嘗試 適用於 Office 365 的 Microsoft Defender
身為現有的 Microsoft 365 客戶,Microsoft Defender https://security.microsoft.com 入口網站中的試用版和評估版頁面可讓您先試用 適用於 Office 365 的 Microsoft Defender 方案 2 的功能,再購買。
在您嘗試 適用於 Office 365 的 Defender 方案 2 之前,有一些您需要自行詢問的重要問題:
- 我是否想要被動觀察方案 2 適用於 Office 365 的 Defender (稽核) 可以做什麼,還是要 適用於 Office 365 的 Defender 方案 2 對 (封鎖) 發現的問題採取直接動作?
- 不論是哪一種方式,我該如何分辨方案 2 適用於 Office 365 的 Defender 為我做什麼?
- 我需要先決定保留 適用於 Office 365 的 Defender 方案 2 多久?
本文可協助您回答這些問題,讓您可以嘗試以最符合組織需求的方式 適用於 Office 365 的 Defender 方案 2。
如需如何使用試用版的隨附指南,請參閱試用版使用者指南:適用於 Office 365 的 Microsoft Defender。
注意事項
美國政府組織 (Microsoft 365 GCC、GCC High 和 DoD) 或 Microsoft 365 教育版 組織無法使用 適用於 Office 365 的 Defender 的試用和評估。
適用於 Office 365 的 Defender 概觀
適用於 Office 365 的 Defender 提供完整的功能,協助組織保護其企業的安全。 如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender。
您也可以在本互動式指南中深入瞭解 適用於 Office 365 的 Defender。
觀看這段短片,以深入瞭解如何利用 適用於 Office 365 的 Microsoft Defender,在較短的時間內完成更多任務作。
如需定價資訊,請參閱 適用於 Office 365 的 Microsoft Defender。
試用和評估如何適用於 適用於 Office 365 的 Defender
原則
適用於 Office 365 的 Defender 包含 Exchange Online Protection (EOP) 的功能,這些功能存在於具有 Exchange Online 信箱的所有Microsoft 365 組織中,以及專屬功能適用於 Office 365 的 Defender。
EOP 和 適用於 Office 365 的 Defender 的保護功能是使用原則來實作。 系統會視需要為您建立專屬 適用於 Office 365 的 Defender 的原則:
- 防網路釣魚原則中的模擬保護
- 電子郵件訊息的安全附件
-
電子郵件訊息和 Microsoft Teams 的安全連結
- 安全連結會在郵件流程期間引發URL。 若要防止特定 URL 遭到防擷取,請將URL提交至Microsoft為良好的URL。 如需指示,請 參閱回報良好的 URL 以Microsoft。
- 安全連結不會在電子郵件訊息本文中包裝 URL 連結。
您的評估或試用資格表示您已經有 EOP。 系統不會為您評估或試用方案 2 適用於 Office 365 的 Defender 建立任何新的或特殊 EOP 原則。 您Microsoft 365 組織中現有的 EOP 原則仍可對訊息採取行動 (,例如,將郵件傳送至垃圾 Email 資料夾或隔離) :
這些 EOP 功能的默認原則一律會開啟、套用至所有收件者,且一律會在任何自定義原則之後最後套用。
稽核模式與封鎖模式的 適用於 Office 365 的 Defender
您要讓 適用於 Office 365 的 Defender 體驗成為主動或被動? 下列模式可供使用:
稽核模式:針對防網路釣魚 (建立特殊 評估 原則,其中包括模擬保護) 、安全附件和安全連結。 這些評估原則設定為僅 偵測 威脅。 適用於 Office 365 的 Defender 偵測到有害的訊息以進行報告,但不會對訊息採取動作 (例如,偵測到的訊息不會) 隔離。 The settings of these evaluation policies are described in the Policies in audit mode section later in this article. 我們也會自動開啟非電子郵件工作負載的稽核模式下單擊保護的 SafeLinks 時間 (例如,Microsoft Teams、SharePoint 和 商務用 OneDrive)
您也可以選擇性地開啟或關閉防網路釣魚保護, (詐騙和模擬) 、安全鏈接保護和安全附件保護。 如需指示,請 參閱管理評估設定。
稽核模式會針對評估原則在 適用於 Office 365 的 Microsoft Defender 評估頁面https://security.microsoft.com/atpEvaluation上偵測到的威脅提供特殊報告。 These reports are described in the Reports for audit mode section later in this article.
封鎖模式:默認安全策略的 Standard 範本已開啟並用於試用,而您指定要包含在試用版中的使用者會新增至 Standard 預設安全策略。 適用於 Office 365 的 Defender 偵測到有害訊息並採取動作 (例如,偵測到的訊息會) 隔離。
默認和建議的選擇是將這些 適用於 Office 365 的 Defender 原則的範圍設定為組織中的所有使用者。 但在試用版設定期間或之後,您可以將原則指派變更為 Microsoft Defender 入口網站或 Exchange Online PowerShell 中的特定使用者、群組或電子郵件網域。
如需 適用於 Office 365 的 Defender 偵測到的威脅相關信息,請參閱 適用於 Office 365 的 Defender 方案 2 的一般報告和調查功能,本文稍後的封鎖模式報告一節將說明這些資訊。
決定哪些模式可供您使用的關鍵因素:
您目前是否 適用於 Office 365 的 Defender (方案 1 或方案 2) ,如下一節所述。
如何將電子郵件傳遞至您的 Microsoft 365 組織,如下列案例所述:
來自因特網的郵件會直接Microsoft 365,但您目前的訂用帳戶只有 Exchange Online Protection (EOP) 或 適用於 Office 365 的 Defender 方案 1。
在這些環境中,可以使用 稽核模式 或 封鎖模式 ,視您的授權而定,如下一節所述
您目前使用第三方服務或裝置來保護Microsoft 365 信箱的電子郵件。 來自因特網的郵件會在傳遞至Microsoft 365 組織之前,透過保護服務流動。 Microsoft 365 保護盡可能低, (永遠不會完全關閉;例如,惡意代碼保護一律會強制執行) 。
在這些環境中,只有稽核 模式 可供使用。 您不需要變更郵件流程 (MX 記錄) ,即可評估 適用於 Office 365 的 Defender 方案 2。
評估與 適用於 Office 365 的 Defender的試用版
適用於 Office 365 的 Defender 方案 2 的評估和試用版有何差異? 它們不是相同的嗎? 是,否。 Microsoft 365 組織中的授權會產生所有差異:
沒有 適用於 Office 365 的 Defender 方案 2:例如,如果您還沒有 適用於 Office 365 的 Defender 方案 2 (,則您有獨立 EOP、Microsoft 365 E3、Microsoft 365 商務進階版 或適用於 Office 365 的 Defender 方案 1 附加元件訂用帳戶) ,您可以從 Microsoft Defender 入口網站中的下列位置開始 適用於 Office 365 的 Defender 方案 2 體驗:
- Microsoft 365 試用版頁面,位於 https://security.microsoft.com/trialHorizontalHub。
- 適用於 Office 365 的 Microsoft Defender 評估頁面,位於 https://security.microsoft.com/atpEvaluation。
您可以選取稽核模式 (評估原則) 或封鎖模式, (Standard 在評估或試用期間) 預設的安全策略。
無論您使用哪個位置,我們都會在註冊時自動布建任何必要的 適用於 Office 365 的 Defender 方案 2 授權。 不需要在 Microsoft 365 系統管理中心 中手動取得和指派方案 2 授權。
自動布建的授權適用於90天。 這 90 天期間的意義取決於您組織中現有的授權:
無 適用於 Office 365 的 Defender 方案 1:針對沒有 適用於 Office 365 的 Defender 方案 1 (的組織,例如獨立 EOP 或 Microsoft 365 E3) 所有 適用於 Office 365 的 Defender特別 (方案 2 功能,安全策略) 只能在 90 天的期間內使用。
適用於 Office 365 的 Defender 方案 1:具有 適用於 Office 365 的 Defender 方案 1 (的組織,例如,Microsoft 365 商務進階版 或附加元件訂用帳戶) 已有相同的安全策略可在 中使用適用於 Office 365 的 Defender 方案 2:防網路釣魚原則、安全附件原則和安全鏈接原則中的模擬保護。
來自稽核模式的安全策略 (評估原則) 或封鎖模式 (Standard 預設安全策略) 不會在 90 天后過期或停止運作。 90 天后結束的是方案 1 中無法使用的 適用於 Office 365 的 Defender 方案 2 的自動化、調查、補救和教育功能。
如果您在稽核模式中設定評估或試用 (評估原則) ,則稍後可以轉換為封鎖模式 (Standard 預設安全策略) 。 For instructions, see the Convert to Standard protection section later in this article.
適用於 Office 365 的 Defender 方案 2:例如,如果您已經 適用於 Office 365 的 Defender 方案 2 (,當做 Microsoft 365 E5 訂用帳戶) 的一部分時,適用於 Office 365 的 Defender 無法在 上選取Microsoft 365 試用版頁面,https://security.microsoft.com/trialHorizontalHub
您唯一的選項是在 的 適用於 Office 365 的 Microsoft Defender 評估頁面https://security.microsoft.com/atpEvaluation上設定 適用於 Office 365 的 Defender 評估。 此外,評估會在稽核 模式 中自動設定, (評估原則) 。
稍後,您可以使用 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上的 [轉換為標準] 動作,或關閉 上的評估, (Standard 預設安全策略轉換為封鎖模式) 適用於 Office 365 的 Microsoft Defender 評估頁面,然後設定 Standard 預設安全策略。
根據定義,具有 適用於 Office 365 的 Defender 方案 2 的組織不需要額外的授權即可評估 適用於 Office 365 的 Defender 方案 2,因此這些組織中的評估持續時間不受限制。
下表摘要說明上一個清單中的資訊:
Organization | 從註冊 試用版頁面? |
從註冊 評估頁面? |
可用模式 | 評估 時期 |
---|---|---|---|---|
獨立 EOP (沒有 Exchange Online 信箱) Microsoft 365 E3 |
是 | 是 | 稽核模式 封鎖模式¹ |
90 天 |
適用於 Office 365 的 Defender 方案 1 Microsoft 365 商務進階版 |
是 | 是 | 稽核模式 封鎖模式¹ |
90 天² |
Microsoft 365 E5 | 否 | 是 | 稽核模式 封鎖模式¹ ³ |
無限制 |
¹ 如先前所述,如果因特網郵件在傳遞至 Microsoft 365 之前流經第三方保護服務或裝置,則無法使用封鎖模式 (Standard 預設安全策略) 。
² 來自稽核模式的安全策略 (評估原則) 或封鎖模式 (Standard 預設安全策略) 不會在 90 天后過期或停止運作。 適用於 Office 365 的 Defender 方案 2 獨佔的自動化、調查、補救和教育功能會在 90 天后停止運作。
³ 評估是在 稽核模式 中設定, (評估原則) 。 在安裝程式完成之後的任何時間點,您可以轉換成封鎖模式 (Standard 預設安全策略) 如轉換為 Standard 保護中所述。
現在您已了解評估、試用、稽核模式和封鎖模式之間的差異,您已準備好設定評估或試用版,如下一節所述。
在稽核模式中設定評估或試用
請記住,當您在稽核模式中評估或嘗試 適用於 Office 365 的 Defender 時,會建立特殊的評估原則,讓 適用於 Office 365 的 Defender 可以偵測威脅。 The settings of these evaluation policies are described in the Policies in audit mode section later in this article.
在 Microsoft Defender 入口網站中的任何可用位置開始評估,網 Microsoft Defender 位於 https://security.microsoft.com。 例如:
- 在任何 適用於 Office 365 的 Defender 功能頁面頂端的橫幅上,選取 [開始免費試用]。
- 在 Microsoft 365 試用版] 頁面上https://security.microsoft.com/trialHorizontalHub,尋找並選取 [適用於 Office 365 的 Defender]。
- 在的 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上https://security.microsoft.com/atpEvaluation,選取 [開始評估]。
在 適用於 Office 365 的 Defender 方案 1 或方案 2 的組織中無法使用 [開啟保護] 對話方塊。
在 [ 開啟保護 ] 對話框中,選取 [ 否,我只想要報告],然後選取 [ 繼續]。
在 [ 選取您要包含的使用者 ] 對話框中,設定下列設定:
所有使用者:這是預設和建議的選項。
特定使用者:如果您選取此選項,您必須選取評估適用的內部收件者:
- 使用者:指定的信箱、郵件使用者或郵件連絡人。
-
群組:
- ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
- 指定的 Microsoft 365 群組。
- 網域:組織中在指定的 已接受網域中具有主要電子郵件位址的所有收件者。
按兩下方塊,開始輸入值,然後從方塊下方的結果中選取值。 視需要重複此程序多次。 若要移除現有的值,請選 取方塊中的值旁邊。
針對使用者或群組,您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等),但會在結果中顯示對應的顯示名稱。 針對使用者,輸入星號 (*) 來查看所有可用的值。
您只能使用收件者條件一次,但條件可以包含多個值:
相同條件的多個值使用 OR 邏輯 (例如 recipient1<> 或 <recipient2>) 。 如果收件者符合 任何 指定的值,則會將原則套用至這些值。
不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件,原則才能套用到這些條件。 例如,您可以使用下列值來設定條件:
- 使用者:
romain@contoso.com
- 群組:主管
只有在他也是主管群組的成員時,原則才會套用至
romain@contoso.com
。 否則,原則不會套用到他。- 使用者:
當您在 [ 選取您要包含的使用者 ] 對話框中完成時,請選取 [ 繼續]。
在 [ 協助我們瞭解您的郵件流程 ] 對話框中,設定下列選項:
根據我們偵測到您網域的 MX 記錄,自動選取下列其中一個選項:
我使用第三方和/或內部部署服務提供者:網域點的 MX 記錄Microsoft 365 以外的位置。 確認或設定下列設定:
貴組織使用的第三方服務:確認或選取下列其中一個值:
其他:此值也需要 [ 如果您的電子郵件訊息通過多個網關] 中的資訊,請列出每個網關IP位址,僅適用於 [ 其他] 值。 如果您使用內部部署服務提供者,請使用此值。
輸入第三方保護服務或裝置用來將郵件傳送至 Microsoft 365 的 IP 位址逗號分隔清單。
梭魚
IronPort
Mimecast
Proofpoint
Sophos
Symantec
Trend Micro
要套用此評估的連接器:選取用於郵件流程的連接器Microsoft 365。
連接器的增強式篩選 (也稱為 略過清單) 會在您指定的連接器上自動設定。
當第三方服務或裝置位於流入 Microsoft 365 的電子郵件前面時,增強的連接器篩選會正確識別因特網訊息的來源,並大幅改善Microsoft篩選堆棧的精確度 (特別是 詐騙情報,以及 威脅 總管和 自動化調查 & 回應 (AIR) 中的入侵後功能。
我只使用 Microsoft Exchange Online:網域的 MX 記錄指向 Microsoft 365。 不需要設定任何專案,因此請選取 [ 完成]。
與Microsoft共享數據:預設不會選取此選項,但您可以視需要選取複選框。
當您在 [ 協助我們瞭解您的郵件流程 ] 對話框中完成時,請選取 [ 完成]。
設定完成時,您會收到 [ 讓我們在對話框中顯示您 ]。 選 取 [開始導覽 ] 或 [ 關閉]。
在封鎖模式中設定評估或試用
請記住,當您嘗試在封鎖模式中 適用於 Office 365 的 Defender 時,會開啟 Standard 預設安全性,而且指定的使用者 (部分或每個人) 都包含在 Standard 預設安全策略中。 如需 Standard 預設安全策略的詳細資訊,請參閱預設安全策略。
在 Microsoft Defender 入口網站中的任何可用位置開始試用,網 Microsoft Defender 位於 https://security.microsoft.com。 例如:
- 在任何 適用於 Office 365 的 Defender 功能頁面頂端的橫幅上,選取 [開始免費試用]。
- 在 Microsoft 365 試用版] 頁面上https://security.microsoft.com/trialHorizontalHub,尋找並選取 [適用於 Office 365 的 Defender]。
- 在的 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上https://security.microsoft.com/atpEvaluation,選取 [開始評估]。
在 適用於 Office 365 的 Defender 方案 1 或方案 2 的組織中無法使用 [開啟保護] 對話方塊。
在 [ 開啟保護 ] 對話框中,選取 [ 是,封鎖威脅來保護我的組織],然後選取 [ 繼續]。
在 [ 選取您要包含的使用者 ] 對話框中,設定下列設定:
所有使用者:這是預設和建議的選項。
選取使用者:如果您選取此選項,您必須選取套用試用的內部收件者:
- 使用者:指定的信箱、郵件使用者或郵件連絡人。
-
群組:
- ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
- 指定的 Microsoft 365 群組。
- 網域:組織中在指定的 已接受網域中具有主要電子郵件位址的所有收件者。
按兩下方塊,開始輸入值,然後從方塊下方的結果中選取值。 視需要重複此程序多次。 若要移除現有的值,請選 取方塊中的值旁邊。
針對使用者或群組,您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等),但會在結果中顯示對應的顯示名稱。 針對使用者,輸入星號 (*) 來查看所有可用的值。
您只能使用收件者條件一次,但條件可以包含多個值:
相同條件的多個值使用 OR 邏輯 (例如 recipient1<> 或 <recipient2>) 。 如果收件者符合 任何 指定的值,則會將原則套用至這些值。
不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件,原則才能套用到這些條件。 例如,您可以使用下列值來設定條件:
- 使用者:
romain@contoso.com
- 群組:主管
只有在他也是主管群組的成員時,原則才會套用至
romain@contoso.com
。 否則,原則不會套用到他。- 使用者:
當您在 [ 選取您要包含的使用者 ] 對話框中完成時,請選取 [ 繼續]。
設定評估時,會出現進度對話方塊。 安裝完成時,選取 [ 完成]。
管理您的評估或試用 適用於 Office 365 的 Defender
在稽核模式中設定評估或試用版之後,適用於 Office 365 的 Microsoft Defender 評估頁面https://security.microsoft.com/atpEvaluation是您嘗試 適用於 Office 365 的 Defender 方案 2 結果的中心位置。
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 Email & 共同作業>原則 & 規則>威脅原則>在 [其他] 區段中選取 [評估模式]。 或者,若要直接移至 適用於 Office 365 的 Microsoft Defender 評估頁面,請使用 https://security.microsoft.com/atpEvaluation。
下列小節說明 適用於 Office 365 的 Microsoft Defender 評估頁面上可用的動作。
管理評估設定
在 的 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上https://security.microsoft.com/atpEvaluation,選取 [管理評估設定]。
在開啟的 [管理 MDO 評估設定] 飛出視窗中,提供下列資訊和設定:
評估是否開啟會顯示在飛出視窗頂端, (評估 開啟或 評估關閉) 。 此資訊也可在 適用於 Office 365 的 Microsoft Defender 評估頁面上取得。
[ 關閉 ] 或 [ 開啟 ] 動作可讓您關閉或開啟評估原則。
評估中剩餘的天數會顯示在飛出視窗頂端, (剩餘 nn 天) 。
偵測功能區段:使用切換來開啟或關閉下列 適用於 Office 365 的 Defender 保護:
- 安全連結
- 安全附件
- 防網路釣魚
使用者、群組和網域 一節:選取 [編輯使用者、群組和網域], 以變更評估或試用套用物件,如先前 在稽核模式中設定評估或試用版中所述。
模擬設定區 段:
如果在反網路釣魚評估原則中未設定模擬保護,請選取 [ 套用模擬保護 ] 以設定模擬保護:
- 內部和外部使用者 (寄件者) 用戶模擬保護。
- 網域模擬保護的自定義網域。
- 要從模擬保護中排除的信任寄件人和網域。
這些步驟基本上與使用 Microsoft Defender 入口網站建立防網路釣魚原則的步驟 5 中的模擬一節所述相同。
如果模擬保護是在反網路釣魚評估原則中設定的,本節會顯示下列專案的模擬保護設定:
- 用戶模擬保護
- 網域模擬保護
- 受信任的模擬發件人和網域
若要修改設定,請選取 [編輯模擬設定]。
當您在 [管理 MDO 評估設定] 飛出視窗中完成時,請選取 [關閉]。
轉換為 Standard 保護
針對評估或試用版,您可以使用下列其中一種方法,從稽核模式 (評估原則) 切換為封鎖模式 (Standard 預設安全策略) :
- 在 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上:選取 [轉換為標準保護]
- 在 [管理 MDO 評估設定] 飛出視窗中:在 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上,選取 [管理評估設定]。 在開啟的詳細數據飛出視窗中,選取 [ 轉換為標準保護]。
選取 [ 轉換為標準保護] 之後,請閱讀開啟之對話框中的資訊,然後選取 [ 繼續]。
系統會帶您前往默認安全策略頁面上的 [套用標準保護精靈]。 評估或試用版中包含和排除的收件者清單會複製到 Standard 預設安全策略中。 如需詳細資訊,請參閱使用 Microsoft Defender 入口網站將 Standard 和嚴格預設安全策略指派給使用者。
- Standard 預設安全策略中的安全策略優先順序高於評估原則,這表示 Standard 默認安全性中的原則一律會在評估原則之前套用,即使兩者都存在且已開啟也一致。
- 沒有自動方式可從 封鎖模式 移至 稽核模式。 手動步驟如下:
在 的 [預設安全策略] 頁面https://security.microsoft.com/presetSecurityPolicies上關閉 Standard 預設安全策略。
在 的 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上https://security.microsoft.com/atpEvaluation,確認 [評估] 的值已顯示。
如果顯示 [評估關閉 ],請選取 [管理評估設定]。 在開啟的 [管理 MDO 評估設定] 飛出視窗中,選取 [開啟]。
選取 [管理評估設定],以在開啟的 [管理 MDO 評估設定詳細數據] 飛出視窗的 [使用者、群組和網域] 區段中確認評估套用的使用者。
評估或試用 適用於 Office 365 的 Defender 的報告
本節說明稽核 模式 和 封鎖模式中可用的報告。
封鎖模式的報告
系統不會針對封鎖模式建立任何特殊報告,因此請使用 適用於 Office 365 的 Defender 中可用的標準報表。 具體而言,您要尋找的報表僅適用於 適用於 Office 365 的 Defender 功能 (,例如安全連結或安全附件) 或報表,這些功能可透過 適用於 Office 365 的 Defender 偵測進行篩選,如下列清單所述:
-
- 偵測到由反網路釣魚原則模擬或網域仿真的訊息會出現在 模擬區塊中。
- 在安全附件原則或安全鏈接原則的檔案或 URL 擷取期間偵測到的訊息會出現在 [隔離] 區塊中。
-
您可以依 [受保護者] 值篩選威脅防護狀態報告中的許多檢視 MDO,以查看 適用於 Office 365 的 Defender 的效果。
-
- 營銷活動偵測到的訊息會出現在營銷活動中。
- 安全附件偵測到的訊息會出現在 檔案損毀 和 檔案損毀信譽中。
- 用戶模擬保護在反網路釣魚原則中偵測到的訊息會出現在 模擬網域、 模擬使用者和 信箱智慧模擬中。
- 安全連結偵測到的訊息會出現在 URL 損毀 和 URL 損毀信譽中。
-
- 營銷活動偵測到的訊息會出現在營銷活動中。
- 安全附件偵測到的訊息會出現在 檔案損毀 和 檔案損毀信譽中。
- 安全連結偵測到的訊息會出現在 URL 損毀 和 URL 損毀信譽中。
-
安全連結偵測到的訊息會出現在 URL 惡意信譽中。
-
安全附件偵測到的訊息會出現在 安全附件中
-
SharePoint、OneDrive 和 Microsoft Teams 安全附件偵測到的惡意檔案會出現在 MDO 聲中。
-
(MDO) 顯示主要惡意代碼收件者的數據,以及 (MDO) 顯示熱門網路釣魚收件者的數據。
稽核模式的報告
在 稽核模式中,您會尋找顯示評估原則偵測的報告,如下列清單所述:
[Email 實體] 頁面會在 [不正確的附件]、[垃圾郵件 URL + 惡意代碼]、[網络釣魚 URL] 和 適用於 Office 365 的 Defender 評估所偵測到的模擬訊息的 [分析] 索引卷標上,顯示訊息偵測詳細數據中的下列橫幅:
的 適用於 Office 365 的 Microsoft Defender 評估頁面https://security.microsoft.com/atpEvaluation會合併 適用於 Office 365 的 Defender 中可用的標準報表中的偵測。 此頁面上的報表主要是依 評估篩選:是 ,只顯示評估原則的偵測,但大部分報表也會使用額外的釐清篩選。
根據預設,頁面上的報表摘要會顯示過去 30 天的數據,但您可以選取 30 天 ,然後從下列小於 30 天的額外值中選取來篩選日期範圍:
- 24 小時
- 7 天
- 14 天
- 自訂日期範圍
當您選取 [檢視卡片中的 詳細 數據] 時,日期範圍篩選會影響頁面和主報表中報表摘要中顯示的數據。
選取 [下載 ] 將圖表數據下載至 .csv 檔案。
下列 適用於 Office 365 的 Microsoft Defender 評估頁面上的報告包含威脅防護狀態報告中特定檢視的篩選資訊:
-
Email 連結:
- 報表檢視:依偵測技術 Email > 網路釣魚和圖表明細來檢視數據
- 偵 測篩選: URL 擷取信譽 和 URL擷取。
-
電子郵件中的附件:
- 報表檢視:依偵測技術 Email > 網路釣魚和圖表明細來檢視數據
- 偵 測篩選: 檔案擷取 和 檔案擷取信譽。
-
模仿
- 報表檢視:依偵測技術 Email > 網路釣魚和圖表明細來檢視數據
- 偵 測篩選: 模擬使用者、 模擬網域和 信箱智慧模擬。
-
附件連結
- 報表檢視:依偵測技術 Email > 惡意代碼和圖表明細來檢視數據
- 偵 測篩選: URL 擷取 和 URL 擷取信譽。
-
內嵌惡意代碼
- 報表檢視:依偵測技術 Email > 惡意代碼和圖表明細來檢視數據
- 偵 測篩選: 檔案擷取 和 檔案擷取信譽。
-
詐騙寄件者:
- 報表檢視:依偵測技術 Email > 網路釣魚和圖表明細來檢視數據
- 偵 測篩選: 詐騙組織內部、 詐騙外部網域和詐騙 DMARC。
-
Email 連結:
即時 URL 點選保護會在評估:是的 URL 保護報告中,使用 [依 URL 按兩下保護來檢視資料] 動作。
雖然 URL 保護報告中的應用程式按兩下 [依 URL 檢視數據] 不會顯示在 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上,但評估版也可以篩選它:是。
必要權限
Microsoft Entra ID 中需要下列權限,才能設定適用於 Microsoft 365 的 Defender 評估或試用版:
- 建立、修改或刪除評估或試用版: 安全性系統管理員 或 全域管理員* 角色中的成員資格。
- 在稽核模式中檢視評估原則和報告: 安全性系統管理員 或 安全性讀取者 角色中的成員資格。
如需 Microsoft Defender 入口網站中 Microsoft Entra 許可權的詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Entra 角色
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
常見問題集
問:我需要手動取得或啟用試用版授權嗎?
答:不能。 如果您如先前所述,試用版會自動布建 適用於 Office 365 的 Defender 方案 2 授權。
問:如何? 延長試用期?
答:請參閱 延長試用期。
問:試用版到期后,我的數據會發生什麼情況?
答:試用版到期之後,您可以存取試用數據, (您先前未) 30 天的功能 適用於 Office 365 的 Defender 數據。 在這 30 天期間之後,會刪除與 適用於 Office 365 的 Defender 試用版相關聯的所有原則和數據。
問:我可以在組織中使用 適用於 Office 365 的 Defender 試用版多少次?
答:最多兩次。 如果您的第一個試用版到期,您至少必須在到期日之後等候 30 天,才能再次註冊 適用於 Office 365 的 Defender 試用版。 第二次試用之後,您就無法註冊另一個試用版。
問:在稽核模式中,是否有 適用於 Office 365 的 Defender 對訊息採取動作的案例?
答:可以。 為了保護服務,任何程式或 SKU 中沒有人可以關閉或略過對服務分類為惡意代碼或高信賴度網路釣魚的訊息採取動作。
問:原則的評估順序為何?
答:請參閱 預設安全策略和其他原則的優先順序順序。
與 適用於 Office 365 的 Defender 評估和試用相關聯的原則設定
稽核模式中的原則
警告
請勿嘗試建立、修改或移除與評估 適用於 Office 365 的 Defender 相關聯的個別安全策略。 建立評估個別安全策略的唯一支援方法,是在 Microsoft Defender 入口網站中第一次以稽核模式啟動評估或試用。
如先前所述,當您選擇評估或試用的稽核模式時,系統會自動建立評估原則,其中包含要觀察但不會對訊息採取動作的必要設定。
若要查看這些原則及其設定,請在 Exchange Online PowerShell 中執行下列命令:
Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"
下表也會說明這些設定。
防網路釣魚評估原則設定
設定 | 值 |
---|---|
名稱 | 評估原則 |
AdminDisplayName | 評估原則 |
AuthenticationFailAction | MoveToJmf |
DmarcQuarantineAction | 隔離 |
DmarcRejectAction | 拒絕 |
Enabled | True |
EnableFirstContactSafetyTips | 錯 |
EnableMailboxIntelligence | True |
EnableMailboxIntelligenceProtection | True |
EnableOrganizationDomainsProtection | 錯 |
EnableSimilarDomainsSafetyTips | 錯 |
EnableSimilarUsersSafetyTips | 錯 |
EnableSpoofIntelligence | True |
EnableSuspiciousSafetyTip | 錯 |
EnableTargetedDomainsProtection | 錯 |
EnableTargetedUserProtection | 錯 |
EnableUnauthenticatedSender | True |
EnableUnusualCharactersSafetyTips | 錯 |
EnableViaTag | True |
ExcludedDomains | {} |
ExcludedSenders | {} |
HonorDmarcPolicy | True |
ImpersonationProtectionState | 手動 |
IsDefault | 錯 |
MailboxIntelligenceProtectionAction | NoAction |
MailboxIntelligenceProtectionActionRecipients | {} |
MailboxIntelligenceQuarantineTag | DefaultFullAccessPolicy |
PhishThresholdLevel | 1 |
PolicyTag | 空白 |
RecommendedPolicyType | 評估 |
SpoofQuarantineTag | DefaultFullAccessPolicy |
TargetedDomainActionRecipients | {} |
TargetedDomainProtectionAction | NoAction |
TargetedDomainQuarantineTag | DefaultFullAccessPolicy |
TargetedDomainsToProtect | {} |
TargetedUserActionRecipients | {} |
TargetedUserProtectionAction | NoAction |
TargetedUserQuarantineTag | DefaultFullAccessPolicy |
TargetedUsersToProtect | {} |
安全附件評估原則設定
設定 | 值 |
---|---|
名稱 | 評估原則 |
動作 | 允許 |
ActionOnError | True* |
AdminDisplayName | 評估原則 |
ConfidenceLevelThreshold | 80 |
啟用 | True |
EnableOrganizationBranding | 錯 |
IsBuiltInProtection | 錯 |
IsDefault | 錯 |
OperationMode | Delay |
QuarantineTag | AdminOnlyAccessPolicy |
RecommendedPolicyType | 評估 |
重新導向 | 錯 |
RedirectAddress | 空白 |
ScanTimeout | 30 |
* 此參數已被取代,不再使用。
安全連結評估原則設定
設定 | 值 |
---|---|
名稱 | 評估原則 |
AdminDisplayName | 評估原則 |
AllowClickThrough | True |
CustomNotificationText | 空白 |
DeliverMessageAfterScan | True |
DisableUrlRewrite | True |
DoNotRewriteUrls | {} |
EnableForInternalSenders | 錯 |
EnableOrganizationBranding | 錯 |
EnableSafeLinksForEmail | True |
EnableSafeLinksForOffice | True |
EnableSafeLinksForTeams | True |
IsBuiltInProtection | 錯 |
LocalizedNotificationTextList | {} |
RecommendedPolicyType | 評估 |
ScanUrls | True |
TrackClicks | True |
使用 PowerShell 在稽核模式中設定評估或試用版的收件者條件和例外狀況
與 適用於 Office 365 的 Defender 評估原則相關聯的規則會控制評估的收件者條件和例外狀況。
若要檢視與評估相關聯的規則,請在 Exchange Online PowerShell 中執行下列命令:
Get-ATPEvaluationRule
若要使用 Exchange Online PowerShell 來修改要套用評估的人員,請使用下列語法:
Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
本範例會設定 SecOps () 信箱中指定安全性作業評估的例外狀況。
Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"
使用 PowerShell 在稽核模式中開啟或關閉評估或試用版
若要在稽核模式中開啟或關閉評估,您可以啟用或停用與評估相關聯的規則。 評估規則的 State 屬性值會顯示規則為 Enabled 或 Disabled。
執行下列命令來判斷評估目前是否已啟用或停用:
Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State
如果已開啟評估,請執行下列命令來關閉評估:
Disable-ATPEvaluationRule -Identity "Evaluation Rule"
如果已關閉評估,請執行下列命令來開啟評估:
Enable-ATPEvaluationRule -Identity "Evaluation Rule"
封鎖模式中的原則
如先前所述,封鎖模式原則是使用默認安全策略的 Standard 範本來建立。
若要使用 Exchange Online PowerShell 來檢視與 Standard 預設安全策略相關聯的個別安全策略,以及檢視和設定預設安全策略的收件者條件和例外狀況,請參閱 Exchange Online PowerShell 中的預設安全策略。