试用用户指南：Microsoft Defender for Office 365

• 适用于:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用 Microsoft Defender XDR for Office 365 计划 2 中的功能吗？ 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender for Office 365 试用版。 在此处了解谁可以注册和试用条款。

欢迎使用 Microsoft Defender for Office 365 试用版用户指南！ 本用户指南介绍如何保护组织免受电子邮件、链接 (URL) 和协作工具构成的恶意威胁，从而帮助你充分利用免费试用版。

什么是 Defender for Office 365？

Defender for Office 365 通过提供一系列全面的功能（包括威胁防护策略、报告、威胁调查和响应功能以及自动调查和响应功能），帮助组织保护企业安全。

除了检测高级威胁之外，以下视频还演示 Defender for Office 365 的 SecOps 功能如何帮助团队应对威胁：

Defender for Office 365 的审核模式与阻止模式

你希望 Defender for Office 365 体验是主动体验还是被动体验？ 可以从以下两种模式中进行选择：

• 审核模式：为防钓鱼 (创建特殊 评估策略 ，其中包括模拟保护) 、安全附件和安全链接。 这些评估策略配置为仅 检测 威胁。 Defender for Office 365 检测有害邮件进行报告，但邮件不会 (例如，检测到的邮件不会) 隔离。 本文后面的 审核模式下策略 部分介绍了这些评估策略的设置。

  审核模式提供对在 Microsoft Defender for Office 365 评估页上https://security.microsoft.com/atpEvaluation由 Defender for Office 365 中的评估策略检测到的威胁的自定义报告的访问权限。

• 阻止模式： 预设安全策略 的标准模板已打开并用于试用版，并且你指定包含在试用版中的用户将添加到标准预设安全策略中。 Defender for Office 365 会检测 有害邮件并 采取操作 ， (例如，检测到的邮件) 隔离。

  默认和建议的选择是将这些 Defender for Office 365 策略的范围限定为组织中的所有用户。 但是，在设置试用版期间或之后，可以在 Microsoft Defender 门户或 PowerShell 中将策略分配更改为特定用户、组或电子邮件域。

  阻止模式不会为 Defender for Office 365 检测到的威胁提供自定义报告。 相反，Defender for Office 365 计划 2 的常规报告和调查功能中提供了此信息。 有关详细信息，请参阅 阻止模式的报告。

确定哪些模式可供使用的关键因素包括：

• 无论你当前是否具有 Defender for Office 365 (计划 1 或计划 2) ，如 Defender for Office 365 的评估与试用中所述。

• 如何将电子邮件传递到 Microsoft 365 组织，如以下方案所述：

  • 来自 Internet 的邮件直接Microsoft 365 流动，但当前订阅只有 Exchange Online Protection (EOP) 或 Defender for Office 365 计划 1。

    

    在这些环境中， 审核模式 或 阻止模式 可用， 具体取决于你的许可。

  • 你当前正在使用第三方服务或设备对 Microsoft 365 邮箱进行电子邮件保护。 来自 Internet 的邮件在传递到 Microsoft 365 组织之前流经保护服务。 Microsoft 365 保护尽可能低， (它永远不会完全关闭;例如，始终) 强制实施恶意软件保护。

    

    在这些环境中，只有 审核模式 可用。 无需更改邮件流 (MX 记录) 评估 Defender for Office 365 计划 2。

让我们开始吧！

阻止模式

步骤 1：在阻止模式下入门

开始 Microsoft Defender for Office 365 试用版

启动试用版并完成 设置过程 后，更改最长可能需要 2 小时才能生效。

我们已在你的环境中自动启用 标准预设安全策略 。 此配置文件表示适用于大多数用户的基线保护配置文件。 标准保护包括:

• 安全链接、安全附件和反钓鱼策略的范围限于在试用设置过程中可能选择的整个租户或用户子集。
• 用于 SharePoint、OneDrive 和 Microsoft Teams 的安全附件保护。
• 受支持的 Office 365 应用的安全链接保护。

观看此视频了解更多信息: 使用 Microsoft Defender for Office 365 - YouTube 中的安全链接防范恶意链接。

使用户能够在阻止模式下报告可疑内容

Defender for Office 365 使用户能够向其安全团队报告消息，并允许管理员将邮件提交给 Microsoft 进行分析。

• 验证或配置 用户报告设置 ，使报告邮件转到指定的报告邮箱和/或Microsoft。
• 部署 报告邮件加载项或报告钓鱼加载项 ，以便用户报告邮件。 或者，用户可以使用 Outlook 网页版中的内置 “报表 ”按钮 (以前称为 Outlook Web App 或 OWA) 。
• 建立工作流以 报告误报和漏报。
• 使用 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=user的 “用户报告” 选项卡查看和管理用户报告的消息。

观看此视频了解详细信息： 了解如何使用“提交”页面提交消息进行分析 - YouTube。

查看报告以了解阻止模式下的威胁环境

使用 Defender for Office 365 中的报表功能获取有关环境的更多详细信息。

• 使用 威胁防护状态报告 了解电子邮件和协作工具中收到的威胁。
• 使用 邮件流状态报告 查看阻止威胁的位置。
• 使用 URL 保护报告 查看用户查看或系统阻止的链接。

步骤 2：阻塞模式下的中间步骤

优先关注你最有针对性的用户

使用 Defender for Office 365 中的优先级帐户保护功能保护最有针对性和最可见的用户，这有助于确定工作流的优先级以确保这些用户的安全。

• 确定最有针对性或最可见的用户。
• 将这些用户标记 为优先级帐户。
• 在整个门户中跟踪对优先级帐户的威胁。

观看此视频了解更多信息: 在 Microsoft Defender for Office 365 - YouTube 中保护优先账户。

防止用户泄露，避免成本高昂的漏洞

对潜在的损害发出警报，并自动限制这些威胁的影响，以防止攻击者更深入地访问你的环境。

• 查看 泄露的用户警报。
• 调查并响应被入侵用户。

观看此视频了解更多信息: 在 Microsoft Defender for Office 365 - YouTube 中检测和响应入侵。

使用威胁资源管理器调查恶意电子邮件

Defender for Office 365 使你能够调查使组织中的人员面临风险的活动，并采取措施保护你的组织。 可以使用 威胁资源管理器 (资源管理器) 执行此操作：

• 查找已发送的可疑邮件: 查找和删除邮件、识别恶意电子邮件发件人的 IP 地址，或启动事件以供进一步调查。
• 威胁资源管理器和实时检测中的电子邮件安全方案

查看面向组织的活动

通过 Defender for Office 365 中的活动视图查看大图，可查看针对组织的攻击活动及其对用户的影响。

• 确定面向用户的活动。

• 可视化攻击的范围。

• 跟踪用户与这些消息 交互。

  

观看此视频了解更多信息: 在 Microsoft Defender for Office 365 - YouTube 中的活动视图。

使用自动化来修正风险

使用自动调查和响应 (AIR) 高效想要以查看、确定优先级并响应威胁。

• 详细了解 调查用户指南。
• 查看调查的详细信息和结果。
• 通过 批准 的修正操作来消除威胁。

步骤 3：阻止模式下的高级内容

通过基于查询的搜寻深入了解数据

使用高级搜寻编写自定义检测规则，主动检查环境中的事件，并查找威胁指示器。 浏览环境中的原始数据。

• 生成自定义检测规则。
• 访问他人创建的共享查询。

观看此视频了解详细信息： 使用 Microsoft Defender XDR 进行威胁搜寻 - YouTube。

通过模拟攻击来训练用户发现威胁

通过 Defender for Office 365 中的攻击模拟培训，为用户提供正确的知识来识别威胁并报告可疑消息。

• 模拟现实威胁 以识别易受攻击的用户。

• 根据模拟结果将训练 分配给用户。

• 在模拟和培训完成中 跟踪组织的进度。

  

审核模式

步骤 1：在审核模式下开始

启动 Defender for Office 365 评估

完成 设置过程 后，更改最长可能需要 2 小时才能生效。 我们已在你的环境中自动配置预设评估策略。

评估策略可确保不对 Defender for Office 365 检测到的电子邮件执行任何操作。

使用户能够在审核模式下报告可疑内容

Defender for Office 365 使用户能够向其安全团队报告消息，并允许管理员将邮件提交给 Microsoft 进行分析。

• 验证或配置 用户报告设置 ，使报告邮件转到指定的报告邮箱和/或Microsoft。
• 部署 报告邮件加载项或报告钓鱼加载项 ，以便用户报告邮件。 或者，用户可以使用 Outlook 网页版中的内置 “报表 ”按钮 (以前称为 Outlook Web App 或 OWA) 。
• 建立工作流以 报告误报和漏报。
• 使用 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=user的 “用户报告” 选项卡查看和管理用户报告的消息。

观看此视频了解详细信息： 了解如何使用“提交”页面提交消息进行分析 - YouTube。

查看报告以了解审核模式下的威胁环境

使用 Defender for Office 365 中的报表功能获取有关环境的更多详细信息。

• 评估仪表板 提供评估期间 Defender for Office 365 检测到的威胁的简单视图。
• 使用 威胁防护状态报告 了解电子邮件和协作工具中收到的威胁。

步骤 2：审核模式中的中间步骤

使用威胁资源管理器调查审核模式下的恶意电子邮件

Defender for Office 365 使你能够调查使组织中的人员面临风险的活动，并采取措施保护你的组织。 可以使用 威胁资源管理器 (资源管理器) 执行此操作：

• 查找已发送的可疑邮件: 查找和删除邮件、识别恶意电子邮件发件人的 IP 地址，或启动事件以供进一步调查。
• 威胁资源管理器和实时检测中的电子邮件安全方案

在评估期结束时转换为标准保护

准备好在生产环境中启用 Defender for Office 365 策略时，可以使用 “转换为标准保护 ”，通过启用 标准预设安全策略（其中包含审核模式中的任何/所有收件人）轻松地从审核模式切换到阻止模式。

从第三方保护服务或设备迁移到 Defender for Office 365

如果你已有位于 Microsoft 365 前的第三方保护服务或设备，则可以将保护迁移到 Microsoft Defender for Office 365，以获得合并管理体验的优势、可能降低的成本（使用已支付的产品）以及具有集成安全保护的成熟产品。

有关详细信息，请参阅 从第三方保护服务或设备迁移到 Microsoft Defender for Office 365。

步骤 3：审核模式下的高级内容

通过在审核模式下模拟攻击来训练用户发现威胁

通过 Defender for Office 365 中的攻击模拟培训，为用户提供正确的知识来识别威胁并报告可疑消息。

• 模拟现实威胁 以识别易受攻击的用户。

• 根据模拟结果将训练 分配给用户。

• 在模拟和培训完成中 跟踪组织的进度。

  

其他资源

• 交互式指南: 不熟悉 Defender for Office 365? 查看 交互式指南 以了解如何入门。
• 快速跟踪入门指南： Microsoft Defender for Office 365
• Microsoft Defender for Office 365 文档：获取有关 Defender for Office 365 工作原理以及如何为组织实现它的详细信息。 访问 Microsoft Defender for Office 365 文档。
• 包含的内容: 有关产品层列出的 Office 365 电子邮件安全功能的完整列表，请查看 功能矩阵。
• 为什么 Defender for Office 365: Defender for Office 365 数据表 显示客户选择 Microsoft 的前 10 个原因。