通过

用于 EOP 和 Microsoft Defender for Office 365 中的保护策略的配置分析器

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

Microsoft Defender门户中的配置分析器提供了一个中心位置,用于查找和修复安全策略,其中设置的安全性低于预设安全策略中的标准保护和严格保护配置文件设置。

配置分析器会分析以下类型的策略:

EOP 和Microsoft Defender for Office 365安全性的建议设置中介绍了用作基线的标准和严格策略设置值。

配置分析器还会检查以下非策略设置:

  • DKIM:是否在 DNS 中检测到指定域的 SPFDKIM 记录。
  • Outlook:是否在组织中 启用 本机 Outlook 外部发件人标识符。

开始前,有必要了解什么?

  • 在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 “配置分析器 ”页,请使用 https://security.microsoft.com/configurationAnalyzer

  • 若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell

  • 需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:

    • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 授权和设置/安全设置/核心安全设置 (读取)

    • Email & Microsoft Defender门户中的协作权限

      • 使用配置分析器并更新受影响的安全策略组织管理安全管理员 角色组中的成员身份。
      • 对配置分析器的只读访问权限全局读取者安全读取者 角色组中的成员身份。

    • Exchange Online权限“仅查看组织管理”角色组中的成员身份授予对配置分析器的只读访问权限。

    • Microsoft Entra权限全局管理员*安全管理员全局读取者安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限权限。

      重要

      * Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

在 Microsoft Defender 门户中使用配置分析器

在 Microsoft Defender 门户中https://security.microsoft.com,转到模板策略部分中Email &协作>策略& 规则>威胁策略>配置分析器。 若要直接转到 “配置分析器 ”页,请使用 https://security.microsoft.com/configurationAnalyzer

“配置分析器”页有三个main选项卡:

  • 标准建议:将现有安全策略与标准建议进行比较。 可以调整设置值,使其达到与标准相同的级别。
  • 严格建议:将现有安全策略与严格建议进行比较。 可以调整设置值,使其达到与严格相同的级别。
  • 配置偏移分析和历史记录:审核和跟踪一段时间内的策略更改。

配置分析器中的“标准建议”和“严格建议”选项卡

默认情况下,配置分析器将在“ 标准建议 ”选项卡上打开。可以切换到“ 严格建议 ”选项卡。这两个选项卡上的设置、布局和操作相同。

配置分析器中的“设置和建议”视图

选项卡的第一部分显示与标准或严格保护相比,每种类型的策略中需要改进的设置数。 策略类型为:

  • 反垃圾邮件
  • 防网络钓鱼
  • 反恶意软件
  • 如果订阅包含Microsoft Defender for Office 365) , (安全附件
  • 如果订阅包含Microsoft Defender for Office 365) , (安全链接
  • DKIM
  • 如果订阅包含Microsoft Defender for Office 365) ,则内置保护 (
  • Outlook

如果未显示策略类型和编号,则该类型的所有策略都符合“标准”或“严格保护”的建议设置。

选项卡的其余部分是需要提升到标准或严格保护级别的设置表。 该表包含以下列*

  • 建议: 标准或严格保护配置文件中的设置值。
  • 策略: 包含该设置的受影响策略的名称。
  • 策略组/设置名称: 需要注意的设置 名称。
  • 策略类型:反垃圾邮件、防钓鱼、反恶意软件、安全链接或安全附件。
  • 当前配置:设置的当前值。
  • 上次修改日期: 上次修改策略的日期。
  • 状态:通常,此值为 “未启动”。

* 若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:

  • 在 Web 浏览器中水平滚动。
  • 缩小相应列的宽度。
  • 在 Web 浏览器中缩小字体功能。

若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:

  • 反垃圾邮件
  • 防网络钓鱼
  • 反恶意软件
  • 安全附件
  • 安全链接
  • ATP 内置保护规则
  • DKIM
  • Outlook

完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。

使用“ 搜索 ”框和相应的值查找特定条目。

在配置分析器的“标准保护”或“严格保护”选项卡上,单击建议名称旁边的“检查”框以外的任何位置,选择一个条目。 在打开的详细信息浮出控件中,提供了以下信息:

  • 策略:受影响策略的名称。
  • 原因?:有关建议设置的值的原因的信息。
  • 要更改的特定设置以及要更改的值。
  • 查看策略:此链接可转到Microsoft Defender门户中受影响策略的详细信息浮出控件,可在其中手动更新设置。
  • 指向 EOP 和Microsoft Defender for Office 365安全性的建议设置的链接。

提示

若要查看有关其他建议的详细信息而不离开详细信息浮出控件,请使用浮出控件顶部的“上一个”和“下一个”。

完成详细信息浮出控件后,选择“ 关闭”。

配置分析器中的浮出控件体验

在配置分析器的“标准保护”或“严格保护”选项卡上,通过选择建议名称旁边的“检查”框来选择条目。 页面上会显示以下操作:

  • 应用建议:如果建议需要多个步骤,此操作将灰显。

    选择此操作时,将 (打开一个确认对话框,其中包含“不再显示对话框”选项) 打开。 选择“ 确定”时,会发生以下情况:

    • 设置将更新为建议的值。
    • 建议仍处于选中状态,但唯一可用的操作是 “刷新”。
    • 行的 “状态” 值更改为 “完成”。

  • 查看策略:你将转到Microsoft Defender门户中受影响策略的详细信息浮出控件,可在其中手动更新设置。

  • 导出:将所选建议导出到 .csv 文件,选择“ 导出”。

    还可以在选择多个建议或选择所有建议后导出建议,方法是选择“建议”列标题旁边的“检查”框。

在自动更新或手动更新设置后,选择“刷新以查看减少的建议数以及从结果中删除更新的行。

配置分析器中的配置偏移分析和历史记录选项卡

注意

需要为偏差分析启用统一审核

此选项卡允许跟踪对安全策略的更改,以及这些更改与标准或严格设置的比较情况。 默认情况下,显示以下信息:

  • 上次修改时间
  • 修改者
  • 设置名称
  • 策略:受影响策略的名称。
  • 类型:反垃圾邮件、防钓鱼、反恶意软件、安全链接或安全附件。
  • 配置更改:设置的旧值和新值
  • 配置偏移:值 “增加 ”或 “减少” ,指示与建议的“标准”或“严格”设置相比,设置已增加或降低安全性。

若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:

  • 日期开始时间和结束时间。 从今天起,你可以回到 90 天。
  • 类型标准保护严格保护

完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。

使用 ::image type=“icon” source=“media/m365-cc-sc-search-icon.png” border=“false”::: 搜索框按特定的“修改者”、“设置名称”“类型”值筛选条目。

若要将 “配置偏移分析和历史记录 ”选项卡上显示的条目导出到 .csv 文件,请选择“ 导出”。

配置分析器中的配置偏移分析和历史记录视图