威脅調查及回應

• 適用於:

  ✅ Microsoft Defender for Office 365 Plan 2

提示

您知道您可以免費試用 Microsoft Defender XDR for Office 365 方案 2 中的功能嗎？ 在 Microsoft Defender 入口網站試用中樞使用適用於 Office 365 的 90 天 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

Microsoft Defender for Office 365 中的威脅調查和回應功能可協助安全性分析師和系統管理員保護其組織的商務使用者Microsoft 365：

• 讓您輕鬆地識別、監視及了解網路攻擊。
• 協助快速解決 Exchange Online、SharePoint Online、商務用 OneDrive 和 Microsoft Teams 中的威脅。
• 提供深入解析和知識，以協助安全性作業防止對其組織進行網路攻擊。
• 在 Office 365 中針對重要的電子郵件型威脅採用自動化調查和回應。

威脅調查和回應功能可讓您深入瞭解 Microsoft Defender 入口網站中提供的威脅和相關回應動作。 這些深入解析可協助貴組織的安全性小組保護使用者免於遭受電子郵件或檔案型攻擊。 這些功能有助於監視訊號，並從多個來源收集數據，例如用戶活動、驗證、電子郵件、遭入侵的計算機，以及安全性事件。 商務決策者和您的安全性作業小組可以使用這項資訊來瞭解並回應對組織的威脅，並保護您的智慧財產權。

熟悉威脅調查和回應工具

Microsoft Defender https://security.microsoft.com 入口網站中的威脅調查和回應功能是一組工具和回應工作流程，包括：

• 總管
• 事件
• 攻擊模擬訓練
• 自動調查及回應

總管

使用 總管 (和即時偵測) 來分析威脅、查看一段時間的攻擊量，以及依威脅系列、攻擊者基礎結構等分析數據。 總管 (也稱為威脅總管) 是任何安全性分析師調查工作流程的起點。

若要在 Microsoft Defender https://security.microsoft.com入口網站中檢視和使用此報告，請移至 [電子郵件 & 共同作業>總管]。 或者，若要直接移至 [ 總管] 頁面，請使用 https://security.microsoft.com/threatexplorer。

Office 365 威脅情報連線

只有當您有使用中的 Office 365 E5 或 G5 或Microsoft 365 E5 或 G5 訂閱或威脅情報附加元件時，才能使用此功能。 如需詳細資訊，請參閱 Office 365 企業版 E5 產品頁面。

來自 Microsoft Defender for Office 365 的數據會併入 Microsoft Defender XDR 中，以在 Office 365 信箱和 Windows 裝置上進行全面的安全性調查。

事件

使用事件清單 (這也稱為調查) ，以查看正式發行前小眾測試版安全性事件的清單。 事件可用來追蹤可疑的電子郵件訊息等威脅，以及進行進一步的調查和補救。

若要在 Microsoft Defender https://security.microsoft.com入口網站中檢視貴組織的目前事件清單，請移至 事件 & 警示>事件。 或者，若要直接移至 [ 事件 ] 頁面，請使用 https://security.microsoft.com/incidents。

攻擊模擬訓練

使用攻擊模擬訓練，在組織中設定並執行實際的網路攻擊，並在實際網路攻擊影響您的業務之前識別易受攻擊的人員。 若要深入瞭解，請參閱 模擬網路釣魚攻擊。

若要在 Microsoft Defender https://security.microsoft.com入口網站中檢視及使用此功能，請移至 電子郵件 & 共同作業>攻擊模擬訓練。 或者，若要直接移至 [攻擊模擬訓練 ] 頁面，請使用 https://security.microsoft.com/attacksimulator?viewid=overview。

自動化調查及回應

使用自動化調查和回應 (AIR) 功能，以節省時間和精力，將組織中面臨威脅的內容、裝置和有風險的人員相互關聯。 每當觸發特定警示，或由安全性作業小組啟動時，AIR 程式就可以開始。 若要深入瞭解，請參閱 Office 365 中的自動化調查和回應。

威脅情報小工具

在適用於 Office 365 的 Microsoft Defender 方案 2 供應專案中，安全性分析師可以檢閱已知威脅的詳細數據。 這有助於判斷是否有其他可採取的預防性措施/步驟來保護使用者安全。

如何取得這些功能？

Microsoft 365 威脅調查和回應功能包含在適用於 Office 365 的 Microsoft Defender 方案 2 中，此方案包含在企業版 E5 或特定訂閱的附加元件中。 若要深入瞭解，請參閱 適用於 Office 365 的 Defender 方案 1 與方案 2 小秘技。

必要角色和權限

Microsoft Defender for Office 365 使用角色型訪問控制。 許可權是透過 Microsoft Entra ID、Microsoft 365 系統管理中心或 Microsoft Defender 入口網站中的特定角色來指派。

提示

雖然某些角色，例如安全性系統管理員，可以在 Microsoft Defender 入口網站中指派，但請考慮改用 Microsoft 365 系統管理中心或 Microsoft Entra ID。 如需角色、角色群組和許可權的相關信息，請參閱下列資源：

• Microsoft Defender 入口網站中的許可權
• Microsoft內建角色

活動	角色及權限
使用 Microsoft Defender 弱點管理儀錶板 檢視最近或目前威脅的相關信息	下列其中之一： 全域管理員* 安全性系統管理員 安全性讀取者 您可以在 Microsoft Entra ID () https://portal.azure.com 或 Microsoft 365 系統管理中心 () https://admin.microsoft.com 中指派這些角色。
使用 總管 (和即時偵測) 來分析威脅	下列其中之一： 全域管理員* 安全性系統管理員 安全性讀取者 您可以在 Microsoft Entra ID () https://portal.azure.com 或 Microsoft 365 系統管理中心 () https://admin.microsoft.com 中指派這些角色。
檢視事件 (也稱為調查) 將電子郵件訊息新增至事件	下列其中之一： 全域管理員* 安全性系統管理員 安全性讀取者 您可以在 Microsoft Entra ID () https://portal.azure.com 或 Microsoft 365 系統管理中心 () https://admin.microsoft.com 中指派這些角色。
在事件中觸發電子郵件動作 尋找和刪除可疑的電子郵件訊息	下列其中之一： 全域管理員* 安全性系統管理員 加上 搜尋和清除 角色 全域管理員和安全性系統管理員*角色可以在 Microsoft Entra ID () https://portal.azure.com 或 Microsoft 365 系統管理中心 () https://admin.microsoft.com 中指派。 您必須在 Microsoft 36 Defender 入口網站的電子郵件 & 共同作業角色中指派搜尋和清除角色， () https://security.microsoft.com 。
整合適用於 Office 365 Microsoft Defender 方案 2 與適用於端點的 Microsoft Defender 整合 Microsoft Defender for Office 365 方案 2 與 SIEM 伺服器	在 Microsoft Entra ID () 或 Microsoft 365 系統管理中心 https://admin.microsoft.com (https://portal.azure.com) 中指派的全域管理員或安全性系統管理員角色。* --- 加 --- 在其他應用程式中指派的適當角色， (例如 Microsoft Defender 資訊安全中心 或您的 SIEM 伺服器) 。

重要事項

^* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色，當您無法使用現有角色時，應該僅限於緊急案例。

後續步驟

• 適用於 Office 365 Microsoft Defender 方案 2 中的威脅追蹤器
• 尋找並調查在 Office 365 威脅調查與回應 (傳遞的惡意電子郵件)
• 模擬網路釣魚攻擊