試用版使用者指南:適用於 Office 365 的 Microsoft Defender
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
歡迎使用 適用於 Office 365 的 Microsoft Defender 試用版使用者指南! 本使用者指南可協助您充分利用免費試用,方法是教導您如何保護貴組織免於遭受電子郵件訊息、連結 (URL) ,以及共同作業工具所造成的惡意威脅。
什麼是適用於 Office 365 的 Defender?
適用於 Office 365 的 Defender 提供完整的功能,包括威脅防護原則、報告、威脅調查和回應功能,以及自動化調查和回應功能,協助組織保護其企業。
除了偵測進階威脅之外,下列影片還會示範 適用於 Office 365 的 Defender 的 SecOps 功能如何協助您的小組回應威脅:
稽核模式與封鎖模式的 適用於 Office 365 的 Defender
您要讓 適用於 Office 365 的 Defender 體驗成為主動或被動? 以下是您可以從中選取的兩種模式:
稽核模式:針對防網路釣魚 (建立特殊 評估 原則,其中包括模擬保護) 、安全附件和安全連結。 這些評估原則設定為僅 偵測 威脅。 適用於 Office 365 的 Defender 偵測到有害的訊息進行報告,但不會對訊息採取動作 (例如,偵測到的訊息不會) 隔離。 The settings of these evaluation policies are described in the Policies in audit mode section later in this article.
稽核模式可讓您存取 適用於 Office 365 的 Microsoft Defender 評估頁面https://security.microsoft.com/atpEvaluation上的 適用於 Office 365 的 Defender 中評估原則偵測到的威脅自定義報告。
封鎖模式:默認安全策略的 Standard 範本已開啟並用於試用,而您指定要包含在試用版中的使用者會新增至 Standard 預設安全策略。 適用於 Office 365 的 Defender 偵測到有害訊息並採取動作 (例如,偵測到的訊息會) 隔離。
默認和建議的選擇是將這些 適用於 Office 365 的 Defender 原則的範圍設定為組織中的所有使用者。 但是,在試用版設定期間或之後,您可以將原則指派變更為 Microsoft Defender 入口網站或 PowerShell 中的特定使用者、群組或電子郵件網域。
封鎖模式不會針對 適用於 Office 365 的 Defender 偵測到的威脅提供自定義報告。 相反地,資訊可在方案 2 適用於 Office 365 的 Defender 一般報告和調查功能中取得。 如需詳細資訊,請 參閱封鎖模式的報告。
決定哪些模式可供您使用的關鍵因素:
您目前是否 適用於 Office 365 的 Defender (方案 1 或方案 2) ,如評估與 適用於 Office 365 的 Defender 試用版中所述。
如何將電子郵件傳遞至您的 Microsoft 365 組織,如下列案例所述:
來自因特網的郵件會直接Microsoft 365,但您目前的訂用帳戶只有 Exchange Online Protection (EOP) 或 適用於 Office 365 的 Defender 方案 1。
在這些環境中,視您的授權而定,可以使用稽核模式或封鎖模式。
您目前使用第三方服務或裝置來保護Microsoft 365 信箱的電子郵件。 來自因特網的郵件會在傳遞至Microsoft 365 組織之前,透過保護服務流動。 Microsoft 365 保護盡可能低, (永遠不會完全關閉;例如,惡意代碼保護一律會強制執行) 。
在這些環境中,只有稽核 模式 可供使用。 您不需要 (MX 記錄變更郵件流程,) 評估 適用於 Office 365 的 Defender 方案 2。
讓我們開始吧!
封鎖模式
步驟 1:開始使用封鎖模式
開始使用您的適用於 Office 365 的 Microsoft Defender 試用版
開始試用並完成設定流程之後,最多可能需要 2 小時,變更才能生效。
我們已在您的環境中自動啟用 Standard 預設安全策略。 此配置檔代表適用於大部分使用者的基準保護配置檔。 開啟標準包括:
- 安全連結、安全附件和防網路釣魚原則,其範圍為整個租使用者或試用設定程式期間可能選擇的使用者子集。
- 適用於 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
- 用於支援 Office 365 的安全連結保護。
請觀看這部影片以深入瞭解:使用適用于 Office 365 的 Microsoft Defender 的安全連結來防範惡意連結 - YouTube。
讓使用者以封鎖模式報告可疑的內容
適用于 Office 365 的 Defender 可讓使用者向其安全性小組報告訊息,並允許系統管理員將郵件提交給 Microsoft 進行分析。
- 確認或設定 使用者回報的設定 ,讓報告的訊息移至指定的報告信箱、Microsoft或兩者。
- 部署 報表訊息載入巨集或報表網路釣魚載入巨集 ,供使用者報告訊息。 或者,使用者可以使用 Outlook 網頁版 (中稱為 Outlook Web App 或 OWA) 的內建 [報表] 按鈕。
- 建立工作流程,以 回報誤判和漏報。
- 使用 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=user上的 [用戶回報] 索引標籤,查看和管理用戶回報的訊息。
觀看這段影片以深入瞭解: 瞭解如何使用提交頁面提交訊息以進行分析 - YouTube。
在封鎖模式中查看報告以了解威脅情況
使用適用于 Office 365 的 Defender 中的報告功能,取得有關您環境的詳細資訊。
步驟 2:封鎖模式中的中繼步驟
將焦點放在您最鎖定的使用者上
在適用于 Office 365 的 Defender 中,使用優先順序帳戶保護來保護您最主要且最可見的使用者,這可協助排定工作流程的優先順序,以確保這些使用者的安全。
- 識別出您最主要或最可見的使用者。
- 標記這些使用者 為優先帳戶。
- 在整個入口網站中追蹤優先帳戶的威脅。
請觀看這部影片以深入瞭解:在適用于 Office 365 的 Microsoft Defender 保護優先帳戶 - YouTube。
防止使用者危害,以避免高成本的違規行為
取得潛在危害的警示,並自動限制這些威脅的影響,以防止攻擊者取得更深入存取您的環境。
- 檢閱 已遭入侵的使用者警示。
- 調查並回應 遭入侵的使用者。
請觀看這部影片以深入瞭解:在適用于 Office 365 的 Microsoft Defender 偵測並回應外洩行為 - YouTube。
使用威脅總管來調查惡意電子郵件
適用于 Office 365 的 Defender 可讓您調查會導致貴組織人員面臨風險的活動,並採取行動以保護您的組織。 您可以使用 威脅總管 (總管) 來執行這項操作:
- 尋找傳送的可疑電子郵件:尋找並刪除郵件、識別惡意電子郵件寄件者的 IP 位址,或開始事件以進一步調查。
- Email 威脅總管和即時偵測中的安全性案例
查看以貴組織為目標的活動
使用適用于 Office 365 的 Defender 中的行銷即時檢視,查看更大型的圖片,讓您瞭解以貴組織為目標的攻擊活動,以及攻擊活動對使用者的影響。
使用這些訊息,追蹤使用者互動。
請觀看這部影片以深入瞭解:在適用于 Office 365 的 Microsoft Defender 的活動檢視 - YouTube。
使用自動化來補救風險
使用自動化調查與回應 (AIR) 有效率地回應,以審查、設定優先順序及回應威脅。
- 深入瞭解 調查使用者指南。
- 檢視調查的詳細資料和結果。
- 核准補救動作,以消除威脅。
步驟 3:封鎖模式中的進階內容
使用查詢型搜尋深入探討資料
使用進階搜捕來撰寫自訂偵測規則、主動檢查您環境中的事件,並找出威脅指示器。 探索您環境中的原始資料。
觀看這段影片以深入瞭解:使用 Microsoft Defender 全面偵測回應 威脅搜捕 - YouTube。
訓練使用者模擬攻擊,以發現威脅
使用適用于 Office 365 的 Defender 中的攻擊模擬訓練,讓您的使用者具備正確的知識,以識別威脅並報告可疑訊息。
稽核模式
步驟 1:在稽核模式下開始
啟動適用於 Office 365 的 Defender 評估
完成設定流程之後,最多可能需要 2 小時,變更才能生效。 我們已自動設定您的環境中的預先設定評估原則。
評估原則可確保不會對適用於 Office 365 的 Defender 所偵測到的電子郵件採取任何動作。
讓使用者在稽核模式中報告可疑的內容
適用于 Office 365 的 Defender 可讓使用者向其安全性小組報告訊息,並允許系統管理員將郵件提交給 Microsoft 進行分析。
- 確認或設定 使用者回報的設定 ,讓報告的訊息移至指定的報告信箱、Microsoft或兩者。
- 部署 報表訊息載入巨集或報表網路釣魚載入巨集 ,供使用者報告訊息。 或者,使用者可以使用 Outlook 網頁版 (中稱為 Outlook Web App 或 OWA) 的內建 [報表] 按鈕。
- 建立工作流程,以 回報誤判和漏報。
- 使用 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=user上的 [用戶回報] 索引標籤,查看和管理用戶回報的訊息。
觀看這段影片以深入瞭解: 瞭解如何使用提交頁面提交訊息以進行分析 - YouTube。
在稽核模式中查看報告以了解威脅情況
使用適用于 Office 365 的 Defender 中的報告功能,取得有關您環境的詳細資訊。
步驟 2:稽核模式中的中繼步驟
在稽核模式中使用威脅總管來調查惡意電子郵件
適用于 Office 365 的 Defender 可讓您調查會導致貴組織人員面臨風險的活動,並採取行動以保護您的組織。 您可以使用 威脅總管 (總管) 來執行這項操作:
- 尋找傳送的可疑電子郵件:尋找並刪除郵件、識別惡意電子郵件寄件者的 IP 位址,或開始事件以進一步調查。
- Email 威脅總管和即時偵測中的安全性案例
在評估期間結束時轉換為標準保護
當您準備好在生產環境中開啟 適用於 Office 365 的 Defender 原則時,可以使用 [轉換為 Standard 保護],藉由開啟包含稽核模式中任何/所有收件者的 Standard 預設安全策略,輕鬆地從稽核模式移至封鎖模式。
從協力廠商保護服務或裝置移轉到適用於 Office 365 的 Defender
如果您已經擁有現存位於 Microsoft 365 前的協力廠商保護服務或裝置,則您可以將保護移轉至適用於 Office 365 的 Microsoft Defender,以獲得合併管理體驗的優點、可降低成本 (使用您已支付的產品),以及具有整合式安全性保護的成熟產品。
如需詳細資訊,請參閱從協力廠商保護服務或裝置移轉至適用於 Office 365 的 Microsoft Defender。
步驟 3:稽核模式中的進階內容
在稽核模式中訓練使用者模擬攻擊,以發現威脅
使用適用于 Office 365 的 Defender 中的攻擊模擬訓練,讓您的使用者具備正確的知識,以識別威脅並報告可疑訊息。
其他資源
- 互動指南:不熟悉適用於 Office 365 的 Defender 互動式指南? 檢閱 互動指南 以瞭解如何開始使用。
- 快速追蹤入門指南:適用於 Office 365 的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender 檔:取得有關 適用於 Office 365 的 Defender 運作方式,以及如何為組織最佳實作的詳細資訊。 請流覽 適用於 Office 365 的 Microsoft Defender 檔。
- 包含什麼:如需依產品層列出的 Office 365 電子郵件安全性功能的完整清單,請檢視功能一覽表。
- 為什麼使用適用于 Office 365 的 Defender:適用于 Office 365 的 Defender 資料表 會顯示出客戶選擇 Microsoft 的 10 大原因。