共用方式為


威脅調查及回應

提示

您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

適用於 Office 365 的 Microsoft Defender 中的威脅調查和回應功能可協助安全性分析師和系統管理員透過下列方式保護其組織的商務使用者Microsoft 365:

  • 讓您輕鬆地識別、監視及了解網路攻擊。
  • 協助快速解決 Exchange Online、SharePoint Online、商務用 OneDrive 和 Microsoft Teams 中的威脅。
  • 提供深入解析和知識,以協助安全性作業防止對其組織進行網路攻擊。
  • Office 365 中採用自動化調查和回應,以取得重要的電子郵件型威脅。

威脅調查和回應功能可讓您深入瞭解 Microsoft Defender 入口網站中提供的威脅和相關回應動作。 這些深入解析可協助貴組織的安全性小組保護使用者免於遭受電子郵件或檔案型攻擊。 這些功能有助於監視訊號,並從多個來源收集數據,例如用戶活動、驗證、電子郵件、遭入侵的計算機,以及安全性事件。 商務決策者和您的安全性作業小組可以使用這項資訊來瞭解並回應對組織的威脅,並保護您的智慧財產權。

熟悉威脅調查和回應工具

https://security.microsoft.com Microsoft Defender 入口網站中的威脅調查和回應功能是一組工具和回應工作流程,包括:

總管

使用 總管 (和即時偵測) 來分析威脅、查看一段時間的攻擊量,以及依威脅系列、攻擊者基礎結構等分析數據。 總管 (也稱為威脅總管) 是任何安全性分析師調查工作流程的起點。

威脅總管頁面

若要在 Microsoft Defender https://security.microsoft.com入口網站中檢視和使用此報告,請移至 Email & 共同作業>總管] 。 或者,若要直接移至 [ 總管] 頁面,請使用 https://security.microsoft.com/threatexplorer

Office 365 威脅情報連線

只有當您有作用中的 Office 365 E5、G5 或 Microsoft 365 E5 或 G5 訂用帳戶或威脅情報附加元件時,才能使用此功能。 如需詳細資訊,請參閱 Office 365 企業版 E5 產品頁面。

來自 適用於 Office 365 的 Microsoft Defender 的數據會併入 Microsoft Defender 全面偵測回應,以跨 Office 365 信箱和 Windows 裝置進行全面的安全性調查。

事件

使用事件清單 (這也稱為調查) ,以查看正式發行前小眾測試版安全性事件的清單。 事件可用來追蹤可疑的電子郵件訊息等威脅,以及進行進一步的調查和補救。

Office 365 中目前威脅事件的清單

若要在 Microsoft Defender 入口網站中https://security.microsoft.com檢視貴組織的目前事件清單,請移至 [事件 & 警示>事件]。 或者,若要直接移至 [ 事件 ] 頁面,請使用 https://security.microsoft.com/incidents

攻擊模擬訓練

使用 攻擊模擬訓練 在組織中設定和執行實際的網路攻擊,並在實際網路攻擊影響您的業務之前識別易受攻擊的人員。 若要深入瞭解,請參閱 模擬網路釣魚攻擊

若要在 Microsoft Defender https://security.microsoft.com入口網站中檢視和使用此功能,請移至 Email & 共同作業>攻擊模擬訓練。 或者,若要直接移至 攻擊模擬訓練 頁面,請使用 https://security.microsoft.com/attacksimulator?viewid=overview

自動化調查及回應

使用自動化調查和回應 (AIR) 功能,以節省時間和精力,將組織中面臨威脅的內容、裝置和有風險的人員相互關聯。 每當觸發特定警示,或由安全性作業小組啟動時,AIR 程式就可以開始。 若要深入瞭解,請參閱 Office 365 中的自動化調查和回應

威脅情報小工具

在 適用於 Office 365 的 Microsoft Defender 方案 2 供應專案中,安全性分析師可以檢閱已知威脅的詳細數據。 這有助於判斷是否有其他可採取的預防性措施/步驟來保護使用者安全。

顯示最近威脅相關信息的安全性趨勢窗格

如何取得這些功能?

Microsoft 365 威脅調查和回應功能包含在方案 2 適用於 Office 365 的 Microsoft Defender,此方案包含在企業版 E5 中,或作為特定訂用帳戶的附加元件。 若要深入瞭解,請參閱 適用於 Office 365 的 Defender 方案 1 與計劃 2 小秘技

必要角色和權限

適用於 Office 365 的 Microsoft Defender 使用角色型訪問控制。 許可權是透過 Microsoft Entra ID、Microsoft 365 系統管理中心 或 Microsoft Defender 入口網站中的特定角色來指派。

提示

雖然某些角色,例如安全性系統管理員,可以在 Microsoft Defender 入口網站中指派,但請考慮改用 Microsoft 365 系統管理中心 或 Microsoft Entra ID。 如需角色、角色群組和許可權的相關信息,請參閱下列資源:

活動 角色及權限
使用 Microsoft Defender 弱點管理 儀錶板

檢視最近或目前威脅的相關信息
下列其中之一:
  • 全域管理員*
  • 安全性系統管理員
  • 安全性讀取者

這些角色可以在 Microsoft Entra ID () 或 https://admin.microsoft.com Microsoft 365 系統管理中心 (https://portal.azure.com) 中指派。
使用 總管 (和即時偵測) 來分析威脅 下列其中之一:
  • 全域管理員*
  • 安全性系統管理員
  • 安全性讀取者

這些角色可以在 Microsoft Entra ID () 或 https://admin.microsoft.com Microsoft 365 系統管理中心 (https://portal.azure.com) 中指派。
檢視事件 (也稱為調查)

將電子郵件訊息新增至事件
下列其中之一:
  • 全域管理員*
  • 安全性系統管理員
  • 安全性讀取者

這些角色可以在 Microsoft Entra ID () 或 https://admin.microsoft.com Microsoft 365 系統管理中心 (https://portal.azure.com) 中指派。
在事件中觸發電子郵件動作

尋找和刪除可疑的電子郵件訊息
下列其中之一:
  • 全域管理員*
  • 安全性系統管理員 加上 搜尋和清除 角色

全域管理員和安全性系統管理員*角色可以在 Microsoft Entra ID () https://portal.azure.com 或 Microsoft 365 系統管理中心 https://admin.microsoft.com () 中指派。

Microsoft 36 Defender 入口網站 () 中,Email & 共同作業角色中必須指派搜尋和https://security.microsoft.com清除角色。
整合 適用於 Office 365 的 Microsoft Defender 方案 2 與 適用於端點的 Microsoft Defender

整合 適用於 Office 365 的 Microsoft Defender 方案 2 與 SIEM 伺服器
Microsoft Entra ID* () 或 Microsoft 365 系統管理中心 () https://portal.azure.com 中指派的https://admin.microsoft.com全域管理員或安全性系統管理員角色。

--- ---

在其他應用程式中指派的適當角色, (例如 Microsoft Defender 資訊安全中心 或您的 SIEM 伺服器) 。

重要事項

* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

後續步驟