Microsoft Defender for Office 365 中的新增功能

项目
06/25/2024
适用于:

✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用 Microsoft Defender XDR for Office 365 计划 2 中的功能吗？ 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender for Office 365 试用版。在此处了解谁可以注册和试用条款。

本文列出了最新版本的 Microsoft Defender for Office 365 中的新功能。当前处于预览状态的功能用 (预览) 表示。

观看此视频了解更多信息。

若要搜索 Microsoft 365 Defender for Office 365 功能路线图，请使用此链接。

有关其他 Microsoft Defender 安全产品的新增功能的详细信息，请参阅：

2024 年 5 月

租户允许/阻止列表中的顶级域和子域阻止：你将能够使用格式 *.TLD在域 & 电子邮件地址的域下创建阻止条目，其中 TLD 可以是任何顶级域或 *.SD1.TLD, *.SD2.SD1.TLD、 *.SD3.SD2.SD1.TLD以及子域阻止的类似模式。在邮件流期间，条目将阻止从域或子域中的任何电子邮件地址接收或发送到任何电子邮件地址的所有电子邮件。
自动最终用户反馈：Microsoft Defender for Office 365 中的用户提交自动反馈响应功能使组织能够根据自动调查的判决自动响应最终用户提交的网络钓鱼。了解详细信息。
我们将在威胁资源管理器、电子邮件实体、摘要面板和高级搜寻中引入 发件人的副本清理功能 。这些新功能将简化管理已发送邮件的过程，尤其是对于使用软删除和移动到收件箱操作的管理员。有关详细信息，请参阅威胁资源管理器 (资源管理器) 。主要亮点：
与软删除集成：发件人的副本清理将合并为软删除操作的一部分。
- 广泛支持：此操作将跨各种 Defender XDR 平台提供支持，包括威胁资源管理器、电子邮件实体中的“执行操作”向导、摘要面板、高级搜寻，以及Microsoft图形 API。
- 撤消功能：撤消操作将可用，使你可以通过将项目移回“已发送”文件夹来撤消清理。

2024 年 4 月

上次使用日期 已添加到域和电子邮件地址、文件和 URL 的租户允许/阻止列表条目。
提高了提交结果的清晰度：管理员和安全操作员现在可跨电子邮件、Microsoft Teams 邮件、电子邮件附件、URL 和用户报告邮件看到提交的增强结果。这些更新旨在消除与当前提交结果相关的任何歧义。对结果进行了优化，以确保清晰度、一致性和简洁性，使提交结果更具可操作性。了解详细信息。
“执行操作”将替换“电子邮件”选项卡上的“邮件操作”下拉列表， (视图) 威胁资源管理器 (资源管理器“中”所有电子邮件“、”恶意软件“或”钓鱼“视图的详细信息区域) ：
- SecOps 人员现在可以直接从威胁资源管理器通过租户允许/阻止列表在 URL 和文件上创建租户级块条目。
- 对于在威胁资源管理器中选择的 100 个或更少的消息，SecOps 人员可以从同一页对所选邮件执行多个操作。例如：
  - 清除电子邮件或建议电子邮件修正。
  - 将邮件提交到Microsoft。
  - 触发调查。
  - 阻止租户允许/阻止列表中的条目。
- 操作是基于邮件的最新传递位置的上下文，但 SecOps 人员可以使用 “显示所有响应操作” 开关来允许所有可用操作。
- 对于所选的 101 封或更多封邮件，仅电子邮件清除和建议修正选项可用。
提示

新的面板允许 SecOps 人员在租户级别查找泄露指标，并且阻止操作随时可用。

有关详细信息，请参阅威胁搜寻：电子邮件修正。

2024 年 3 月

在攻击模拟培训中复制模拟功能：管理员现在可以复制现有模拟，并根据其特定要求对其进行自定义。在创建新模拟时，此功能通过使用以前启动的模拟作为模板来节省时间和精力。了解详细信息。
攻击模拟训练现已在 Microsoft 365 DoD 中提供。了解详细信息。

2024 年 2 月

搜寻和响应基于 QR 码的攻击：安全团队现在可以在“电子邮件”实体页的“URL”选项卡上查看从 QR 码中提取的 URL，并将 QR 代码作为 URL 源，并在高级搜寻中的 EmailUrlInfo 表的 UrlLocation 列中看到 QRCode。还可以使用威胁资源管理器中“所有电子邮件、恶意软件和网络钓鱼”视图中的 URL 源筛选器值来筛选嵌入 QR 码的电子邮件， (资源管理器) 。

2024 年 1 月

攻击模拟培训中提供了新的培训模块：教用户识别并保护自己免受 QR 码钓鱼攻击。有关详细信息，请参阅此博客文章。
提交时提供意向现已正式发布：管理员可以确定他们是否正在向Microsoft提交项目以获取第二个意见，或者他们正在提交邮件，因为邮件是恶意邮件，并且Microsoft错过了邮件。通过此更改，Microsoft分析管理员提交的邮件 (电子邮件和Microsoft Teams) 、URL 和电子邮件附件将进一步简化，并得到更准确的分析。了解详细信息。

2023 年 12 月

Exchange Online Protection 和 Microsoft Defender for Office 365 中的 QR 码相关网络钓鱼防护：使用图像检测、威胁信号、URL 分析的新检测功能现在从 URL 中提取 QR 码，并阻止来自电子邮件正文的基于 QR 码的网络钓鱼攻击。若要了解详细信息，请参阅我们的博客。
Microsoft Defender XDR Unified RBAC 现已正式发布：Defender XDR Unified RBAC 支持以前由电子邮件 & 协作权限和 Exchange Online 权限控制的所有 Defender for Office 365 方案。若要详细了解支持的工作负载和数据资源，请参阅 Microsoft Defender XDR 统一基于角色的访问控制 (RBAC) 。

提示

Microsoft 365 政府社区云高 (GCC High) 或国防部 (DoD) 中未正式发布 Defender XDR 统一 RBAC。

2023 年 11 月

电子邮件实体/摘要面板中的增强操作体验：作为更改的一部分，安全管理员可以在 FP/FN 流中执行多个操作。了解详细信息。
租户允许/阻止列表支持每个类别中的更多条目， (域 & 电子邮件地址、文件和 URL：
- Microsoft Defender for Office 365 计划 2 支持 10,000 个块条目和 5,000 个允许条目， (每个类别中的管理员提交) 。
- Microsoft Defender for Office 365 计划 1 支持通过每个类别中的管理员提交) (1,000 个块条目和 1,000 个允许条目。
- Exchange Online Protection 保留在 500 个块条目和 500 个允许条目 (通过管理员提交) 在每个类别中。

2023 年 10 月

在攻击模拟训练中使用图形 API 创建和管理 模拟。了解更多
Microsoft Defender XDR Unified 基于角色的访问控制 (RBAC) 现在支持 Defender for Office 365 中的 Exchange Online 权限管理 ：除了对电子邮件 & 协作权限的现有支持外，Defender XDR Unified RBAC 现在还支持与保护相关的 Exchange Online 权限。若要详细了解支持的 Exchange Online 权限，请参阅 Exchange Online 权限映射。

2023 年 9

租户允许阻止列表中提供了 URL 顶级域阻止。了解详细信息。
攻击模拟训练现已在 Microsoft 365 GCC High 中提供。了解详细信息。

2023 年 8 月

如果组织中的 “用户报告”设置 (电子邮件发送用户报告邮件， Microsoft Teams) 以独占方式Microsoft (，或者除了报告邮箱) 之外，我们现在执行与管理员从“ 提交 ”页面将邮件提交到Microsoft进行分析时相同的检查。
默认组织内部保护：默认情况下，隔离在标识为高可信度钓鱼的内部用户之间发送的消息。管理员在默认反垃圾邮件策略或自定义策略中更改此设置， (选择退出组织内部保护，或者) 包含其他垃圾邮件筛选判决。有关配置信息，请参阅在 EOP 中配置反垃圾邮件策略。

2023 年 7 月

使用反钓鱼策略控制发件人未通过显式 DMARC 检查且 DMARC 策略设置为 p=quarantine 或 p=reject的邮件会发生什么情况。有关详细信息，请参阅欺骗保护和发件人 DMARC 策略。
用户标记现在与 Defender for Office 365 报表完全集成，包括：

2023 年 5 月

Outlook 网页版中的内置报告支持代理报告来自共享邮箱或其他邮箱的邮件。
- 共享邮箱需要用户的“发送为”或“代表发送”权限。
- 其他邮箱需要代理的“发送方式”或“代表发送”权限以及 “读取和管理”权限。

2023 年 4 月

使用机器学习在攻击模拟和训练中推动更有效的模拟：利用智能预测入侵率 (PCR) 和 Microsoft Defender for Office 365 有效负载建议，以利用模拟中的高质量有效负载。
扩展的库提供的仅培训活动：现在可以直接将培训内容分配给组织，而无需将培训绑定到网络钓鱼模拟活动。我们还将训练模块库扩展到 70 多个不同的模块。

2023 年 3 月

Microsoft Teams 的协作安全性：随着Microsoft Teams 等协作工具的使用的增加，使用 URL 和消息进行恶意攻击的可能性也随之增加。 Microsoft Defender for Office 365 正在扩展其安全链接保护，增加了零小时自动清除功能， (ZAP) 、隔离和最终用户向其管理员报告潜在恶意邮件。有关详细信息，请参阅 Microsoft Defender for Office 365 对 Microsoft Teams 的支持 (预览版) 。
内置保护：为电子邮件启用安全链接单击保护时间：默认情况下，Microsoft现在在单击时保护电子邮件中的 URL，作为此更新的一部分， (EnableSafeLinksForEmail) 内置保护预设安全策略中的安全链接设置的一部分。若要了解内置保护策略中特定的安全链接保护，请参阅安全链接策略设置。
预设安全策略中启用的隔离通知：如果组织已启用或将启用标准或严格预设安全策略，则策略将自动更新，以使用新的 DefaultFullAccessWithNotificationPolicy 隔离策略 (启用的通知) ，无论使用) 禁用 DefaultFullAccessPolicy (通知。若要了解有关隔离通知的详细信息，请参阅隔离通知。有关预设安全策略中特定设置的详细信息，请参阅 EOP 和 Defender for Office 365 安全设置Microsoft建议。

2023 年 1 月

Microsoft Defender for Office 365 中现已提供自动租户允许/阻止列表过期管理：Microsoft系统从租户允许/阻止列表中学习后，会自动从租户允许/阻止列表中删除允许条目。或者，如果系统尚未了解，Microsoft会延长允许条目的过期时间。此行为可防止合法电子邮件进入垃圾邮件或隔离区。
在高级交付中配置第三方网络钓鱼模拟： 我们已将“允许的模拟 URL”限制扩展到 30 个 URL。若要了解如何配置，请参阅配置向用户传递第三方网络钓鱼模拟和将未筛选的邮件传递到 SecOps 邮箱
攻击模拟培训中的模拟报告中增强的用户遥测：作为增强的用户遥测的一部分，管理员现在可以查看有关其目标用户如何与网络钓鱼模拟活动中的网络钓鱼有效负载交互的其他详细信息。

2022 年 12 月

新的 Microsoft Defender XDR 基于角色的访问控制 (RBAC) 模型，支持 Microsoft Defender for Office，现已以公共预览版提供。有关详细信息，请参阅 Microsoft Defender XDR 基于角色的访问控制 (RBAC) 。
使用 Outlook 网页版中的内置“报告”按钮：使用 Outlook 网页版中的内置“报告”按钮将邮件报告为网络钓鱼、垃圾邮件，而不是垃圾邮件。

2022 年 10 月

自动调查电子邮件群集操作重复数据删除：我们添加了其他检查。如果过去一小时内已批准同一调查群集，则不会再次处理新的重复修正。
管理租户允许/阻止列表中的允许和块：
- 使用允许 过期管理 (目前在个人预览版) ，如果Microsoft尚未从允许中了解，Microsoft会自动将即将到期的许可到期时间延长 30 天，以防止合法电子邮件再次进入垃圾邮件或隔离状态。
- 政府云环境中的客户现在可以使用 URL 和电子邮件附件的管理员提交，在租户允许/阻止列表中为 URL 和附件创建允许和阻止条目。通过提交体验提交的数据不会离开客户租户，从而满足政府云客户端的数据驻留承诺。
URL 单击警报中的增强功能：
- 在新的回溯方案中，“检测到潜在的恶意 URL 单击”警报现在包括 过去 48 小时内 的任何单击， (电子邮件) 从确定恶意 URL 判决时开始。

2022 年 9 月

针对内部域和发件人的反欺骗增强：
- 为了进行欺骗保护，在反垃圾邮件策略中和用户允许列表中定义的允许发件人或域现在必须通过身份验证才能使允许的邮件得到遵守。此更改仅影响被视为内部的邮件， (发件人或发件人的域位于组织) 接受的域中。所有其他消息将继续像现在一样进行处理。
从 Office 操作中心自动重定向到统一操作中心： “电子邮件 & 协作”部分中 的“电子邮件 & 协作>评审>操作中心”中的操作中心https://security.microsoft.com/threatincidents 会自动重定向到 “操作 & 提交>操作中心>历史记录https://security.microsoft.com/action-center/history”。
从 Office 365 安全 & 合规中心自动重定向到 Microsoft Defender 门户： 对于在 Office 365 安全 & 合规中心访问安全解决方案的用户， (protection.office.com) 自动重定向到 Microsoft Defender 门户 (security.microsoft.com) 中的相应解决方案。此更改适用于所有安全工作流，例如 (警报、威胁管理和报告) 。
- 重定向 URL：
  - GCC 环境：
    - 从 Office 365 安全 & 合规中心 URL：protection.office.com
    - 若要Microsoft Defender XDR URL：security.microsoft.com
  - GCC-High 环境：
    - 从 Office 365 安全 & 合规中心 URL：scc.office365.us
    - Microsoft Defender XDR URL：security.microsoft.us
  - DoD 环境：
    - 从 Office 365 安全 & 合规中心 URL：scc.protection.apps.mil
    - Microsoft Defender XDR URL：security.apps.mil
Office 365 安全 & 合规中心中与安全性无关的项目不会重定向到 Microsoft Defender XDR。有关将合规性解决方案重定向到 Microsoft 365 合规中心的信息，请参阅消息中心发布244886。
此更改是 2022 年 3 月宣布的 Microsoft Defender XDR 向 GCC、GCC High 和 DoD 客户提供统一的 XDR 体验 - Microsoft Tech Community。
此更改使用户能够在一个门户中查看和管理其他Microsoft Defender XDR 安全解决方案。
此更改会影响使用 Office 365 安全 & 合规中心 (protection.office.com) 的所有客户，包括Microsoft Defender for Office (计划 1 或计划 2) 、Microsoft 365 E3/E5、Office 365 E3/E5 和 Exchange Online Protection。有关完整列表，请参阅 Microsoft 365 安全 & 合规性指南
此更改会影响登录到 Office 365 安全和合规性门户 (protection.office.com) 的所有用户，包括安全团队和访问电子邮件隔离体验的最终用户， Microsoft Defender 门户>评审>隔离。
默认情况下启用重定向，并且会影响租户的所有用户。
全局管理员^* 和安全管理员可以在 Microsoft Defender 门户中打开或关闭重定向，方法是导航到 “设置>电子邮件 & 协作>门户重定向 ”并切换重定向开关。

重要

^* Microsoft建议使用权限最少的角色。使用权限较低的帐户有助于提高组织的安全性。全局管理员是一种高特权角色，在无法使用现有角色时，应仅限于紧急情况。
内置保护：一个配置文件，它为所有 Defender for Office 365 客户默认启用安全链接和安全附件保护的基本级别。若要详细了解此新策略和优先级顺序，请参阅预设安全策略。若要了解设置的特定安全链接和安全附件控件，请参阅安全附件设置和安全链接策略设置。
高级搜寻中的 EmailEvents 表中现提供批量投诉级别，其数字 BCL 值介于 0 到 9。较高的 BCL 分数表示批量邮件更有可能产生投诉，并且更有可能是垃圾邮件。

2022 年 7 月

将操作引入“电子邮件”实体页：管理员可以从“电子邮件”实体页执行预防性、修正和提交操作。

2022 年 6 月

为欺骗发件人创建允许条目：使用租户允许/阻止列表创建允许的欺骗发件人条目。
模拟允许使用管理员提交：添加允许使用 Microsoft Defender XDR 中的 “提交” 页模拟发件人。
将用户报告的邮件提交到Microsoft进行分析：配置报告邮箱以截获用户报告的邮件，而无需将邮件发送到Microsoft进行分析。
查看用户报告的邮件和管理员提交的关联警报：查看每个用户报告的钓鱼邮件和管理员电子邮件提交的相应警报。
可配置的模拟保护自定义用户和域，并在预设策略中扩大范围：
- (选择) 将预设的严格/标准策略应用于整个组织，避免选择特定收件人用户、组或域的麻烦，从而保护组织的所有收件人用户。
- 在预设严格/标准策略中为自定义用户和自定义域配置模拟保护设置，并自动保护目标用户和目标域免受模拟攻击。
简化隔离体验 (Microsoft Defender XDR for office 365 中的第二部分) ：重点介绍其他功能，使隔离体验更易于使用。
在 Microsoft Defender for Office 365 中引入对优先级帐户的区分保护：引入 GCC、GCC-H 以及针对优先级帐户的差别化保护的 DoD 可用性。

2022 年 4 月

介绍 Microsoft Defender XDR 高级搜寻中的 URLClickEvents 表：使用 Microsoft Defender for Office 365 在高级搜寻中引入 UrlClickEvents 表。
手动电子邮件修正增强功能：使用新的以操作为中心的调查将 Microsoft Defender for Office 365 中采取的手动电子邮件清除操作引入 Microsoft Defender XDR (M365D) 统一操作中心。
在 Microsoft Defender for Office 365 中引入对优先级帐户的区分保护：介绍针对优先级帐户的区分保护的正式发布。

2022 年 3 月

简化了 Microsoft Defender for Office 365 中的提交体验：引入了新的统一和简化的提交过程，使体验更简单。

2022 年 1 月

更新了 Microsoft Defender for Office 365 的搜寻和调查体验：介绍 Defender for Office 365 中体验的电子邮件摘要面板，以及威胁资源管理器和实时检测的体验更新。

2021 年 10 月

高级传递 DKIM 增强：添加了对 DKIM 域条目的支持，作为第三方网络钓鱼模拟配置的一部分。
默认情况下安全：Exchange 邮件流规则 (默认扩展安全，也称为传输规则) 。

2021 年 9 月

改进了 Defender for Office 365 中的报告体验
隔离策略：管理员可以配置对收件人对隔离邮件的访问进行精细控制，并自定义最终用户垃圾邮件通知。
- 管理员体验视频
- 最终用户体验视频
- 此博客文章：简化隔离体验中介绍了隔离体验的其他新功能。
门户重定向默认开始，将用户从安全 & 符合性重定向到 Microsoft Defender XDR https://security.microsoft.com。

2021 年 8 月

对报告邮件进行管理员评审：管理员现在可以在最终用户查看报告的邮件后将模板化消息发送回最终用户。可以根据管理员的判断为组织自定义模板。
如果阻止的邮件是作为管理员提交过程的一部分提交的，则现在可以将允许条目添加到租户允许/阻止列表。根据块的性质，提交的 URL、文件和/或发件人允许将添加到租户允许/阻止列表。在大多数情况下，会添加允许，以便为系统提供一些时间，并在有需要时自然允许它。在某些情况下，Microsoft管理允许。有关更多信息，请参阅：

2021 年 7 月

自动调查中的电子邮件分析改进
高级传递：引入了一项新功能，用于配置向用户传递第三方网络钓鱼模拟，并将未筛选的邮件传递到安全操作邮箱。
Microsoft Teams 的安全链接
针对以下方案的新警报策略：遭到入侵的邮箱、表单钓鱼、由于替代而发送的恶意邮件以及舍入 ZAP
- 可疑电子邮件转发活动
- 用户已被限制共享表单和收集回复
- 表单因潜在的网络钓鱼尝试已被阻止
- 表单已被标记并确认为网络钓鱼
- ZAP 的新警报策略
Microsoft Defender for Office 365 警报现已集成到 Microsoft Defender XDR - Microsoft Defender XDR 统一警报队列和统一警报队列
用户标记现已集成到 Microsoft Defender for Office 365 警报体验中，包括：警报队列和 Office 365 安全性 & 合规性中的详细信息，以及将自定义警报策略的范围限定为用户标记，以创建有针对性的警报策略。
- 标记也可在 Microsoft Defender 门户的统一警报队列 (Microsoft Defender for Office 365 计划 2)

2021 年 6 月

防钓鱼策略中的新第一个联系人安全提示设置。当收件人首次收到来自发件人的电子邮件或不经常收到来自发件人的电子邮件时，会显示此安全提示。有关此设置及其配置方法的详细信息，请参阅以下文章：

2021 年 4 月/5 月

电子邮件实体页：电子邮件的统一 360 度视图，其中包含有关威胁、身份验证和检测、引爆详细信息以及全新的电子邮件预览体验的丰富信息。
Office 365 管理 API：更新 EmailEvents (RecordType 28) 以添加传递操作、原始和最新传递位置以及更新的检测详细信息。
Defender for Office 365 的威胁分析：查看主动威胁参与者、常用技术和攻击面，以及来自Microsoft研究人员围绕正在进行的活动进行的大量报告。

2021 年 2 月/3 月

在搜寻体验中使用警报 ID 和 Alert-Explorer 导航) (警报 ID 集成
在狩猎体验中将记录的导出限制从 9990 个提高到 200,000 条
将资源管理器 (和实时检测) 试用租户的数据保留和搜索限制从以前的 7 (限制) 扩展到搜寻体验中的 30 天
新的搜寻透视称为“资源管理器”中的“模拟域 ”和“ 模拟用户 ”和“实时检测”，用于搜索针对受保护用户或域的模拟攻击。有关详细信息，请参阅威胁资源管理器中的网络钓鱼视图和实时检测。

Microsoft Defender for Office 365 计划 1 和计划 2

你知道Microsoft Defender for Office 365 在两个计划中可用吗？详细了解每个计划包含的内容。

通过