查看和编辑Microsoft Defender 商业版中的设置

可以在Microsoft Defender门户 () 中查看和编辑设置,例如门户https://security.microsoft.com设置和高级功能。 使用本文大致了解可用的各种设置以及如何编辑 Defender for Business 设置。

查看高级功能的设置

在Microsoft Defender门户 (https://security.microsoft.com) ,转到“设置>终结点>常规>高级功能”。

下表介绍了高级功能设置。

Setting 说明
自动调查
(默认处于打开状态)
生成警报时,可能会进行自动调查。 每个自动调查确定检测到的威胁是否需要操作,然后采取或建议修正操作,例如发送文件进行隔离、停止进程、隔离设备或阻止 URL。 运行调查时,出现的所有相关警报都将添加到调查中,直到调查完成。 如果在其他位置看到受影响的实体,则自动调查会扩展其范围以包含该实体,并且重复调查流程。

可以在 “事件 ”页上查看调查。 选择事件,然后选择“ 调查 ”选项卡。

默认情况下,在租户范围内启用自动调查和响应功能。 建议启用自动调查。 如果将其关闭,Microsoft Defender防病毒中的实时保护将受到影响,并且整体保护级别会降低。

详细了解自动调查
实时响应 Defender for Business 包括以下类型的手动响应操作:
- 运行防病毒扫描
- 隔离设备
- 停止和隔离文件
- 添加指示器以阻止或允许文件

详细了解响应操作
服务器的实时响应 (此设置目前在 Defender for Business 中不可用。)
实时响应未签名脚本执行 (此设置目前在 Defender for Business 中不可用。)
在块模式下启用 EDR
(默认处于打开状态)
当Microsoft Defender防病毒不是主要防病毒产品并在设备上以被动模式运行时,提供针对恶意项目的附加保护。 终结点检测和响应 (块模式下的 EDR) 在后台工作,以修正 EDR 功能检测到的恶意项目。 非 Microsoft 的主要防病毒产品可能错过了此类项目。

详细了解块模式下的 EDR
允许或阻止文件
(默认处于打开状态)
使你能够使用 指示器允许或阻止文件。 此功能要求Microsoft Defender防病毒处于活动模式并启用云保护

阻止文件会阻止在组织中的设备上读取、写入或执行该文件。

详细了解文件指示器
自定义网络指示器
(默认处于打开状态)
使你能够使用 网络指示器允许或阻止 IP 地址、URL 或域。 此功能要求Microsoft Defender防病毒处于活动模式并启用网络保护

可以根据威胁情报允许或阻止 IP、URL 或域。 如果用户打开有风险的应用,还可以提示他们,但提示不会阻止他们使用该应用。

详细了解网络保护
篡改防护
(我们建议打开此设置)
篡改防护可防止恶意应用执行如下操作:
- 禁用病毒和威胁防护
- 禁用实时保护
- 关闭行为监视
- 禁用云保护
- 删除安全智能更新
- 禁用对检测到的威胁的自动操作

篡改防护实质上将Microsoft Defender防病毒锁定为其安全默认值,并防止应用和未经授权的方法更改安全设置。

详细了解篡改防护
显示用户详细信息
(默认处于打开状态)
使组织中的人员能够查看详细信息,例如员工的图片、姓名、职务和部门。 这些详细信息存储在 Microsoft Entra ID 中。

详细了解 Microsoft Entra ID 中的用户配置文件
Skype for Business 集成
(默认处于打开状态)
Skype for Business已于 2021 年 7 月停用。 如果尚未迁移到 Microsoft Teams,请参阅 在小型企业中设置 Microsoft Teams

与 Microsoft Teams (或以前的Skype for Business) 集成可实现企业中人员之间的一键式通信。
Web 内容筛选
(默认处于打开状态)
阻止访问包含不需要内容的网站,并跨所有域跟踪 Web 活动。 请参阅 设置 Web 内容筛选
Microsoft Intune连接
(我们建议打开此设置(如果有Intune)
如果组织的订阅包括) Microsoft 365 商业高级版资源中包含的Microsoft Intune (,则此设置允许 Defender for Business 与 Intune 共享有关设备的信息。
设备发现
(默认处于打开状态)
使安全团队能够查找连接到公司网络的非托管设备。 未知和非托管设备会给网络带来重大风险,无论是未修补的打印机、安全配置较弱的网络设备,还是没有安全控制的服务器。

设备发现使用载入设备来发现非托管设备,因此安全团队可以加入非托管设备并减少漏洞。

详细了解设备发现
预览功能 Microsoft 会不断更新 Defender for Business 等服务,以包括新功能增强功能和功能。 如果选择接收预览功能,你将是第一个尝试预览体验中即将推出的功能的用户之一。

详细了解预览功能

在Microsoft Defender门户中查看和编辑其他设置

除了应用于设备的安全策略外,还可以在 Defender for Business 中查看和编辑其他设置。 例如,指定要使用的时区,并且可以载入(或卸载)设备。

注意

租户中的设置可能多于本文中列出的设置。 本文重点介绍应在 Defender for Business 中查看的最重要设置。

要针对 Defender for Business 进行评审的设置

下表介绍了可以在 Defender for Business 中查看和编辑的设置:

类别 Setting 说明
安全中心 时区 选择要用于事件、检测到的威胁以及自动调查和修正中显示的日期和时间的时区。 可以使用 UTC 或本地时区 (建议) 。
Microsoft Defender XDR Account 查看详细信息,例如数据存储位置、租户 ID 和组织 (组织) ID。
Microsoft Defender XDR 预览功能 启用预览功能以尝试即将推出的功能和新功能。 你可以成为第一批预览新功能并提供反馈的用户之一。
终结点 电子邮件通知 设置或编辑电子邮件通知规则。 检测到漏洞或创建警报后,电子邮件通知规则中指定的收件人将收到一封电子邮件。 详细了解电子邮件通知
终结点 设备管理>载入 使用可下载的脚本将设备载入 Defender for Business。 若要了解详细信息,请参阅 将设备载入 Defender for Business
终结点 设备管理>卸载 卸载 (从 Defender for Business 中删除) 设备。 当你离开设备时,它不再将数据发送到 Defender for Business,但会保留在卸载之前收到的数据。 若要了解详细信息,请参阅 卸载设备

在Microsoft Defender门户中访问设置

  1. 转到Microsoft Defender门户 (https://security.microsoft.com/) ,然后登录。

  2. 选择“设置”,然后选择一个类别 (,例如安全中心Microsoft Defender XDR终结点) 。

  3. 在设置列表中,选择要查看或编辑的项。