Kom i gang med Microsoft Defender for Office 365

• Gjelder for:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

I nye Microsoft 365-organisasjoner med Microsoft Defender for Office 365 (inkludert eller som et tilleggsabonnement), beskriver denne artikkelen konfigurasjonstrinnene du må gjøre i Exchange Online Protection (EOP) og Defender for Office 365 i organisasjonens tidligste dager.

Selv om Microsoft 365-organisasjonen inneholder et standard beskyttelsesnivå fra det øyeblikket du oppretter den (eller legger til Defender for Office 365 i den), gir fremgangsmåten i denne artikkelen deg en handlingsplan for å frigjøre de fullstendige beskyttelsesfunksjonene til EOP og Defender for Office 365. Når du har fullført trinnene, kan du også bruke denne artikkelen til å vise ledelsen at du maksimerer investeringen i Microsoft 365.

Trinnene for å konfigurere EOP og Defender for Office 365 er beskrevet i følgende diagram:

Tips

Som en følge av denne artikkelen anbefaler vi at du bruker Microsoft Defender for Office 365 automatiserte installasjonsveiledningen på https://admin.microsoft.com/Adminportal/Home?Q=learndocs#/modernonboarding/office365advancedthreatprotectionadvisor. Denne veiledningen tilpasser opplevelsen din basert på miljøet ditt. Hvis du vil se gjennom anbefalte fremgangsmåter uten å logge på og aktivere automatiserte konfigurasjonsfunksjoner, kan du gå til installasjonsportalen for Microsoft 365 på https://setup.microsoft.com/defender/office-365-setup-guide.

Krav

Funksjoner for beskyttelse av e-posttrusler er inkludert i alle Microsoft 365-abonnementer med skypostbokser via EOP. Defender for Office 365 inkluderer ekstra beskyttelsesfunksjoner. Hvis du vil ha detaljerte sammenligninger om funksjonene i EOP, Defender for Office 365 for Plan 1 og Defender for Office 365 Plan 2, kan du se Microsoft Defender for Office 365 oversikt.

Roller og tillatelser

Hvis du vil konfigurere EOP- og Defender for Office 365-funksjoner, trenger du tillatelser. Tabellen nedenfor viser tillatelsene du trenger for å utføre trinnene i denne artikkelen (én er nok, du trenger ikke alle).

Rolle- eller rollegruppe	Mer informasjon
Global administrator i Microsoft Entra	Microsoft Entra innebygde roller
Organisasjonsadministrasjon i rollegrupper for e-& samarbeid i e-&	Rollegrupper i Microsoft Defender for Office 365
Sikkerhetsadministrator i Microsoft Entra	Microsoft Entra innebygde roller
Sikkerhetsadministrator i e-& samarbeidsrollegrupper	E-post & samarbeidstillatelser i Microsoft Defender for Office 365
Exchange Online Organization Management	Tillatelser i Exchange Online

Trinn 1: Konfigurere e-postgodkjenning for Microsoft 365-domener

Sammendrag: Konfigurer SPF-, DKIM- og DMARC-poster (i den rekkefølgen) for alle egendefinerte Microsoft 365-domener (inkludert parkerte domener og underdomener). Konfigurer eventuelle klarerte ARC-tetninger om nødvendig.

Detaljer:

E-postgodkjenning (også kjent som e-postvalidering) er en gruppe standarder for å bekrefte at e-postmeldinger er legitime, uendret og kommer fra forventede kilder for avsenderens e-postdomene. Hvis du vil ha mer informasjon, kan du se E-postgodkjenning i EOP.

Vi fortsetter med antagelsen om at du bruker ett eller flere egendefinerte domener i Microsoft 365 for e-post (for eksempel contoso.com), så du må opprette bestemte DNS-poster for e-postgodkjenning for hvert egendefinerte domene som du bruker til e-post.

Opprett følgende DNS-poster for e-postgodkjenning hos DNS-registratoren eller DNS-vertstjenesten for hvert egendefinerte domene som du bruker til e-post i Microsoft 365:

• Struktur for avsenderpolicy (SPF): SPF TXT-posten identifiserer gyldige e-postkilder fra avsendere i domenet. Hvis du vil ha instruksjoner, kan du se Konfigurere SPF for å forhindre forfalskning.

• DomainKeys Identified Mail (DKIM): DKIM signerer utgående meldinger og lagrer signaturen i meldingshodet som overlever videresending av meldinger. Hvis du vil ha instruksjoner, kan du se Bruke DKIM til å validere utgående e-post sendt fra det egendefinerte domenet.

• Domenebasert meldingsgodkjenning, rapportering og samsvar (DMARC): DMARC hjelper mål-e-postservere med å bestemme hva de skal gjøre med meldinger fra det egendefinerte domenet som mislykkes SPF- og DKIM-kontroller. Pass på å inkludere DMARC-policyen (p=reject eller p=quarantine) og DMARC-rapportmålene (aggregerte og rettsmedisinske rapporter) i DMARC-postene. hvis du vil ha instruksjoner, kan du se Bruke DMARC til å validere e-post.

• Godkjent mottatt kjede (ARC): Hvis du bruker tredjepartstjenester som endrer innkommende meldinger i transitt før levering til Microsoft 365, kan du identifisere tjenestene som klarerte ARC-tetninger (hvis de støtter det), slik at de endrede meldingene ikke automatisk mislykkes e-postgodkjenningskontroller i Microsoft 365. Hvis du vil ha instruksjoner, kan du se Konfigurere klarerte ARC-tetninger.

Hvis du bruker domenet *.onmicrosoft.com for e-post (også kjent som Microsoft Online Email Routing Address eller MOERA-domenet), er det ikke på langt nær så mye du kan gjøre:

• SPF: En SPF-post er allerede konfigurert for *.onmicrosoft.com-domenet.
• DKIM: DKIM-signering er allerede konfigurert for utgående e-post ved hjelp av domenet *.onmicrosoft.com, men du kan også tilpasse det manuelt.
• DMARC: Du må manuelt konfigurere DMARC-posten for *.onmicrosoft.com-domenet som beskrevet her.

Trinn 2: Konfigurere beskyttelsespolicyer

Sammendrag: Aktiver og bruk standard og/eller strenge forhåndsinnstilte sikkerhetspolicyer for alle mottakere. Eller, hvis forretningsbehov dikterer, kan du opprette og bruke egendefinerte beskyttelsespolicyer i stedet, men kontrollere dem med jevne mellomrom ved hjelp av konfigurasjonsanalysen.

Detaljer:

Som du sikkert kan forestille deg, er mange beskyttelsespolicyer tilgjengelige i EOP og Defender for Office 365. Det finnes tre grunnleggende typer beskyttelsespolicyer:

• Standardpolicyer: Disse policyene finnes fra det øyeblikket organisasjonen opprettes. De gjelder for alle mottakere i organisasjonen, du kan ikke deaktivere policyene, og du kan ikke endre hvem policyene gjelder for. Du kan imidlertid endre sikkerhetsinnstillingene i policyene akkurat som egendefinerte policyer. Innstillingene i standardpolicyene er beskrevet i tabellene i Anbefalte innstillinger for EOP og Microsoft Defender for Office 365 sikkerhet.

• Forhåndsinnstilte sikkerhetspolicyer: Forhåndsinnstilt sikkerhet er faktisk profiler som inneholder de fleste av de tilgjengelige beskyttelsespolicyene i EOP og Defender for Office 365 med innstillinger som er skreddersydd for bestemte beskyttelsesnivåer. De forhåndsinnstilte sikkerhetspolicyene er:

  • Den strenge forhåndsinnstilte sikkerhetspolicyen.
  • Standard forhåndsinnstilt sikkerhetspolicy.
  • Innebygd beskyttelse.

  Standard sikkerhetspolicyer og strenge forhåndsinnstilte sikkerhetspolicyer er deaktivert som standard til du slår dem på. Du angir mottakerbetingelser og unntak (brukere, gruppemedlemmer, domener eller alle mottakere) for EOP-beskyttelsesfunksjoner og Defender for Office 365 beskyttelsesfunksjoner i standard- og strenge forhåndsinnstilte sikkerhetspolicyer.

  Innebygd beskyttelse i Defender for Office 365 er aktivert som standard for å gi grunnleggende beskyttelse av klarerte vedlegg og klarerte koblinger for alle mottakere. Du kan angi mottakerunntak for å identifisere brukere som ikke får beskyttelsen.

  I standard og strenge forhåndsinnstilte sikkerhetspolicyer i Defender for Office 365 organisasjoner må du konfigurere oppføringer og valgfrie unntak for beskyttelse av bruker- og domenerepresentasjon. Alle andre innstillinger er låst inn i vår anbefalte standard og strenge verdier (mange av dem er like). Du kan se standard- og strengeverdiene i tabellene i Anbefalte innstillinger for EOP og Microsoft Defender for Office 365 sikkerhet, og du kan se forskjellene mellom Standard og Strict her.

  Når nye beskyttelsesfunksjoner legges til i EOP og Defender for Office 365, og etter hvert som sikkerhetslandskapet endres, oppdateres innstillingene i forhåndsinnstilte sikkerhetspolicyer automatisk til våre anbefalte innstillinger.

• Egendefinerte policyer: For de fleste tilgjengelige beskyttelsespolicyer kan du opprette et hvilket som helst antall egendefinerte policyer. Du kan bruke policyene for brukere som bruker mottakerbetingelser og unntak (brukere, gruppemedlemmer eller domener), og du kan tilpasse innstillingene.

Den forrige informasjonen og beskyttelsespolicyene som er involvert, oppsummeres i tabellen nedenfor:

	Standardpolicyer	Forhåndsinnstilte sikkerhetspolicyer	Egendefinerte policyer
Beskyttelsespolicyer for EOP:
Skadelig programvare	✔	✔	✔
Søppelpost	✔	✔	✔
Anti-phishing (forfalskningsbeskyttelse)	✔	✔	✔
Utgående søppelpost	✔		✔
Tilkoblingsfiltrering	✔¹
Defender for Office 365 policyer:
Anti-phishing (forfalskningsbeskyttelse) pluss: Representasjonsbeskyttelse Avanserte phishing-terskler	✔²	✔²	✔
Klarerte koblinger	³	✔	✔
Klarerte vedlegg	³	✔	✔
Generell virkemåte
Beskyttelse på som standard?	✔	⁴
Vil du konfigurere betingelser/unntak for beskyttelse?		✔⁵	✔
Tilpasse sikkerhetsinnstillinger?	✔	⁶	✔
Vil beskyttelsesinnstillingene oppdateres automatisk?		✔

¹ Det er ingen standardoppføringer i ip-tillatelseslisten eller IP-blokkeringslisten, så standard tilkoblingsfilterpolicy gjør ingenting med mindre du tilpasser innstillingene.

² Det finnes ingen oppføringer eller valgfrie unntak for beskyttelse av brukerrepresentasjon eller domenerepresentasjon i Defender for Office 365 før du konfigurerer dem.

³ Selv om det ikke finnes noen standard policyer for klarerte vedlegg eller klarerte koblinger i Defender for Office 365, gir innebygd beskyttelse grunnleggende beskyttelse av klarerte vedlegg og sikker koblinger som alltid er på.

⁴ Innebygd beskyttelse (beskyttelse mot klarerte vedlegg og klarerte koblinger i Defender for Office 365) er den eneste forhåndsinnstilte sikkerhetspolicyen som er aktivert som standard.

⁵ For standard og strenge forhåndsinnstilte sikkerhetspolicyer kan du konfigurere separate mottakerbetingelser og valgfrie unntak for EOP- og Defender for Office 365-beskyttelse. For innebygd beskyttelse i Defender for Office 365 kan du bare konfigurere mottakerunntak fra beskyttelse.

⁶ De eneste sikkerhetsinnstillingene som kan tilpasses i forhåndsinnstilte sikkerhetspolicyer, er oppføringene og valgfrie unntak for beskyttelse av brukerrepresentasjon og beskyttelse av domenerepresentasjon i standard- og strenge forhåndsinnstilte sikkerhetspolicyer i Defender for Office 365.

Prioritetsrekkefølge for beskyttelsespolicyer

Hvordan beskyttelsespolicyer brukes, er et viktig hensyn når du bestemmer deg for hvordan du konfigurerer sikkerhetsinnstillinger for brukere. De viktige punktene å huske er:

• Beskyttelsesfunksjoner har en ukonfigurerbar rekkefølge for behandling. Innkommende meldinger evalueres for eksempel alltid for skadelig programvare før søppelpost.
• Beskyttelsespolicyene for en bestemt funksjon (søppelpost, skadelig programvare, anti-phishing osv.) brukes i en bestemt prioritetsrekkefølge (mer om prioritetsrekkefølgen senere).
• Hvis en bruker med vilje eller utilsiktet inkluderes i flere policyer for en bestemt funksjon, bestemmer den første beskyttelsespolicyen for den funksjonen der brukeren er definert (basert på prioritetsrekkefølgen) hva som skjer med elementet (en melding, fil, nettadresse osv.).
• Når den første beskyttelsespolicyen brukes på et bestemt element for en bruker, stopper policybehandlingen for denne funksjonen. Ingen flere beskyttelsespolicyer for denne funksjonen evalueres for denne brukeren og det bestemte elementet.

Prioritetsrekkefølgen forklares i detalj i prioritetsrekkefølgen for forhåndsinnstilte sikkerhetspolicyer og andre policyer, men oppsummeres kort her:

1. Beskyttelsespolicyer i forhåndsinnstilte sikkerhetspolicyer:
   1. Den strenge forhåndsinnstilte sikkerhetspolicyen.
   2. Standard forhåndsinnstilt sikkerhetspolicy.
2. Egendefinerte beskyttelsespolicyer for en bestemt funksjon (for eksempel policyer for beskyttelse mot skadelig programvare). Hver egendefinerte policy har en prioritetsverdi som bestemmer rekkefølgen policyen brukes i forhold til andre beskyttelsespolicyer for samme funksjon:
   1. En egendefinert policy med prioritetsverdien 0.
   2. En egendefinert policy med prioritetsverdien 1.
   3. Og så videre.
3. Standard beskyttelsespolicy for en bestemt funksjon (for eksempel skadelig programvare) eller innebygd beskyttelse i Defender for Office 365 (klarerte koblinger og klarerte vedlegg).

Se den forrige tabellen for å se hvordan en bestemt beskyttelsespolicy representeres i prioritetsrekkefølgen. Policyer for skadelig programvare finnes for eksempel på hvert nivå. Utgående søppelpostpolicyer er tilgjengelige på egendefinerte policy- og standard policynivåer. Policyen for tilkoblingsfilter er bare tilgjengelig på standard policynivå.

Bruk følgende retningslinjer for å unngå forvirring og utilsiktet bruk av policyer:

• Bruk entydige grupper eller lister over mottakere på hvert nivå. Bruk for eksempel forskjellige grupper eller lister over mottakere for standard- og strenge forhåndsinnstilte sikkerhetspolicyer.
• Konfigurer unntak på hvert nivå etter behov. Du kan for eksempel konfigurere mottakere som trenger egendefinerte policyer som unntak fra standard- og strenge forhåndsinnstilte sikkerhetspolicyer.
• Eventuelle gjenværende mottakere som ikke identifiseres på høyere nivåer, får standardpolicyer eller innebygd beskyttelse i Defender for Office 365 (klarerte koblinger og klarerte vedlegg).

Bevæpnet med denne informasjonen kan du bestemme den beste måten å implementere beskyttelsespolicyer i organisasjonen på.

Bestem beskyttelsespolicystrategien

Nå som du vet om de ulike typene beskyttelsespolicyer og hvordan de brukes, kan du bestemme hvordan du vil bruke EOP og Defender for Office 365 til å beskytte brukerne i organisasjonen. Din beslutning faller uunngåelig et sted innenfor følgende spektrum:

• Bruk bare standard forhåndsinnstilt sikkerhetspolicy.
• Bruk standard og strenge forhåndsinnstilte sikkerhetspolicyer.
• Bruk forhåndsinnstilte sikkerhetspolicyer og egendefinerte policyer.
• Bruk bare egendefinerte policyer.

Husk at standardpolicyer (og innebygd beskyttelse i Defender for Office 365) automatisk beskytter alle mottakere i organisasjonen (alle som ikke er definert i standard- eller strenge forhåndsinnstilte sikkerhetspolicyer eller i egendefinerte policyer). Så selv om du ikke gjør noe, får alle mottakerne i organisasjonen standardbeskyttelsen som beskrevet i Anbefalte innstillinger for EOP og Microsoft Defender for Office 365 sikkerhet.

Det er også viktig å innse at du ikke er låst inn i den første avgjørelsen for alltid. Informasjonen i de anbefalte innstillingstabellene og sammenligningstabellen for Standard og Strict bør gi deg mulighet til å ta en informert beslutning. Men hvis behov, resultater eller omstendigheter endres, er det ikke vanskelig å bytte til en annen strategi senere.

Uten et overbevisende forretningsbehov som indikerer noe annet, anbefaler vi at du starter med standard forhåndsinnstilt sikkerhetspolicy for alle brukere i organisasjonen. Forhåndsinnstilte sikkerhetspolicyer konfigureres med innstillinger basert på år med observasjoner i Microsoft 365-datasentrene, og bør være det riktige valget for de fleste organisasjoner. Og policyene oppdateres automatisk for å samsvare med truslene i sikkerhetslandskapet.

I forhåndsinnstilte sikkerhetspolicyer kan du velge alternativet Alle mottakere for enkelt å bruke beskyttelse for alle mottakere i organisasjonen.

Hvis du vil inkludere noen brukere i den strenge forhåndsinnstilte sikkerhetspolicyen og de gjenværende brukerne i den forhåndsinnstilte standard sikkerhetspolicyen, må du huske å ta hensyn til prioritetsrekkefølgen som beskrevet tidligere i denne artikkelen med følgende metoder:

• Bruk entydige grupper eller lister over mottakere i hver forhåndsinnstilte sikkerhetspolicy.

  eller

• Konfigurer mottakere som skal få innstillingene for standard forhåndsinnstilt sikkerhetspolicy som unntak i den strenge forhåndsinnstilte sikkerhetspolicyen.

Husk at følgende konfigurasjoner av beskyttelsesfunksjon ikke påvirkes av forhåndsinnstilte sikkerhetspolicyer (du kan bruke forhåndsinnstilte sikkerhetspolicyer og også uavhengig konfigurere disse beskyttelsesinnstillingene):

• Utgående søppelpostpolicyer (egendefinert og standard)
• Standard policy for tilkoblingsfilter (IP-tillatelsesliste og IP-blokkeringsliste)
• Slå på klarerte vedlegg for SharePoint, OneDrive og Microsoft Teams globalt
• Slå på og konfigurer klarerte dokumenter globalt (bare tilgjengelig og meningsfylt med lisenser som ikke er inkludert i Defender for Office 365 (for eksempel Microsoft 365 A5 eller Microsoft 365 E5 Security))

Hvis du vil aktivere og konfigurere forhåndsinnstilte sikkerhetspolicyer, kan du se Forhåndsinnstilte sikkerhetspolicyer i EOP og Microsoft Defender for Office 365.

Beslutningen om å bruke egendefinerte policyer i stedet for eller i tillegg til forhåndsinnstilte sikkerhetspolicyer kommer til slutt ned til følgende forretningskrav:

• Brukere krever sikkerhetsinnstillinger som er forskjellige fra de umodifiserbare innstillingene i forhåndsinnstilte sikkerhetspolicyer (søppelpost kontra karantene eller omvendt, ingen sikkerhetstips, varsle egendefinerte mottakere osv.).
• Brukere krever innstillinger som ikke er konfigurert i forhåndsinnstilte sikkerhetspolicyer (for eksempel blokkering av e-post fra bestemte land eller på bestemte språk i policyer for søppelpost).
• Brukere trenger en karanteneopplevelse som er forskjellig fra de umodifiserbare innstillingene i forhåndsinnstilte sikkerhetspolicyer. Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene, basert på hvorfor meldingen ble satt i karantene, og om mottakerne blir varslet om meldinger som er satt i karantene. Standard opplevelse for karantene for sluttbrukere oppsummeres i tabellen her , og karantenepolicyene som brukes i standard- og strenge forhåndsinnstilte sikkerhetspolicyer, er beskrevet i tabellene her.

Bruk informasjonen i anbefalte innstillinger for EOP og Microsoft Defender for Office 365 sikkerhet til å sammenligne de tilgjengelige innstillingene i egendefinerte policyer eller standardpolicyer kontra hva som er konfigurert i standard- og strenge forhåndsinnstilte sikkerhetspolicyer.

Utformingsretningslinjer for flere egendefinerte policyer for en bestemt funksjon (for eksempel policyer for skadelig programvare) omfatter:

• Brukere i egendefinerte policyer kan ikke inkluderes i standard- eller strenge forhåndsinnstilte sikkerhetspolicyer på grunn av prioritetsrekkefølgen.
• Tilordne færre brukere til policyer med høyere prioritet og flere brukere for å redusere prioritetspolicyer.
• Konfigurer policyer med høyere prioritet til å ha strengere eller mer spesialiserte innstillinger enn policyer med lavere prioritet (inkludert standardpolicyer).

Hvis du bestemmer deg for å bruke egendefinerte policyer, bruker du Konfigurasjonsanalyse til å sammenligne innstillingene i policyene regelmessig med de anbefalte innstillingene i standard- og strenge forhåndsinnstilte sikkerhetspolicyer.

Trinn 3: Tilordne tillatelser til administratorer

Sammendrag: Tilordne rollen sikkerhetsadministrator i Azure Active Directory til andre administratorer, spesialister og brukerstøttepersonell, slik at de kan utføre oppgaver i EOP og Defender for Office 365.

Detaljer:

Du bruker sannsynligvis allerede den opprinnelige kontoen som du brukte til å registrere deg i Microsoft 365 for å gjøre alt arbeidet i denne distribusjonsveiledningen. Denne kontoen er administrator overalt i Microsoft 365 (det er spesielt medlem av rollen global administrator i Azure Active Directory (Azure AD)), og lar deg gjøre stort sett hva som helst. De nødvendige tillatelsene ble beskrevet tidligere i denne artikkelen på Roller og tillatelser.

Hensikten med dette trinnet er imidlertid å konfigurere andre administratorer for å hjelpe deg med å administrere funksjonene i EOP og Defender for Office 365 i fremtiden. Det du ikke vil ha, er mange personer med global administrator-makt som ikke trenger den. Trenger de for eksempel virkelig å slette/opprette kontoer eller gjøre andre brukere til globale administratorer? Begrepet minst mulig rettighet (bare tilordne de nødvendige tillatelsene til å gjøre jobben og ikke noe mer) er en god praksis å følge.

Når det gjelder å tilordne tillatelser for oppgaver i EOP og Defender for Office 365, er følgende alternativer tilgjengelige:

• Microsoft Entra tillatelser: Disse tillatelsene gjelder for alle arbeidsbelastninger i Microsoft 365 (Exchange Online, SharePoint Online, Microsoft Teams osv.).
• Exchange Online tillatelser: De fleste oppgaver i EOP og Defender for Office 365 er tilgjengelige ved hjelp av Exchange Online tillatelser. Tilordning av tillatelser bare i Exchange Online hindrer administrativ tilgang i andre Microsoft 365-arbeidsbelastninger.
• E-post & samarbeidstillatelser i Microsoft Defender-portalen: Administrasjon av enkelte sikkerhetsfunksjoner i EOP og Defender for Office 365 er tilgjengelig med e-& samarbeidstillatelser. Eksempel:
  • Konfigurasjonsanalyse
  • Admin policyer for karantenebehandling og karantene
  • Admin innsendinger og gjennomgang av brukerrapporterte meldinger
  • Brukerkoder

For enkelhets skyld anbefaler vi at du bruker rollen sikkerhetsadministrator i Azure AD for andre som trenger å konfigurere innstillinger i EOP og Defender for Office 365.

Hvis du vil ha instruksjoner, kan du se Tilordne Microsoft Entra roller til brukere og administrere tilgang til Microsoft Defender XDR med globale roller i Azure Active Directory.

Trinn 4: Prioritetskontoer og brukerkoder

Sammendrag: Identifiser og merk de aktuelle brukerne i organisasjonen som prioriterte kontoer for enklere identifisering i rapporter og undersøkelser, og for å motta prioritert kontobeskyttelse i Defender for Office 365. Vurder å opprette og bruke egendefinerte brukerkoder i Defender for Office 365 Plan 2.

Detaljer:

I Defender for Office 365 kan du bruke prioriterte kontoer til å merke opptil 250 høyverdige brukere for enkel identifisering i rapporter og undersøkelser. Denne prioritetskontoen mottar også ytterligere heuristikk som ikke gagner vanlige ansatte. Hvis du vil ha mer informasjon, kan du se Administrere og overvåke prioritetskontoer og konfigurere og se gjennom beskyttelse av prioritert konto i Microsoft Defender for Office 365.

I Defender for Office 365 Plan 2 har du også tilgang til å opprette og bruke egendefinerte brukerkoder for enkelt å identifisere bestemte grupper av brukere i rapporter og undersøkelser. Hvis du vil ha mer informasjon, kan du se Brukerkoder i Microsoft Defender for Office 365.

Identifiser riktige brukere for å merke som prioriterte kontoer, og bestem om du må opprette og bruke egendefinerte brukerkoder.

Trinn 5: Se gjennom og konfigurere brukerrapporterte meldingsinnstillinger

Sammendrag: Distribuer rapportmeldings- eller rapportphishing-tilleggene eller et støttet tredjepartsverktøy, slik at brukere kan rapportere falske positiver og falske negativer i Outlook, slik at de rapporterte meldingene er tilgjengelige for administratorer på fanen Brukerrapport på Siden innsendinger i Defender-portalen. Konfigurer organisasjonen slik at rapporterte meldinger går til en angitt postboks for rapportering, til Microsoft eller begge deler.

Detaljer:

Brukernes mulighet til å rapportere gode meldinger merket som dårlige (falske positiver) eller dårlige meldinger som tillates (falske negativer), er viktig for deg å overvåke og justere beskyttelsesinnstillingene i EOP og Defender for Office 365.

De viktigste delene av rapportering av brukermeldinger er:

• Hvordan rapporterer brukere meldinger?: Kontroller at klienter bruker én av følgende metoder, slik at rapporterte meldinger vises på fanen Brukerrapport på siden Innsendinger i Defender-portalen på https://security.microsoft.com/reportsubmission?viewid=user:

• Den innebygde rapportknappen i Outlook på nettet (tidligere kjent som Outlook Web App eller OWA).

• Microsoft-rapportmeldingen eller phishing-tilleggene for Outlook og Outlook på nettet.

• Tredjeparts rapporteringsverktøy som bruker formatet for meldingsinnsending som støttes.

• Hvor går rapporterte meldinger fra brukeren?: Du har følgende alternativer:

  • Til en angitt postboks for rapportering og Microsoft (dette er standardverdien).
  • Bare til en angitt postboks for rapportering.
  • Bare til Microsoft.

  Standardpostboksen som brukes til å samle inn rapporterte meldinger fra brukeren, er postboksen til den globale administratoren (den første kontoen i organisasjonen). Hvis du vil at brukerrapporterte meldinger skal gå til en rapporteringspostboks i organisasjonen, bør du opprette og konfigurere en eksklusiv postboks til bruk.

  Det er opp til deg om du vil at brukerrapporterte meldinger også skal gå til Microsoft for analyse (utelukkende eller sammen med levering til den angitte rapporteringspostboksen).

  Hvis du vil at brukerrapporterte meldinger bare skal gå til den angitte rapporteringspostboksen, bør administratorer manuelt sende brukerrapporterte meldinger til Microsoft for analyse fra den brukerrapporterte fanen på siden Innsendinger i Defender-portalen på https://security.microsoft.com/reportsubmission?viewid=user.

  Det er viktig å sende inn rapporterte meldinger fra brukeren til Microsoft for å gi filtrene våre mulighet til å lære og forbedre seg.

Hvis du vil ha fullstendig informasjon om brukerrapporterte meldingsinnstillinger, kan du se Brukerrapporterte innstillinger.

Trinn 6: Blokkere og tillate oppføringer

Sammendrag: Gjør deg kjent med fremgangsmåtene for å blokkere og tillate meldinger, filer og nettadresser i Defender for Office 365.

Detaljer:

Du må bli kjent med hvordan du blokkerer og (midlertidig) tillater meldingsavsendere, filer og nettadresser på følgende plasseringer i Defender-portalen:

• Leierens tillatelses-/blokkeringsliste på https://security.microsoft.com/tenantAllowBlockList.
• Siden Innsendinger på https://security.microsoft.com/reportsubmission.
• Siden Forfalslig intelligensinnsikt på https://security.microsoft.com/spoofintelligence.

Generelt sett er det enklere å opprette blokker enn det som tillates, fordi unødvendige tillatelser viser organisasjonen din for skadelig e-post som ville ha blitt filtrert av systemet.

• Blokk:

  • Du kan opprette blokkoppføringer for domener og e-postadresser, filer og nettadresser på de tilsvarende fanene i leierens tillatelses-/blokkeringsliste og ved å sende inn elementene til Microsoft for analyse fra siden Innsendinger . Når du sender inn et element til Microsoft, opprettes også tilsvarende blokkoppføringer i leiers tillatelses-/blokkeringsliste.

    Tips

    Brukere i organisasjonen kan heller ikke sende e-post til domener eller e-postadresser som er angitt i blokkoppføringer i tillatelses-/blokkeringslisten for leieren.

  • Meldinger som blokkeres av forfalskningsintelligens , vises på siden for forfalskningsintelligens . Hvis du endrer en tillatelsesoppføring til en blokkoppføring, blir avsenderen en manuell blokkoppføring på fanen Falske avsendere i tillat-/blokkeringslisten for tenanten. Du kan også proaktivt opprette blokkoppføringer for falske avsendere som ennå ikke har blitt oppdaget, på fanen Falske avsendere .

• Tillat:

  • Du kan ikke opprette tillatelsesoppføringer for domener og e-postadresser, filer og nettadresser direkte på de tilsvarende fanene i tillat-/blokkeringslisten for tenanten. I stedet bruker du innsendingssiden til å rapportere elementet til Microsoft. Når du rapporterer elementet til Microsoft, kan du velge å tillate elementet, som oppretter en tilsvarende midlertidig tillatelsesoppføring i tillat-/blokkeringslisten for leieren.

  • Meldinger som tillates av forfalskningsintelligens , vises på spoof-etterretningssiden . Hvis du endrer en blokkoppføring til en tillatt oppføring, blir avsenderen en manuell tillatelsesoppføring på fanen Forfalserte avsendere i tillat-/blokkeringslisten for tenanten. Du kan også proaktivt opprette tillatelsesoppføringer for falske avsendere som ennå ikke har blitt møtt, på fanen Falske avsendere .

Hvis du vil ha fullstendig informasjon, kan du se følgende artikler:

• Tillat eller blokker e-post ved hjelp av leierens tillatelses-/blokkeringsliste
• Tillat eller blokker filer ved hjelp av tillatelses-/blokkeringslisten for leieren
• Tillat eller blokker url-adresser ved hjelp av leierens tillatelses-/blokkeringsliste
• Bruk innsendingssiden til å sende inn mistanke om søppelpost, phish, nettadresser, legitim e-post som blokkeres og e-postvedlegg til Microsoft
• Overstyr den falske etterretningsdommen

Trinn 7: Start phishing-simuleringer ved hjelp av Opplæring med simulert angrep

I Defender for Office 365 plan 2 kan du Opplæring med simulert angrep sende simulerte phishing-meldinger til brukere og tilordne opplæring basert på hvordan de reagerer. Følgende alternativer er tilgjengelige:

• Individuelle simuleringer ved hjelp av innebygde eller tilpassede nyttelaster.
• Simuleringsautomatiseringer tatt fra virkelige phishing-angrep ved hjelp av flere nyttelaster og automatisert planlegging.
• Kun opplæringskampanjer der du ikke trenger å starte en kampanje og vente på at brukerne klikker koblinger eller laster ned vedlegg i de simulerte phishing-meldingene før opplæringer tilordnes.

Hvis du vil ha mer informasjon, kan du se Komme i gang med å bruke Opplæring med simulert angrep.

Trinn 8: Undersøke og svare

Nå som den første konfigureringen er fullført, kan du bruke informasjonen i Microsoft Defender for Office 365 veiledningen for sikkerhetsoperasjoner til å overvåke og undersøke trusler i organisasjonen.