Kom igång med Microsoft Defender for Office 365

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

I nya Microsoft 365-organisationer med Microsoft Defender för Office 365 (ingår eller som en tilläggsprenumeration) beskriver den här artikeln de konfigurationssteg som du behöver utföra i Exchange Online Protection (EOP) och Defender för Office 365 i organisationens tidigaste dagar.

Även om din Microsoft 365-organisation innehåller en standardnivå av skydd från det ögonblick du skapar den (eller lägger till Defender för Office 365 till den), ger stegen i den här artikeln en åtgärdsplan för att frigöra de fullständiga skyddsfunktionerna i EOP och Defender för Office 365. När du har slutfört stegen kan du också använda den här artikeln för att visa ledningen att du maximerar din investering i Microsoft 365.

Stegen för att konfigurera EOP och Defender för Office 365 beskrivs i följande diagram:

Tips

Som ett komplement till den här artikeln rekommenderar vi att du använder Microsoft Defender för Office 365 automatiserade installationsguiden på https://admin.microsoft.com/Adminportal/Home?Q=learndocs#/modernonboarding/office365advancedthreatprotectionadvisor. Den här guiden anpassar din upplevelse baserat på din miljö. Om du vill granska metodtipsen utan att logga in och aktivera automatiska installationsfunktioner går du till Microsoft 365-konfigurationsportalen på https://setup.microsoft.com/defender/office-365-setup-guide.

Krav

Email hotskyddsfunktioner ingår i alla Microsoft 365-prenumerationer med molnpostlådor via EOP. Defender för Office 365 innehåller ytterligare skyddsfunktioner. Detaljerade jämförelser om funktionerna i EOP, Defender för Office 365 för plan 1 och Defender för Office 365 plan 2 finns i Microsoft Defender för Office 365 översikt.

Roller och behörigheter

För att konfigurera EOP- och Defender för Office 365-funktioner behöver du behörigheter. I följande tabell visas de behörigheter som du behöver för att utföra stegen i den här artikeln (en är tillräcklig, du behöver inte alla).

Roll eller rollgrupp	Mer information
Global administratör i Microsoft Entra	Microsoft Entra inbyggda roller
Organisationshantering i Email & samarbetsrollgrupper	Rollgrupper i Microsoft Defender för Office 365
Säkerhetsadministratör i Microsoft Entra	Microsoft Entra inbyggda roller
Säkerhetsadministratör i Email & samarbetsrollgrupper	Email & samarbetsbehörigheter i Microsoft Defender för Office 365
Exchange Online Organisationshantering	Behörigheter i Exchange Online

Steg 1: Konfigurera e-postautentisering för dina Microsoft 365-domäner

Sammanfattning: Konfigurera SPF-, DKIM- och DMARC-poster (i den ordningen) för alla anpassade Microsoft 365-domäner (inklusive parkerade domäner och underdomäner). Om det behövs konfigurerar du alla betrodda ARC-förseglare.

Information:

Email autentisering (kallas även e-postverifiering) är en grupp standarder för att verifiera att e-postmeddelanden är legitima, oförändrade och kommer från förväntade källor för avsändarens e-postdomän. Mer information finns i Email autentisering i EOP.

Vi fortsätter med antagandet att du använder en eller flera anpassade domäner i Microsoft 365 för e-post (till exempel contoso.com) , så du måste skapa specifika DNS-poster för e-postautentisering för varje anpassad domän som du använder för e-post.

Skapa följande DNS-poster för e-postautentisering hos dns-registratorn eller DNS-värdtjänsten för varje anpassad domän som du använder för e-post i Microsoft 365:

• SPF (Sender Policy Framework): SPF TXT-posten identifierar giltiga e-postkällor från avsändare i domänen. Anvisningar finns i Konfigurera SPF för att förhindra förfalskning.

• DomainKeys Identified Mail (DKIM): DKIM loggar utgående meddelanden och lagrar signaturen i meddelandehuvudet som överlever vidarebefordran av meddelanden. Anvisningar finns i Använda DKIM för att verifiera utgående e-post som skickas från din anpassade domän.

• Domänbaserad meddelandeautentisering, rapportering och överensstämmelse (DMARC): DMARC hjälper mål-e-postservrar att bestämma vad de ska göra med meddelanden från den anpassade domänen som misslyckas med SPF- och DKIM-kontroller. Se till att inkludera DMARC-principen (p=reject eller p=quarantine) och DMARC-rapportmål (aggregerade och kriminaltekniska rapporter) i DMARC-posterna. Anvisningar finns i Använda DMARC för att validera e-post.

• Autentiserad mottagen kedja (ARC): Om du använder tjänster från tredje part som ändrar inkommande meddelanden under överföring före leverans till Microsoft 365 kan du identifiera tjänsterna som betrodda ARC-förseglare (om de stöder det) så att de ändrade meddelandena inte automatiskt misslyckas med e-postautentiseringskontroller i Microsoft 365. Anvisningar finns i Konfigurera betrodda ARC-förseglare.

Om du använder domänen *.onmicrosoft.com för e-post (även kallat Microsoft Online Email routningsadress eller MOERA-domän) finns det inte alls lika mycket att göra:

• SPF: En SPF-post har redan konfigurerats för domänen *.onmicrosoft.com.
• DKIM: DKIM-signering har redan konfigurerats för utgående e-post med hjälp av domänen *.onmicrosoft.com, men du kan också anpassa den manuellt.
• DMARC: Du måste konfigurera DMARC-posten manuellt för domänen *.onmicrosoft.com enligt beskrivningen här.

Steg 2: Konfigurera skyddsprinciper

Sammanfattning: Aktivera och använd standard- och/eller strikt förinställda säkerhetsprinciper för alla mottagare. Eller, om verksamheten behöver diktera, skapa och använda anpassade skyddsprinciper i stället, men kontrollera dem regelbundet med hjälp av konfigurationsanalysen.

Information:

Som du förmodligen kan föreställa dig finns det många skyddsprinciper i EOP och Defender för Office 365. Det finns tre grundläggande typer av skyddsprinciper:

• Standardprinciper: Dessa principer finns från det ögonblick då organisationen skapas. De gäller för alla mottagare i organisationen, du kan inte inaktivera principerna och du kan inte ändra vilka principerna gäller för. Men du kan ändra säkerhetsinställningarna i principerna precis som anpassade principer. Inställningarna i standardprinciperna beskrivs i tabellerna i Rekommenderade inställningar för EOP och Microsoft Defender för Office 365 säkerhet.

• Förinställda säkerhetsprinciper: Förinställd säkerhet är faktiskt profiler som innehåller de flesta av de tillgängliga skyddsprinciperna i EOP och Defender för Office 365 med inställningar som är skräddarsydda för specifika skyddsnivåer. De förinställda säkerhetsprinciperna är:

  • Den strikta förinställda säkerhetsprincipen.
  • Standardförinställningens säkerhetsprincip.
  • Inbyggt skydd.

  Standard- och strikt förinställda säkerhetsprinciper är inaktiverade som standard tills du aktiverar dem. Du anger mottagarvillkor och undantag (användare, gruppmedlemmar, domäner eller alla mottagare) för EOP-skyddsfunktioner och Defender för Office 365 skyddsfunktioner i standard- och strikt förinställda säkerhetsprinciper.

  Inbyggt skydd i Defender för Office 365 är aktiverat som standard för att ge grundläggande skydd för säkra bifogade filer och säkra länkar för alla mottagare. Du kan ange mottagarfel för att identifiera användare som inte får skyddet.

  I Standard- och Strikt förinställda säkerhetsprinciper i Defender för Office 365 organisationer måste du konfigurera poster och valfria undantag för skydd mot användar- och domänpersonifiering. Alla andra inställningar är låsta i våra rekommenderade standardvärden och strikta värden (av vilka många är desamma). Du kan se standard- och striktvärdena i tabellerna i Rekommenderade inställningar för EOP och Microsoft Defender för Office 365 säkerhet, och du kan se skillnaderna mellan Standard och Strict här.

  När nya skyddsfunktioner läggs till i EOP och Defender för Office 365 och när säkerhetslandskapet ändras uppdateras inställningarna i förinställda säkerhetsprinciper automatiskt till våra rekommenderade inställningar.

• Anpassade principer: För de flesta tillgängliga skyddsprinciper kan du skapa valfritt antal anpassade principer. Du kan tillämpa principerna på användare med hjälp av mottagarvillkor och undantag (användare, gruppmedlemmar eller domäner) och du kan anpassa inställningarna.

Föregående information och de skyddsprinciper som ingår sammanfattas i följande tabell:

	Standardprinciper	Förvalda säkerhetsprinciper	Anpassade principer
EOP-skyddsprinciper:
Skydd mot skadlig kod	✔	✔	✔
Skräppostskydd	✔	✔	✔
Skydd mot nätfiske (förfalskningsskydd)	✔	✔	✔
Utgående skräppost	✔		✔
Anslutningsfiltrering	✔¹
Defender för Office 365 principer:
Skydd mot nätfiske (förfalskningsskydd) plus: Personifieringsskydd Avancerade tröskelvärden för nätfiske	✔²	✔²	✔
Säkra länkar	³	✔	✔
Säkra bifogade filer	³	✔	✔
Allmänt beteende
Är skyddet aktiverat som standard?	✔	⁴
Konfigurera villkor/undantag för skydd?		✔⁵	✔
Vill du anpassa säkerhetsinställningar?	✔	⁶	✔
Har skyddsinställningarna uppdaterats automatiskt?		✔

² Det finns inga standardposter i listan över tillåtna IP-adresser eller IP-blockeringslistan, så standardprincipen för anslutningsfilter gör ingenting om du inte anpassar inställningarna.

² Det finns inga poster eller valfria undantag för användarpersonifiering eller domän personifieringsskydd i Defender för Office 365 tills du har konfigurerat dem.

³ Även om det inte finns några standardprinciper för säkra bifogade filer eller säkra länkar i Defender för Office 365, ger inbyggt skydd grundläggande skydd för säkra bifogade filer och säkra länkar som alltid är aktiverat.

⁴ Inbyggt skydd (säkra bifogade filer och skydd mot säkra länkar i Defender för Office 365) är den enda förinställda säkerhetsprincipen som är aktiverad som standard.

⁵ För standard- och strikt förinställda säkerhetsprinciper kan du konfigurera separata mottagarvillkor och valfria undantag för EOP och Defender för Office 365 skydd. För inbyggt skydd i Defender för Office 365 kan du bara konfigurera mottagar undantag från skydd.

⁶ De enda anpassningsbara säkerhetsinställningarna i förinställda säkerhetsprinciper är poster och valfria undantag för användarimitationsskydd och domänimitationsskydd i standard- och strikt förinställda säkerhetsprinciper i Defender för Office 365.

Prioritetsordning för skyddsprinciper

Hur skyddsprinciper tillämpas är viktigt när du bestämmer hur du ska konfigurera säkerhetsinställningar för användare. De viktiga punkterna att komma ihåg är:

• Skyddsfunktioner har en okonfigurerbar bearbetningsordning. Till exempel utvärderas inkommande meddelanden alltid för skadlig kod före skräppost.
• Skyddsprinciperna för en specifik funktion (skräppostskydd, skadlig kod, skydd mot nätfiske osv.) tillämpas i en viss prioritetsordning (mer om prioritetsordningen senare).
• Om en användare avsiktligt eller oavsiktligt ingår i flera principer för en specifik funktion avgör den första skyddsprincipen för den funktion där användaren definieras (baserat på prioritetsordning) vad som händer med objektet (ett meddelande, en fil, en URL osv.).
• När den första skyddsprincipen tillämpas på ett specifikt objekt för en användare stoppas principbearbetningen för den funktionen. Inga fler skyddsprinciper för den funktionen utvärderas för den användaren och det specifika objektet.

Prioritetsordningen förklaras i detalj i Prioritetsordning för förinställda säkerhetsprinciper och andra principer, men sammanfattas kort här:

1. Skyddsprinciper i förinställda säkerhetsprinciper:
   1. Den strikta förinställda säkerhetsprincipen.
   2. Standardförinställningens säkerhetsprincip.
2. Anpassade skyddsprinciper för en specifik funktion (till exempel principer för skydd mot skadlig kod). Varje anpassad princip har ett prioritetsvärde som avgör i vilken ordning principen tillämpas i förhållande till andra skyddsprinciper för samma funktion:
   1. En anpassad princip med prioritetsvärdet 0.
   2. En anpassad princip med prioritetsvärdet 1.
   3. Och så vidare.
3. Standardskyddsprincipen för en specifik funktion (till exempel skydd mot skadlig kod) eller inbyggt skydd i Defender för Office 365 (säkra länkar och säkra bifogade filer).

Se föregående tabell för att se hur en specifik skyddsprincip representeras i prioritetsordningen. Principer för skydd mot skadlig kod finns till exempel på varje nivå. Principer för utgående skräppost är tillgängliga på anpassade princip- och standardprincipnivåer. Principen för anslutningsfilter är endast tillgänglig på standardprincipnivå.

Använd följande riktlinjer för att undvika förvirring och oavsiktlig tillämpning av principer:

• Använd entydiga grupper eller listor med mottagare på varje nivå. Använd till exempel olika grupper eller listor med mottagare för standard- och strikt förinställda säkerhetsprinciper.
• Konfigurera undantag på varje nivå efter behov. Du kan till exempel konfigurera mottagare som behöver anpassade principer som undantag till standard- och strikt förinställda säkerhetsprinciper.
• Alla återstående mottagare som inte identifieras på högre nivåer får standardprinciper eller inbyggt skydd i Defender för Office 365 (säkra länkar och säkra bifogade filer).

Med den här informationen kan du välja det bästa sättet att implementera skyddsprinciper i organisationen.

Fastställa din strategi för skyddsprincip

Nu när du känner till de olika typerna av skyddsprinciper och hur de tillämpas kan du bestämma hur du vill använda EOP och Defender för Office 365 för att skydda användarna i din organisation. Ditt beslut faller oundvikligen någonstans inom följande spektrum:

• Använd endast standardinställningens säkerhetsprincip.
• Använd standard- och strikt förinställda säkerhetsprinciper.
• Använd förinställda säkerhetsprinciper och anpassade principer.
• Använd endast anpassade principer.

Kom ihåg att standardprinciper (och inbyggt skydd i Defender för Office 365) automatiskt skyddar alla mottagare i organisationen (alla som inte har definierats i standard- eller strikt förinställda säkerhetsprinciper eller anpassade principer). Så även om du inte gör något får alla mottagare i organisationen standardskydd enligt beskrivningen i Rekommenderade inställningar för EOP och Microsoft Defender för Office 365 säkerhet.

Det är också viktigt att inse att du inte är låst i ditt första beslut för alltid. Informationen i de rekommenderade inställningstabellerna och jämförelsetabellen för Standard och Strict bör göra det möjligt att fatta ett välgrundat beslut. Men om behoven, resultaten eller omständigheterna ändras är det inte svårt att byta till en annan strategi senare.

Utan ett övertygande affärsbehov som tyder på något annat rekommenderar vi att du börjar med standardprincipen för förinställd säkerhet för alla användare i din organisation. Förinställda säkerhetsprinciper konfigureras med inställningar baserat på år av observationer i Microsoft 365-datacenter och bör vara det rätta valet för de flesta organisationer. Och principerna uppdateras automatiskt så att de matchar hoten i säkerhetslandskapet.

I förinställda säkerhetsprinciper kan du välja alternativet Alla mottagare för att enkelt tillämpa skydd på alla mottagare i organisationen.

Om du vill inkludera vissa användare i den strikta förinställda säkerhetsprincipen och de återstående användarna i standardförinställningens säkerhetsprincip bör du komma ihåg att ta hänsyn till prioritetsordningen enligt beskrivningen tidigare i den här artikeln med följande metoder:

• Använd entydiga grupper eller listor med mottagare i varje förinställd säkerhetsprincip.

  eller

• Konfigurera mottagare som ska få inställningarna för standardförinställningens säkerhetsprincip som undantag i den strikta förinställda säkerhetsprincipen.

Tänk på att följande konfigurationer av skyddsfunktioner inte påverkas av förinställda säkerhetsprinciper (du kan använda förinställda säkerhetsprinciper och även konfigurera skyddsinställningarna oberoende av varandra):

• Principer för utgående skräppost (anpassad och standard)
• Standardprincipen för anslutningsfilter (LISTA över tillåtna IP-adresser och IP-blockering)
• Aktivera säkra bifogade filer globalt för SharePoint, OneDrive och Microsoft Teams
• Aktivera och konfigurera säkra dokument globalt (endast tillgängliga och meningsfulla med licenser som inte ingår i Defender för Office 365 (till exempel Microsoft 365 A5 eller Microsoft 365 E5 Security))

Information om hur du aktiverar och konfigurerar förinställda säkerhetsprinciper finns i Förinställda säkerhetsprinciper i EOP och Microsoft Defender för Office 365.

Beslutet att använda anpassade principer i stället för eller utöver förinställda säkerhetsprinciper beror slutligen på följande affärskrav:

• Användare kräver säkerhetsinställningar som skiljer sig från de omodifierbara inställningarna i förinställda säkerhetsprinciper (skräppost kontra karantän eller vice versa, inga säkerhetstips, meddela anpassade mottagare osv.).
• Användare kräver inställningar som inte har konfigurerats i förinställda säkerhetsprinciper (till exempel blockera e-post från specifika länder eller på specifika språk i principer för skräppostskydd).
• Användarna behöver en karantänupplevelse som skiljer sig från de omodifierbara inställningarna i förinställda säkerhetsprinciper. Karantänprinciper definierar vad användare kan göra med sina meddelanden i karantän baserat på varför meddelandet sattes i karantän och om mottagarna meddelas om sina meddelanden i karantän. Standardupplevelsen för slutanvändarens karantän sammanfattas i tabellen här och karantänprinciperna som används i standard- och strikt förinställda säkerhetsprinciper beskrivs i tabellerna här.

Använd informationen i Rekommenderade inställningar för EOP och Microsoft Defender för Office 365 säkerhet för att jämföra de tillgängliga inställningarna i anpassade principer eller standardprinciper jämfört med vad som konfigureras i standard- och strikt förinställda säkerhetsprinciper.

Designriktlinjer för flera anpassade principer för en specifik funktion (till exempel principer för skydd mot skadlig kod) omfattar:

• Användare i anpassade principer kan inte inkluderas i standard- eller strikt förinställda säkerhetsprinciper på grund av prioritetsordningen.
• Tilldela färre användare till principer med högre prioritet och fler användare till principer med lägre prioritet.
• Konfigurera principer med högre prioritet för att ha striktare eller mer specialiserade inställningar än principer med lägre prioritet (inklusive standardprinciper).

Om du bestämmer dig för att använda anpassade principer använder du configuration analyzer för att regelbundet jämföra inställningarna i dina principer med de rekommenderade inställningarna i standard- och strikt förinställda säkerhetsprinciper.

Steg 3: Tilldela behörigheter till administratörer

Sammanfattning: Tilldela rollen Säkerhetsadministratör i Azure Active Directory till andra administratörer, specialister och supportpersonal så att de kan utföra uppgifter i EOP och Defender för Office 365.

Information:

Du använder förmodligen redan det första kontot som du använde för att registrera dig i Microsoft 365 för att utföra allt arbete i den här distributionsguiden. Kontot är administratör överallt i Microsoft 365 (specifikt är det medlem i rollen Global administratör i Azure Active Directory (Azure AD)) och gör att du kan göra i stort sett vad som helst. De behörigheter som krävs beskrevs tidigare i den här artikeln i Roller och behörigheter.

Avsikten med det här steget är dock att konfigurera andra administratörer som hjälper dig att hantera funktionerna i EOP och Defender för Office 365 i framtiden. Vad du inte vill ha är många personer med global administratörsbehörighet som inte behöver det. Behöver de till exempel verkligen ta bort/skapa konton eller göra andra användare till globala administratörer? Begreppet lägsta behörighet (tilldela endast de behörigheter som krävs för att utföra jobbet och inget mer) är en bra idé att följa.

När det gäller att tilldela behörigheter för uppgifter i EOP och Defender för Office 365 är följande alternativ tillgängliga:

• Microsoft Entra behörigheter: Dessa behörigheter gäller för alla arbetsbelastningar i Microsoft 365 (Exchange Online, SharePoint Online, Microsoft Teams osv.).
• Exchange Online behörigheter: De flesta uppgifter i EOP och Defender för Office 365 är tillgängliga med hjälp av Exchange Online behörigheter. Om du endast tilldelar behörigheter i Exchange Online förhindras administrativ åtkomst i andra Microsoft 365-arbetsbelastningar.
• Email & samarbetsbehörigheter i Microsoft Defender-portalen: Administration av vissa säkerhetsfunktioner i EOP och Defender för Office 365 är tillgängligt med Email & samarbetsbehörigheter. Till exempel:
  • Konfigurationsanalys
  • Admin principer för karantänhantering och karantän
  • Admin inlämningar och granskning av användarrapporterade meddelanden
  • Användartaggar

För enkelhetens skull rekommenderar vi att du använder rollen Säkerhetsadministratör i Azure AD för andra som behöver konfigurera inställningar i EOP och Defender för Office 365.

Anvisningar finns i Tilldela Microsoft Entra roller till användare och Hantera åtkomst till Microsoft Defender XDR med globala Azure Active Directory-roller.

Steg 4: Prioritetskonton och användartaggar

Sammanfattning: Identifiera och tagga lämpliga användare i din organisation som prioritetskonton för enklare identifiering i rapporter och undersökningar och för att få prioritetskontoskydd i Defender för Office 365. Överväg att skapa och använda anpassade användartaggar i Defender för Office 365 plan 2.

Information:

I Defender för Office 365 kan du med prioritetskonton tagga upp till 250 användare med högt värde för enkel identifiering i rapporter och undersökningar. Det här prioritetskontot får också ytterligare heuristik som inte gynnar vanliga anställda. Mer information finns i Hantera och övervaka prioritetskonton och Konfigurera och granska prioritetskontoskydd i Microsoft Defender för Office 365.

I Defender för Office 365 plan 2 har du också åtkomst till att skapa och använda anpassade användartaggar för att enkelt identifiera specifika grupper av användare i rapporter och undersökningar. Mer information finns i Användartaggar i Microsoft Defender för Office 365.

Identifiera lämpliga användare för att tagga som prioritetskonton och bestäm om du behöver skapa och använda anpassade användartaggar.

Steg 5: Granska och konfigurera användarrapporterade meddelandeinställningar

Sammanfattning: Distribuera tillägg för rapportmeddelande eller rapportfiske eller ett verktyg från tredje part som stöds så att användare kan rapportera falska positiva och falska negativa identifieringar i Outlook, så att de rapporterade meddelandena är tillgängliga för administratörer på fliken Användarrapporterade på sidan Inskickade i Defender-portalen. Konfigurera organisationen så att rapporterade meddelanden går till en angiven rapporteringspostlåda, till Microsoft eller båda.

Information:

Möjligheten för användare att rapportera bra meddelanden som markerats som dåliga (falska positiva) eller felaktiga meddelanden tillåtna (falska negativa) är viktigt för att du ska kunna övervaka och justera skyddsinställningarna i EOP och Defender för Office 365.

De viktiga delarna i rapporteringen av användarmeddelanden är:

• Hur rapporterar användarna meddelanden?: Kontrollera att klienterna använder någon av följande metoder så att rapporterade meddelanden visas på fliken Användarrapporterade på sidan Inskickade meddelanden i Defender-portalen på https://security.microsoft.com/reportsubmission?viewid=user:

• Den inbyggda rapportknappen i Outlook på webben (kallades tidigare Outlook Web App eller OWA).

• Microsofts tillägg för rapportmeddelande eller rapportfiske för Outlook och Outlook på webben.

• Rapporteringsverktyg från tredje part som använder formatet för meddelandeöverföring som stöds.

• Var går användarrapporterade meddelanden?: Du har följande alternativ:

  • Till en angiven rapportpostlåda och till Microsoft (detta är standardvärdet).
  • Endast till en angiven rapportpostlåda.
  • Endast till Microsoft.

  Standardpostlådan som används för att samla in användarrapporterade meddelanden är den globala administratörens postlåda (det första kontot i organisationen). Om du vill att användarrapporterade meddelanden ska gå till en rapporteringspostlåda i din organisation bör du skapa och konfigurera en exklusiv postlåda som ska användas.

  Det är upp till dig om du vill att användarrapporterade meddelanden också ska gå till Microsoft för analys (uteslutande eller tillsammans med leverans till din avsedda rapporteringspostlåda).

  Om du vill att användarrapporterade meddelanden endast ska gå till din avsedda rapporteringspostlåda bör administratörer manuellt skicka användarrapporterade meddelanden till Microsoft för analys från fliken Användarrapporterade på sidan Inskickade meddelanden i Defender-portalen på https://security.microsoft.com/reportsubmission?viewid=user.

  Det är viktigt att skicka användarrapporterade meddelanden till Microsoft för att våra filter ska kunna lära sig och förbättra.

Fullständig information om användarrapporterade meddelandeinställningar finns i Användarrapporterade inställningar.

Steg 6: Blockera och tillåt poster

Sammanfattning: Bekanta dig med procedurerna för att blockera och tillåta meddelanden, filer och URL:er i Defender för Office 365.

Information:

Du måste bekanta dig med hur du blockerar och (tillfälligt) tillåter meddelandeavsändare, filer och URL:er på följande platser i Defender-portalen:

• Listan Tillåt/blockera klientorganisation på https://security.microsoft.com/tenantAllowBlockList.
• Sidan Inskickade filer på https://security.microsoft.com/reportsubmission.
• Insiktssidan för förfalskningsinformation på https://security.microsoft.com/spoofintelligence.

I allmänhet är det enklare att skapa block än vad som tillåts, eftersom onödiga tillåtna poster exponerar din organisation för skadlig e-post som skulle ha filtrerats av systemet.

• Blockera:

  • Du kan skapa blockposter för domäner och e-postadresser, filer och URL:er på motsvarande flikar i listan Tillåt/blockera klientorganisation och genom att skicka objekten till Microsoft för analys från sidan Inskickade filer . När du skickar ett objekt till Microsoft skapas även motsvarande blockposter i listan Tillåt/blockera klientorganisation.

    Tips

    Användare i organisationen kan inte heller skicka e-post till domäner eller e-postadresser som anges i blockposter i listan Tillåt/blockera klientorganisation.

  • Meddelanden som blockeras av förfalskningsinformation visas på sidan Förfalskningsinformation . Om du ändrar en tillåten post till en blockpost blir avsändaren en manuell blockpost på fliken Falska avsändare i listan Tillåt/blockera för klientorganisation. Du kan också proaktivt skapa blockposter för falska avsändare som ännu inte påträffats på fliken Falska avsändare .

• Tillåt:

  • Du kan inte skapa tillåtna poster för domäner och e-postadresser, filer och URL:er direkt på motsvarande flikar i listan Tillåt/blockera klientorganisation. I stället använder du sidan Inskickade filer för att rapportera objektet till Microsoft. När du rapporterar objektet till Microsoft kan du välja att tillåta objektet, vilket skapar en motsvarande tillfällig tillåt-post i listan Tillåt/blockera klientorganisation.

  • Meddelanden som tillåts av förfalskningsinformation visas på sidan Förfalskningsinformation . Om du ändrar en blockpost till en tillåten post blir avsändaren en manuell tillåten post på fliken Falska avsändare i listan Tillåt/blockera klientorganisation. Du kan också proaktivt skapa tillåtna poster för falska avsändare som ännu inte påträffats på fliken Falska avsändare .

Fullständig information finns i följande artiklar:

• Tillåt eller blockera e-post med hjälp av listan Tillåt/blockera klientorganisation
• Tillåt eller blockera filer med hjälp av listan över tillåtna/blockerade klientorganisationer
• Tillåt eller blockera URL:er med hjälp av listan över tillåtna/blockerade klientorganisationer
• Använd sidan Inskickade filer för att skicka misstänkt skräppost, nätfiske, URL:er, legitim e-post som blockeras och e-postbilagor till Microsoft
• Åsidosätt förfalskningsinformationsutfallet

Steg 7: Starta nätfiskesimuleringar med hjälp av Övning av attacksimulering

I Defender för Office 365 plan 2 kan du Övning av attacksimulering skicka simulerade nätfiskemeddelanden till användare och tilldela utbildning baserat på hur de svarar. Följande alternativ är tillgängliga:

• Enskilda simuleringar med hjälp av inbyggda eller anpassade nyttolaster.
• Simuleringsautomatiseringar som hämtas från verkliga nätfiskeattacker med flera nyttolaster och automatisk schemaläggning.
• Endast utbildningskampanjer där du inte behöver starta en kampanj och vänta tills användarna klickar på länkar eller laddar ned bifogade filer i simulerade nätfiskemeddelanden innan utbildningar tilldelas.

Mer information finns i Kom igång med Övning av attacksimulering.

Steg 8: Undersöka och svara

Nu när den första konfigurationen är klar använder du informationen i Microsoft Defender för Office 365 Security Operations Guide för att övervaka och undersöka hot i organisationen.