適用於 EOP 和適用於 Office 365 Microsoft Defender 中保護原則的設定分析器

文章
06/25/2024
適用於:

✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Microsoft Defender XDR for Office 365 方案 2 中的功能嗎？ 在 Microsoft Defender 入口網站試用中樞使用適用於 Office 365 的 90 天 Defender 試用版。在這裡瞭解誰可以註冊和試用條款。

Microsoft Defender 入口網站中的組態分析器提供中央位置，可尋找並修正安全策略，其中設定的安全性低於預設安全策略中的標準保護和嚴格保護配置檔設定。

組態分析器會分析下列類型的原則：

Exchange Online Protection (EOP) 原則：包含Microsoft 365 個具有 Exchange Online 信箱的組織，以及沒有 Exchange Online 信箱的獨立 EOP 組織：
- 反垃圾郵件原則。
- 反惡意代碼原則。
- EOP 防網路釣魚原則。
Microsoft適用於 Office 365 的 Defender 原則：包含Microsoft 365 E5 或適用於 Office 365 的 Defender 附加元件訂閱的組織：
- 適用於 Office 365 Microsoft Defender 中的防網路釣魚原則，包括：
  - EOP 防網路釣魚原則中可用的相同詐騙設定。
  - 模擬設定
  - 進階網路釣魚閾值
- 安全連結原則。
- 安全附件原則。

EOP 和適用於 Office 365 安全性Microsoft Defender 的建議設定中會說明作為基準的標準和嚴格原則設定值。

組態分析器也會檢查下列非原則設定：

DKIM：是否在 DNS 中偵測到指定網域的 SPF 和 DKIM 記錄。
Outlook：組織中是否啟用原生 Outlook 外部發件人標識符。

開始之前有哪些須知？

您會在開啟 Microsoft Defender 入口網站。https://security.microsoft.com 若要直接移至 [ 組態分析器] 頁面，請使用 https://security.microsoft.com/configurationAnalyzer。
若要連線至 Exchange Online PowerShell，請參閱連線至 Exchange Online PowerShell。
您必須獲得指派許可權，才能執行本文中的程式。您有下列選項：
- Microsoft Defender XDR 整合角色型訪問控制 (RBAC) ( 如果適用於Office 365 的 Defender 許可權為作用中的電子郵件 & 共同作業>。只會影響 Defender 入口網站，而不會影響 PowerShell) ： (管理) 的授權和設定/安全性設定/核心安全性設定或 (讀取) 的授權和設定/安全性設定/核心安全性設定。
- Microsoft Defender 入口網站中的電子郵件 & 共同作業許可權：
  - 使用組態分析器並更新受影響的安全策略： 組織管理 或 安全性系統管理員 角色群組中的成員資格。
  - 組態分析器的唯讀存取權：全域 讀取者 或 安全性讀 取者角色群組中的成員資格。
- Exchange Online 許可權： 僅限檢視組織管理 角色群組中的成員資格可讓您唯讀存取組態分析器。
- Microsoft權限：全域管理員、安全性系統管理員^*、全域讀取者或安全性讀取者角色的成員資格，可為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。
  
  重要事項
  
  ^* Microsoft建議您使用許可權最少的角色。使用較低許可權的帳戶有助於改善組織的安全性。全域管理員是高度特殊許可權的角色，當您無法使用現有角色時，應該僅限於緊急案例。

在 Microsoft Defender 入口網站中使用組態分析器

在 Microsoft Defender 入口網站https://security.microsoft.com中，移至 [範本化>原則] 區段中的 [電子郵件 & 共同作業原則 & 規則>威脅原則>設定分析器]。若要直接移至 [ 組態分析器] 頁面，請使用 https://security.microsoft.com/configurationAnalyzer。

[ 組態分析器] 頁面有三個主要索引標籤：

標準建議：將您現有的安全策略與標準建議進行比較。您可以調整設定值，使其達到與標準相同的層級。
嚴格建議：將您現有的安全策略與 Strict 建議進行比較。您可以調整設定值，使其達到與 Strict 相同的層級。
設定漂移分析和歷程記錄：稽核和追蹤一段時間的原則變更。

設定分析器中的標準建議和嚴格建議索引標籤

根據預設，組態分析器會在 [ 標準建議] 索 引標籤上開啟。您可以切換至 [ 嚴格建議] 索引 標籤。這兩個索引標籤上的設定、配置和動作都相同。

相較於標準或嚴格保護，索引標籤的第一個區段會顯示每種原則類型中需要改進的設定數目。原則的類型如下：

反垃圾郵件
防網路釣魚
反惡意代碼
如果您的訂用帳戶包含適用於 Office 365 的 Microsoft Defender (安全附件)
如果您 的訂用帳戶包含適用於 Office 365 的 Microsoft Defender (安全連結)
DKIM
如果您的 訂用帳戶包含適用於 Office 365 Microsoft Defender 的內建保護 ()
Outlook

如果未顯示原則類型和數位，則該類型的所有原則都符合標準或嚴格保護的建議設定。

索引標籤的其餘部分是需要達到標準或嚴格保護層級的設定數據表。資料表包含下列資料列^*：

建議：[標準] 或 [嚴格] 保護設定檔中的設定值。
原則：包含設定之受影響原則的名稱。
原則群組/設定名稱：需要注意的設定名稱。
原則類型：反垃圾郵件、反網路釣魚、反惡意代碼、安全連結或安全附件。
目前的組態：設定的目前值。
上次修改日期：上次修改原則的日期。
狀態：一般而言，此值 為 [未啟動]。

^* 若要查看所有資料行，您可能需要執行下列一或多個步驟：

在網頁瀏覽器中水平捲動。
縮小適當數據行的寬度。
縮小網頁瀏覽器。

若要篩選專案，請選取 [ 篩選]。下列篩選條件可在開啟 的 [篩選] 飛出視窗中使用：

反垃圾郵件
防網路釣魚
反惡意代碼
安全附件
安全連結
ATP 內建保護規則
DKIM
Outlook

當您在 [ 篩選 ] 飛出視窗中完成時，請選取 [ 套用]。若要清除篩選，請選取 [清除篩選]。

使用 [ 搜尋] 方塊和對應的值來尋找特定專案。

檢視建議原則設定的詳細數據

在組態分析器的 [ 標準保護 ] 或 [ 嚴格保護 ] 索引卷標上，按兩下建議名稱旁邊複選框以外的數據列中的任何位置，選取專案。在開啟的詳細數據飛出視窗中，提供下列資訊：

原則：受影響原則的名稱。
原因？：我們為何建議設定值的相關信息。
要變更的特定設定，以及要變更的值。
檢視原則：此連結會帶您前往 Microsoft Defender 入口網站中受影響原則的詳細數據飛出視窗，您可以在其中手動更新設定。
EOP 和 Microsoft Defender for Office 365 安全性的建議設定連結。

提示

若要查看其他建議的詳細數據，而不需離開詳細數據飛出視窗，請使用飛出視窗頂端的 [上一頁] 和 [下一步]。

當您在詳細資料飛出視窗中完成時，請選取 [ 關閉]。

對建議的原則設定採取動作

在組態分析器的 [ 標準保護 ] 或 [ 嚴格保護 ] 索引卷標上，選取建議名稱旁邊的複選框來選取專案。下列動作會出現在頁面上：

套用建議：如果建議需要多個步驟，此動作會呈現灰色。

當您選取此動作時，會 (確認對話方塊，並選擇不要在開啟) 再次顯示對話方塊。當您選取 [確定] 時，會發生下列情況：
- 設定會更新為建議的值。
- 仍會選取建議，但唯一可用的動作是 [重新整理]。
- 數據列的 [狀態 ] 值會變更為 [ 完成]。
檢視原則：您會前往 Microsoft Defender 入口網站中受影響原則的詳細數據飛出視窗，您可以在其中手動更新設定。
匯出：將選取的建議匯出至 .csv 檔案，選取 [ 匯出]。

您也可以在選取多個建議之後，或選取 [建議] 數據行標頭旁的複選框來選取所有建議之後，匯出建議。