Provare Microsoft Defender per Office 365
In qualità di cliente microsoft 365 esistente, le pagineVersioni di valutazione e valutazione nel portale https://security.microsoft.com di Microsoft 365 Defender consentono di provare le funzionalità di Microsoft Defender per Office 365 Piano 2 prima di acquistare.
Prima di provare Defender per Office 365 piano 2, è necessario porre alcune domande chiave:
- Si vuole osservare passivamente cosa può fare Defender per Office 365 Piano 2 (controllo) o si vuole Defender per Office 365 piano 2 per intervenire direttamente sui problemi rilevati (blocco)?
- In entrambi i casi, come posso dire cosa Defender per Office 365 piano 2 sta facendo per me?
- Quanto tempo ho prima di prendere la decisione di mantenere Defender per Office 365 Piano 2?
Questo articolo consente di rispondere a queste domande in modo da provare Defender per Office 365 piano 2 in modo da soddisfare al meglio le esigenze dell'organizzazione.
Per una guida complementare su come usare la versione di valutazione, vedere Guida all'utente della versione di valutazione: Microsoft Defender per Office 365.
Panoramica di Defender per Office 365
Defender per Office 365 aiuta le organizzazioni a proteggere la propria azienda offrendo una lista completa di funzionalità. Per altre informazioni, vedere Microsoft Defender per Office 365.
Per altre informazioni su Defender per Office 365, vedere questa guida interattiva.
Guardare questo breve video per altre informazioni su come ottenere di più in meno tempo con Microsoft Defender per Office 365.
Funzionamento delle versioni di valutazione e delle versioni di valutazione per Defender per Office 365
Criteri
Defender per Office 365 include le funzionalità di Exchange Online Protection (EOP), presenti in tutte le organizzazioni di Microsoft 365 con cassette postali Exchange Online e funzionalità esclusive per Defender per Office 365.
Le funzionalità di protezione di EOP e Defender per Office 365 vengono implementate usando i criteri. I criteri esclusivi per Defender per Office 365 vengono creati automaticamente in base alle esigenze:
- Protezione della rappresentazione nei criteri anti-phishing
- Allegati sicuri per i messaggi di posta elettronica
- Collegamenti sicuri per i messaggi di posta elettronica e Microsoft Teams
- Collegamenti sicuri esplode gli URL durante il flusso di posta. Per impedire la detonazione di URL specifici, usare le voci consenti per gli URL nell'elenco tenant consentiti/bloccati. Per altre informazioni, vedere Gestire l'elenco tenant consentiti/bloccati.
- I collegamenti sicuri non eseguono il wrapping dei collegamenti URL nei corpi dei messaggi di posta elettronica.
L'idoneità per una valutazione o una versione di valutazione indica che si dispone già di EOP. Non vengono creati criteri EOP nuovi o speciali per la valutazione o la versione di valutazione di Defender per Office 365 Piano 2. I criteri EOP esistenti nell'organizzazione di Microsoft 365 sono in grado di agire sui messaggi (ad esempio, inviare messaggi alla cartella Email indesiderata o in quarantena):
- Criteri antimalware
- Protezione dalla posta indesiderata in ingresso
- Protezione anti-spoofing nei criteri anti-phishing
I criteri predefiniti per queste funzionalità EOP sono sempre attivati, si applicano a tutti i destinatari e vengono sempre applicati per ultimi dopo eventuali criteri personalizzati.
Modalità di controllo e modalità di blocco per Defender per Office 365
Vuoi che la tua esperienza di Defender per Office 365 sia attiva o passiva? Queste sono le due modalità tra cui è possibile scegliere:
Modalità di controllo: vengono creati criteri di valutazione speciali per l'anti-phishing (che include la protezione della rappresentazione), gli allegati sicuri e i collegamenti sicuri. Questi criteri di valutazione sono configurati per rilevare solo le minacce. Defender per Office 365 rileva i messaggi dannosi per la creazione di report, ma i messaggi non vengono agito su (ad esempio, i messaggi rilevati non sono messi in quarantena). Le impostazioni di questi criteri di valutazione sono descritte nella sezione Criteri in modalità di controllo più avanti in questo articolo.
La modalità di controllo consente di accedere ai report personalizzati per le minacce rilevate da Defender per Office 365 nella pagina Modalità di valutazione all'indirizzo https://security.microsoft.com/atpEvaluation.
Modalità di blocco: il modello Standard per i criteri di sicurezza predefiniti è attivato e usato per la versione di valutazione e gli utenti che si specificano di includere nella versione di valutazione vengono aggiunti ai criteri di sicurezza predefiniti Standard. Defender per Office 365 rileva e interviene sui messaggi dannosi, ad esempio i messaggi rilevati vengono messi in quarantena.
La selezione predefinita e consigliata consiste nell'ambito di questi criteri di Defender per Office 365 a tutti gli utenti dell'organizzazione. Tuttavia, durante o dopo la configurazione della versione di valutazione, è possibile modificare l'assegnazione dei criteri in utenti, gruppi o domini di posta elettronica specifici nel portale di Microsoft 365 Defender o in Exchange Online PowerShell.
La modalità di blocco non fornisce report personalizzati per le minacce rilevate da Defender per Office 365. Le informazioni sono invece disponibili nei report regolari e nelle funzionalità di indagine di Defender per Office 365 Piano 2.
Un fattore chiave nella modalità di controllo rispetto alla modalità di blocco è il modo in cui la posta elettronica viene recapitata all'organizzazione di Microsoft 365:
La posta da Internet scorre direttamente da Microsoft 365, ma la sottoscrizione corrente ha solo Exchange Online Protection (EOP) o Defender per Office 365 Piano 1.
In questi ambienti è possibile selezionare la modalità di controllo o la modalità di blocco.
Attualmente si usa un servizio o un dispositivo di terze parti per la protezione della posta elettronica delle cassette postali di Microsoft 365. La posta da Internet scorre attraverso il servizio di protezione prima del recapito nell'organizzazione di Microsoft 365. La protezione di Microsoft 365 è il più bassa possibile (non è mai completamente disattivata; ad esempio, la protezione da malware viene sempre applicata).
In questi ambienti è possibile selezionare solo la modalità di controllo . Non è necessario modificare il flusso di posta (record MX).
Valutazione e valutazione per Defender per Office 365
Qual è la differenza tra una valutazione e una versione di valutazione di Defender per Office 365 Piano 2? Non sono la stessa cosa? Beh, sì e no. Ecco cosa è necessario sapere:
Se non si dispone già di licenze Defender per Office 365 Piano 2 (ad esempio, EOP autonomo, Microsoft 365 E3, Microsoft 365 Business Premium o Defender per Office 365 Piano 1), è possibile avviare la versione di valutazione dal Pagina delle versioni di valutazione di Microsoft 365 in https://security.microsoft.com/trialHorizontalHub o nella pagina https://security.microsoft.com/atpEvaluationModalità di valutazione nel portale di Microsoft 365 Defender. In entrambe le posizioni è possibile selezionare la modalità consenti (criteri di sicurezza predefiniti standard) o la modalità di blocco (criteri di valutazione) come descritto in precedenza.
Indipendentemente dal percorso usato, verrà eseguito automaticamente il provisioning delle licenze di valutazione necessarie Defender per Office 365 Piano 2 al momento della registrazione. I passaggi manuali o esterni per ottenere e assegnare licenze del piano 2 nel interfaccia di amministrazione di Microsoft 365 non sono più necessari. Le licenze di valutazione sono valide per 90 giorni:
Per le organizzazioni senza Defender per Office 365 (ad esempio, EOP autonomo o Microsoft 365 E3) le funzionalità (in particolare, i criteri) di Defender per Office 365 sono disponibili durante il periodo di valutazione.
Le organizzazioni con Defender per Office 365 piano 1 (ad esempio Microsoft 365 Business Premium o sottoscrizioni di componenti aggiuntivi) hanno esattamente gli stessi criteri delle organizzazioni con Defender per Office 365 Piano 2 (protezione della rappresentazione nei criteri anti-phishing, nei criteri allegati sicuri e nei criteri collegamenti sicuri). I criteri di sicurezza dalla modalità consenti (criteri di sicurezza predefiniti standard) o dalla modalità di blocco (criteri di valutazione) non scadono o smettono di funzionare dopo 90 giorni. Ciò che termina dopo 90 giorni per queste organizzazioni sono le funzionalità di automazione, analisi, correzione e formazione del piano 2 non presenti nel piano 1.
Se è già stato Defender per Office 365 Piano 2 (ad esempio, come parte di una sottoscrizione di Microsoft 365 E5), non verrà mai visualizzato Defender per Office 365 nella pagina delle versioni di valutazione di Microsoft 365 all'indirizzo https://security.microsoft.com/trialHorizontalHub. Si avvia invece la valutazione di Defender per Office 365 Piano per nella pagina https://security.microsoft.com/atpEvaluationModalità di valutazione in modalità consenti (criteri di sicurezza predefiniti standard) o modalità di blocco (criteri di valutazione).
Per definizione, queste organizzazioni non richiedono licenze di valutazione di Defender per Office 365 Piano 2, quindi le loro valutazioni sono illimitate nella durata.
Le informazioni dell'elenco precedente sono riepilogate nella tabella seguente:
| Organizzazione | Modalità disponibili | Eseguire la registrazione da Pagina di valutazione? |
Eseguire la registrazione da Pagina versioni di valutazione? |
Valutazione Periodo |
|---|---|---|---|---|
| EOP autonomo (nessuna Exchange Online cassette postali) Microsoft 365 E3 |
Modalità di controllo Modalità di blocco |
Sì | Sì | 90 giorni |
| Defender per Office 365 Piano 1 Microsoft 365 Business Premium |
Modalità di controllo Modalità di blocco |
Sì | Sì | Illimitati* |
| Microsoft 365 E5 | Modalità di controllo Modalità di blocco |
Sì | No | Illimitati |
* I criteri di sicurezza dalla modalità consenti (criteri di sicurezza predefiniti standard) o dalla modalità di blocco (criteri di valutazione) non scadono o smettono di funzionare dopo 90 giorni. Solo le funzionalità di automazione, analisi, correzione e formazione esclusive di Defender per Office 365 Piano 2 smettono di funzionare dopo 90 giorni.
Configurare una valutazione o una versione di valutazione in modalità di controllo
Tenere presente che, quando si valutano Defender per Office 365 in modalità di controllo, vengono creati criteri di valutazione speciali in modo che Defender per Office 365 possano rilevare le minacce. Le impostazioni di questi criteri di valutazione sono descritte nella sezione Criteri in modalità di controllo più avanti in questo articolo.
Avviare la valutazione in una delle posizioni disponibili nel portale di Microsoft 365 Defender all'indirizzo https://security.microsoft.com. Ad esempio:
- Nel banner nella parte superiore della pagina delle funzionalità di Defender per Office 365 fare clic su Avvia versione di valutazione gratuita.
- Nella pagina Versioni di valutazione di Microsoft 365 in https://security.microsoft.com/trialHorizontalHubindividuare e selezionare Defender per Office 365.
- Nella pagina Modalità di valutazione in https://security.microsoft.com/atpEvaluationfare clic su Avvia valutazione.
Nella finestra di dialogo Attiva protezione selezionare No, Voglio solo creare report e quindi fare clic su Continua.
Nella finestra di dialogo Selezionare gli utenti da includere configurare le impostazioni seguenti:
Tutti gli utenti: questa è l'opzione predefinita e consigliata.
Selezionare gli utenti: se si seleziona questa opzione, è necessario selezionare i destinatari interni a cui si applica la valutazione:
- Utenti: la cassette postali, gli utenti di posta o contatti di posta specificati.
- Gruppi:
- Membri dei gruppi di distribuzione o dei gruppi di sicurezza abilitati alla posta specificati (i gruppi di distribuzione dinamici non sono supportati).
- Gruppi di Microsoft 365 specificati.
- Domini: tutti i destinatari nei domini specificatiaccettati nell'organizzazione.
Fare clic nella casella appropriata, iniziare a digitare un valore e selezionare il valore desiderato nei risultati. Ripetere questa procedura tutte le volte necessarie. Per rimuovere un valore esistente, fare clic su
Accanto al valore.Per utenti o gruppi è possibile usare la maggior parte degli identificatori, ad esempio nome, nome visualizzato, alias, indirizzo di posta elettronica, nome dell'account e così via, ma il nome visualizzato corrispondente viene visualizzato nei risultati. Per gli utenti, immettere un asterisco (*) da solo per visualizzare tutti i valori disponibili.
Nota
È possibile modificare queste selezioni dopo aver completato la configurazione della versione di valutazione, come descritto nella sezione Gestire la versione di valutazione .
Varie condizioni o eccezioni diverse non sono additive; sono inclusive. La valutazione o la versione di valutazione viene applicata solo ai destinatari che corrispondono a tutti i filtri dei destinatari specificati. Ad esempio, si configura una condizione con i valori seguenti:
- Utenti: romain@contoso.com
- Gruppi: Dirigenti
La valutazione o la valutazione viene applicata romain@contoso.comsolo se è anche membro del gruppo Dirigenti. Se non è un membro del gruppo, la valutazione o la versione di valutazione non viene applicata a lui.
Analogamente, se si usa lo stesso filtro destinatario come eccezione, la valutazione o la versione di valutazione non viene applicata romain@contoso.comsolo se è anche membro del gruppo Dirigenti. Se non è un membro del gruppo, la valutazione o la valutazione si applica ancora a lui.
Al termine, fare clic su Continua.
Nella finestra di dialogo Help us understand your mail flow (Guida a comprendere il flusso di posta) configurare le opzioni seguenti:
Una delle opzioni seguenti viene selezionata automaticamente in base al rilevamento del record MX per il dominio:
Sto usando un provider di servizi di terze parti e/o locale: il record MX per i punti di dominio in un punto diverso da Microsoft 365. Questa selezione richiede le impostazioni aggiuntive seguenti dopo aver fatto clic su Avanti:
Nella finestra di dialogo Impostazioni di terze parti o locali configurare le impostazioni seguenti:
Selezionare un provider di servizi di terze parti: selezionare uno dei valori seguenti:
- Barracuda
- Ironport
- Mimecast
- Proofpoint
- Sophos
- Symantec
- Trend Micro
- Altro
Connettore a cui applicare questa valutazione: selezionare il connettore usato per il flusso di posta in Microsoft 365.
Il filtro avanzato per i connettori (noto anche come skip listing) viene configurato automaticamente nel connettore specificato.
Quando un servizio o un dispositivo di terze parti si trova davanti alla posta elettronica che scorre in Microsoft 365, il filtro avanzato per i connettori identifica correttamente l'origine dei messaggi Internet e migliora notevolmente l'accuratezza dello stack di filtri Microsoft (in particolare l'intelligence di spoofing, nonché le funzionalità post-violazione in Threat Explorer e Automated Investigation & Response (AIR).
Elencare ogni indirizzo IP del gateway che i messaggi passano: questa impostazione è disponibile solo se è stata selezionata l'opzione Altro per Selezionare un provider di servizi di terze parti. Immettere un elenco delimitato da virgole degli indirizzi IP usati dal dispositivo o dal servizio di protezione di terze parti per inviare posta in Microsoft 365.
Al termine dell'operazione, fare clic su Avanti.
Nella finestra di dialogo Regole del flusso di posta di Exchange decidere se è necessaria una regola del flusso di posta Exchange Online (nota anche come regola di trasporto) che ignora il filtro della posta indesiderata per i messaggi in arrivo dal servizio o dal dispositivo di protezione di terze parti.
È probabile che sia già presente una regola del flusso di posta SCL=-1 in Exchange Online che consente a tutta la posta in ingresso dal servizio di protezione di ignorare (la maggior parte) il filtro di Microsoft 365. Molti servizi di protezione incoraggiano questo metodo di regola del flusso di posta del livello di attendibilità della posta indesiderata (SCL) per i clienti di Microsoft 365 che usano i propri servizi.
Come illustrato nel passaggio precedente, il filtro avanzato per i connettori viene configurato automaticamente nel connettore specificato come origine della posta dal servizio di protezione.
L'attivazione del filtro avanzato per i connettori senza una regola SCL=-1 per la posta in arrivo dal servizio di protezione migliorerà notevolmente le funzionalità di rilevamento delle funzionalità di protezione EOP, ad esempio l'intelligence di spoofing, e potrebbe influire sul recapito dei messaggi appena rilevati , ad esempio passare alla cartella Email indesiderata o alla quarantena. Questo impatto è limitato ai criteri EOP; come illustrato in precedenza, i criteri di Defender per Office 365 vengono creati in modalità di controllo.
Per creare una regola del flusso di posta SCL=-1 o per esaminare le regole esistenti, fare clic sul pulsante Vai all'interfaccia di amministrazione di Exchange nella pagina. Per altre informazioni, vedere Usare le regole del flusso di posta elettronica per impostare il livello di attendibilità della posta indesiderata nei messaggi in Exchange Online.
Al termine dell'operazione, scegliere Fine.
Sto usando solo Microsoft Exchange Online: i record MX per il tuo dominio puntano a Microsoft 365. Non è rimasto nulla da configurare, quindi fare clic su Fine.
Condividi dati con Microsoft: questa opzione non è selezionata per impostazione predefinita, ma è possibile selezionare la casella di controllo, se si vuole.
Quando la valutazione è configurata, viene visualizzata una finestra di dialogo di stato. Al termine della configurazione, fare clic su Fine.
Configurare una valutazione o una versione di valutazione in modalità di blocco
Quando si tenta di Defender per Office 365 in modalità di blocco, la sicurezza predefinita Standard è attivata e gli utenti specificati (alcuni o tutti) sono inclusi nei criteri di sicurezza predefiniti Standard. Per altre informazioni sui criteri di sicurezza predefiniti Standard, vedere Criteri di sicurezza predefiniti.
Avviare la versione di valutazione in una delle posizioni disponibili nel portale di Microsoft 365 Defender all'indirizzo https://security.microsoft.com. Ad esempio:
- Nel banner nella parte superiore della pagina delle funzionalità di Defender per Office 365 fare clic su Avvia versione di valutazione gratuita.
- Nella pagina Versioni di valutazione di Microsoft 365 in https://security.microsoft.com/trialHorizontalHubindividuare e selezionare Defender per Office 365.
- Nella pagina Modalità di valutazione in https://security.microsoft.com/atpEvaluationfare clic su Avvia valutazione.
Nella finestra di dialogo Attiva protezione selezionare Sì, proteggere l'organizzazione bloccando le minacce e quindi fare clic su Continua.
Nella finestra di dialogo Selezionare gli utenti da includere configurare le impostazioni seguenti:
Tutti gli utenti: questa è l'opzione predefinita e consigliata.
Selezionare gli utenti: se si seleziona questa opzione, è necessario selezionare i destinatari interni a cui si applica la versione di valutazione:
- Utenti: la cassette postali, gli utenti di posta o contatti di posta specificati.
- Gruppi:
- Membri dei gruppi di distribuzione o dei gruppi di sicurezza abilitati alla posta specificati (i gruppi di distribuzione dinamici non sono supportati).
- Gruppi di Microsoft 365 specificati.
- Domini: tutti i destinatari nei domini specificatiaccettati nell'organizzazione.
Fare clic nella casella appropriata, iniziare a digitare un valore e selezionare il valore desiderato nei risultati. Ripetere questa procedura tutte le volte necessarie. Per rimuovere un valore esistente, fare clic su
Accanto al valore.Per utenti o gruppi è possibile usare la maggior parte degli identificatori, ad esempio nome, nome visualizzato, alias, indirizzo di posta elettronica, nome dell'account e così via, ma il nome visualizzato corrispondente viene visualizzato nei risultati. Per gli utenti, immettere un asterisco (*) da solo per visualizzare tutti i valori disponibili.
Nota
È possibile modificare queste selezioni dopo aver completato la configurazione della versione di valutazione, come descritto nella sezione Gestire la versione di valutazione .
Varie condizioni o eccezioni diverse non sono additive; sono inclusive. La valutazione o la versione di valutazione viene applicata solo ai destinatari che corrispondono a tutti i filtri dei destinatari specificati. Ad esempio, si configura una condizione con i valori seguenti:
- Utenti: romain@contoso.com
- Gruppi: Dirigenti
La valutazione o la valutazione viene applicata romain@contoso.comsolo se è anche membro del gruppo Dirigenti. Se non è un membro del gruppo, la valutazione o la versione di valutazione non viene applicata a lui.
Analogamente, se si usa lo stesso filtro destinatario come eccezione, la valutazione o la versione di valutazione non viene applicata romain@contoso.comsolo se è anche membro del gruppo Dirigenti. Se non è un membro del gruppo, la valutazione o la valutazione si applica ancora a lui.
Al termine, fare clic su Continua.
Quando la valutazione è configurata, viene visualizzata una finestra di dialogo di stato. Al termine dell'installazione, fare clic su Fine.
Gestire la valutazione o la versione di valutazione di Defender per Office 365
Dopo aver configurato la valutazione o la versione di valutazione in modalità di controllo o di blocco, la pagina Modalità di valutazione in https://security.microsoft.com/atpEvaluation è la posizione centrale per informazioni sul tentativo di Defender per Office 365 Piano 2.
Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare a Email ®ole >criteri &di collaborazione Criteri di collaborazione > Selezionare >La modalità di valutazione nella sezione Altri. In alternativa, per passare direttamente alla pagina di valutazione Microsoft Defender per Office 365, usare https://security.microsoft.com/atpEvaluation.
Nella pagina di valutazione Microsoft Defender per Office 365 è possibile eseguire le attività seguenti:
Fare clic su Acquista una sottoscrizione a pagamento per acquistare Defender per Office 365 Piano 2.
Fare clic su Gestisci. Nel riquadro a comparsa Microsoft Defender per Office 365 valutazione visualizzato è possibile eseguire le attività seguenti:
Modificare a chi si applica la valutazione o la versione di valutazione come descritto in precedenza in Configurare una valutazione o una versione di valutazione in modalità di controllo e Configurare una valutazione o una versione di valutazione in modalità di blocco.
Per passare dalla modalità di controllo (criteri di valutazione) alla modalità di blocco (criteri di sicurezza predefiniti standard), fare clic su Converti in protezione standard e quindi fare clic su Continua nella finestra di dialogo visualizzata per passare alla procedura guidata Applica protezione standard nella pagina Criteri di sicurezza predefiniti . I destinatari esistenti inclusi ed esclusi vengono copiati. Per altre informazioni, vedere Usare il portale di Microsoft 365 Defender per assegnare criteri di sicurezza predefiniti Standard e Strict agli utenti.
Note:
- I criteri nei criteri di sicurezza predefiniti Standard hanno una priorità maggiore rispetto ai criteri di valutazione, il che significa che i criteri nella sicurezza predefinita Standard vengono sempre applicati prima dei criteri di valutazione, anche se entrambi sono presenti e attivati. Per disattivare i criteri di valutazione, usare il pulsante Disattiva .
- Non esiste un modo automatico per passare dalla modalità di blocco alla modalità di controllo. I passaggi manuali sono:
- Disattivare i criteri di sicurezza predefiniti Standard nella pagina Criteri di sicurezza predefiniti .
- Dopo aver fatto clic su Gestisci nella pagina di valutazione Microsoft Defender per Office 365, verificare la presenza del pulsante Disattiva, che indica che i criteri di valutazione sono attivati. Se viene visualizzato il pulsante Attiva , fare clic su di esso per attivare i criteri di valutazione.
- Verificare gli utenti a cui si applica la valutazione.
Per disattivare i criteri di valutazione, fare clic su Disattiva. Per riattivarli, fare clic su Attiva.
Al termine del riquadro a comparsa, fare clic su Salva.
Report per la valutazione o la valutazione di Defender per Office 365
Questa sezione descrive i report disponibili in modalità di controllo e modalità di blocco.
Report per la modalità di blocco
In modalità di blocco, i report seguenti mostrano i rilevamenti per Defender per Office 365:
Visualizzazione Flusso di posta per il report stato flusso di posta:
- I messaggi rilevati come rappresentazione utente o rappresentazione di dominio da criteri anti-phishing vengono visualizzati nel blocco Rappresentazione.
- I messaggi rilevati durante la detonazione di file o URL da criteri allegati sicuri o criteri di collegamenti sicuri vengono visualizzati nel blocco Detonazione.
Report sullo stato di Protezione dalle minacce:
Visualizzare i dati in base alla panoramica:
È possibile filtrare la maggior parte delle visualizzazioni in base al valore MDOProtected by per visualizzare gli effetti di Defender per Office 365.
-
- I messaggi rilevati dalle campagne vengono visualizzati in Campagna.
- I messaggi rilevati dagli allegati sicuri vengono visualizzati nella reputazione detonazione file e detonazione file.
- I messaggi rilevati dalla protezione dalla rappresentazione utente nei criteri anti-phishing vengono visualizzati nel dominio di rappresentazione, nell'utente di rappresentazione e nella rappresentazione intelligence delle cassette postali.
- I messaggi rilevati dai collegamenti sicuri vengono visualizzati nella reputazione di detonazione url e detonazione url.
-
- I messaggi rilevati dalle campagne vengono visualizzati in Campagna.
- I messaggi rilevati dagli allegati sicuri vengono visualizzati nella reputazione detonazione file e detonazione file.
- I messaggi rilevati dai collegamenti sicuri vengono visualizzati nella reputazione di detonazione url e detonazione url.
-
I messaggi rilevati dai collegamenti sicuri vengono visualizzati nella reputazione dannosa degli URL.
Suddivisione del grafico in base al tipo di criterio
I messaggi rilevati dagli allegati sicuri vengono visualizzati in Allegati sicuri
Visualizzare i dati in base al malware per il contenuto >
I file dannosi rilevati dagli allegati sicuri per SharePoint, OneDrive e Microsoft Teams vengono visualizzati nella detonazione MDO.
Report Mittenti e destinatari principali
Mostra i dati per I principali destinatari di malware (MDO) e Mostra i dati per I principali destinatari di phishing (MDO).
Report protezione URL
Report per la modalità di controllo
In modalità di controllo, i report seguenti mostrano i rilevamenti per Defender per Office 365:
Il report sullo stato di Protezione dalle minacce include Valutazione: Sì/No come proprietà filtrabile nelle visualizzazioni seguenti:
- Visualizzare i dati per Email > suddivisione di phish e grafico in base alla tecnologia di rilevamento
- Visualizzare i dati in base alla suddivisione di malware e grafici Email > in base alla tecnologia di rilevamento
- Visualizzare i dati per Email > spamming e suddivisione del grafico in base alla tecnologia di rilevamento
Esplora minacce mostra il banner seguente nei dettagli di rilevamento dei messaggi nella scheda Analisi per allegati non validi, URL di posta indesiderata e malware, URL phish e messaggi di rappresentazione rilevati dalla valutazione Defender per Office 365 mostrano il banner seguente nei dettagli della voce:
La pagina di valutazione Microsoft Defender per Office 365 in https://security.microsoft.com/atpEvaluation consolida la creazione di report per i criteri nella valutazione:
- Collegamenti sicuri
- Allegati sicuri
- Protezione della rappresentazione nei criteri anti-phishing
Per impostazione predefinita, i grafici mostrano i dati degli ultimi 30 giorni, ma è possibile filtrare l'intervallo di date facendo clic 
30 giorni e selezionando tra i valori aggiuntivi seguenti inferiori a 30 giorni:
- 24 ore
- 7 giorni
- 14 giorni
- Intervallo di date personalizzato
È possibile fare clic 
Scaricare per scaricare i dati del grafico in un file di .csv.
Autorizzazioni necessarie
In Azure AD sono necessarie le autorizzazioni seguenti per configurare una valutazione o una versione di valutazione di Defender per Microsoft 365:
- Creare, modificare o eliminare una valutazione o una versione di valutazione: Amministratore della sicurezza o Amministratore globale.
- Visualizzare i criteri e i report di valutazione in modalità di controllo: Amministratore della sicurezza o Lettore di sicurezza.
Per altre informazioni sulle autorizzazioni di Azure AD nel portale di Microsoft 365 Defender, vedere Ruoli di Azure AD nel portale di Microsoft 365 Defender
Domande frequenti
D: È necessario ottenere o attivare manualmente le licenze di valutazione?
R. No. La versione di valutazione effettua automaticamente il provisioning Defender per Office 365 licenze del piano 2 se sono necessarie, come descritto in precedenza.
D: Ricerca per categorie estendere la versione di valutazione?
R: Vedere Estendere la versione di valutazione.
D: Cosa succede ai dati dopo la scadenza della versione di valutazione?
R: Dopo la scadenza della versione di valutazione, si avrà accesso ai dati di valutazione (dati delle funzionalità in Defender per Office 365 non disponibili in precedenza) per 30 giorni. Dopo questo periodo di 30 giorni, tutti i criteri e i dati associati alla versione di valutazione Defender per Office 365 verranno eliminati.
D: Quante volte è possibile usare la versione di valutazione Defender per Office 365 nell'organizzazione?
R: Un massimo di 2 volte. Se la prima versione di valutazione scade, è necessario attendere almeno 30 giorni dopo la data di scadenza prima di poter eseguire di nuovo la registrazione alla versione di valutazione Defender per Office 365. Dopo la seconda versione di valutazione, non è possibile iscriversi a un'altra versione di valutazione.
D: In modalità di controllo esistono scenari in cui Defender per Office 365 agiranno sui messaggi?
R: Sì. Nessuno in alcun programma o SKU può disattivare o ignorare l'azione di azione sui messaggi classificati come malware o phishing ad alta attendibilità dal servizio.
In modalità di controllo, la protezione anti-spoofing in EOP interviene anche sui messaggi. Per impedire che la protezione anti-spoofing agisca sui messaggi, creare una regola del flusso di posta di Exchange (nota anche come regola di trasporto) in cui la posta elettronica in ingresso ignora tutti i tipi di filtri che possono essere ignorati (inclusa la protezione anti-spoofing). Per istruzioni, vedere Usare le regole del flusso di posta per impostare il livello di attendibilità della posta indesiderata nei messaggi in Exchange Online.
D: In quale ordine vengono valutati i criteri?
R: Vedere Ordine di precedenza per i criteri di sicurezza predefiniti e altri criteri.
Riferimento
Impostazioni dei criteri associate alle versioni di valutazione Defender per Office 365
Criteri in modalità di controllo
Avviso
Non tentare di creare, modificare o rimuovere i singoli criteri di sicurezza associati alla valutazione di Defender per Office 365. L'unico metodo supportato per la creazione dei singoli criteri di sicurezza per la valutazione consiste nell'avviare la valutazione o la versione di valutazione in modalità di controllo nel portale di Microsoft 365 Defender per la prima volta.
Come descritto in precedenza, quando si sceglie la modalità di controllo per la valutazione o la versione di valutazione, vengono creati automaticamente i criteri di valutazione con le impostazioni necessarie per osservare i messaggi ma non intervenire.
Per visualizzare questi criteri e le relative impostazioni, eseguire il comando seguente in Exchange Online PowerShell:
Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"
Le impostazioni sono descritte anche nelle tabelle seguenti.
Impostazioni dei criteri di valutazione anti-phishing
| Impostazione | Valore |
|---|---|
| Nome | Criteri di valutazione |
| AdminDisplayName | Criteri di valutazione |
| AuthenticationFailAction | MoveToJmf |
| Abilitato | Vero |
| EnableFirstContactSafetyTips | Falso |
| EnableMailboxIntelligence | Vero |
| EnableMailboxIntelligenceProtection | Vero |
| EnableOrganizationDomainsProtection | Falso |
| EnableSimilarDomainsSafetyTips | Falso |
| EnableSimilarUsersSafetyTips | Falso |
| EnableSpoofIntelligence | Vero |
| EnableSuspiciousSafetyTip | Falso |
| EnableTargetedDomainsProtection | Falso |
| EnableTargetedUserProtection | Falso |
| EnableUnauthenticatedSender | Vero |
| EnableUnusualCharactersSafetyTips | Falso |
| EnableViaTag | Vero |
| ExcludedDomains | {} |
| EsclusiSenders | {} |
| ImpersonationProtectionState | Manuale |
| Isdefault | Falso |
| MailboxIntelligenceProtectionAction | NoAction |
| MailboxIntelligenceProtectionActionRecipients | {} |
| MailboxIntelligenceQuarantineTag | DefaultFullAccessPolicy |
| PhishThresholdLevel | 1 |
| PolicyTag | Vuoto |
| RecommendedPolicyType | Valutazione |
| SpoofQuarantineTag | DefaultFullAccessPolicy |
| TargetedDomainActionRecipients | {} |
| TargetedDomainProtectionAction | NoAction |
| TargetedDomainQuarantineTag | DefaultFullAccessPolicy |
| TargetedDomainsToProtect | {} |
| TargetedUserActionRecipients | {} |
| TargetedUserProtectionAction | NoAction |
| TargetedUserQuarantineTag | DefaultFullAccessPolicy |
| TargetedUsersToProtect | {} |
Impostazioni dei criteri di valutazione degli allegati sicuri
| Impostazione | Valore |
|---|---|
| Nome | Criteri di valutazione |
| Azione | Consenti |
| ActionOnError | Vero |
| AdminDisplayName | Criteri di valutazione |
| ConfidenceLevelThreshold | 80 |
| Attivazione | Vero |
| EnableOrganizationBranding | Falso |
| IsBuiltInProtection | Falso |
| Isdefault | Falso |
| OperationMode | Ritardo |
| QuarantineTag | AdminOnlyAccessPolicy |
| RecommendedPolicyType | Valutazione |
| Reindirizzare | Falso |
| RedirectAddress | Vuoto |
| ScanTimeout | 30 |
Impostazioni dei criteri di valutazione dei collegamenti sicuri
| Impostazione | Valore |
|---|---|
| Nome | Criteri di valutazione |
| AdminDisplayName | Criteri di valutazione |
| AllowClickThrough | Vero |
| CustomNotificationText | Vuoto |
| DeliverMessageAfterScan | Vero |
| DisableUrlRewrite | Vero |
| DoNotRewriteUrls | {} |
| EnableForInternalSenders | Falso |
| EnableOrganizationBranding | Falso |
| EnableSafeLinksForEmail | Vero |
| EnableSafeLinksForOffice | Falso |
| EnableSafeLinksForTeams | Falso |
| IsBuiltInProtection | Falso |
| LocalizedNotificationTextList | {} |
| RecommendedPolicyType | Valutazione |
| ScanUrls | Vero |
| TrackClicks | Vero |
Usare PowerShell per configurare le condizioni dei destinatari e le eccezioni alla valutazione in modalità di controllo
Una regola associata ai criteri di valutazione Defender per Office 365 controlla le condizioni del destinatario e le eccezioni alla valutazione.
Per visualizzare la regola associata alla valutazione, eseguire il comando seguente in Exchange Online PowerShell:
Get-ATPEvaluationRule
Per usare Exchange Online PowerShell per modificare a chi si applica la valutazione, usare la sintassi seguente:
Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
In questo esempio vengono configurate le eccezioni dalla valutazione per le cassette postali secOps (Security Operations) specificate.
Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"
Usare PowerShell per attivare o disattivare la valutazione in modalità di controllo
Per attivare o disattivare la valutazione in modalità di controllo, abilitare o disabilitare la regola associata alla valutazione. Il valore della proprietà State della regola di valutazione indica se la regola è Abilitata o Disabilitata.
Eseguire il comando seguente per determinare se la valutazione è attualmente abilitata o disabilitata:
Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State
Eseguire il comando seguente per disattivare la valutazione se è attivata:
Disable-ATPEvaluationRule -Identity "Evaluation Rule"
Eseguire il comando seguente per attivare la valutazione se è disattivata:
Enable-ATPEvaluationRule -Identity "Evaluation Rule"
Criteri e regole in modalità blocco
Come descritto in precedenza, quando si sceglie la modalità di blocco per la versione di valutazione, i criteri vengono creati usando il modello Standard per i criteri di sicurezza predefiniti.
Per usare Exchange Online PowerShell per visualizzare i singoli criteri di sicurezza associati ai criteri di sicurezza predefiniti Standard e per usare Exchange Online PowerShell per visualizzare e configurare le condizioni dei destinatari e le eccezioni per i criteri di sicurezza predefiniti, vedere Criteri di sicurezza predefiniti in Exchange Online PowerShell.