监视和维护Microsoft 365 商业高级版和Defender 商业版
Microsoft 365 商业高级版或独立版本的Microsoft Defender 商业版设置和配置后,下一步是准备维护和操作计划。 请务必使系统、设备、用户帐户和安全策略保持最新状态,以帮助防范网络攻击。 可以使用本文作为准备计划的指南。
准备计划时,可以将各种任务组织为两个main类别,如下表所示:
| 任务类型 | Sections |
|---|---|
| 安全任务 |
每日安全任务 每周安全任务 每月安全任务 根据需要执行的安全任务 |
| 常规管理员任务 |
管理员中心任务 用户、组和密码 电子邮件和日历 Devices 订阅和计费 |
安全任务
安全任务通常由安全管理员和安全操作员执行。
每日安全任务
| 任务 | 说明 |
|---|---|
| 检查威胁漏洞管理仪表板 | 通过查看漏洞管理仪表板获取威胁漏洞快照,该管理仪表板反映组织对网络安全威胁的脆弱性。 风险评分高意味着设备更容易受到攻击。 1. 在Microsoft Defender门户 (https://security.microsoft.com) 的导航窗格中,选择“漏洞管理>仪表板”。 2. 查看 组织曝光分数。 如果评分在可接受或“高”范围内,则可以继续。 如果不是,请选择“提高分数”查看其他详细信息和安全建议,以提高此分数。 了解曝光分数有助于: - 快速了解和识别有关组织中安全状态的高级要点 - 检测和响应需要调查或操作以改进当前状态的区域 - 与对等方和管理层就安全工作的影响进行沟通 |
| 在操作中心中查看挂起的操作 | 检测到威胁后, 修正操作 将发挥作用。 根据特定威胁和安全设置的配置方式,修正操作可能会自动执行或仅在获得批准后执行,这就是应定期监视这些操作的原因。 在操作中心跟踪修正操作。 1. 在Microsoft Defender门户 (https://security.microsoft.com) 的导航窗格中,选择“操作中心”。 2. 选择“ 挂起 ”选项卡以查看和批准 (或拒绝) 任何挂起的操作。 此类操作可能来自防病毒程序或反恶意软件保护、自动调查、手动响应活动或实时响应会话。 3. 选择“ 历史记录 ”选项卡以查看已完成操作的列表。 |
| 查看具有威胁检测功能的设备 | 当在设备上检测到威胁时,安全团队需要知道任何所需的操作,例如隔离设备,可以立即执行。 1. 在Microsoft Defender门户 (https://security.microsoft.com) 的导航窗格中,选择“报告>常规>安全报表”。 2. 向下滚动到 “易受攻击的设备” 行。 如果在设备上检测到威胁,则可以在此行中看到该信息。 |
| 了解新事件或警报 | 检测到威胁并触发警报时,将创建事件。 公司的安全团队可以在Microsoft Defender门户中查看和管理事件。 1. 在Microsoft Defender门户 (https://security.microsoft.com) 的导航菜单中,选择“事件”。 事件显示在有关联警报的页面上。 2. 选择警报以打开其浮出控件窗格,可在其中了解有关警报的详细信息。 3. 在浮出控件中,可以看到警报标题,查看资产 (列表,例如受影响的终结点或用户帐户) ,采取可用操作,并使用链接查看详细信息,甚至打开所选警报的详细信息页面。 |
| 运行扫描或自动调查 | 安全团队可以在具有高风险级别或检测到威胁的设备上启动扫描或自动调查。 根据扫描或自动调查的结果,可以自动执行修正操作,也可以在批准后执行 修正操作 。 1. 在Microsoft Defender门户 (https://security.microsoft.com) 的导航窗格中,选择“资产>设备”。 2. 选择设备以打开其浮出控件面板,并查看显示的信息。 - 选择省略号 (...) 打开操作菜单。 - 选择操作,例如 “运行防病毒扫描 ”或 “启动自动调查”。 |
每周安全任务
| 任务 | 说明 |
|---|---|
| 监视和改进Microsoft安全功能分数 | Microsoft安全功能分数是衡量组织安全状况的指标。 数字越大,则表明所需的改进操作更少。 通过使用安全功能分数,可以: - 报告组织安全状况的当前状态。 - 通过提供可发现性、可见性、指导和控制性来改善安全状况。 - 与基准进行比较,并建立关键绩效指标 (KPI) 。 若要检查分数,请执行以下步骤: 1. 在Microsoft Defender门户 (https://security.microsoft.com) ,在导航窗格中选择“安全功能分数”。 2. 查看修正和操作并做出决策,以提高整体Microsoft安全分数。 |
| 提高设备的安全功能分数 | 通过使用安全建议列表修正问题来提升安全配置。 执行此操作时,设备的 Microsoft 安全功能分数会提高,并且你的组织在今后的网络安全威胁和漏洞方面具有更大的弹性。 花时间查看和提高分数总是值得的。 若要检查安全功能分数,请执行以下步骤: 1. 在Microsoft Defender门户 (https://security.microsoft.com) ,在导航窗格中选择“安全功能分数”。 2. 从Defender 漏洞管理 仪表板卡Microsoft安全分数中,选择其中一个类别。 随即显示与该类别相关的建议列表以及建议。 3.选择列表中的项以显示与建议相关的详细信息。 4.选择 “修正选项”。 5. 阅读说明以了解问题的上下文以及接下来要执行的操作。 选择截止日期、添加备注,然后选择“ 将所有修正活动数据导出到 CSV ”,以便将其附加到电子邮件进行跟进。 确认消息告知你已创建修正任务。 6. 向 IT 管理员发送后续电子邮件,并留出你分配的时间,以便在系统中传播修正。 7.返回到仪表板上卡设备的Microsoft安全功能分数。 由于你的操作,安全控制建议的数量已减少。 8. 选择“ 安全控制” 以返回到“安全建议”页。 已解决的项目不再列在该处,这会导致 Microsoft 安全功能分数提高。 |
每月安全任务
| 任务 | 说明 |
|---|---|
| 运行报告 | Microsoft Defender门户 () https://security.microsoft.com 中提供了多个报表。 1. 在Microsoft Defender门户 (https://security.microsoft.com) 的导航窗格中,选择“报表”。 2. 选择要查看的报表。 每个报告显示此报告的多个相关类别。 3.选择“ 查看详细信息 ”,查看每个类别的更深入信息。 4. 选择特定威胁的标题以查看特定于该威胁的详细信息。 |
根据需要执行的安全任务
| 任务 | 说明 |
|---|---|
| 管理误报/负数 | 误报是一个实体,例如检测到并标识为恶意的文件或进程,即使该实体实际上不是威胁。 假负是未检测到为威胁的实体,即使它实际上是恶意的。 任何威胁防护解决方案(包括Microsoft Defender for Office 365和Microsoft Defender 商业版)都可能发生误报/负值,这两者都包含在Microsoft 365 商业高级版中。 幸运的是,可以采取步骤来解决和减少此类问题。 有关设备上的误报/负数,请参阅解决Microsoft Defender for Endpoint中的误报/负数。 有关电子邮件中的误报/负值,请参阅以下文章: - 如何使用 Microsoft Defender for Office 365 处理发送给收件人的恶意电子邮件 (假负) - 如何使用 Microsoft Defender for Office 365 处理 (误报) 阻止的合法电子邮件 |
| 加强安全状况 | Defender 商业版包括漏洞管理仪表板,它提供暴露分数,使你能够查看有关公开设备的信息并查看相关的安全建议。 可以使用Defender 漏洞管理 仪表板来减少风险并改善组织的安全状况。 另请参阅以下文章: - 在 Microsoft Defender 商业版 中使用漏洞管理仪表板 - 仪表板见解 |
| 调整安全策略 |
可以使用报告 ,以便你可以查看有关检测到的威胁、设备状态等的信息。 有时需要调整安全策略。 例如,可以对某些用户帐户或设备应用严格保护,对其他用户帐户或设备应用标准保护。 另请参阅以下文章: - 对于设备保护:查看或编辑Microsoft Defender 商业版中的策略 - 对于电子邮件保护:EOP 和Microsoft Defender for Office 365安全性的建议设置 |
| 分析管理员提交 | 有时需要将实体(如电子邮件、URL 或附件)提交到Microsoft以供进一步分析。 报告项有助于减少误报/负数的发生,并提高威胁检测的准确性。 另请参阅以下文章: - 使用“提交”页提交可疑垃圾邮件、网络钓鱼、URL、阻止合法电子邮件和电子邮件附件,以Microsoft - 管理员查看用户报告的消息 |
| 保护优先用户帐户 | 并非所有用户帐户都有权访问相同的公司信息。 某些帐户有权访问敏感信息,例如财务数据、产品开发信息、合作伙伴对关键生成系统的访问等。 如果遭到入侵,有权访问高度机密信息的帐户将构成严重威胁。 我们将这些类型的帐户称为优先级帐户。 优先帐户包括 (但不限于) 首席执行官、CCO、CFO、基础结构管理员帐户、生成系统帐户等。 另请参阅以下文章: - 保护管理员帐户 - Microsoft 365 中优先帐户的安全建议 |
| 保护高风险设备 | 设备的总体风险评估基于多种因素的组合,例如设备上活动警报的类型和严重性。 随着安全团队解决活动警报、批准修正活动并取消后续警报,风险级别会降低。 请参阅在 Microsoft Defender 商业版 中管理设备。 |
| 载入或离机设备 | 设备更换或停用、购买新设备或业务需求发生变化时,可以从Defender 商业版载入或卸载设备。 另请参阅以下文章: - 将设备载入到Microsoft Defender 商业版 - 从Microsoft Defender 商业版卸载设备 |
| 修正项目 | Microsoft 365 商业高级版包括多个修正操作。 某些操作会自动执行,其他操作等待安全团队的批准。 1. 在Microsoft Defender门户 (https://security.microsoft.com) 的导航窗格中,转到“资产>设备”。 2. 选择一个设备,例如具有高风险级别或暴露级别的设备。 浮出控件窗格随即打开,并显示有关为该项目生成的警报和事件的详细信息。 3. 在浮出控件上,查看显示的信息。 选择省略号 (...) 打开列出可用操作的菜单。 4.选择可用操作。 例如,可以选择 运行防病毒扫描,这将导致 Microsoft Defender 防病毒在设备上启动快速扫描。 或者,可以选择“启动自动调查”以在设备上触发自动调查。 |
设备的修正操作
下表汇总了可用于Microsoft 365 商业高级版和Defender 商业版中的设备的修正操作:
| 源 | 操作 |
|---|---|
| 自动调查 | 隔离文件 删除注册表项 终止进程 停止服务 禁用驱动程序 删除计划任务 |
| 手动响应操作 | 运行防病毒扫描 隔离设备 添加指示器以阻止或允许文件 |
| 实时响应 | 收集取证数据 分析文件 运行脚本 将可疑实体发送到Microsoft进行分析 修正文件 主动搜寻威胁 |
常规管理员任务
维护环境包括管理用户帐户、管理设备、使内容保持最新状态和正常运行。 管理员任务通常由全局管理员和租户管理员执行。 了解有关管理员角色和。
重要
Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
如果你不熟悉 Microsoft 365,请花点时间获取Microsoft 365 管理中心概述。
管理员中心任务
| 任务 | 了解详细信息的资源 |
|---|---|
| 开始使用Microsoft 365 管理中心 | Microsoft 365 管理中心概述 |
| 了解Microsoft 365 管理中心中的新功能 | Microsoft 365 管理中心中的新增功能 |
| 了解新产品更新和功能,以便帮助用户做好准备 | 随时了解Microsoft 365 产品和功能更改 |
| 查看使用情况报告,了解用户如何使用 Microsoft 365 | 管理中心提供的 Microsoft 365 报表 |
| 开具技术支持票证 | 获取对面向业务的 Microsoft 365 的支持 |
用户、组和密码
| 任务 | 了解详细信息的资源 |
|---|---|
| 添加新用户 | 将新员工添加到 Microsoft 365 |
| 对用户分配或取消分配许可证 |
为Microsoft 365 管理中心中的用户分配或取消分配许可证 使用 PowerShell 将Microsoft 365 个许可证分配给用户帐户 |
| 将管理员角色分配给需要管理员权限的人员 |
在Microsoft 365 管理中心中分配管理员角色 使用 PowerShell 将管理员角色分配给 Microsoft 365 个用户帐户 |
| 删除用户的许可证 |
为Microsoft 365 管理中心中的用户分配或取消分配许可证 使用 PowerShell 从用户帐户中删除Microsoft 365 个许可证 |
| 打开或关闭代词 | 在 Microsoft 365 管理中心中为组织打开或关闭代词 |
| 确定是允许来宾访问其整个组织的组还是允许单个组的来宾访问 (适用于Microsoft 365 商业高级版) |
Microsoft 365 管理中心中的来宾用户 |
| 当有人离开你的组织时删除用户帐户 | 概述:删除前员工并保护数据 |
| 重置用户帐户的密码 | 在 Microsoft 365 商业版中重置密码 |
电子邮件和日历
| 任务 | 了解详细信息的资源 |
|---|---|
| 将电子邮件和联系人从 Gmail 或其他电子邮件提供商迁移到 Microsoft 365 | 将电子邮件和联系人迁移到 Microsoft 365 |
| 向传入或发出的电子邮件添加电子邮件签名、法律免责声明或披露声明 | 创建组织范围的签名和免责声明 |
| 设置、编辑或删除安全组 | 在Microsoft 365 管理中心中创建、编辑或删除安全组 |
| 将用户添加到通讯组 | 将用户或联系人添加到 Microsoft 365 通讯组 |
设置共享邮箱,以便用户可以监视和发送电子邮件来自常见电子邮件地址,例如 info@contoso.com |
创建共享邮箱 |
设备
| 任务 | 了解详细信息的资源 |
|---|---|
| 使用 Windows Autopilot 设置和预配置新设备,或重置、重新调整用途和恢复设备 (适用于Microsoft 365 商业高级版) |
Windows Autopilot 概述 |
| 查看设备的当前状态和管理设备 | 在 Microsoft Defender 商业版 中管理设备 |
| 将设备载入 Defender 商业版 | 将设备载入 Defender 商业版 |
| 从Defender 商业版登出设备 | 从Defender 商业版卸载设备 |
| 使用 Intune for 管理设备 |
使用Intune进行设备管理意味着什么? 在 Microsoft Intune 中管理设备并控制设备功能 |
域
| 任务 | 了解详细信息的资源 |
|---|---|
| 将域 ((如 contoso.com) )添加到 Microsoft 365 订阅 | 将域添加到 Microsoft 365 |
| 购买域 | 购买域名 |
| 删除域 | 删除域 |
订阅和计费
| 任务 | 了解详细信息的资源 |
|---|---|
| 查看帐单或发票 | 查看 Microsoft 365 商业版订阅帐单或发票 |
| 管理付款方式 | 管理支付方式 |
| 更改付款频率 | 更改 Microsoft 365 订阅计费频率 |
| 更改帐单邮寄地址 | 更改 Microsoft 365 商业版帐单邮寄地址 |