为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。
在具有Microsoft Defender for Office 365的组织中,Office 365 for SharePoint、OneDrive 和 Microsoft Teams 的安全附件可保护组织免受无意中共享恶意文件的影响。 有关详细信息,请参阅 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
在 Microsoft Defender Exchange Online 门户或 PowerShell 中打开或关闭 Office 365 for SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
开始前,有必要了解什么?
在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到“ 安全附件 ”页,请使用 https://security.microsoft.com/safeattachmentv2。
在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到“ 安全附件 ”页,请使用 https://security.microsoft.com/safeattachmentv2。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。
若要为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件,你需要是 Microsoft Defender 门户中组织管理或安全管理员角色组的成员。 有关详细信息,请参阅 Microsoft Defender 门户中的权限。
若要使用 SharePoint Online PowerShell 阻止用户下载恶意文件,你需要是 Microsoft Entra ID 中的全局管理员或 SharePoint 管理员角色的成员。
验证是否为组织启用了审核日志记录, (默认启用) 。 有关说明,请参阅 打开或关闭审核。
设置最多需要 30 分钟才能生效。
步骤 1:使用 Microsoft Defender 门户为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略”部分中的“策略 & 规则>威胁策略>”“安全附件”。 或者,若要直接转到“ 安全附件 ”页,请使用 https://security.microsoft.com/safeattachmentv2。
在“ 安全附件 ”页上,选择“ 全局设置”。
在打开的 “全局设置” 浮出控件中,转到 “保护 SharePoint、OneDrive 和 Microsoft Teams 中的文件 ”部分。
将“打开 SharePoint、OneDrive 和 Microsoft Teams Defender for Office 365”开关向右移动以打开 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
完成“ 全局设置” 浮出控件后,选择“ 保存”。
使用 Exchange Online PowerShell 打开 SharePoint、OneDrive 和 Microsoft Teams 的安全附件
如果希望使用 PowerShell 打开 SharePoint、OneDrive 和 Microsoft Teams 的安全附件,请连接到 Exchange Online PowerShell 并运行以下命令:
Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true
有关详细语法和参数信息,请参阅 Set-AtpPolicyForO365。
步骤 2: (建议) 使用 SharePoint Online PowerShell 防止用户下载恶意文件
默认情况下,用户无法打开、移动、复制或共享* SharePoint、OneDrive 和 Microsoft Teams 安全附件检测到的恶意文件。 但是,他们可以删除和下载恶意文件。
* 如果用户转到 “管理访问权限”,“ 共享 ”选项仍然可用。
若要防止用户下载恶意文件, 请连接到 SharePoint Online PowerShell 并运行以下命令:
Set-SPOTenant -DisallowInfectedFileDownload $true
注意:
- 此设置会影响用户和管理员。
- 人员仍可删除恶意文件。
有关详细语法和参数信息,请参阅 Set-SPOTenant。
步骤 3 (建议) 使用Microsoft Defender门户为检测到的文件创建警报策略
可以创建一个警报策略,在 SharePoint、OneDrive 和 Microsoft Teams 安全附件检测到恶意文件时通知管理员。 若要详细了解警报策略,请参阅 Microsoft Defender 门户中的警报策略。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略 & 规则>警报策略”。 若要直接转到 警报策略 页面,请使用 https://security.microsoft.com/alertpolicies。
在 “警报策略 ”页上,选择“ 新建警报策略 ”以启动新的警报策略向导。
在 “命名警报、对其进行分类并选择严重性 ”页上,配置以下设置:
- 名称:键入唯一的描述性名称。 例如, 库中的恶意文件。
- 说明:键入可选说明。 例如, 在 SharePoint Online、OneDrive 或 Microsoft Teams 中检测到恶意文件时,通知管理员。
- 严重性:从下拉列表中选择 “低”、“ 中”或“ 高 ”。
- 类别:从下拉列表中选择“ 威胁管理 ”。
完成 命名警报后,对其进行分类,然后选择严重性 页,选择“ 下一步”。
在 “选择活动、条件和何时触发警报 ”页上,配置以下设置:
- 要发出警报的事项是什么? 节 >活动是>常见用户活动 部分 > ,从下拉列表 中选择文件中检测到的恶意软件 。
- 希望如何触发警报? 节: 选择“每次活动与规则匹配时”。
完成 “选择活动、条件和何时触发警报 ”页后,选择“ 下一步”。
在 “决定是否要在触发此警报时通知用户 ”页上,配置以下设置:
- 验证是否选择了“选择加入电子邮件通知”。 在“Email收件人”框中,选择一个或多个应在检测到恶意文件时接收通知的全局管理员、安全管理员或安全读取者。
- 每日通知限制:保留默认值 “无限制 ”。
完成“ 确定是否要在触发此警报时通知人员 ”页后,选择“ 下一步”。
在 “查看设置” 页上,查看设置。 可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面。
在“ 是否要立即打开策略?” 部分中,选择“ 是的,立即将其打开”。
完成“ 查看设置” 页后,选择“ 提交”。
在此页上,可以在只读模式下查看警报策略。
完成后,选择“ 完成”。
返回“ 警报策略 ”页,将列出新策略。
使用安全性 & 合规性 PowerShell 为检测到的文件创建警报策略
如果希望使用 PowerShell 创建上一部分所述的相同警报策略, 请连接到安全性 & 符合性 PowerShell 并运行以下命令:
New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"
注意:默认 严重性 值为低。 若要指定“中”或“高”,请在 命令中包含 Severity 参数和值。
有关详细的语法和参数信息,请参阅 New-ActivityAlert。
如何判断这些过程生效了?
若要验证是否已成功打开 SharePoint、OneDrive 和 Microsoft Teams 的安全附件,请使用以下步骤之一:
在Microsoft Defender门户中,转到“策略 & 规则>威胁策略>”部分>“安全附件”,选择“全局设置”,并验证“打开 SharePoint、OneDrive 和 Microsoft Teams Defender for Office 365”设置的值。
在 Exchange Online PowerShell 中,运行以下命令以验证属性设置:
Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
有关详细语法和参数信息,请参阅 Get-AtpPolicyForO365。
若要验证是否已成功阻止用户下载恶意文件,请打开 SharePoint Online PowerShell,并运行以下命令来验证属性值:
Get-SPOTenant | Format-List DisallowInfectedFileDownload
有关详细语法和参数信息,请参阅 Get-SPOTenant。
若要验证是否已成功为检测到的文件配置警报策略,请使用以下方法之一:
在 Microsoft Defender 门户中https://security.microsoft.com/alertpolicies,选择警报策略并验证设置。
在“安全 & 符合性 PowerShell”中,将 AlertPolicyName> 替换为<警报策略的名称,运行以下命令,并验证属性值:
Get-ActivityAlert -Identity "<AlertPolicyName>"
有关详细语法和参数信息,请参阅 Get-ActivityAlert。
使用 威胁防护状态报告 查看有关 SharePoint、OneDrive 和 Microsoft Teams 中检测到的文件的信息。 具体而言,可以使用“ 查看数据依据:内容 > 恶意软件 ”视图。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈