在 適用於企業的 Microsoft Defender 中檢閱和編輯設定
您可以在入口網站中檢視和編輯設定,例如入口網站設定和進階功能,Microsoft Defender 入口網站 (https://security.microsoft.com) 。 使用本文來取得各種可用設定的概觀,以及如何編輯您的商務用Defender設定。
檢視進階功能的設定
在 Microsoft Defender 入口網站 (https://security.microsoft.com) 中,移至 [設定>端點>一般>進階功能]。
下表描述進階功能設定。
| 設定 | 描述 |
|---|---|
|
自動化調查 默認會開啟 () |
產生警示時,可能會發生自動化調查。 每個自動化調查都會判斷偵測到的威脅是否需要採取動作,然後採取或建議補救動作,例如將檔案傳送至隔離區、停止進程、隔離裝置或封鎖 URL。 當調查進行時,出現的任何相關警示都會新增到調查中,直到調查完成為止。 如果在其他地方看到受影響的實體,則自動化調查會將其範圍擴大為包含該實體,而調查程序會重複。 您可以在 [ 事件 ] 頁面上檢視調查。 選取事件,然後選取 [ 調查] 索引標籤 。 根據預設,會開啟全租使用者的自動化調查和回應功能。 建議您將自動化調查保持開啟。 如果您將它關閉,Microsoft Defender 防病毒軟體中的即時保護將會受到影響,而您的整體保護層級將會降低。 深入瞭解自動化調查。 |
| 實時回應 | 商務用 Defender 包含下列類型的手動回應動作: - 執行防毒軟體掃描 - 隔離裝置 - 停止和隔離檔案 - 新增封鎖或允許檔案的指標 深入了解回應動作。 |
| 伺服器的實時回應 | (此設定目前無法在商務用Defender中使用。) |
| 即時回應未簽署的腳本執行 | (此設定目前無法在商務用Defender中使用。) |
|
在區塊模式中啟用 EDR 默認會開啟 () |
當 Microsoft Defender 防病毒軟體不是主要的防病毒軟體產品,而且在裝置上以被動模式執行時,可提供額外的惡意構件保護。 在封鎖模式中 (EDR) 的端點偵測和回應可在幕後運作,以補救 EDR 功能所偵測到的惡意構件。 主要的非 Microsoft 防病毒軟體產品可能遺漏了這類成品。 深入瞭解區塊模式中的 EDR。 |
|
允許或封鎖檔案 默認會開啟 () |
可讓您使用 指標來允許或封鎖檔案。 這項功能需要 Microsoft Defender 防病毒軟體處於作用中模式,並開啟雲端保護。 封鎖檔案可防止在組織中的裝置上讀取、寫入或執行檔案。 深入瞭解檔案的指標。 |
|
自定義網路指標 默認會開啟 () |
可讓您使用 網路指標來允許或封鎖IP位址、URL或網域。 這項功能需要 Microsoft Defender 防病毒軟體處於作用中模式,並開啟網路保護。 您可以根據威脅情報來允許或封鎖IP、URL或網域。 如果使用者開啟有風險的應用程式,您也可以提示他們,但提示不會阻止他們使用應用程式。 深入瞭解網路保護。 |
|
竄改保護 (建議您開啟此設定) |
竄改保護可防止惡意應用程式執行下列動作: - 停用病毒和威脅防護 - 停用實時保護 - 關閉行為監視 - 停用雲端保護 - 移除安全性情報更新 - 停用偵測到威脅的自動動作 竄改保護基本上會將防病毒軟體 Microsoft Defender 鎖定為其安全的預設值,並防止應用程式和未經授權的方法變更您的安全性設定。 深入瞭解竄改保護。 |
|
顯示使用者詳細數據 默認會開啟 () |
可讓組織中的人員查看詳細數據,例如員工的圖片、姓名、職稱和部門。 這些詳細數據會儲存在 Microsoft Entra ID 中。 深入瞭解 Microsoft Entra ID 中的使用者配置檔。 |
|
商務用 Skype 整合 默認會開啟 () |
商務用 Skype已於 2021 年 7 月淘汰。 如果您尚未移至 Microsoft Teams,請參閱 在您的小型企業中設定 Microsoft Teams。 與 Microsoft Teams (或先前的 商務用 Skype) 整合,可讓您企業中的人員進行單鍵通訊。 |
|
Web 內容篩選 默認會開啟 () |
封鎖對包含垃圾內容的網站的存取,並追蹤所有網域的Web活動。 請參閱 設定 Web 內容篩選。 |
|
Microsoft Intune 連線 (如果您有 Intune) ,建議您開啟此設定 |
如果您組織的訂用帳戶包含 Microsoft 365 商務進階版 資源) 中包含的 Microsoft Intune (,此設定可讓商務用Defender與 Intune 共用裝置的相關信息。 |
|
裝置探索 默認會開啟 () |
可讓您的安全性小組尋找連線到公司網路的非受控裝置。 未知和非受控裝置會對您的網路帶來重大風險,不論是未修補的印表機、具有弱式安全性設定的網路裝置,或沒有安全性控制的伺服器。 裝置探索會使用已上線的裝置來探索未受管理的裝置,因此您的安全性小組可以將非受控裝置上線,並降低您的弱點。 深入了解裝置探索。 |
| 預覽功能 | Microsoft 會持續更新商務用 Defender 等服務,以包含新的功能增強功能。 如果您加入接收預覽功能,您將會是第一個嘗試預覽體驗中即將推出的功能。 深入瞭解預覽功能。 |
在 Microsoft Defender 入口網站中檢視和編輯其他設定
除了套用至裝置的安全策略之外,您還可以在商務用Defender中檢視和編輯其他設定。 例如,您可以指定使用的時區,且您可以將裝置上線 (或離線)。
注意事項
您可能會在租使用者中看到比本文中所列的還多的設定。 本文強調您應該在商務用Defender中檢閱的最重要設定。
針對適用於企業的 Defender 進行的檢閱設定
下表描述您可以在商務用 Defender 中檢視和編輯的設定:
| 類別 | 設定 | 描述 |
|---|---|---|
| 資訊安全中心 | [時區] 使用此清單來選取您的時區。 | 選取要用於事件中顯示的日期和時間、偵測到的威脅,以及自動化調查和補救的時區。 您可以使用 UTC 或您的當地時區 (建議)。 |
| Microsoft Defender XDR | Account | 檢視詳細數據,例如數據的儲存位置、租使用者標識符,以及組織 (組織) 標識碼。 |
| Microsoft Defender XDR | 預覽功能 | 開啟預覽功能以嘗試即將推出的功能和新功能。 您可以成為第一批預覽新功能並對此提供意見反應的人。 |
| 端點 | 電子郵件通知 | 安裝並編輯您的電子郵件通知規則。 偵測到弱點或建立警示時,電子郵件通知規則中指定的收件者會收到電子郵件。 深入了解電子郵件通知。 |
| 端點 | 裝置管理>上線 | 使用可下載的指令碼將裝置上線至適用於企業的 Defender。 若要深入瞭解, 請參閱將裝置上線至商務用Defender。 |
| 端點 | 裝置管理>離線 | 離線 (從商務用Defender 移除) 裝置。 當您將裝置離線時,裝置不會再將數據傳送至商務用Defender,但會保留在離線之前收到的數據。 若要深入瞭解,請 參閱將裝置脫機。 |
在 Microsoft Defender 入口網站中存取您的設定
移至 Microsoft Defender 入口網站 (https://security.microsoft.com/) ,然後登入。
選取 [設定],然後選取類別 (,例如資訊安全中心、Microsoft Defender 全面偵測回應 或端點) 。
在設定清單中,選取要查看或編輯的項目。