协作权限控制的所有Defender for Office 365方案,Exchange Online权限。 若要详细了解支持的工作负载和数据资源,请参阅 Microsoft Defender XDR统一基于角色的访问控制 (RBAC)

    提示

    Defender XDR统一 RBAC 在 Microsoft 365 政府社区云高 (GCC High) 或国防部 (DoD) 中正式发布。

2023 年 11 月

  • 来自Email实体/摘要面板的增强操作体验:作为更改的一部分,安全管理员可以在 FP/FN 流中执行多个操作。 了解详细信息
  • 租户允许/阻止列表支持每个类别中的更多条目, (域 & 电子邮件地址、文件和 URL:
    • Microsoft Defender for Office 365计划 2 支持通过每个类别中的管理员提交) (10,000 个块条目和 5,000 个允许条目。
    • Microsoft Defender for Office 365 计划 1支持 1,000 个块条目和 1,000 个允许条目, (每个类别中的管理员提交) 。
    • Exchange Online Protection仍为 500 个块条目,500 个允许通过每个类别中的管理员提交) (条目。

2023 年 10 月

  • 使用 攻击模拟训练 中的图形 API创建和管理模拟了解更多
  • Microsoft Defender XDR统一基于角色的访问控制 (RBAC) 支持Defender for Office 365中的Exchange Online权限管理:除了对Email &协作权限的现有支持外,Defender XDR统一 RBAC 现在还支持与保护相关的Exchange Online权限。 若要详细了解支持的Exchange Online权限,请参阅Exchange Online权限映射

2023 年 9 月

2023 年 8 月

  • 如果组织中的 “用户报告”设置 (电子邮件发送用户报告的邮件,Microsoft Teams) 仅Microsoft (,或者除了报告邮箱) 之外,我们现在执行与管理员从“ 提交 ”页面向Microsoft提交邮件以供分析时相同的检查。
  • 默认组织内部保护:默认情况下,隔离在标识为高可信度钓鱼的内部用户之间发送的消息。 管理员在默认反垃圾邮件策略或自定义策略中更改此设置, (选择退出组织内部保护,或者) 包含其他垃圾邮件筛选判决。 有关配置信息,请参阅 在 EOP 中配置反垃圾邮件策略

2023 年 7 月

2023 年 5 月

  • Outlook 网页版 中的内置报告支持代理报告来自共享邮箱或其他邮箱的邮件。
    • 共享邮箱需要用户的“发送为”或“代表发送”权限。
    • 其他邮箱需要代理的“发送方式”或“代表发送”权限 以及 “读取和管理”权限。

2023 年 4 月

2023 年 3 月

  • Microsoft Teams 的协作安全性:随着Microsoft Teams 等协作工具的使用的增加,使用 URL 和消息进行恶意攻击的可能性也随之增加。 Microsoft Defender for Office 365正在扩展其安全链接保护,增加了零小时自动清除功能, (ZAP) 、隔离和最终用户向其管理员报告潜在恶意邮件。 有关详细信息,请参阅Microsoft Defender for Office 365对 Microsoft Teams 的支持 (预览版)
  • 内置保护:为电子邮件启用安全链接单击保护时间:默认情况下,Microsoft现在在单击时保护电子邮件中的 URL,作为此更新的一部分, (EnableSafeLinksForEmail) 内置保护预设安全策略中的安全链接设置的一部分。 若要了解内置保护策略中特定的安全链接保护,请参阅 安全链接策略设置
  • 预设安全策略中启用的隔离通知:如果组织已启用或将启用Standard或严格预设安全策略,则策略将自动更新,以使用新的 DefaultFullAccessWithNotificationPolicy 隔离策略 (启用的通知) 使用) 禁用的 DefaultFullAccessPolicy (通知。 若要了解有关隔离通知的详细信息,请参阅 隔离通知。 有关预设安全策略中特定设置的详细信息,请参阅 EOP 和Defender for Office 365安全设置Microsoft建议

2023 年 1 月

2022 年 12 月

2022 年 10 月

  • 自动调查电子邮件群集操作重复数据删除:我们添加了其他检查。 如果过去一小时内已批准同一调查群集,则不会再次处理新的重复修正。

  • 管理租户允许/阻止列表中的允许和块

    • 使用允许 过期管理 (目前在个人预览版) ,如果Microsoft尚未从允许中了解,Microsoft会自动将即将到期的许可到期时间延长 30 天,以防止合法电子邮件再次进入垃圾邮件或隔离状态。
    • 政府云环境中的客户现在可以使用 URL 和电子邮件附件的管理员提交,在租户允许/阻止列表中为 URL 和附件创建允许和阻止条目。 通过提交体验提交的数据不会离开客户租户,从而满足政府云客户端的数据驻留承诺。
  • URL 单击警报中的增强功能:

    • 在新的回溯方案中,“检测到潜在的恶意 URL 单击”警报现在包括 过去 48 小时内 的任何单击, (电子邮件) 从确定恶意 URL 判决时开始。

2022 年 9 月

  • 针对内部域和发件人的反欺骗增强:

    • 为了进行欺骗保护, 在反垃圾邮件策略 中和用户允许列表中定义的允许发件人或域现在必须通过身份验证才能使允许的邮件得到遵守。 此更改仅影响被视为内部的邮件, (发件人或发件人的域位于组织) 接受的域中。 所有其他消息将继续像现在一样进行处理。
  • 从 Office 操作中心自动重定向到统一操作中心:Email &协作部分中的操作中心Email &协作>评审>操作中心https://security.microsoft.com/threatincidents会自动重定向到操作 & 提交>操作中心>历史记录https://security.microsoft.com/action-center/history

  • 从Office 365安全 & 合规中心自动重定向到Microsoft Defender门户:自动重定向,供访问Office 365安全 & 合规中心中的安全解决方案的用户 (protection.office.com) Microsoft Defender门户 (security.microsoft.com) 。 此更改适用于所有安全工作流,例如 (警报、威胁管理和报告) 。

    • 重定向 URL:
      • GCC 环境:
        • 从 Office 365 安全 & 合规中心 URL:protection.office.com
        • 若要Microsoft Defender XDR URL:security.microsoft.com
      • GCC-High 环境:
        • 从 Office 365 安全 & 合规中心 URL:scc.office365.us
        • 若要Microsoft Defender XDR URL:security.microsoft.us
      • DoD 环境:
        • 从 Office 365 安全 & 合规中心 URL:scc.protection.apps.mil
        • 若要Microsoft Defender XDR URL:security.apps.mil
  • Office 365安全 & 合规中心中与安全性无关的项目不会重定向到Microsoft Defender XDR。 有关将合规性解决方案重定向到 Microsoft 365 合规中心的信息,请参阅消息中心发布244886。

  • 此更改是Microsoft Defender XDR向 GCC、GCC High 和 DoD 客户提供统一 XDR 体验的延续 - Microsoft Tech Community,于 2022 年 3 月宣布。

  • 此更改使用户能够在一个门户中查看和管理其他Microsoft Defender XDR安全解决方案。

  • 此更改会影响使用 Office 365 Security & Compliance Center (protection.office.com) 的所有客户,包括 Office (计划 1 或计划 2) Microsoft Defender、Microsoft 365 E3/E5、Office 365 E3/E5 和Exchange Online Protection。 有关完整列表,请参阅 Microsoft 365 安全 & 合规性指南

  • 此更改会影响登录到 Office 365 安全性和合规性门户 (protection.office.com) 的所有用户,包括安全团队和访问Email隔离体验的最终用户,Microsoft Defender门户>查看>隔离

  • 默认情况下启用重定向,并且会影响租户的所有用户。

  • 全局管理员*和安全管理员可以在Microsoft Defender门户中打开或关闭重定向,方法是导航到“设置Email &协作>门户重定向”>并切换重定向开关。

    重要

    * Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

  • 内置保护:一个配置文件,它为所有Defender for Office 365客户启用默认启用的安全链接和安全附件保护的基本级别。 若要详细了解此新策略和优先级顺序,请参阅 预设安全策略。 若要了解设置的特定安全链接和安全附件控件,请参阅 安全附件设置 和安全 链接策略设置

  • 高级搜寻中的 EmailEvents 表中现提供批量投诉级别,其数字 BCL 值介于 0 到 9。 较高的 BCL 分数表示批量邮件更有可能产生投诉,并且更有可能是垃圾邮件。

2022 年 7 月

2022 年 6 月

2022 年 4 月

2022 年 3 月

2022 年 1 月

2021 年 10 月

2021 年 9 月

2021 年 8 月

  • 管理员查看报告的邮件:管理员现在可以在最终用户查看报告的邮件后将模板化消息发送回最终用户。 可以根据管理员的判断为组织自定义模板。
  • 如果阻止的邮件是作为管理员提交过程的一部分提交的,则现在可以将允许条目添加到租户允许/阻止列表。 根据块的性质,提交的 URL、文件和/或发件人允许条目添加到租户允许/阻止列表。 在大多数情况下,会添加允许条目,以便为系统提供一些时间,并根据需要自然允许它。 在某些情况下,Microsoft会为你管理允许项。 有关更多信息,请参阅:

2021 年 7 月

  • 自动调查中的Email分析改进
  • 高级传递:引入了一项新功能,用于配置向用户传递第三方网络钓鱼模拟,并将未筛选的邮件传递到安全操作邮箱。
  • Microsoft Teams 的安全链接
  • 针对以下方案的新警报策略:遭到入侵的邮箱、Forms网络钓鱼、由于替代而发送的恶意邮件以及舍入 ZAP
    • 可疑电子邮件转发活动
    • 用户已被限制共享表单和收集回复
    • 表单因潜在的网络钓鱼尝试已被阻止
    • 表单已被标记并确认为网络钓鱼
    • ZAP 的新警报策略
  • Microsoft Defender for Office 365警报现已集成到Microsoft Defender XDR - Microsoft Defender XDR统一警报队列和统一警报队列
  • 用户标记现在已集成到Microsoft Defender for Office 365警报体验中,包括:警报队列和Office 365安全性 & 合规性中的详细信息,以及将自定义警报策略的范围限定为用户标记以创建有针对性的警报策略。
    • 标记也可在Microsoft Defender门户的统一警报队列中使用 (Microsoft Defender for Office 365 计划 2)

2021 年 6 月

2021 年 4 月/5 月

  • Email实体页面:电子邮件的统一 360 度视图,其中包含有关威胁、身份验证和检测、引爆详细信息以及全新的电子邮件预览体验的丰富信息。
  • Office 365管理 API:汇报 EmailEvents (RecordType 28) 添加传递操作、原始和最新传递位置以及更新的检测详细信息。
  • 针对Defender for Office 365的威胁分析:查看主动威胁参与者、常用技术和攻击面,以及来自Microsoft研究人员关于正在进行的活动的广泛报告。

2021 年 2 月/3 月

  • 搜寻体验中使用警报 ID 和 Alert-Explorer 导航) (警报 ID 集成
  • 狩猎体验中将记录的导出限制从 9990 个提高到 200,000 条
  • 将资源管理器 (和实时检测) 试用租户的数据保留和搜索限制从以前的 7 (限制) 扩展到搜寻体验中的 30 天
  • 新的搜寻透视称为“资源管理器”中的“模拟 ”和“ 模拟用户 ”和“实时检测”,用于搜索针对受保护用户或域的模拟攻击。 有关详细信息,请参阅 威胁资源管理器中的网络钓鱼视图和实时检测

Microsoft Defender for Office 365 计划 1 和计划 2

你知道Microsoft Defender for Office 365在两个计划中可用吗? 详细了解每个计划包含的内容

另请参阅