Microsoft Defender for Office 365 入门
在包含Microsoft Defender for Office 365 (或作为附加订阅) 的新Microsoft 365 组织中,本文介绍了在 EOP ) 和 Exchange Online Protection (中需要执行的配置步骤Defender for Office 365在组织的最初几天。
尽管 Microsoft 365 组织从创建 (或) 向其添加Defender for Office 365的那一刻起就具有默认保护级别,但本文中的步骤提供了一个可操作的计划来释放 EOP 和Defender for Office 365的完整保护功能。 完成这些步骤后,还可以使用本文向管理层展示你在 Microsoft 365 中的投资最大化。
下图介绍了配置 EOP 和Defender for Office 365的步骤:
提示
作为本文的配套内容,请参阅我们的Microsoft Defender for Office 365设置指南,以查看最佳做法并防范电子邮件、链接和协作威胁。 功能包括安全链接、安全附件等。 对于基于环境的自定义体验,可以访问Microsoft 365 管理中心中的Microsoft Defender for Office 365自动设置指南。
要求
Email威胁防护功能包含在通过 EOP 使用云邮箱的所有Microsoft 365 订阅中。 Defender for Office 365包括其他保护功能。 有关 EOP、计划 1 Defender for Office 365和计划 2 Defender for Office 365功能的详细比较,请参阅Microsoft Defender for Office 365概述。
角色和权限
若要配置 EOP 和Defender for Office 365功能,需要权限。 下表列出了执行本文中的步骤所需的权限, (一个权限就足够了:不需要全部) 。
角色或角色组 | 了解详细信息 |
---|---|
Microsoft Entra 中的全局管理员* | Microsoft Entra内置角色 |
Email &协作角色组中的组织管理 | Microsoft Defender for Office 365中的角色组 |
Microsoft Entra中的安全管理员 | Microsoft Entra内置角色 |
Email &协作角色组中的安全管理员 | Microsoft Defender for Office 365 中的Email &协作权限 |
Exchange Online 组织管理 | Exchange Online 中的权限 |
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
步骤 1:为 Microsoft 365 域配置电子邮件身份验证
摘要:按该) 顺序配置 SPF、 DKIM 和 DMARC 记录 (所有自定义Microsoft 365 个域 (包括) 的托管域和子域。 如有必要,请配置任何 受信任的 ARC 密封器。
详细信息:
Email身份验证 (也称为电子邮件验证) 是一组用于验证电子邮件是否合法、未经更改且来自发件人电子邮件域的预期源的标准。 有关详细信息,请参阅在 EOP 中Email身份验证。
我们继续假设你在 Microsoft 365 中对电子邮件使用一个或多个 自定义域 (例如 contoso.com) ,因此你需要为用于电子邮件的每个自定义域创建特定的电子邮件身份验证 DNS 记录。
在 DNS 注册机构或 DNS 托管服务中,为 Microsoft 365 中用于电子邮件的每个自定义域创建以下电子邮件身份验证 DNS 记录:
发件人策略框架 (SPF) :SPF TXT 记录标识域中发件人的有效电子邮件来源。 有关说明,请参阅 设置 SPF 以帮助防止欺骗。
域密钥标识邮件 (DKIM) :DKIM 对出站邮件进行签名,并将签名存储在邮件头中,以便邮件转发中幸存下来。 有关说明,请参阅 使用 DKIM 验证从自定义域发送的出站电子邮件。
基于域的邮件身份验证、报告和符合性 (DMARC) :DMARC 可帮助目标电子邮件服务器决定对自定义域中未通过 SPF 和 DKIM 检查的邮件执行的操作。 请务必将 DMARC 策略 (
p=reject
或p=quarantine
) 和 DMARC 报告目标包含在 DMARC 记录中, (聚合和取证报告) 。 有关说明,请参阅 使用 DMARC 验证电子邮件。经身份验证的接收链 (ARC) :如果使用第三方服务在传递到 Microsoft 365 之前修改传输中的 入站 消息,则可以将服务标识为 受信任的 ARC 封口器 (如果它们支持它) ,则修改后的邮件不会自动在 Microsoft 365 中失败电子邮件身份验证检查。 有关说明,请参阅 配置受信任的 ARC 密封器。
如果将 *.onmicrosoft.com 域用于电子邮件 (也称为“Microsoft Online Email路由地址”或 MOERA 域) ,则几乎不需要执行以下操作:
- SPF:已为 *.onmicrosoft.com 域配置 SPF 记录。
- DKIM:已针对使用 *.onmicrosoft.com 域的出站邮件配置了 DKIM 签名,但你也可以 手动自定义它。
- DMARC:需要手动为 *.onmicrosoft.com 域设置 DMARC 记录,如此 处所述。
步骤 2:配置保护策略
摘要:为所有收件人启用并使用Standard和/或严格预设安全策略。 或者,如果业务需求决定,请改为创建和使用自定义保护策略,但定期使用配置分析器检查这些策略。
详细信息:
可以想象,EOP 和Defender for Office 365中提供了许多保护策略。 有三种基本类型的保护策略:
默认策略:这些策略从创建组织的那一刻起就存在。 它们适用于组织中的所有收件人,你无法关闭策略,并且无法修改策略应用于的人员。 但可以像修改自定义策略一样修改策略中的安全设置。 EOP 和Microsoft Defender for Office 365安全性的建议设置中的表中介绍了默认策略中的设置。
预设安全策略:预设安全性实际上是包含 EOP 中大多数可用保护策略的配置文件,Defender for Office 365具有针对特定保护级别定制的设置。 预设的安全策略包括:
- 严格预设安全策略。
- Standard预设的安全策略。
- 内置保护。
默认情况下,Standard和严格预设安全策略处于关闭状态,直到你将其打开。 指定 (用户、组成员、域或所有收件人) 的收件人条件和例外,Standard和严格预设安全策略中的 EOP 保护功能和Defender for Office 365保护功能。
默认情况下,Defender for Office 365中的内置保护处于打开状态,为所有收件人提供基本的安全附件和安全链接保护。 可以指定收件人例外以标识未获得保护的用户。
在Defender for Office 365组织中的Standard和严格预设安全策略中,需要为用户和域模拟保护配置条目和可选例外。 所有其他设置都锁定在建议的标准值和严格值 (其中许多设置都是相同的) 。 可以在 EOP 和Microsoft Defender for Office 365安全性的建议设置的表中查看Standard和严格值,并在此处查看Standard与严格之间的差异。
随着新的保护功能添加到 EOP 和Defender for Office 365以及安全环境的变化,预设安全策略中的设置会自动更新为建议的设置。
自定义策略:对于大多数可用的保护策略,可以创建任意数量的自定义策略。 可以使用收件人条件和例外 (用户、组成员或域) 将策略应用于用户,并且可以自定义设置。
下表总结了上述信息以及所涉及的保护策略:
默认策略 | 预设安全策略 | 自定义策略 | |
---|---|---|---|
EOP 保护策略: | |||
反恶意软件 | ✔ | ✔ | ✔ |
反垃圾邮件 | ✔ | ✔ | ✔ |
防钓鱼 (欺骗保护) | ✔ | ✔ | ✔ |
出站垃圾邮件 | ✔ | ✔ | |
连接筛选 | ✔¹ | ||
Defender for Office 365策略: | |||
防钓鱼 (欺骗保护) 加: | ✔² | ✔² | ✔ |
安全链接 | ³ | ✔ | ✔ |
安全附件 | ³ | ✔ | ✔ |
常规行为 | |||
默认启用保护? | ✔ | ⁴ | |
配置保护条件/例外? | ✔⁵ | ✔ | |
自定义安全设置? | ✔ | ⁶ | ✔ |
保护设置自动更新? | ✔ |
¹ IP 允许列表或 IP 阻止列表中没有默认条目,因此,除非自定义设置,否则默认连接筛选器策略实际上不执行任何操作。
² 在配置之前,Defender for Office 365中没有针对用户模拟或域模拟保护的条目或可选例外。
尽管 Defender for Office 365 中没有默认的安全附件或安全链接策略,但内置保护提供始终处于打开状态的基本安全附件和安全链接保护。
⁴ Defender for Office 365) 中的内置保护 (安全附件和安全链接保护是默认启用的唯一预设安全策略。
⁵ 对于Standard和严格预设安全策略,可以为 EOP 和Defender for Office 365保护配置单独的收件人条件和可选例外。 对于 Defender for Office 365 中的内置保护,只能配置来自保护的收件人例外。
⁶ 预设安全策略中唯一可自定义的安全设置是Standard中的用户模拟保护和域模拟保护的条目和可选例外,Defender for Office 365中的严格预设安全策略。
保护策略的优先级顺序
在决定如何为用户配置安全设置时,如何应用保护策略是一个重要考虑因素。 需要记住的要点是:
- 保护功能具有不可配置的 处理顺序。 例如,始终在垃圾邮件之前评估传入邮件的恶意软件。
- 特定功能 (反垃圾邮件、反恶意软件、防钓鱼等的保护策略 ) 按特定优先级顺序应用, (以后) 的优先级顺序进行更多应用。
- 如果用户有意或无意地包含在特定功能的多个策略中,则该功能的第一个保护策略 (根据优先级顺序) 确定 (消息、文件、URL 等 ) 项会发生什么情况。
- 将第一个保护策略应用于用户的特定项后,该功能的策略处理将停止。 不会为该用户和该特定项评估该功能的更多保护策略。
预设 安全策略和其他策略的优先级顺序中详细介绍了优先级顺序,但此处简要总结了这些顺序:
- 预设安全策略中的保护策略:
- 严格预设安全策略。
- Standard预设的安全策略。
- 特定功能的自定义保护策略 (例如反恶意软件策略) 。 每个自定义策略都有一个优先级值,该值确定策略相对于相同功能的其他保护策略的应用顺序:
- 优先级值为 0 的自定义策略。
- 优先级值为 1 的自定义策略。
- 等等。
- 特定功能的默认保护策略 (例如,Defender for Office 365 (安全链接和安全附件) 中的反恶意软件) 或内置保护。
请参阅上表,了解特定保护策略如何按优先级顺序表示。 例如,每个级别都存在反恶意软件策略。 出站垃圾邮件策略在自定义策略和默认策略级别可用。 连接筛选器策略仅在默认策略级别可用。
若要避免混淆和意外应用策略,请使用以下准则:
- 在每个级别使用明确的组或收件人列表。 例如,对Standard和严格预设安全策略使用不同的组或收件人列表。
- 根据需要在每个级别配置异常。 例如,将需要自定义策略的收件人配置为Standard和严格预设安全策略的例外。
- 未在较高级别标识的任何剩余收件人都将获得Defender for Office 365 (安全链接和安全附件) 中的默认策略或内置保护。
借助此信息,你可以决定在组织中实施保护策略的最佳方法。
确定保护策略策略
了解不同类型的保护策略及其应用方式后,可以决定如何使用 EOP 和Defender for Office 365来保护组织中的用户。 你的决定不可避免地属于以下范围:
- 仅使用Standard预设的安全策略。
- 使用Standard和严格预设安全策略。
- 使用预设的安全策略和自定义策略。
- 仅使用自定义策略。
请记住,Defender for Office 365) 中的默认策略 (和内置保护自动保护组织中的所有收件人, (未在Standard或严格预设安全策略或自定义策略) 中定义的任何人。 因此,即使不执行任何操作,组织中的所有收件人也会获得默认保护,如 EOP 和Microsoft Defender for Office 365安全性的推荐设置中所述。
同样重要的是要意识到,你不会永远被锁定在最初的决定中。 建议的设置表和Standard和严格比较表中的信息应允许你做出明智的决策。 但是,如果需求、结果或环境发生变化,以后切换到其他策略并不难。
如果没有令人信服的业务需求,我们建议从组织中所有用户Standard预设安全策略开始。 预设安全策略根据Microsoft 365 个数据中心的多年观察情况配置设置,并且应该是大多数组织的正确选择。 并且,策略会自动更新,以匹配安全环境的威胁。
在预设的安全策略中,可以选择“ 所有收件人” 选项,以便轻松将保护应用到组织中的所有收件人。
如果要在严格预设安全策略中包含某些用户,在Standard预设安全策略中包含其余用户,请记得按照本文前面所述的优先级顺序使用以下方法进行考虑:
在每个预设的安全策略中使用明确的组或收件人列表。
或
将应获取Standard预设安全策略设置的收件人配置为严格预设安全策略中的例外。
请记住,以下保护功能配置不受预设安全策略影响, (你可以使用预设的安全策略,还可以) 独立配置这些保护设置:
- 出站垃圾邮件策略 (自定义和默认)
- 默认连接筛选器策略 (IP 允许列表和 IP 阻止列表)
- 全局启用 SharePoint、OneDrive 和 Microsoft Teams 的安全附件
- 全局启用和配置安全文档 (仅在Defender for Office 365 (未包括的许可证时可用且有意义,例如,Microsoft 365 A5或Microsoft 365 E5 安全性) )
若要打开和配置预设安全策略,请参阅 EOP 中的预设安全策略和Microsoft Defender for Office 365。
决定使用自定义策略而不是或除了预设的安全策略之外,最终会归结为以下业务要求:
- 用户需要不同于预设安全策略中的不可修改设置的安全设置, (垃圾邮件与隔离,反之亦然,无安全提示、通知自定义收件人等 ) 。
- 用户需要未在预设的安全策略中 配置的 设置 (例如,在反垃圾邮件策略) 中阻止来自特定国家/地区或特定语言的电子邮件。
- 用户需要不同于预设安全策略中不可修改的设置的 隔离体验 。 隔离策略 根据邮件被隔离的原因以及收件人是否收到有关其隔离邮件的通知来定义用户可以对其隔离邮件执行的操作。 此处的表中汇总了默认最终用户隔离体验,此处的表中介绍了Standard和严格预设安全策略中使用的隔离策略。
使用 EOP 和Microsoft Defender for Office 365安全性的建议设置中的信息,将自定义策略或默认策略中的可用设置与Standard和严格预设安全策略中配置的内容进行比较。
特定功能的多个自定义策略的设计准则 (例如,反恶意软件策略) 包括:
- 由于优先级顺序,自定义策略中的用户不能包含在Standard或严格预设安全策略中。
- 将更少的用户分配到更高的优先级策略,将更多的用户分配到较低的优先级策略。
- 将优先级较高的策略配置为具有比优先级较低的策略更严格或更专用的设置 (包括默认策略) 。
如果决定使用自定义策略,请使用配置分析器定期将策略中的设置与Standard和严格预设安全策略中的建议设置进行比较。
步骤 3:向管理员分配权限
摘要:将Microsoft Entra中的安全管理员角色分配给其他管理员、专家和技术支持人员,以便他们可以在 EOP 和Defender for Office 365中执行任务。
详细信息:
你可能已在使用在 Microsoft 365 中注册的初始帐户来执行本部署指南中的所有工作。 具体来说,该帐户是 Microsoft 365 (中随处可见的管理员,它是 Microsoft Entra) 中的全局管理员角色的成员,可让你执行几乎所有操作。 本文前面在 角色和权限中介绍了所需的权限。
但是,此步骤的目的是配置其他管理员,以帮助你在将来管理 EOP 的功能和Defender for Office 365。 你不需要的是很多具有全局管理员权限的人,他们不需要它。 例如,他们是否确实需要删除/创建帐户或使其他用户成为全局管理员? 最好遵循最低特权 (分配执行作业所需的权限,而只分配任何) 权限的概念。
在 EOP 和 Defender for Office 365 中为任务分配权限时,可以使用以下选项:
- Microsoft Entra权限:这些权限适用于 Microsoft 365 (Exchange Online、SharePoint Online、Microsoft Teams 等 ) 中的所有工作负载。
- Exchange Online权限:EOP 和Defender for Office 365中的大多数任务都可使用Exchange Online权限。 仅在 Exchange Online 中分配权限会阻止其他 Microsoft 365 工作负载中的管理访问。
- Email & Microsoft Defender门户中的协作权限:可通过Email &协作权限管理 EOP 和Defender for Office 365中的某些安全功能。 例如:
为简单起见,对于需要在 EOP 和 Defender for Office 365 中配置设置的其他人,建议在 Microsoft Entra 中使用安全管理员角色。
有关说明,请参阅向用户分配Microsoft Entra角色和使用Microsoft Entra全局角色管理对Microsoft Defender XDR的访问权限。
步骤 4:优先级帐户和用户标记
摘要:确定组织中的相应用户并将其标记为优先帐户,以便更轻松地在报告和调查中识别,并在Defender for Office 365获得优先帐户保护。 请考虑在计划 2 Defender for Office 365中创建和应用自定义用户标记。
详细信息:
在Defender for Office 365中,优先级帐户允许你标记多达 250 个高价值用户,以便在报告和调查中轻松识别。 这些优先帐户还会收到不会使普通员工受益的其他试探。 有关详细信息,请参阅管理和监视优先级帐户和在 Microsoft Defender for Office 365 中配置和查看优先级帐户保护。
在 Defender for Office 365 计划 2 中,还可以创建和应用自定义用户标记,以轻松识别报告和调查中的特定用户组。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记。
确定要标记为优先帐户的相应用户,并确定是否需要创建和应用自定义用户标记。
步骤 5:查看和配置用户报告的消息设置
摘要:部署报告邮件或报告钓鱼加载项或受支持的第三方工具,以便用户可以在 Outlook 中报告误报和误报,以便这些报告的邮件可供管理员在 Defender 门户的“提交”页的“用户报告”选项卡上使用。 配置组织,使报告邮件转到指定的报告邮箱和/或Microsoft。
详细信息:
用户能够报告标记为错误 (误报) 或允许) 误报 (误报消息,对于监视和调整 EOP 和Defender for Office 365中的保护设置非常重要。
用户消息报告的重要部分包括:
用户如何报告消息?:确保客户端使用以下方法之一,以便报告消息显示在 Defender 门户https://security.microsoft.com/reportsubmission?viewid=user“提交”页的“用户报告”选项卡上::
Outlook 网页版 (中的内置“报表”按钮,以前称为Outlook Web App或 OWA) 。
适用于 Outlook 和 Outlook 网页版 的Microsoft报告邮件或报告钓鱼加载项。
使用 支持的邮件提交格式的第三方报告工具。
用户报告的消息将转到何处?:有以下选项:
- 对于指定的报告邮箱,Microsoft (这是默认值) 。
- 仅限指定的报告邮箱。
- 仅限Microsoft。
用于收集用户报告邮件的默认邮箱是全局管理员的邮箱, (组织) 的初始帐户。 如果希望用户报告的邮件转到组织中的报告邮箱,则应 创建 并 配置 要使用的独占邮箱。
你是否希望用户报告的邮件也转到Microsoft进行专门分析 (,以及发送到指定的报告邮箱) ,由你决定。
如果希望用户报告的邮件仅转到指定的报告邮箱,管理员应手动将用户报告的邮件提交到 Microsoft,以便从 Defender 门户中https://security.microsoft.com/reportsubmission?viewid=user的“提交”页的“用户报告”选项卡进行分析。
将用户报告的消息提交到Microsoft对于允许筛选器学习和改进非常重要。
有关用户报告的消息设置的完整信息,请参阅 用户报告设置。
步骤 6:阻止和允许条目
摘要:熟悉阻止和允许Defender for Office 365中的消息、文件和 URL 的过程。
详细信息:
需要熟悉如何在 Defender 门户中的以下位置暂时阻止和 () 允许邮件发件人、文件和 URL:
- 处https://security.microsoft.com/tenantAllowBlockList的租户允许/阻止列表。
- 位于 的https://security.microsoft.com/reportsubmission“提交”页。
- 位于 的https://security.microsoft.com/spoofintelligence“欺骗智能见解”页。
通常,创建块比允许的要容易,因为不必要的允许条目会向系统筛选的恶意电子邮件公开你的组织。
阻止:
可以在租户允许/阻止列表中的相应选项卡上为 域和电子邮件地址、 文件和URL 创建阻止条目,并将项目提交到“ 提交 ”页Microsoft进行分析。 将项提交到Microsoft时,也会在租户允许/阻止列表中创建相应的块条目。
提示
组织中的用户也无法将电子邮件 发送到 租户允许/阻止列表中的块条目中指定的域或电子邮件地址。
被 欺骗情报 阻止的消息显示在“ 欺骗情报 ”页上。 如果将允许条目更改为阻止条目,则发送方将成为租户允许/阻止列表中的“ 欺骗发件人 ”选项卡上的手动阻止条目。 还可以 在“欺骗 发件人”选项卡上主动为尚未遇到欺骗发件人创建阻止条目。
允许:
不能直接在租户允许/阻止列表中的相应选项卡上为 域和电子邮件地址、 文件和URL 创建允许条目。 相反,可以使用 “提交” 页将项目报告为Microsoft。 向Microsoft报告项时,可以选择允许该项,这会在“租户允许/阻止”列表中创建相应的临时允许条目。
欺骗智能允许的消息显示在“欺骗情报”页上。 如果将阻止条目更改为允许项,则发送方将成为租户允许/阻止列表中的“ 欺骗发件人 ”选项卡上的手动允许条目。 还可以 在“欺骗 发件人”选项卡上主动为尚未遇到欺骗发件人创建允许条目。
有关完整详细信息,请参阅以下文章:
- 使用租户允许/阻止列表允许或阻止电子邮件
- 使用租户允许/阻止列表允许或阻止文件
- 使用租户允许/阻止列表允许或阻止 URL
- 使用“提交”页提交可疑垃圾邮件、网络钓鱼、URL、阻止合法电子邮件和电子邮件附件,以Microsoft
- 重写欺骗情报判决
步骤 7:使用 攻击模拟训练 启动网络钓鱼模拟
在Defender for Office 365计划 2 中,攻击模拟训练允许你向用户发送模拟钓鱼邮件,并根据用户的响应方式分配培训。 可以选择以下选项:
有关详细信息,请参阅开始使用 攻击模拟训练。
步骤 8:调查和响应
完成初始设置后,请使用Microsoft Defender for Office 365安全操作指南中的信息来监视和调查组织中的威胁。