Brukerveiledning for prøveversjon: Microsoft Defender for Office 365
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk 90-dagers prøveversjonen av Defender for Office 365 på prøveversjonen av Microsoft Defender-portalen. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.
Velkommen til brukerveiledningen for prøveversjonen av Microsoft Defender for Office 365! Denne brukerveiledningen hjelper deg med å få mest mulig ut av en gratis prøveversjon ved å lære deg hvordan du kan beskytte organisasjonen mot skadelige trusler fra e-postmeldinger, koblinger og samarbeidsverktøy.
Hva er Defender for Office 365?
Defender for Office 365 hjelper organisasjoner med å sikre virksomheten ved å tilby et omfattende utvalg av funksjoner, inkludert policyer for trusselbeskyttelse, rapporter, trusselundersøkelser og svarfunksjoner og automatiserte undersøkelses- og svarfunksjoner.
I tillegg til å oppdage avanserte trusler, viser følgende video hvordan SecOps-funksjonene til Defender for Office 365 kan hjelpe teamet ditt med å reagere på trusler:
Overvåkingsmodus kontra blokkeringsmodus for Defender for Office 365
Vil du at Defender for Office 365-opplevelsen skal være aktiv eller passiv? Dette er de to modusene du kan velge mellom:
Overvåkingsmodus: Spesielle evalueringspolicyer opprettes for anti-phishing (som inkluderer representasjonsbeskyttelse), klarerte vedlegg og klarerte koblinger. Disse evalueringspolicyene er konfigurert til bare å oppdage trusler. Defender for Office 365 oppdager skadelige meldinger for rapportering, men meldingene blir ikke behandlet (for eksempel oppdagede meldinger er ikke satt i karantene). Innstillingene for disse evalueringspolicyene er beskrevet i delen Policyer i overvåkingsmodus senere i denne artikkelen.
Overvåkingsmodus gir tilgang til tilpassede rapporter for trusler som oppdages av evalueringspolicyene i Defender for Office 365 på evalueringssiden for Microsoft Defender for Office 365 på https://security.microsoft.com/atpEvaluation.
Blokkeringsmodus: Standardmalen for forhåndsinnstilte sikkerhetspolicyer er aktivert og brukt for prøveversjonen, og brukerne du angir for å inkludere i prøveversjonen, legges til i den forhåndsinnstilte standard sikkerhetspolicyen. Defender for Office 365 oppdager og iverksettertiltak mot skadelige meldinger (oppdagede meldinger er for eksempel satt i karantene).
Standardvalget og det anbefalte valget er å begrense disse Defender for Office 365-policyene til alle brukere i organisasjonen. Men under eller etter konfigurasjonen av prøveversjonen kan du endre policytilordningen til bestemte brukere, grupper eller e-postdomener i Microsoft Defender-portalen eller i PowerShell.
Blokkeringsmodus gir ikke tilpassede rapporter for trusler oppdaget av Defender for Office 365. I stedet er informasjonen tilgjengelig i de vanlige rapport- og undersøkelsesfunksjonene i Defender for Office 365 Plan 2. Hvis du vil ha mer informasjon, kan du se Rapporter for blokkeringsmodus.
Nøkkelfaktorene som bestemmer hvilke moduser som er tilgjengelige for deg, er:
Hvorvidt du har Defender for Office 365 (Plan 1 eller Plan 2) som beskrevet i Evaluering kontra prøveversjon for Defender for Office 365.
Slik leveres e-post til Microsoft 365-organisasjonen, som beskrevet i følgende scenarioer:
E-post fra Internett flyter direkte fra Microsoft 365, men det gjeldende abonnementet har bare Exchange Online Protection (EOP) eller Defender for Office 365 Plan 1.
I disse miljøene er overvåkingsmodus eller blokkeringsmodus tilgjengelig, avhengig av lisensieringen.
Du bruker for øyeblikket en tredjepartstjeneste eller enhet for e-postbeskyttelse av Microsoft 365-postboksene dine. E-post fra Internett flyter gjennom beskyttelsestjenesten før levering til Microsoft 365-organisasjonen. Microsoft 365-beskyttelsen er så lav som mulig (den er aldri helt deaktivert. Beskyttelse mot skadelig programvare håndheves for eksempel alltid).
I disse miljøene er bare overvåkingsmodus tilgjengelig. Du trenger ikke å endre e-postflyten (MX-poster) for å evaluere Defender for Office 365 Plan 2.
La oss komme i gang!
Blokkeringsmodus
Trinn 1: Komme i gang i blokkeringsmodus
Start prøveversjonen av Microsoft Defender for Office 365
Når du har startet prøveversjonen og fullført konfigurasjonsprosessen, kan det ta opptil to timer før endringene trer i kraft.
Vi har automatisk aktivert den forhåndsinnstilte standard sikkerhetspolicyen i miljøet ditt. Denne profilen representerer en grunnlinjebeskyttelsesprofil som passer for de fleste brukere. Standardbeskyttelse inkluderer:
- Klarerte koblinger, klarerte vedlegg og policyer for anti-phishing som er begrenset til hele leieren eller delsettet av brukere du har valgt under konfigurasjonsprosessen for prøveversjonen.
- Beskyttelse av klarerte vedlegg for SharePoint, OneDrive og Microsoft Teams.
- Beskyttelse av klarerte koblinger for støttede Office 365-apper.
Se denne videoen for å finne ut mer: Beskytte mot skadelige koblinger med klarerte koblinger i Microsoft Defender for Office 365 – YouTube.
Gjør det mulig for brukere å rapportere mistenkelig innhold i blokkeringsmodus
Defender for Office 365 gjør det mulig for brukere å rapportere meldinger til sikkerhetsteamene sine og la administratorer sende meldinger til Microsoft for analyse.
- Kontroller eller konfigurer brukerrapporterte innstillinger slik at rapporterte meldinger går til en angitt postboks for rapportering, til Microsoft eller begge deler.
- Distribuer rapportmeldingstillegget eller Phishing-tillegget for rapporter for brukere. Eller brukere kan bruke den innebygde rapportknappen i Outlook på nettet (tidligere kjent som Outlook Web App eller OWA).
- Opprett en arbeidsflyt for å rapportere falske positiver og falske negativer.
- Bruk den rapporterte brukerfanen på Innsendinger-siden for https://security.microsoft.com/reportsubmission?viewid=user å se og behandle rapporterte meldinger fra brukeren.
Se denne videoen for å finne ut mer: Lær hvordan du bruker innsendingssiden til å sende inn meldinger til analyse – YouTube.
Se gjennom rapporter for å forstå trussellandskapet i blokkeringsmodus
Bruk rapporteringsfunksjonene i Defender for Office 365 for å få mer informasjon om miljøet.
- Forstå trusler mottatt i e-post- og samarbeidsverktøy med statusrapporten trusselbeskyttelse.
- Se hvor trusler blokkeres med statusrapporten for e-postflyt.
- Bruk rapporten for beskyttelse av nettadresse til å se gjennom koblinger som ble vist av brukere eller blokkert av systemet.
Trinn 2: Mellomliggende trinn i blokkeringsmodus
Prioritere fokus på de mest målrettede brukerne
Beskytt de mest målrettede og mest synlige brukerne med Priority Account Protection i Defender for Office 365, som hjelper deg med å prioritere arbeidsflyten for å sikre at disse brukerne er trygge.
- Identifiser de mest målrettede eller mest synlige brukerne.
- Merk disse brukerne som prioriterte kontoer.
- Spor trusler mot prioriterte kontoer i hele portalen.
Se denne videoen for å finne ut mer: Beskytte prioriterte kontoer i Microsoft Defender for Office 365 – YouTube.
Unngå kostbare brudd ved å forhindre brukerkompromiss
Bli varslet om potensielle kompromisser og begrens virkningen av disse truslene automatisk for å hindre at angripere får dypere tilgang til miljøet ditt.
- Se gjennom kompromitterte brukervarsler.
- Undersøk og svar på kompromitterte brukere.
Se denne videoen for å finne ut mer: Oppdage og svare på kompromisser i Microsoft Defender for Office 365 – YouTube.
Bruke Trusselutforsker til å undersøke skadelig e-post
Defender for Office 365 gjør det mulig å undersøke aktiviteter som setter personer i organisasjonen i fare og iverksette tiltak for å beskytte organisasjonen. Du kan gjøre dette ved hjelp av Trusselutforsker (Explorer):
- Finn mistenkelig e-post som ble levert: Finn og slett meldinger, identifiser IP-adressen til en ondsinnet e-postavsender, eller start en hendelse for videre undersøkelser.
- Sikkerhetsscenarioer for e-post i Trusselutforsker og Sanntidsgjenkjenning
Se kampanjer som er rettet mot organisasjonen
Se det store bildet med kampanjevisninger i Defender for Office 365, som gir deg en oversikt over angrepskampanjene som er rettet mot organisasjonen og virkningen de har på brukerne.
Identifiser kampanjer som er rettet mot brukerne.
Visualiser omfanget av angrepet.
Spor brukersamhandling med disse meldingene.
Se denne videoen for å finne ut mer: Kampanjevisninger i Microsoft Defender for Office 365 – YouTube.
Bruke automatisering til å utbedre risikoer
Svar effektivt ved hjelp av automatisert undersøkelse og respons (AIR) for å gjennomgå, prioritere og reagere på trusler.
- Lær mer om brukerveiledninger for undersøkelser.
- Vis detaljer og resultater for en undersøkelse.
- Eliminer trusler ved å godkjenne utbedringshandlinger.
Trinn 3: Avansert innhold i blokkeringsmodus
Gå dypt inn i data med spørringsbasert jakt
Bruk avansert jakt til å skrive egendefinerte gjenkjenningsregler, proaktivt undersøke hendelser i miljøet ditt og finne trusselindikatorer. Utforsk rådata i miljøet ditt.
- Bygg egendefinerte gjenkjenningsregler.
- Få tilgang til delte spørringer som er opprettet av andre.
Se denne videoen for å finne ut mer: Trusseljakt med Microsoft Defender XDR – YouTube.
Lær opp brukere til å oppdage trusler ved å simulere angrep
Utstyr brukerne med riktig kunnskap for å identifisere trusler og rapportere mistenkelige meldinger med attack simuleringsopplæring i Defender for Office 365.
Simuler realistiske trusler for å identifisere sårbare brukere.
Tilordne opplæring til brukere basert på simuleringsresultater.
Spor fremdriften til organisasjonen i simuleringer og fullføring av opplæring.
Overvåkingsmodus
Trinn 1: Komme i gang i overvåkingsmodus
Starte evalueringen av Defender for Office 365
Når du har fullført konfigurasjonsprosessen, kan det ta opptil to timer før endringene trer i kraft. Vi har automatisk konfigurert policyer for forhåndsinnstilt evaluering i miljøet ditt.
Evalueringspolicyer sikrer at ingen handling utføres på e-post som oppdages av Defender for Office 365.
Gi brukere muligheten til å rapportere mistenkelig innhold i overvåkingsmodus
Defender for Office 365 gjør det mulig for brukere å rapportere meldinger til sikkerhetsteamene sine og la administratorer sende meldinger til Microsoft for analyse.
- Kontroller eller konfigurer brukerrapporterte innstillinger slik at rapporterte meldinger går til en angitt postboks for rapportering, til Microsoft eller begge deler.
- Distribuer rapportmeldingstillegget eller Phishing-tillegget for rapporter for brukere. Eller brukere kan bruke den innebygde rapportknappen i Outlook på nettet (tidligere kjent som Outlook Web App eller OWA).
- Opprett en arbeidsflyt for å rapportere falske positiver og falske negativer.
- Bruk den rapporterte brukerfanen på Innsendinger-siden for https://security.microsoft.com/reportsubmission?viewid=user å se og behandle rapporterte meldinger fra brukeren.
Se denne videoen for å finne ut mer: Lær hvordan du bruker innsendingssiden til å sende inn meldinger til analyse – YouTube.
Se gjennom rapporter for å forstå trussellandskapet i overvåkingsmodus
Bruk rapporteringsfunksjonene i Defender for Office 365 for å få mer informasjon om miljøet.
- Evalueringsinstrumentbordet gir en enkel oversikt over truslene som ble oppdaget av Defender for Office 365 under evalueringen.
- Forstå trusler mottatt i e-post- og samarbeidsverktøy med statusrapporten trusselbeskyttelse.
Trinn 2: Mellomliggende trinn i overvåkingsmodus
Bruke Trusselutforsker til å undersøke skadelig e-post i overvåkingsmodus
Defender for Office 365 gjør det mulig å undersøke aktiviteter som setter personer i organisasjonen i fare og iverksette tiltak for å beskytte organisasjonen. Du kan gjøre dette ved hjelp av Trusselutforsker (Explorer):
- Finn mistenkelig e-post som ble levert: Finn og slett meldinger, identifiser IP-adressen til en ondsinnet e-postavsender, eller start en hendelse for videre undersøkelser.
- Sikkerhetsscenarioer for e-post i Trusselutforsker og Sanntidsgjenkjenning
Konverter til Standardbeskyttelse på slutten av evalueringsperioden
Når du er klar til å aktivere Defender for Office 365-policyer i produksjon, kan du bruke Konverter til Standardbeskyttelse for enkelt å gå fra overvåkingsmodus til blokkeringsmodus ved å aktivere standard forhåndsinnstilt sikkerhetspolicy, som inneholder alle mottakere fra overvåkingsmodus.
Overføre fra en tredjeparts beskyttelsestjeneste eller enhet til Defender for Office 365
Hvis du allerede har en eksisterende tredjeparts beskyttelsestjeneste eller enhet som sitter foran Microsoft 365, kan du overføre beskyttelsen din til Microsoft Defender for Office 365 for å få fordelene med en konsolidert administrasjonsopplevelse, potensielt reduserte kostnader (ved hjelp av produkter du allerede betaler for), og et modent produkt med integrert sikkerhetsbeskyttelse.
Hvis du vil ha mer informasjon, kan du se Overføre fra en tredjeparts beskyttelsestjeneste eller enhet til Microsoft Defender for Office 365.
Trinn 3: Avansert innhold i overvåkingsmodus
Lær opp brukere til å oppdage trusler ved å simulere angrep i overvåkingsmodus
Utstyr brukerne med riktig kunnskap for å identifisere trusler og rapportere mistenkelige meldinger med attack simuleringsopplæring i Defender for Office 365.
Simuler realistiske trusler for å identifisere sårbare brukere.
Tilordne opplæring til brukere basert på simuleringsresultater.
Spor fremdriften til organisasjonen i simuleringer og fullføring av opplæring.
Flere ressurser
- Interaktiv veiledning: Ukjent med Defender for Office 365? Se gjennom den interaktive veiledningen for å forstå hvordan du kommer i gang.
- Hurtigveiledning for å komme i gang: Microsoft Defender for Office 365
- Dokumentasjon for Microsoft Defender for Office 365: Få detaljert informasjon om hvordan Defender for Office 365 fungerer, og hvordan du best kan implementere det for organisasjonen. Gå til dokumentasjonen for Microsoft Defender for Office 365.
- Hva er inkludert: Hvis du vil ha en fullstendig liste over sikkerhetsfunksjoner for Office 365-e-post som er oppført etter produktnivå, kan du se funksjonsmatrisen.
- Hvorfor Defender for Office 365: Defender for Office 365 Datasheet viser de ti viktigste grunnene til at kundene velger Microsoft.