Konfigurationsanalyse for beskyttelsespolitikker i EOP og Microsoft Defender for Office 365

Artikel
04/26/2024
Gælder for:

✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Konfigurationsanalysen på Microsoft Defender portalen indeholder en central placering, hvor du kan finde og løse sikkerhedspolitikker, hvor indstillingerne er mindre sikre end profilindstillingerne Standardbeskyttelse og Streng beskyttelse i forudindstillede sikkerhedspolitikker.

Følgende typer politikker analyseres af konfigurationsanalysen:

Exchange Online Protection politikker (EOP): Omfatter Microsoft 365-organisationer med Exchange Online postkasser og separate EOP-organisationer uden Exchange Online postkasser:
Microsoft Defender for Office 365 politikker: Omfatter organisationer med abonnementer på Microsoft 365 E5 eller Defender for Office 365 tilføjelsesprogrammer:
- Politikker til bekæmpelse af phishing i Microsoft Defender for Office 365, som omfatter:
  - De samme spoof-indstillinger , der er tilgængelige i EOP's anti-phishing-politikker.
  - Repræsentationsindstillinger
  - Avancerede tærskler for phishing
- Politikker for sikre links.
- Politikker for vedhæftede filer, der er tillid til.

De standard- og strenge politikindstillingsværdier, der bruges som grundlinjer, er beskrevet i Anbefalede indstillinger for EOP og Microsoft Defender for Office 365 sikkerhed.

Konfigurationsanalysen kontrollerer også følgende indstillinger for ikke-politik:

DKIM: Om SPF - og DKIM-poster for det angivne domæne registreres i DNS.
Outlook: Angiver, om oprindelige eksterne afsender-id'er for Outlook er aktiveret i organisationen.

Hvad har du brug for at vide, før du begynder?

Du åbner portalen Microsoft Defender på https://security.microsoft.com. Hvis du vil gå direkte til siden Konfigurationsanalyse , skal du bruge https://security.microsoft.com/configurationAnalyzer.
Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell.
Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:
- Microsoft Defender XDR Unified rollebaseret adgangskontrol (RBAC) (påvirker kun Defender-portalen, ikke PowerShell): Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (administrer) eller Godkendelse og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (læs).
- Mail & samarbejdstilladelser på Microsoft Defender-portalen:
  - Brug konfigurationsanalysen, og opdater de berørte sikkerhedspolitikker: Medlemskab i rollegrupperne Organisationsadministration eller Sikkerhedsadministrator .
  - Skrivebeskyttet adgang til konfigurationsanalysen: Medlemskab af rollegrupperne Global læser eller Sikkerhedslæser .
- Exchange Online tilladelser: Medlemskab i rollegruppen Vis kun organisationsadministration giver skrivebeskyttet adgang til konfigurationsanalysen.
- Microsoft Entra tilladelser: Medlemskab af rollerne Global administrator, Sikkerhedsadministrator, Global læser eller Sikkerhedslæser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.

Brug konfigurationsanalysen på Microsoft Defender-portalen

På Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & Samarbejdspolitikker>& Konfigurationsanalyse af regler>Trusselspolitikker> i afsnittet Skabelonpolitikker. Hvis du vil gå direkte til siden Konfigurationsanalyse , skal du bruge https://security.microsoft.com/configurationAnalyzer.

Siden Konfigurationsanalyse indeholder tre hovedfaner:

Standardanbefalinger: Sammenlign dine eksisterende sikkerhedspolitikker med Standard-anbefalingerne. Du kan justere dine indstillingsværdier for at få dem op på samme niveau som Standard.
Strenge anbefalinger: Sammenlign dine eksisterende sikkerhedspolitikker med de strenge anbefalinger. Du kan justere dine indstillingsværdier for at få dem op på samme niveau som Strict.
Analyse og historik af konfigurationsdrift: Overvåg og registrer politikændringer over tid.

Fanerne Standardanbefalinger og Strenge anbefalinger i konfigurationsanalysen

Konfigurationsanalysen åbnes som standard under fanen Standardanbefalinger . Du kan skifte til fanen Strenge anbefalinger . Indstillingerne, layoutet og handlingerne er de samme under begge faner.

I det første afsnit under fanen vises antallet af indstillinger i hver type politik, der skal forbedres sammenlignet med Standard- eller Strict-beskyttelse. Typerne af politikker er:

Anti-spam
Anti-phishing
Antimalware
Sikre vedhæftede filer (hvis dit abonnement omfatter Microsoft Defender for Office 365)
Sikre links (hvis dit abonnement omfatter Microsoft Defender for Office 365)
DKIM
Indbygget beskyttelse (hvis dit abonnement omfatter Microsoft Defender for Office 365)
Outlook

Hvis der ikke vises en politiktype og et tal, opfylder alle dine politikker af denne type de anbefalede indstillinger for Standard eller Strict protection.

Resten af fanen er den tabel med indstillinger, der skal føres op til niveauet Standard eller Strict protection. Tabellen indeholder følgende kolonner^*:

Anbefalinger: Værdien af indstillingen i Standard- eller Strict-beskyttelsesprofilen.
Politik: Navnet på den berørte politik, der indeholder indstillingen.
Navn på politikgruppe/indstilling: Navnet på den indstilling, der kræver din opmærksomhed.
Politiktype: Anti-spam, Anti-phishing, Anti-malware, Safe Links eller Safe Attachments.
Aktuel konfiguration: Den aktuelle værdi for indstillingen.
Senest ændret: Den dato, hvor politikken senest blev ændret.
Status: Denne værdi startes normalt ikke.

^* Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

Rul vandret i webbrowseren.
Begræns bredden af de relevante kolonner.
Zoom ud i webbrowseren.

Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filtre , der åbnes:

Anti-spam
Anti-phishing
Antimalware
Sikre vedhæftede filer
Sikre links
Indbygget ATP-beskyttelsesregel
DKIM
Outlook

Når du er færdig i pop op-vinduet Filtre , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.

Brug feltet Søg og en tilsvarende værdi til at finde bestemte poster.

Få vist oplysninger om en anbefalet politikindstilling

Under fanen Standardbeskyttelse eller Streng beskyttelse i konfigurationsanalysen skal du vælge en post ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for anbefalingsnavnet. I det pop op-vindue med detaljer, der åbnes, er følgende oplysninger tilgængelige:

Politik: Navnet på den pågældende politik.
Hvorfor?: Oplysninger om, hvorfor vi anbefaler værdien for indstillingen.
Den specifikke indstilling, der skal ændres, og den værdi, den skal ændres til.
Vis politik: Linket fører dig til detaljevinduet for den pågældende politik på Microsoft Defender-portalen, hvor du kan opdatere indstillingen manuelt.
Et link til Anbefalede indstillinger for EOP og Microsoft Defender for Office 365 sikkerhed.

Tip

Hvis du vil se detaljer om andre anbefalinger uden at forlade pop op-vinduet med detaljer, skal du bruge Forrige og Næste øverst i pop op-vinduet.

Når du er færdig i pop op-vinduet med detaljer, skal du vælge Luk.

Udfør en handling på en anbefalet politikindstilling

Under fanen Standardbeskyttelse eller Streng beskyttelse i konfigurationsanalysen skal du vælge en post ved at markere afkrydsningsfeltet ud for navnet på anbefalingen. Følgende handlinger vises på siden:

Anvend anbefaling: Hvis anbefalingen kræver flere trin, er denne handling nedtonet.

Når du vælger denne handling, åbnes der en bekræftelsesdialogboks (med mulighed for ikke at vise dialogboksen igen). Når du vælger OK, sker følgende:
- Indstillingen opdateres til den anbefalede værdi.
- Anbefalingen er stadig valgt, men den eneste tilgængelige handling er Opdater.
- Værdien Status for rækken ændres til Fuldført.
Vis politik: Du føres til detaljevinduet for den pågældende politik på Microsoft Defender-portalen, hvor du kan opdatere indstillingen manuelt.
Eksportér: Eksporterer den valgte anbefaling til en .csv fil, og vælg Eksportér.

Du kan også eksportere anbefalinger, når du har valgt flere anbefalinger, eller når du har valgt alle anbefalinger ved at markere afkrydsningsfeltet ud for kolonneoverskriften Anbefalinger .

Når du har opdateret indstillingen automatisk eller manuelt, skal du vælge Opdater for at se det reducerede antal anbefalinger og fjernelsen af den opdaterede række fra resultaterne.

Fanen Konfigurationsdriftsanalyse og -oversigt i konfigurationsanalysen

Bemærk!

Unified Auditing skal aktiveres til driftanalyse.

Under denne fane kan du spore ændringerne af dine sikkerhedspolitikker, og hvordan disse ændringer er i forhold til standardindstillingerne eller indstillingerne Strict. Følgende oplysninger vises som standard:

Senest ændret
Ændret af
Indstillingsnavn
Politik: Navnet på den pågældende politik.
Type: Anti-spam, Anti-phishing, Anti-malware, Safe Links eller Safe Attachments.
Konfigurationsændring: Den gamle værdi og den nye værdi for indstillingen
Konfigurationsdrift: Værdien Forøgelse eller Formindsk , der angiver, at indstillingen har øget eller reduceret sikkerhed sammenlignet med den anbefalede standardindstilling eller strict-indstilling.