Prøv Microsoft Defender for Office 365

Som eksisterende Microsoft 365-kunde giver siderne Prøveversioner og evaluering på portalen https://security.microsoft.com Microsoft 365 Defender dig mulighed for at prøve funktionerne i Microsoft Defender for Office 365 Plan 2, før du køber.

Før du prøver Defender for Office 365 Plan 2, er der nogle vigtige spørgsmål, du skal stille dig selv:

• Vil jeg passivt se på, hvad Defender for Office 365 Plan 2 kan gøre for mig (revision), eller vil jeg have, at Defender for Office 365 Plan 2 foretager sig direkte i spørgsmål, som den finder (blok)?
• Uanset hvad, hvordan kan jeg se, hvad Defender for Office 365 Plan 2 gør for mig?
• Hvor lang tid har jeg, før jeg skal træffe beslutningen om at beholde Defender for Office 365 Plan 2?

Denne artikel hjælper dig med at besvare disse spørgsmål, så du kan prøve Defender for Office 365 Plan 2 på en måde, der bedst opfylder din organisations behov.

Hvis du vil have en medfølgende vejledning til, hvordan du bruger din prøveversion, skal du se Brugervejledning til prøveversion: Microsoft Defender for Office 365.

Oversigt over Defender for Office 365

Defender for Office 365 hjælper organisationer med at sikre deres virksomhed ved at tilbyde en omfattende tavle af egenskaber. Du kan få flere oplysninger under Microsoft Defender for Office 365.

Du kan også få mere at vide om Defender for Office 365 i denne interaktive vejledning.

Se denne korte video for at få mere at vide om, hvordan du kan få mere fra hånden på kortere tid med Microsoft Defender for Office 365.

Sådan fungerer test og evalueringer for Defender for Office 365

Politikker

Defender for Office 365 indeholder funktionerne i Exchange Online Protection (EOP), som findes i alle Microsoft 365-organisationer med Exchange Online postkasser, og funktioner, der udelukkende er til Defender for Office 365.

Beskyttelsesfunktionerne i EOP og Defender for Office 365 implementeres ved hjælp af politikker. Politikker, der kun gælder for Defender for Office 365, oprettes for dig efter behov:

• Repræsentationsbeskyttelse i politikker til bekæmpelse af phishing
• Sikre vedhæftede filer i mails
• Sikre links til mails og Microsoft Teams
  • Safe Links detonerer URL-adresser under mailflow. Hvis du vil forhindre, at bestemte URL-adresser detoneres, skal du bruge Tillad adresser for URL-adresser på listen over tilladte/blokerede lejere. Du kan få flere oplysninger under Administrer listen over tilladte/blokerede lejere.
  • Sikre links ombryder ikke URL-links i meddelelsestekster.

Din berettigelse til en evaluering eller prøveversion betyder, at du allerede har EOP. Der oprettes ingen nye eller særlige EOP-politikker til din evaluering eller prøveversion af Defender for Office 365 Plan 2. Eksisterende EOP-politikker i din Microsoft 365-organisation kan reagere på meddelelser (f.eks. sende meddelelser til mappen Uønsket mail eller sætte dem i karantæne):

• Politikker for antimalware
• Indgående beskyttelse mod spam
• Beskyttelse mod spoofing i politikker til bekæmpelse af phishing

Standardpolitikkerne for disse EOP-funktioner er altid slået til, gælder for alle modtagere og anvendes altid sidst efter brugerdefinerede politikker.

Overvågningstilstand i forhold til blokeringstilstand for Defender for Office 365

Skal din Defender for Office 365 oplevelse være aktiv eller passiv? Det er de to tilstande, du kan vælge mellem:

• Overvågningstilstand: Der oprettes særlige evalueringspolitikker til anti-phishing (som omfatter repræsentationsbeskyttelse), Sikre vedhæftede filer og Sikre links. Disse evalueringspolitikker er konfigureret til kun at registrere trusler. Defender for Office 365 registrerer skadelige meddelelser til rapportering, men meddelelserne reageres ikke på (f.eks. er registrerede meddelelser ikke sat i karantæne). Indstillingerne for disse evalueringspolitikker er beskrevet i afsnittet Politikker i overvågningstilstand senere i denne artikel.

  Overvågningstilstand giver adgang til brugerdefinerede rapporter for trusler, der registreres af Defender for Office 365 på siden Evalueringstilstand på https://security.microsoft.com/atpEvaluation.

• Blokeringstilstand: Standardskabelonen for forudindstillede sikkerhedspolitikker er slået til og bruges til prøveversionen, og de brugere, du angiver, der skal medtages i prøveversionen, føjes til den forudindstillede standard sikkerhedspolitik. Defender for Office 365 registrerer og reagererpå skadelige meddelelser (f.eks. er registrerede meddelelser sat i karantæne).

  Standardvalget og det anbefalede valg er at tilpasse disse Defender for Office 365 politikker til alle brugere i organisationen. Men under eller efter konfigurationen af din prøveversion kan du ændre politiktildelingen til bestemte brugere, grupper eller maildomæner i Microsoft 365 Defender portalen eller i Exchange Online PowerShell.

  Blokeringstilstand giver ikke tilpassede rapporter om trusler, der registreres af Defender for Office 365. Oplysningerne er i stedet tilgængelige i de almindelige rapport- og undersøgelsesfunktioner i Defender for Office 365 Plan 2.

En vigtig faktor i overvågningstilstand i forhold til blokeringstilstand er, hvordan mail leveres til din Microsoft 365-organisation:

• Mail fra internetflows direkte fra Microsoft 365, men dit aktuelle abonnement har kun Exchange Online Protection (EOP) eller Defender for Office 365 Plan 1.

  

  I disse miljøer kan du vælge overvågningstilstand eller blokeringstilstand.

• Du bruger i øjeblikket en tredjepartstjeneste eller -enhed til mailbeskyttelse af dine Microsoft 365-postkasser. Mails fra internettet flyder via beskyttelsestjeneste, før de leveres til din Microsoft 365-organisation. Microsoft 365-beskyttelse er så lav som muligt (den er aldrig helt slukket, for eksempel gennemtvinges malwarebeskyttelse altid).

  

  I disse miljøer kan du kun vælge overvågningstilstand . Du behøver ikke at ændre dit mailflow (MX-poster).

Evaluering vs. prøveversion af Defender for Office 365

Hvad er forskellen mellem en evaluering og en prøveversion af Defender for Office 365 Plan 2? Er de ikke det samme? Ja og nej. Her er, hvad du skal vide:

• Hvis du ikke allerede har Defender for Office 365 Plan 2-licenser (f.eks. separat EOP, Microsoft 365 E3, Microsoft 365 Business Premium eller Defender for Office 365 Plan 1), kan du starte din prøveversion fra Siden Microsoft 365-prøveversioner på https://security.microsoft.com/trialHorizontalHub eller siden Evalueringstilstand på https://security.microsoft.com/atpEvaluation portalen Microsoft 365 Defender. På begge placeringer kan du vælge Tilladelsestilstand (Standard forudindstillet sikkerhedspolitik) eller blokeringstilstand (evalueringspolitikker) som tidligere beskrevet.

  Uanset hvilken placering du bruger, klargør vi automatisk de påkrævede Defender for Office 365 Plan 2-prøvelicenser for dig, når du tilmelder dig. Manuelle eller eksterne trin til hentning og tildeling af Plan 2-licenser i Microsoft 365 Administration er ikke længere påkrævet. Prøvelicenserne er gode i 90 dage:

  • For organisationer uden Defender for Office 365 (f.eks. separat EOP eller Microsoft 365 E3) er funktionerne (især politikkerne) i Defender for Office 365 tilgængelige for dig i prøveperioden.

  • Organisationer med Defender for Office 365 Plan 1 (f.eks. abonnementer på Microsoft 365 Business Premium eller tilføjelsesprogrammer) har nøjagtigt de samme politikker som organisationer med Defender for Office 365 Plan 2 (repræsentationsbeskyttelse i politikker til bekæmpelse af phishing, politikker for vedhæftede filer og politikker for sikre links). Sikkerhedspolitikkerne fra tilladelsestilstand (standardindstillingssikkerhedspolitik) eller blokeringstilstand (evalueringspolitikker) udløber ikke eller holder op med at fungere efter 90 dage. Det, der slutter efter 90 dage for disse organisationer, er automatiserings-, undersøgelses-, afhjælpnings- og uddannelsesfunktionerne i Plan 2, der ikke findes i Plan 1.

• Hvis du allerede har Defender for Office 365 Plan 2 (f.eks. som en del af et Microsoft 365 E5-abonnement), får du aldrig vist Defender for Office 365 på siden Med Microsoft 365-prøveversioner på https://security.microsoft.com/trialHorizontalHub. Du starter i stedet din evaluering af Defender for Office 365 Planlæg for på siden Evalueringstilstand i https://security.microsoft.com/atpEvaluationtilstanden Tillad (standardindstillingen sikkerhedspolitik) eller blokeringstilstand (evalueringspolitikker).

  Disse organisationer kræver pr. definition ikke prøvelicenser til Defender for Office 365 Plan 2, så deres evalueringer er ubegrænsede.

Oplysningerne fra den forrige liste opsummeres i følgende tabel:

Organisation	Tilgængelige tilstande	Tilmeld fra Evalueringsside?	Tilmeld fra Siden Prøveversioner?	Evaluering Periode
Separat EOP (ingen Exchange Online postkasser) Microsoft 365 E3	Overvågningstilstand Blokeringstilstand	Ja	Ja	90 dage
Defender for Office 365 Plan 1 Microsoft 365 Business Premium	Overvågningstilstand Blokeringstilstand	Ja	Ja	Ubegrænset*
Microsoft 365 E5	Overvågningstilstand Blokeringstilstand	Ja	Nej	Ubegrænset

^* Sikkerhedspolitikkerne fra tilladelsestilstand (standardindstillingssikkerhedspolitik) eller blokeringstilstand (evalueringspolitikker) udløber ikke eller holder op med at fungere efter 90 dage. Kun de automatiserings-, undersøgelses-, afhjælpnings- og uddannelsesfunktioner, der udelukkende gælder for Defender for Office 365 Plan 2, holder op med at fungere efter 90 dage.

Konfigurer en evaluering eller en prøveversion i overvågningstilstand

Husk, at når du evaluerer Defender for Office 365 i overvågningstilstand, oprettes der særlige evalueringspolitikker, så Defender for Office 365 kan registrere trusler. Indstillingerne for disse evalueringspolitikker er beskrevet i afsnittet Politikker i overvågningstilstand senere i denne artikel.

1. Start evalueringen på en af de tilgængelige placeringer på Microsoft 365 Defender-portalen på https://security.microsoft.com. Eksempel:

   • Klik på Start gratis prøveversion på banneret øverst på en Defender for Office 365 funktionsside.
   • Find og vælg Defender for Office 365 på siden Microsoft 365-prøveversioner på https://security.microsoft.com/trialHorizontalHub.
   • Klik på Start evaluering på siden Evalueringstilstand på https://security.microsoft.com/atpEvaluation.

2. I dialogboksen Slå beskyttelse til skal du vælge Nej, Jeg vil kun rapportere og derefter klikke på Fortsæt.

3. Konfigurer følgende indstillinger i dialogboksen Vælg de brugere, du vil medtage :

   • Alle brugere: Dette er standardindstillingen og den anbefalede indstilling.

   • Vælg brugere: Hvis du vælger denne indstilling, skal du vælge de interne modtagere, som evalueringen gælder for:

     • Brugere: De angivne postkasser, mailbrugere eller mailkontakter.
     • Grupper:
       • Medlemmer af de angivne distributionsgrupper eller mailaktiverede sikkerhedsgrupper (dynamiske distributionsgrupper understøttes ikke).
       • Den angivne Microsoft 365-grupper.
       • Domæner: Alle modtagere i de angivne accepterede domæner i din organisation.

     Klik i det relevante felt, begynd at skrive en værdi, og vælg den ønskede værdi fra resultaterne. Gentag denne proces så mange gange, det er nødvendigt. Hvis du vil fjerne en eksisterende værdi, skal du klikke på Ud for værdien.

     For brugere eller grupper kan du bruge de fleste identifikatorer (navn, vist navn, alias, mailadresse, kontonavn osv.), men det tilsvarende viste navn vises i resultaterne. For brugere skal du angive en stjerne (*) alene for at se alle tilgængelige værdier.

   Bemærk!

   Du kan ændre disse valg, når du er færdig med at konfigurere prøveversionen, som beskrevet i afsnittet Administrer din prøveversion .

   Flere forskellige typer betingelser eller undtagelser er ikke additive; de er inkluderende. Evalueringen eller prøveversionen anvendes kun på de modtagere, der stemmer overens med alle de angivne modtagerfiltre. Du kan f.eks. konfigurere en betingelse med følgende værdier:

   • Brugere: romain@contoso.com
   • Grupper: Direktører

   Evalueringen eller prøveversionen anvendes kun påromain@contoso.com, hvis han også er medlem af gruppen Direktører. Hvis han ikke er medlem af gruppen, anvendes evalueringen eller prøveversionen ikke på ham.

   Hvis du på samme måde bruger det samme modtagerfilter som en undtagelse, anvendes evalueringen eller prøveversionen heller ikke kun påromain@contoso.com, hvis han også er medlem af gruppen Direktører. Hvis han ikke er medlem af gruppen, så gælder evalueringen eller retssagen stadig for ham.

   Klik på Fortsæt, når du er færdig.

4. I dialogboksen Hjælp os med at forstå dit mailflow skal du konfigurere følgende indstillinger:

   • En af følgende indstillinger vælges automatisk på baggrund af vores registrering af MX-posten for dit domæne:

     • Jeg bruger en tredjepartsudbyder og/eller en tjenesteudbyder i det lokale miljø: MX-posten for dine domænepunkter et andet sted end Microsoft 365. Dette valg kræver følgende yderligere indstillinger, når du har klikket på Næste:

       1. Konfigurer følgende indstillinger i dialogboksen Indstillinger for tredjepart eller det lokale miljø:

          • Vælg en tredjepartsudbyder: Vælg en af følgende værdier:

            • Barracuda
            • IronPort
            • Mimecast
            • Korrekturpunkt
            • Sophos
            • Symantec
            • Trend Micro
            • Andet

          • Den connector, som denne evaluering skal anvendes på: Vælg den connector, der bruges til mailflow, i Microsoft 365.

            Forbedret filtrering for forbindelser (også kendt som oversigt over spring over) konfigureres automatisk på den connector, du angiver.

            Når en tjeneste eller enhed fra tredjepart er placeret foran en mail, der flyder ind i Microsoft 365, identificerer udvidet filtrering af connectors korrekt kilden til internetmeddelelser og forbedrer i høj grad nøjagtigheden af Microsofts filtreringsstak (især spoof intelligence samt funktioner efter brud i Threat Explorer og Automatiseret undersøgelsessvar & (AIR).

          • Angiv hver gateway-IP-adresse, dine meddelelser passerer: Denne indstilling er kun tilgængelig, hvis du har valgt Andet for Vælg en tredjepartsudbyder. Angiv en kommasepareret liste over de IP-adresser, der bruges af beskyttelsestjeneste fra tredjepart eller enhed til at sende mail til Microsoft 365.

          Klik på Næste, når du er færdig.

       2. I dialogboksen Regler for Exchange-mailflow skal du beslutte, om du har brug for en Exchange Online regel for mailflow (også kendt som en transportregel), der springer spamfiltrering over for indgående meddelelser fra beskyttelsestjeneste eller enhed fra tredjepart.

          Det er sandsynligt, at du allerede har en SCL=-1-regel for mailflow i Exchange Online, der gør det muligt for alle indgående mails fra beskyttelsestjenesten at omgå (de fleste) Microsoft 365-filtrering. Mange beskyttelsestjenester opfordrer til dette niveau for mailflowregel for mailflow for de Microsoft 365-kunder, der bruger deres tjenester.

          Som forklaret i det forrige trin konfigureres udvidet filtrering for forbindelser automatisk på den connector, du angiver som kilde til mail fra beskyttelsestjeneste.

          Hvis du slår udvidet filtrering til for forbindelser uden en SCL=-1-regel for indgående mails fra beskyttelsestjeneste, vil det forbedre registreringsfunktionerne i EOP-beskyttelsesfunktionerne, f.eks. spoof intelligence, og det kan påvirke leveringen af de nyligt registrerede meddelelser (f.eks. flytte til mappen Uønsket mail eller sætte dem i karantæne). Denne virkning er begrænset til EOP-politikker; som tidligere forklaret, oprettes Defender for Office 365 politikker i overvågningstilstand.

          Hvis du vil oprette en regel for SCL=-1-mailflowet eller gennemse dine eksisterende regler, skal du klikke på knappen Gå til Exchange Administration på siden. Du kan få flere oplysninger under Brug regler for mailflow til at angive niveauet for spamsikkerhed i meddelelser i Exchange Online.

          Klik på Udfør, når du er færdig.

     • Jeg bruger kun Microsoft Exchange Online: MX-posterne for dit domæne peger på Microsoft 365. Der er ikke mere at konfigurere, så klik på Udfør.

   • Del data med Microsoft: Denne indstilling er ikke valgt som standard, men du kan markere afkrydsningsfeltet, hvis du vil.

5. Der vises en statusdialogboks, når evalueringen konfigureres. Når opsætningen er fuldført, skal du klikke på Udført.

Konfigurer en evaluering eller prøveversion i blokeringstilstand

Husk, at når du forsøger Defender for Office 365 i blokerende tilstand, er standardindstillingen sikkerhed slået til, og de angivne brugere (nogle eller alle) er inkluderet i standardindstillingen for den forudindstillede sikkerhedspolitik. Du kan få flere oplysninger om den forudindstillede standardsikkerhedspolitik under Forudindstillede sikkerhedspolitikker.

1. Start prøveversionen på en af de tilgængelige placeringer på Microsoft 365 Defender-portalen på https://security.microsoft.com. Eksempel:

   • Klik på Start gratis prøveversion på banneret øverst på en Defender for Office 365 funktionsside.
   • Find og vælg Defender for Office 365 på siden Microsoft 365-prøveversioner på https://security.microsoft.com/trialHorizontalHub.
   • Klik på Start evaluering på siden Evalueringstilstand på https://security.microsoft.com/atpEvaluation.

2. I dialogboksen Slå beskyttelse til skal du vælge Ja, beskytte min organisation ved at blokere trusler og derefter klikke på Fortsæt.

3. Konfigurer følgende indstillinger i dialogboksen Vælg de brugere, du vil medtage :

   • Alle brugere: Dette er standardindstillingen og den anbefalede indstilling.

   • Vælg brugere: Hvis du vælger denne indstilling, skal du vælge de interne modtagere, som prøveversionen gælder for:

     • Brugere: De angivne postkasser, mailbrugere eller mailkontakter.
     • Grupper:
       • Medlemmer af de angivne distributionsgrupper eller mailaktiverede sikkerhedsgrupper (dynamiske distributionsgrupper understøttes ikke).
       • Den angivne Microsoft 365-grupper.
     • Domæner: Alle modtagere i de angivne accepterede domæner i din organisation.

     Klik i det relevante felt, begynd at skrive en værdi, og vælg den ønskede værdi fra resultaterne. Gentag denne proces så mange gange, det er nødvendigt. Hvis du vil fjerne en eksisterende værdi, skal du klikke på Ud for værdien.

     For brugere eller grupper kan du bruge de fleste identifikatorer (navn, vist navn, alias, mailadresse, kontonavn osv.), men det tilsvarende viste navn vises i resultaterne. For brugere skal du angive en stjerne (*) alene for at se alle tilgængelige værdier.

   Bemærk!

   Du kan ændre disse valg, når du er færdig med at konfigurere prøveversionen, som beskrevet i afsnittet Administrer din prøveversion .

   Flere forskellige typer betingelser eller undtagelser er ikke additive; de er inkluderende. Evalueringen eller prøveversionen anvendes kun på de modtagere, der stemmer overens med alle de angivne modtagerfiltre. Du kan f.eks. konfigurere en betingelse med følgende værdier:

   • Brugere: romain@contoso.com
   • Grupper: Direktører

   Evalueringen eller prøveversionen anvendes kun påromain@contoso.com, hvis han også er medlem af gruppen Direktører. Hvis han ikke er medlem af gruppen, anvendes evalueringen eller prøveversionen ikke på ham.

   Hvis du på samme måde bruger det samme modtagerfilter som en undtagelse, anvendes evalueringen eller prøveversionen heller ikke kun påromain@contoso.com, hvis han også er medlem af gruppen Direktører. Hvis han ikke er medlem af gruppen, så gælder evalueringen eller retssagen stadig for ham.

   Klik på Fortsæt, når du er færdig.

4. Der vises en statusdialogboks, når evalueringen konfigureres. Når installationen er fuldført, skal du klikke på Udført.

Administrer din evaluering eller prøveversion af Defender for Office 365

Når du har konfigureret din evaluering eller prøveversion i overvågningstilstand eller blokeringstilstand, er siden Evalueringstilstand på https://security.microsoft.com/atpEvaluation din centrale placering for at få oplysninger om, hvordan du forsøger Defender for Office 365 Plan 2.

1. I Microsoft 365 Defender-portalen på https://security.microsoft.comskal du gå til Regler for mailsamarbejde &>Politikker & trusselspolitikker>> vælge Evalueringstilstand i afsnittet Andre. Du kan også gå direkte til Microsoft Defender for Office 365 evalueringsside ved at bruge https://security.microsoft.com/atpEvaluation.

2. På siden Microsoft Defender for Office 365 evaluering kan du udføre følgende opgaver:

   • Klik på Køb et betalt abonnement for at købe Defender for Office 365 Plan 2.

   • Klik på Administrer. I pop op-vinduet Microsoft Defender for Office 365 evaluering, der vises, kan du udføre følgende opgaver:

     • Rediger, hvem evalueringen eller prøveversionen gælder for, som beskrevet tidligere i Konfigurer en evaluering eller prøveversion i overvågningstilstand , og Konfigurer en evaluering eller prøveversion i blokeringstilstand.

     • Hvis du vil skifte fra overvågningstilstand (evalueringspolitikker) til blokeringstilstand (standardindstillingssikkerhedspolitik), skal du klikke på Konvertér til standardbeskyttelse og derefter klikke på Fortsæt i den dialogboks, der ser ud til at blive ført til guiden Anvend standardbeskyttelse på siden Forudindstillede sikkerhedspolitikker . De eksisterende inkluderede og udeladte modtagere kopieres. Du kan få flere oplysninger under Brug Microsoft 365 Defender-portalen til at tildele standard- og strenge forudindstillede sikkerhedspolitikker til brugere.

       Noter:

       • Politikkerne i den forudindstillede standardsikkerhedspolitik har en højere prioritet end evalueringspolitikkerne, hvilket betyder, at politikkerne i den forudindstillede standardsikkerhed altid anvendes før evalueringspolitikkerne, selvom begge er til stede og slået til. Hvis du vil slå evalueringspolitikker fra, skal du bruge knappen Slå fra .
       • Der er ingen automatisk måde at gå fra blokeringstilstand til overvågningstilstand. De manuelle trin er:
         1. Deaktiver den forudindstillede standardsikkerhedspolitik på siden Forudindstillede sikkerhedspolitikker .
         2. Når du har klikket på Administrer på siden Microsoft Defender for Office 365 evaluering, skal du kontrollere tilstedeværelsen af knappen Slå fra, hvilket angiver, at evalueringspolitikkerne er slået til. Hvis du kan se knappen Slå til, skal du klikke på den for at aktivere evalueringspolitikkerne.
         3. Kontrollér de brugere, som evalueringen gælder for.

     • Hvis du vil deaktivere evalueringspolitikkerne, skal du klikke på Slå fra. Hvis du vil slå dem til igen, skal du klikke på Slå til.

     Når du er færdig i pop op-vinduet, skal du klikke på Gem.

Rapporter til din evaluering eller prøveversion af Defender for Office 365

I dette afsnit beskrives de rapporter, der er tilgængelige i overvågningstilstand og blokeringstilstand.

Rapporter til blokeringstilstand

I blokeringstilstand viser følgende rapporter registreringer efter Defender for Office 365:

• Visningen Mailflow for statusrapporten Mailflow:

  • Meddelelser, der registreres som brugerpersonation eller domæne repræsentering af politikker til bekæmpelse af phishing, vises i repræsentationsblokken.
  • Meddelelser, der registreres under detonation af filer eller URL-adresser af politikker for vedhæftede filer, der er tillid til, eller politikker for sikre links vises i spærringen for detonation.

• Statusrapporten trusselsbeskyttelse:

  • Få vist data efter oversigt:

    Du kan filtrere de fleste visninger efter MDO-værdien Beskyttet af for at se virkningen af Defender for Office 365.

  • Få vist data efter mail-phish > og diagramopdeling efter registreringsteknologi

    • Meddelelser, der er registreret af kampagner , vises i Campaign.
    • Meddelelser, der er registreret af Sikre vedhæftede filer, vises i detonation af filer og omdømme for detonation af filer.
    • Meddelelser, der registreres af beskyttelse mod phishing i beskyttelse mod phishing, vises i repræsentationsdomæne, repræsentationsbruger og repræsentation af mailbox intelligence.
    • Meddelelser, der er registreret af Sikre links, vises i url-detonation og URL-detonationsomdømme.

  • Få vist data efter mailmalware > og diagramopdeling efter registreringsteknologi

    • Meddelelser, der er registreret af kampagner , vises i Campaign.
    • Meddelelser, der er registreret af Sikre vedhæftede filer, vises i detonation af filer og omdømme for detonation af filer.
    • Meddelelser, der er registreret af Sikre links, vises i url-detonation og URL-detonationsomdømme.

  • Få vist data efter mailspam > og diagramopdeling efter registreringsteknologi

    Meddelelser, der er registreret af Sikre links, vises i ondsindet URL-adresseomdømme.

  • Diagramopdeling efter politiktype

    Meddelelser, der er registreret af sikre vedhæftede filer, vises i Sikre vedhæftede filer

  • Få vist data efter indholdsmalware >

    Skadelige filer, der er registreret af Sikre vedhæftede filer til SharePoint, OneDrive og Microsoft Teams, vises i MDO-detonation.

  • Rapporten Over de vigtigste afsendere og modtagere

    Vis data for de mest populære malwaremodtagere (MDO) og Vis data for Top phish-modtagere (MDO).

  • URL-beskyttelsesrapport

Rapporter til overvågningstilstand

I overvågningstilstand viser følgende rapporter registreringer efter Defender for Office 365:

• Statusrapporten Trusselsbeskyttelse har Evaluering: Ja/Nej som en egenskab, der kan filtreres, i følgende visninger:

  • Få vist data efter mail-phish > og diagramopdeling efter registreringsteknologi
  • Få vist data efter mailmalware > og diagramopdeling efter registreringsteknologi
  • Få vist data efter mailspam > og diagramopdeling efter registreringsteknologi

• Threat Explorer viser følgende banner i oplysninger om registrering af meddelelser under fanen Analyse for dårlig vedhæftet fil, url-adresse for spam + malware, Phish-URL-adresse og repræsentationsmeddelelser, der blev registreret af Defender for Office 365 evaluering, viser følgende banner i oplysningerne om posten:

  

Den Microsoft Defender for Office 365 evalueringsside på https://security.microsoft.com/atpEvaluation konsoliderer rapporteringen for politikkerne i evalueringen:

• Sikre links
• Sikre vedhæftede filer
• Repræsentationsbeskyttelse i politikker til bekæmpelse af phishing

Diagrammerne viser som standard data for de seneste 30 dage, men du kan filtrere datointervallet ved at klikke på 30 dage og vælge mellem følgende yderligere værdier, der er mindre end 30 dage:

• 24 timer
• 7 dage
• 14 dage
• Brugerdefineret datointerval

Du kan klikke på Download for at downloade diagramdataene til en .csv fil.

Påkrævede tilladelser

Følgende tilladelser kræves i Azure AD for at konfigurere en evaluering eller prøveversion af Defender til Microsoft 365:

• Opret, rediger eller slet en evaluering eller prøveversion: Sikkerhedsadministrator eller Global administrator.
• Vis evalueringspolitikker og -rapporter i overvågningstilstand: Sikkerhedsadministrator eller Sikkerhedslæser.

Du kan få flere oplysninger om Azure AD tilladelser på Microsoft 365 Defender-portalen under Azure AD roller på Microsoft 365 Defender-portalen

Ofte stillede spørgsmål

Spørgsmål: Skal jeg hente eller aktivere prøvelicenser manuelt?

Sv.: Nej. Prøveversionen klargør automatisk Defender for Office 365 Plan 2-licenser, hvis du har brug for dem som beskrevet tidligere.

Spørgsmål: Hvordan gør jeg forlænge prøveversionen?

Svar: Se Forlæng din prøveversion.

Spørgsmål: Hvad sker der med mine data, når prøveversionen udløber?

Svar: Når din prøveversion udløber, har du adgang til dine prøvedata (data fra funktioner i Defender for Office 365, som du ikke tidligere har haft) i 30 dage. Efter denne 30-dages periode slettes alle politikker og data, der er knyttet til den Defender for Office 365 prøveversion.

Spørgsmål: Hvor mange gange kan jeg bruge prøveversionen af Defender for Office 365 i min organisation?

Sv.: Maksimalt 2 gange. Hvis din første prøveversion udløber, skal du vente mindst 30 dage efter udløbsdatoen, før du kan tilmelde dig Defender for Office 365 prøveversion igen. Efter din anden prøveversion kan du ikke tilmelde dig en anden prøveversion.

Spørgsmål: Er der scenarier i overvågningstilstand, hvor Defender for Office 365 reagerer på meddelelser?

Sv.: Ja. Ingen i noget program eller SKU kan deaktivere eller omgå at udføre handlinger på meddelelser, der er klassificeret som malware eller phishing med høj genkendelsessikkerhed af tjenesten.

I overvågningstilstand reagerer beskyttelse mod spoofing i EOP også på meddelelser. Hvis du vil forhindre beskyttelse mod spoofing i at reagere på meddelelser, skal du oprette en Exchange-regel for mailflow (også kendt som en transportregel), hvor indgående mail tilsidesætter alle typer filtrering, der kan tilsidesættes (herunder beskyttelse mod spoofing). Du kan finde en vejledning under Brug regler for mailflow til at angive niveauet for spamsikkerhed i meddelelser i Exchange Online.

Spørgsmål: I hvilken rækkefølge evalueres politikkerne?

Svar: Se Rangorden for forudindstillede sikkerhedspolitikker og andre politikker.

Reference

Politikindstillinger, der er knyttet til Defender for Office 365 prøveversioner

Politikker i overvågningstilstand

Advarsel

Forsøg ikke at oprette, redigere eller fjerne de individuelle sikkerhedspolitikker, der er knyttet til evalueringen af Defender for Office 365. Den eneste understøttede metode til oprettelse af de individuelle sikkerhedspolitikker for evalueringen er at starte evalueringen eller prøveperioden i overvågningstilstand i Microsoft 365 Defender portalen for første gang.

Som tidligere beskrevet, når du vælger overvågningstilstand for din evaluering eller prøveversion, oprettes der automatisk evalueringspolitikker med de påkrævede indstillinger for at overvåge, men ikke udføre handlinger på meddelelser.

Hvis du vil se disse politikker og deres indstillinger, skal du køre følgende kommando i Exchange Online PowerShell:

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

Indstillingerne er også beskrevet i følgende tabeller.

Politikindstillinger for evaluering af anti-phishing

Indstilling	Værdi
Navn	Evalueringspolitik
AdminDisplayName	Evalueringspolitik
AuthenticationFailAction	Flyt til Jmf
Aktiveret	Sandt
EnableFirstContactSafetyTips	Falsk
EnableMailboxIntelligence	Sandt
EnableMailboxIntelligenceProtection	Sandt
EnableOrganizationDomainsProtection	Falsk
EnableSimilarDomainsSafetyTips	Falsk
EnableSimilarUsersSafetyTips	Falsk
EnableSpoofIntelligence	Sandt
EnableSuspiciousSafetyTip	Falsk
EnableTargetedDomainsProtection	Falsk
EnableTargetedUserProtection	Falsk
EnableUnauthenticatedSender	Sandt
EnableUnusualCharactersSafetyTips	Falsk
EnableViaTag	Sandt
ExcludedDomains	{}
ExcludedSenders	{}
ImpersonationProtectionState	Manuel
IsDefault	Falsk
MailboxIntelligenceProtectionAction	Ingen handling
MailboxIntelligenceProtectionActionRecipients	{}
MailboxIntelligenceQuarantineTag	DefaultFullAccessPolicy
PhishThresholdLevel	1
PolicyTag	Tom
Anbefalet politiktype	Evaluering
SpoofQuarantineTag	DefaultFullAccessPolicy
Målmodtagere afdomainAction-modtagere	{}
TargetedDomainProtectionAction	Ingen handling
TargetedDomainQuarantineTag	DefaultFullAccessPolicy
TargetedDomainsToProtect	{}
Målrettede brugere	{}
TargetedUserProtectionAction	Ingen handling
TargetedUserQuarantineTag	DefaultFullAccessPolicy
TargetedUsersToProtect	{}

Politikindstillinger for evaluering af vedhæftede filer, der er tillid til

Indstilling	Værdi
Navn	Evalueringspolitik
Handling	Tillad
ActionOnError	Sandt
AdminDisplayName	Evalueringspolitik
ConfidenceLevelThreshold	80
Aktiverer	Sandt
EnableOrganizationBranding	Falsk
IsBuiltInProtection	Falsk
IsDefault	Falsk
Handlingstilstand	Forsinkelse
QuarantineTag	AdminOnlyAccessPolicy
Anbefalet politiktype	Evaluering
Omdirigere	Falsk
RedirectAddress	Tom
ScanTimeout	30

Politikindstillinger for evaluering af sikre links

Indstilling	Værdi
Navn	Evalueringspolitik
AdminDisplayName	Evalueringspolitik
AllowClickThrough	Sandt
CustomNotificationText	Tom
DeliverMessageAfterScan	Sandt
DisableUrlRewrite	Sandt
DoNotRewriteUrls	{}
EnableForInternalSenders	Falsk
EnableOrganizationBranding	Falsk
EnableSafeLinksForEmail	Sandt
EnableSafeLinksForOffice	Falsk
EnableSafeLinksForTeams	Falsk
IsBuiltInProtection	Falsk
LocalizedNotificationTextList	{}
Anbefalet politiktype	Evaluering
ScanUrls	Sandt
TrackClicks	Sandt

Brug PowerShell til at konfigurere modtagerbetingelser og undtagelser til evalueringen i overvågningstilstand

En regel, der er knyttet til Defender for Office 365 evalueringspolitikker, styrer modtagerbetingelserne og undtagelserne til evalueringen.

Hvis du vil have vist den regel, der er knyttet til evalueringen, skal du køre følgende kommando i Exchange Online PowerShell:

Get-ATPEvaluationRule

Hvis du vil bruge Exchange Online PowerShell til at ændre, hvem evalueringen gælder for, skal du bruge følgende syntaks:

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

I dette eksempel konfigureres undtagelser fra evalueringen for de angivne sikkerhedshandlinger (SecOps)-postkasser.

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

Brug PowerShell til at aktivere eller deaktivere evalueringen i overvågningstilstand

Hvis du vil slå evalueringen til eller fra i overvågningstilstand, skal du aktivere eller deaktivere den regel, der er knyttet til evalueringen. Egenskabsværdien State for evalueringsreglen viser, om reglen er aktiveret eller deaktiveret.

Kør følgende kommando for at afgøre, om evalueringen er aktiveret eller deaktiveret i øjeblikket:

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

Kør følgende kommando for at deaktivere evalueringen, hvis den er slået til:

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

Kør følgende kommando for at aktivere evalueringen, hvis den er slået fra:

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

Politikker og regler i bloktilstand

Som tidligere beskrevet, når du vælger blokeringstilstand for din prøveversion, oprettes politikker ved hjælp af standardskabelonen for forudindstillede sikkerhedspolitikker.

Hvis du vil bruge Exchange Online PowerShell til at få vist de individuelle sikkerhedspolitikker, der er knyttet til den forudindstillede standardsikkerhedspolitik, og til at bruge Exchange Online PowerShell til at få vist og konfigurere modtagerbetingelser og -undtagelser for den forudindstillede sikkerhedspolitik, skal du se Forudindstillede sikkerhedspolitikker i Exchange Online PowerShell.