EOP 和 適用於 Office 365 的 Microsoft Defender 中保護原則的組態分析器

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

Microsoft Defender 入口網站中的組態分析器提供一個集中位置，可尋找並修正安全策略，其中設定的安全性低於預設安全策略中的標準保護和嚴格保護配置檔設定。

組態分析器會分析下列類型的原則：

• Exchange Online Protection (EOP) 原則：包含Microsoft 365 個具有 Exchange Online 信箱和獨立 EOP 組織的組織，而沒有 Exchange Online 信箱：

  • 反垃圾郵件原則。
  • 反惡意代碼原則。
  • EOP 防網路釣魚原則。

• 適用於 Office 365 的 Microsoft Defender 原則：包含具有 Microsoft 365 E5 或 適用於 Office 365 的 Defender 附加元件訂用帳戶的組織：

  • 適用於 Office 365 的 Microsoft Defender 中的防網路釣魚原則，包括：
    • EOP 防網路釣魚原則中可用的相同 詐騙設定 。
    • 模擬設定
    • 進階網路釣魚閾值
  • 安全連結原則。
  • 安全附件原則。

EOP 和 適用於 Office 365 的 Microsoft Defender 安全性的建議設定中會說明作為基準的標準和嚴格原則設定值。

組態分析器也會檢查下列非原則設定：

• DKIM：是否在 DNS 中偵測到指定網域的 SPF 和 DKIM 記錄。
• Outlook：組織中是否 啟用 原生 Outlook 外部發件人標識符。

開始之前有哪些須知？

• 您會在 開啟 Microsoft Defender 入口網站。https://security.microsoft.com 若要直接移至 [ 組態分析器] 頁面， 請使用 https://security.microsoft.com/configurationAnalyzer。

• 若要連線至 Exchange Online PowerShell，請參閱連線至 Exchange Online PowerShell。

• 您必須獲得指派許可權，才能執行本文中的程式。 您有下列選項：

  • Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站，而不會影響 PowerShell) ： (管理) 的授權和設定/安全性設定/核心安全性設定或 (讀取) 的授權和設定/安全性設定/核心安全性設定。

  • 在 Microsoft Defender 入口網站中 Email & 共同作業許可權：

    • 使用組態分析器並更新受影響的安全策略： 組織管理 或 安全性系統管理員 角色群組中的成員資格。
    • 組態分析器的唯讀存取權：全域 讀取者 或 安全性讀 取者角色群組中的成員資格。

  • Exchange Online 權限：僅限檢視組織管理角色群組中的成員資格可讓您只讀存取組態分析器。

  • Microsoft Entra 權限：全域管理員、安全性系統管理員^*、全域讀取者或安全性讀取者角色的成員資格，可為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。

    重要事項

    ^* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色，應僅在無法使用現有角色的緊急案例下使用。

在 Microsoft Defender 入口網站中使用組態分析器

在 Microsoft Defender 入口網站https://security.microsoft.com中，移至 [範本化原則>] 區段中的 [Email & 共同作業原則 & 規則>威脅>原則設定分析器]。 若要直接移至 [ 組態分析器] 頁面， 請使用 https://security.microsoft.com/configurationAnalyzer。

[ 組態分析器] 頁面有三個主要索引標籤：

• 標準建議：將您現有的安全策略與標準建議進行比較。 您可以調整設定值，使其達到與標準相同的層級。
• 嚴格建議：將您現有的安全策略與 Strict 建議進行比較。 您可以調整設定值，使其達到與 Strict 相同的層級。
• 設定漂移分析和歷程記錄：稽核和追蹤一段時間的原則變更。

設定分析器中的標準建議和嚴格建議索引標籤

根據預設，組態分析器會在 [ 標準建議] 索 引標籤上開啟。您可以切換至 [ 嚴格建議] 索引 標籤。這兩個索引標籤上的設定、配置和動作都相同。

相較於標準或嚴格保護，索引標籤的第一個區段會顯示每種原則類型中需要改進的設定數目。 原則的類型如下：

• 反垃圾郵件
• 防網路釣魚
• 反惡意代碼
• 如果您的訂用帳戶包含 適用於 Office 365 的 Microsoft Defender) ，則會 (安全附件
• 如果您的訂用帳戶包含安全連結 (適用於 Office 365 的 Microsoft Defender)
• DKIM
• 如果您的訂用帳戶包含內建保護 (適用於 Office 365 的 Microsoft Defender)
• Outlook

如果未顯示原則類型和數位，則該類型的所有原則都符合標準或嚴格保護的建議設定。

索引標籤的其餘部分是需要達到標準或嚴格保護層級的設定數據表。 資料表包含下列資料列^*：

• 建議：[標準] 或 [嚴格] 保護設定檔中的設定值。
• 原則：包含設定之受影響原則的名稱。
• 原則群組/設定名稱：需要注意的設定名稱。
• 原則類型：反垃圾郵件、反網路釣魚、反惡意代碼、安全連結或安全附件。
• 目前的組態：設定的目前值。
• 上次修改日期：上次修改原則的日期。
• 狀態：一般而言，此值 為 [未啟動]。

^* 若要查看所有資料行，您可能需要執行下列一或多個步驟：

• 在網頁瀏覽器中水平捲動。
• 縮小適當數據行的寬度。
• 縮小網頁瀏覽器。

若要篩選專案，請選取 [ 篩選]。 下列篩選條件可在開啟 的 [篩選] 飛出視窗中使用：

• 反垃圾郵件
• 防網路釣魚
• 反惡意代碼
• 安全附件
• 安全連結
• ATP 內建保護規則
• DKIM
• Outlook

當您在 [ 篩選 ] 飛出視窗中完成時，請選取 [ 套用]。 若要清除篩選，請選取 [清除篩選]。

使用 [ 搜尋] 方塊和對應的值來尋找特定專案。

檢視建議原則設定的詳細數據

在組態分析器的 [ 標準保護 ] 或 [ 嚴格保護 ] 索引卷標上，按兩下建議名稱旁邊複選框以外的數據列中的任何位置，選取專案。 在開啟的詳細數據飛出視窗中，提供下列資訊：

• 原則：受影響原則的名稱。
• 原因？：我們為何建議設定值的相關信息。
• 要變更的特定設定，以及要變更的值。
• 檢視原則：此連結會帶您前往 Microsoft Defender 入口網站中受影響原則的詳細數據飛出視窗，您可以在其中手動更新設定。
• EOP 和 適用於 Office 365 的 Microsoft Defender 安全性的建議設定連結。

提示

若要查看其他建議的詳細數據，而不需離開詳細數據飛出視窗，請使用飛出視窗頂端的 [上一頁] 和 [下一步]。

當您在詳細資料飛出視窗中完成時，請選取 [ 關閉]。

對建議的原則設定採取動作

在組態分析器的 [ 標準保護 ] 或 [ 嚴格保護 ] 索引卷標上，選取建議名稱旁邊的複選框來選取專案。 下列動作會出現在頁面上：

• 套用建議：如果建議需要多個步驟，此動作會呈現灰色。

  當您選取此動作時，會 (確認對話方塊，並選擇不要在開啟) 再次顯示對話方塊。 當您選取 [確定] 時，會發生下列情況：

  • 設定會更新為建議的值。
  • 仍會選取建議，但唯一可用的動作是 [重新整理]。
  • 數據列的 [狀態 ] 值會變更為 [ 完成]。

• 檢視原則：您會前往 Microsoft Defender 入口網站中受影響原則的詳細數據飛出視窗，您可以在其中手動更新設定。

• 匯出：將選取的建議匯出至 .csv 檔案，選取 [ 匯出]。

  您也可以在選取多個建議之後，或選取 [建議] 數據行標頭旁的複選框來選取所有建議之後，匯出建議。

在您自動或手動更新設定之後，請選取 [重新整理] 以查看減少的建議數目，以及從結果中移除更新的數據列。

設定分析器中的 [設定偏移分析和歷程記錄] 索引標籤

注意事項

必須啟用整合稽核，才能進行漂移分析。

此索引標籤可讓您追蹤安全策略的變更，以及這些變更與標準或嚴格設定的比較。 根據預設，會顯示下列資訊：

• 上次修改日期
• 修改者
• 設定名稱
• 原則：受影響原則的名稱。
• 類型：反垃圾郵件、反網路釣魚、反惡意代碼、安全連結或安全附件。
• 組態變更：設定的舊值和新值
• 設定漂移：值 [增加 ] 或 [ 減少 ]，表示相較於建議的標準或嚴格設定，設定的安全性增加或降低。

若要篩選專案，請選取 [ 篩選]。 下列篩選條件可在開啟 的 [篩選] 飛出視窗中使用：

• 日期： 開始時間 和 結束時間。 從今天起，您可以回到90天。
• 類型： 標準保護 或 嚴格保護。

當您在 [ 篩選 ] 飛出視窗中完成時，請選取 [ 套用]。 若要清除篩選，請選取 [清除篩選]。

使用 ：：image type=“icon” source=“media/m365-cc-sc-search-icon.png” border=“false”：：： 搜尋 方塊，依 [ 修改者]、[ 設定名稱] 或 [ 類型 ] 值篩選專案。

若要將 [設定 漂移分析和歷程 記錄] 索引標籤上顯示的項目匯出至 .csv 檔案，請選取 [ 匯出]。