Microsoft 365 中的警示原則
您可以在 Microsoft Purview 合規性入口網站或 Microsoft Defender 入口網站中使用警示原則和警示儀錶板來建立警示原則,然後檢視當用戶執行符合警示原則條件的活動時產生的警示。 有數個預設警示原則可協助您監視活動,例如在 Exchange Online 中指派系統管理員許可權、惡意代碼攻擊、網路釣魚活動,以及異常層級的檔案刪除和外部共用。
提示
如需可用警示原則的清單和描述,請移至本文中的 預設警示 原則一節。
警示原則可讓您分類原則所觸發的警示、將原則套用至組織中所有的使用者、設定觸發警示時的臨界值等級,以及決定是否要在觸發警示時收到電子郵件通知。 另外還有一個 [ 警示 ] 頁面,您可以在其中檢視和篩選警示、設定警示狀態以協助您管理警示,然後在您處理或解決基礎事件之後關閉警示。
注意事項
警示原則可在下列組織中使用:
- Microsoft 365 企業版。
- Office 365 企業版。
- Office 365 美國政府版 E1/F1/G1、E3/F3/G3 或 E5/G5。
進階功能僅適用於下列組織:
- E5/G5。
- E1/F1/G1 或 E3/F3/G3 和下列其中一個附加元件訂用帳戶:
- Microsoft適用於 Office 365 的 Defender 方案 2。
- Microsoft 365 E5 合規性。
- E5 電子檔探索和稽核附加元件。
本文將醒目提示需要 E5/G5 或附加元件訂用帳戶的進階功能。
警示原則適用於美國政府組織, (Office 365 GCC、GCC High 和 DoD) 。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
警示原則的運作方式
以下是警示原則運作方式的快速概觀,以及當使用者或系統管理員活動符合警示原則的條件時所觸發的警示。
組織中的系統管理員會使用合規性入口網站或 Microsoft Defender 入口網站中的 [ 警示 原則] 頁面,來建立、設定及開啟警示原則。 您也可以使用安全性 & 合規性 PowerShell 中的 New-ProtectionAlert Cmdlet 來建立警示原則。
若要建立警示原則,您必須在合規性入口網站或 Defender 入口網站中獲派管理警示角色或組織設定角色。
注意事項
建立或更新警示原則后,最多需要 24 小時的時間,才能由原則觸發警示。 這是因為原則必須同步至警示偵測引擎。
用戶會執行符合警示原則條件的活動。 在惡意代碼攻擊的情況下,傳送給組織中使用者的受感染電子郵件訊息會觸發警示。
Microsoft 365 會產生警示,該警示會顯示在合規性入口網站或 Defender 入口網站的 [ 警示 ] 頁面上。 此外,如果警示原則已啟用電子郵件通知,Microsoft傳送通知給收件者清單。 系統管理員或其他使用者可以在 [警示] 頁面上看到的警示,取決於指派給使用者的角色。 如需詳細資訊,請參閱 檢視警示所需的 RBAC 許可權。
系統管理員會在 Microsoft Purview 合規性入口網站中管理警示。 管理警示包含指派警示狀態,以協助追蹤和管理任何調查。
警示原則設定
警示原則包含一組規則和條件,可定義產生警示的使用者或系統管理員活動,以及在執行活動時觸發警示的使用者清單,以及定義觸發警示之前必須進行的活動次數的臨界值。 您也對原則進行分類,並指派嚴重性等級。 這兩個設定可協助您管理警示原則 (,以及) 比對原則條件時觸發的警示,因為您可以在管理原則和檢視 Microsoft Purview 合規性入口網站中的警示時,篩選這些設定。 例如,您可以檢視符合相同類別條件的警示,或檢視具有相同嚴重性層級的警示。
若要檢視和建立警示原則:
Microsoft Purview 合規性入口網站:
移至 合規性入口網站,然後選取 [ 原則>警示警示>原則]。
![在 Microsoft Purview 合規性入口網站中,選取 [原則],然後在 [警示] 下選取 [警示原則] 以檢視和建立警示原則。](media/launchalertpoliciesmcc.png)
Microsoft Defender 入口網站:
移至 Microsoft Defender 入口網站 ,然後在 [ 電子郵件 & 共同作業 ] 底下,選 取 [原則 & 規則>警示原則]。 或者,您可以直接前往 https://security.microsoft.com/alertpolicies。
![在 Defender 入口網站中,選取 [電子郵件 & 共同作業] 底下的 [原則 & 規則],然後選取 [警示原則] 以檢視和建立警示原則。](media/launchalertpoliciesdefenderportal.png)
注意事項
您必須獲指派 View-Only 管理警示角色,才能在 Microsoft Purview 合規性入口網站或 Microsoft Defender 入口網站中檢視警示原則。 您必須獲指派管理警示角色,才能建立和編輯警示原則。 如需詳細資訊,請參閱 Microsoft Purview 合規性入口網站中的權限。
警示原則包含下列設定和條件。
正在追蹤警示的活動。 您可以建立原則來追蹤活動,或在某些情況下建立一些相關活動,例如與外部使用者共用檔案、指派訪問許可權,或建立匿名連結來共用檔案。 當使用者執行原則所定義的活動時,系統會根據警示臨界值設定觸發警示。
注意事項
您可以追蹤的活動取決於組織的 Office 365 企業版或 Office 365 美國政府方案。 一般而言,與惡意代碼活動和網路釣魚攻擊相關的活動需要 E5/G5 訂用帳戶或 E1/F1/G1 或 E3/F3/G3 訂閱,以及 適用於 Office 365 的 Defender 方案 2 附加元件訂用帳戶。
活動條件。 對於大部分的活動,您可以定義必須符合才能觸發警示的其他條件。 常見的條件包括IP位址 (,以便當使用者在具有特定IP位址或IP位址範圍) 的電腦上執行活動時觸發警示、是否在特定使用者或使用者執行該活動時觸發警示,以及是否在特定的檔名或URL上執行活動。 您也可以設定一個條件,以在組織中的任何使用者執行活動時觸發警示。 可用的條件取決於選取的活動。
您也可以將使用者標籤定義為警示原則的條件。 此定義會導致原則觸發的警示包含受影響用戶的內容。 您可以使用系統使用者標籤或自訂使用者標籤。 如需詳細資訊,請參閱 Microsoft Defender for Office 365 中的使用者標籤。
觸發警示時。 您可以設定一個設定,定義觸發警示之前活動發生的頻率。 這可讓您設定原則,以在每次活動符合原則條件、超過特定閾值時,或當您組織遇到警示追蹤的活動變得不尋常時產生警示。
如果您根據不尋常的活動選取設定,Microsoft建立基準值,以定義所選活動的正常頻率。 建立此基準最多需要七天的時間,在此期間不會產生警示。 建立基準之後,當警示原則追蹤的活動頻率大幅超過基準值時,就會觸發警示。 針對稽核相關的活動 (例如檔案和資料夾活動) ,您可以根據單一使用者或組織中的所有使用者來建立基準;針對與惡意代碼相關的活動,您可以根據單一惡意代碼系列、單一收件者或組織中的所有郵件來建立基準。
注意事項
若要能夠根據閾值或根據不尋常的活動來設定警示原則,需要 E5/G5 訂用帳戶,或 E1/F1/G1 或 E3/F3/G3 訂用帳戶與適用於 Office 365 P2 的 Microsoft Defender、Microsoft 365 E5 合規性,或Microsoft 365 電子檔探索和稽核附加元件訂閱。 具有 E1/F1/G1 和 E3/F3/G3 訂用帳戶的組織只能建立警示原則,每次活動發生時都會觸發警示。
警示類別。 若要協助追蹤和管理原則所產生的警示,您可以將下列其中一個類別指派給原則。
- 資料外洩防護
- 資訊控管
- 郵件流程
- 權限
- 威脅管理
- 其他人
當發生符合警示原則條件的活動時,產生的警示會標記為此設定中定義的類別。 這可讓您在 Microsoft Purview 入口網站 的 [警示 ] 頁面上追蹤和管理具有相同類別設定的警示,因為您可以根據類別來排序和篩選警示。
警示嚴重性。 與警示類別類似,您會將嚴重性屬性指派 (低、 中、 高或 資訊) 給警示原則。 就像警示類別,當發生符合警示原則條件的活動時,所產生的警示會以針對警示原則所設定的嚴重性等級進行標記。 同樣地,這可讓您在 [警示] 頁面上追蹤和管理具有相同嚴重性設定 的 警示。 例如,您可以篩選警示清單,只顯示 高嚴重性的 警示。
提示
設定警示原則時,請考慮將較高的嚴重性指派給可能會造成嚴重負面後果的活動,例如在傳遞給使用者之後偵測到惡意代碼、檢視敏感或分類的數據、與外部使用者共享數據,或其他可能導致數據遺失或安全性威脅的活動。 這可協助您排定警示的優先順序,以及您為調查和解決根本原因所採取的動作。
自動化調查。 某些警示會觸發自動化調查,以識別需要補救或緩和的潛在威脅和風險。 在大部分情況下,這些警示是透過偵測惡意電子郵件或活動來觸發,但在某些情況下,警示是由安全性入口網站中的系統管理員動作所觸發。 如需自動化調查的詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 中的自動化調查和回應 (AIR) 。
電子郵件通知。 您可以設定原則,以便在 (傳送電子郵件通知,或在觸發警示時,) 傳送電子郵件通知給使用者清單。 您也可以設定每日通知限制,如此一來,一旦達到通知數目上限,就不會在當天針對警示傳送任何通知。 除了電子郵件通知之外,您或其他系統管理員還可以在 [警示] 頁面上檢視原則所觸發 的 警示。 請考慮針對特定類別或具有較高嚴重性設定的警示原則啟用電子郵件通知。
默認警示原則
Microsoft提供內建的警示原則,可協助識別 Exchange 系統管理員許可權濫用、惡意代碼活動、潛在的外部和內部威脅,以及資訊控管風險。 在 [ 警示原則] 頁面上,這些內建原則的名稱是粗體,而原則類型會定義為 [系統]。 默認會開啟這些原則。 您可以關閉這些原則 (或重新開啟) 、設定要傳送電子郵件通知的收件者清單,以及設定每日通知限制。 無法編輯這些原則的其他設定。
下表列出並描述可用的預設警示原則,以及每個原則指派給的類別。 類別是用來判斷使用者可以在 [警示] 頁面上檢視的警示。 如需詳細資訊,請參閱 檢視警示所需的 RBAC 許可權。
這些數據表也指出每一項所需的 Office 365 企業版和 Office 365 美國政府方案。 如果您的組織除了 E1/F1/G1 或 E3/F3/G3 訂用帳戶之外,還有適當的附加元件訂用帳戶,則可使用一些預設警示原則。
注意事項
某些內建原則所監視的異常活動,是以與先前所述的警示閾值設定相同的程序為基礎。 Microsoft會建立基準值,以定義「一般」活動的正常頻率。 當內建警示原則追蹤的活動頻率大幅超過基準值時,就會觸發警示。
資訊控管警示原則
注意事項
本節中的警示原則正在根據客戶意見反應被取代為誤判。 若要保留這些警示原則的功能,您可以使用相同的設定建立自定義警示原則。
| 名稱 | 描述 | 嚴重性 | 自動化調查 | 訂閱 |
|---|---|---|---|---|
| 不尋常的外部檔案共享數量 | 當 SharePoint 或 OneDrive 中異常大量的檔案與組織外部的用戶共用時,就會產生警示。 | 中 | 否 | E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件訂閱。 |
郵件流程警示原則
| 名稱 | 描述 | 嚴重性 | 自動化調查 | 必要的訂用帳戶 |
|---|---|---|---|---|
| 郵件已延遲 | 當Microsoft無法使用連接器將電子郵件訊息傳遞至內部部署組織或合作夥伴伺服器時,產生警示。 發生這種情況時,訊息會在 Office 365 中排入佇列。 當有 2,000 則訊息或超過一小時已排入佇列時,就會觸發此警示。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 偵測到全部回復的 Storm | 偵測到全部回復的 Storm,且至少一個郵件線程的全部回復遭到封鎖時,就會觸發此警示。 如需詳細資訊,請參閱 全部回復 Storm 保護報告。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
許可權警示原則
| 名稱 | 描述 | 嚴重性 | 自動化調查 | 必要的訂用帳戶 |
|---|---|---|---|---|
| 提高 Exchange 系統管理員許可權 | 當有人獲指派 Exchange Online 組織中的系統管理許可權時,產生警示。 例如,當使用者新增至 Exchange Online 中的組織管理角色群組時。 | 低 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
威脅管理警示原則
| 名稱 | 描述 | 嚴重性 | 自動化調查 | 必要的訂用帳戶 |
|---|---|---|---|---|
| 偵測到潛在的惡意 URL 點擊 | 當組織中受 安全鏈接 保護的使用者按兩下惡意連結時,產生警示。 當使用者按兩下連結,而此事件觸發 URL 決策變更識別時,會產生此警示,Microsoft適用於 Office 365 的 Defender。 它也會檢查從識別惡意 URL 決策起過去 48 小時內的任何點選,並針對該惡意連結在 48 小時時間範圍內發生的點選產生警示。 此警示會自動觸發 適用於 Office 365 的 Defender 方案 2 中的自動化調查和回應。 如需觸發此警示之事件的詳細資訊,請 參閱設定安全鏈接原則。 | 高 | 是 | E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件訂閱。 |
| 發現租使用者允許封鎖清單專案為惡意專案 | 當Microsoft判斷對應至租用戶允許/封鎖清單中允許專案的管理員提交是惡意的時,會產生警示。 一旦Microsoft分析提交,就會觸發此事件。 允許專案會在其規定的持續時間內繼續存在。 如需觸發此警示之事件的詳細資訊,請 參閱管理租使用者允許/封鎖清單。 |
參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 用戶點選到可能的惡意 URL | 當組織中受 安全鏈接 保護的使用者按兩下惡意連結時,產生警示。 當使用者按兩下識別為惡意或擱置驗證) 的URL (,並根據貴組織Microsoft 365商務安全鏈接原則覆寫安全連結警告頁面 (,) 繼續前往URL託管的頁面/內容時,就會觸發此事件。 此警示會自動觸發 適用於 Office 365 的 Defender 方案 2 中的自動化調查和回應。 如需觸發此警示之事件的詳細資訊,請 參閱設定安全鏈接原則。 | 高 | 是 | E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件訂閱。 |
| 系統管理員提交結果已完成 | 當系統 管理員提交 完成已提交實體的重新掃描時,產生警示。 每次系統管理員提交轉譯重新掃描結果時,就會觸發警示。 這些警示旨在提醒您 檢閱先前提交的結果、提交用戶回報的訊息以取得最新的原則檢查和重新掃描決策,並協助您判斷組織中的篩選原則是否具有預期的影響。 |
參考 | 否 | E1/F1、E3/F3 或 E5 |
| 系統管理員觸發的電子郵件手動調查 | 當系統管理員從威脅總管觸發電子郵件的手動調查時,產生警示。 如需詳細資訊,請參閱 範例:安全性系統管理員從威脅總管觸發調查。 此警示會通知您的組織調查已啟動。 警示會提供觸發該警示的人員相關信息,並包含調查連結。 |
參考 | 是 | Microsoft 365 商務進階版、適用於 Office 365 的 Defender 方案 1 附加元件、E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件。 |
| 系統管理員觸發的使用者入侵調查 | 當系統管理員觸發來自威脅總管的電子郵件發件者或收件者的手動使用者入侵調查時,產生警示。 如需詳細資訊,請參閱 範例:安全性系統管理員從威脅總管觸發調查,其中顯示電子郵件上相關的手動觸發調查。 此警示會通知您的組織使用者入侵調查已啟動。 警示會提供觸發該警示的人員相關信息,並包含調查連結。 |
中 | 是 | Microsoft 365 商務進階版、適用於 Office 365 的 Defender 方案 1 附加元件、E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件。 |
| 建立轉寄/重新導向規則 | 當貴組織中的某人為其信箱建立收件匣規則,以將郵件轉寄或重新導向至另一個電子郵件帳戶時,就會產生警示。 此原則只會追蹤使用 Outlook 網頁版 (先前稱為 Outlook Web App) 或 Exchange Online PowerShell 所建立的收件匣規則。 如需在 Outlook 網頁版中使用收件匣規則轉寄和重新導向電子郵件的詳細資訊,請參閱 使用 Outlook 網頁版中的規則自動將郵件轉寄至另一個帳戶。 | 參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 電子文件探索搜尋已啟動或已匯出 | 當有人在 Microsoft Purview 入口網站中使用內容搜尋工具時,就會產生警示。 執行下列內容搜尋活動時,就會觸發警示:
當先前的內容搜尋活動與電子檔探索案例相關聯時,也會觸發警示。 如需內容搜尋活動的詳細資訊,請 參閱在稽核記錄中搜尋電子檔探索活動。 |
參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 傳遞後移除包含惡意檔案的電子郵件訊息 | 當包含惡意檔案的任何訊息傳遞至組織中的信箱時,會產生警示。 如果發生此事件,Microsoft使用 零時差自動清除從 Exchange Online 信箱移除受感染的郵件。 此原則會自動觸發 Office 365 中的自動化調查和回應。 如需此新原則的詳細資訊,請參閱 適用於 Office 365 的 Defender 中的新警示原則。 | 參考 | 是 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 傳遞後移除包含惡意 URL 的電子郵件訊息 | 當包含惡意 URL 的任何訊息傳遞至您組織中的信箱時,就會產生警示。 如果發生此事件,Microsoft使用 零時差自動清除從 Exchange Online 信箱移除受感染的郵件。 此原則會自動觸發 Office 365 中的自動化調查和回應。 如需此新原則的詳細資訊,請參閱 適用於 Office 365 的 Defender 中的新警示原則。 | 參考 | 是 | Microsoft 365 商務進階版、適用於 Office 365 的 Defender 方案 1 附加元件、E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件。 |
| 傳遞後移除包含惡意郵件的電子郵件訊息 | 注意:此警示原則已由 電子郵件訊息取代,其中包含傳遞後移除的惡意檔案。 此警示原則最終會消失,因此建議您停用它,並改用 包含傳遞後移除惡意檔案的電子郵件訊息 。 如需詳細資訊,請 參閱適用於 Office 365 的 Defender 中的新警示原則。 | 參考 | 是 | E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件訂閱。 |
| 傳遞後移除包含網路釣魚 URL 的電子郵件訊息 | 注意:此警示原則已由 電子郵件訊息取代,其中包含傳遞後移除的惡意 URL。 此警示原則最終會消失,因此建議您停用它,並改用 在傳遞後移除包含惡意 URL 的電子郵件訊息 。 如需詳細資訊,請 參閱適用於 Office 365 的 Defender 中的新警示原則。 | 參考 | 是 | Microsoft 365 商務進階版、適用於 Office 365 的 Defender 方案 1 附加元件、E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件。 |
| 傳遞後移除營銷活動的電子郵件訊息 | 當與 營銷活動 相關聯的任何訊息傳遞至組織中的信箱時,會產生警示。 如果發生此事件,Microsoft使用 零時差自動清除從 Exchange Online 信箱移除受感染的郵件。 此原則會自動觸發 Office 365 中的自動化調查和回應。 如需此新原則的詳細資訊,請參閱 適用於 Office 365 的 Defender 中的新警示原則。 | 參考 | 是 | Microsoft 365 商務進階版、適用於 Office 365 的 Defender 方案 1 附加元件、E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件。 |
| 傳送後即移除的電子郵件訊息 | 當任何不包含惡意實體的惡意訊息 (URL 或檔案) 或與活動相關聯的惡意訊息傳遞至您組織中的信箱時,就會產生警示。 如果發生此事件,Microsoft使用 零時差自動清除從 Exchange Online 信箱移除受感染的郵件。 此原則會自動觸發 Office 365 中的自動化調查和回應。 如需此新原則的詳細資訊,請參閱 適用於 Office 365 的 Defender 中的新警示原則。 | 參考 | 是 | Microsoft 365 商務進階版、適用於 Office 365 的 Defender 方案 1 附加元件、E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件。 |
| 用戶回報為垃圾郵件的電子郵件 | 當組織中的使用者使用 Outlook 中的內建 [報表] 按鈕或 [報表訊息] 載入宏,將郵件回報為垃圾郵件時,就會產生警示。 如需載入宏的詳細資訊,請參 閱使用報表訊息載入宏。 | 低 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 使用者報告為惡意郵件或網路釣魚的電子郵件 | 當組織中的使用者使用 Outlook 中的內建 [報表] 按鈕或 [報表訊息] 或 [報表網络釣魚] 載入宏,將郵件回報為網络釣魚時,就會產生警示。如需載入宏的詳細資訊,請參 閱使用報表訊息載入宏。 針對適用於 Office 365 的 Defender 方案 2、E5、G5 客戶,此警示會自動 在適用於 Office 365 的 Defender 方案 2 中觸發自動化調查和回應。 | 低 | 是 | Microsoft 365 商務進階版、適用於 Office 365 的 Defender 方案 1 附加元件、E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件。 |
| 用戶回報為非垃圾郵件的電子郵件 | 當組織中的使用者在 Outlook 或報表訊息載入宏中將訊息回報為非垃圾郵件時,就會產生警示。 如需載入宏的詳細資訊,請參 閱使用報表訊息載入宏。 | 低 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 超過電子郵件傳送限制 | 當貴組織中的某人傳送的郵件超過輸出垃圾郵件原則所允許的郵件數目時,就會產生警示。 這通常表示用戶傳送太多電子郵件,或帳戶可能遭到入侵。 如果您收到此警示原則所產生的警示,最好 檢查用戶帳戶是否遭到入侵。 | 中 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 失敗的確切數據比對上傳 | 當使用者 在上傳以精確數據比對為基礎的敏感性資訊類型時收到下列錯誤時,會產生警示:無法上傳新的敏感性資訊。 請於稍後再試一次。 | 高 | 否 | E5/G5。 |
| 表單因潛在網路釣魚嘗試而遭封鎖 | 當貴組織中的某人因為偵測到重複的網路釣魚嘗試行為而無法共享表單及使用Microsoft窗體收集回應時,產生警示。 | 高 | 否 | E1、E3/F3 或 E5 |
| 已標幟表單並確認為網路釣魚 | 當組織內以 Microsoft Forms 建立的表單透過 [報告濫用] 識別為潛在網路釣魚,並由Microsoft確認為網路釣魚時,就會產生警示。 | 高 | 否 | E1、E3/F3 或 E5 |
| 因為 ZAP 已停用,所以惡意代碼未受到攻擊 | 當Microsoft偵測到將惡意代碼訊息傳遞至信箱時,會產生警示,因為 Zero-Hour 網路釣魚訊息的自動清除已停用。 | 參考 | 否 | E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件訂閱。 |
| 包含傳遞後未移除惡意實體的訊息 | 當任何包含惡意內容的郵件 (檔案、URL、行銷活動、沒有實體) ,傳遞至您組織中的信箱時,就會產生警示。 如果發生此事件,Microsoft嘗試使用 零小時自動清除從 Exchange Online 信箱移除受感染的郵件,但因為失敗而未移除郵件。 建議您進行其他調查。 此原則會自動觸發 Office 365 中的自動化調查和回應。 | 中 | 是 | Microsoft 365 商務進階版、適用於 Office 365 的 Defender 方案 1 附加元件、E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件。 |
| MIP AutoLabel 模擬已完成 | 當模擬模式中的服務端自動套用標籤 原則完成時,產生警示。 | 低 | 否 | E5/G5。 |
| 因 ETR 覆寫而傳遞的網路釣魚¹ | 當Microsoft偵測到 Exchange 傳輸規則 (也稱為郵件流程規則) 允許將高信賴度網路釣魚郵件傳遞至信箱時產生警示。 如需 Exchange 傳輸規則 (郵件流程規則) 的詳細資訊,請參閱 Exchange Online 中) 的郵件流程規則 (傳輸規則。 | 參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 因IP允許原則而傳遞的網路釣魚¹ | 當Microsoft偵測到允許將高信賴度網路釣魚訊息傳遞至信箱的IP允許原則時,會產生警示。 如需IP允許原則 (連線篩選) 的詳細資訊,請參閱 設定預設連線篩選原則 - Office 365。 | 參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 網路釣魚未被點選,因為 ZAP 已停用¹ | 當Microsoft偵測到將高信賴度網路釣魚訊息傳遞至信箱時,會產生警示,因為 Zero-Hour 網路釣魚訊息的自動清除已停用。 | 參考 | 否 | E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件訂閱。 |
| 潛在的國家/州活動 | Microsoft威脅情報中心偵測到嘗試從您的租使用者入侵帳戶。 | 高 | 否 | Microsoft 365 商務進階版、適用於 Office 365 的 Defender 方案 1 附加元件、E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件。 |
| Purview 原則模擬已完成 | 產生警示,以在模擬完成時通知系統管理員支持模擬模式的任何 Purview 原則。 | 低 | 否 | E5/G5 |
| 系統管理員對電子郵件、URL 或寄件者採取的補救動作 |
注意:系統 管理員提交的系統管理動作已取代此警示原則。 此警示原則最終會消失,因此建議您停用它,並改用 系統管理員提交的系統管理動作 。 當系統管理員對選取的實體採取補救動作時,就會觸發此警示 |
參考 | 是 | Microsoft 365 商務進階版、適用於 Office 365 的 Defender 方案 1 附加元件、E5/G5 或適用於 Office 365 的 Defender 方案 2 附加元件。 |
| 已移除租用戶允許/封鎖清單中的專案 | 篩選系統並移除租使用者允許/封鎖清單中的允許專案時,產生警示。 拿掉受影響網域或電子郵件地址、檔案或URL (實體) 的允許專案時,就會觸發此事件。 您不再需要受影響的允許專案。 如果郵件中沒有其他項目判斷為不正確,則包含受影響實體的電子郵件會傳遞至收件匣。 按兩下時將允許URL和檔案。 如需觸發此警示之事件的詳細資訊,請 參閱管理租使用者允許/封鎖清單。 |
參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 已完成保留自動套用標籤原則模擬 | 當保留自動套用標籤原則模擬完成時產生警示。 | 低 | 否 | E5/G5 |
| 成功的確切數據比對上傳 | 在使用者成功上傳以精確數據比對為基礎的敏感性資訊類型之後,產生警示。 | 低 | 否 | E5/G5 |
| 可疑的連接器活動 | 在組織中的輸入連接器上偵測到可疑活動時產生警示。 郵件遭到封鎖,無法使用輸入連接器。 系統管理員會收到電子郵件通知和警示。 此警示提供如何調查、還原變更,以及解除封鎖受限制連接器的指引。 若要瞭解如何回應此警示,請參閱 回應遭入侵的連接器。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 可疑的電子郵件轉寄活動 | 當貴組織中的某人已自動將電子郵件轉寄至可疑的外部帳戶時,產生警示。 這是行為的早期警告,可能表示帳戶遭到入侵,但不夠嚴重,無法限制使用者。 雖然很少見,但此原則所產生的警示可能是異常。 最好 檢查用戶帳戶是否遭到入侵。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 偵測到可疑的電子郵件傳送模式 | 當貴組織中的某人已傳送可疑的電子郵件,而且有被限制無法傳送電子郵件的風險時,就會產生警示。 這是行為的早期警告,可能表示帳戶遭到入侵,但不夠嚴重,無法限制使用者。 雖然很少見,但此原則所產生的警示可能是異常。 不過,最好 檢查用戶帳戶是否遭到入侵。 | 中 | 是 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 觀察到可疑的租用戶傳送模式 | 在組織中觀察到可疑的傳送模式時產生警示,這可能會導致您的組織遭到封鎖而無法傳送電子郵件。 調查任何可能遭入侵的使用者和系統管理員帳戶、新連接器或開啟轉送,以避免租使用者超出閾值區塊。 如需為何封鎖組織的詳細資訊,請參閱 修正 Exchange Online 中錯誤碼 5.7.7xx 的電子郵件傳遞問題。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 用戶回報為安全性風險的Teams訊息 | 當 使用者將 Teams 訊息回報為安全性風險時,就會觸發此警示。 | 低 | 否 | E5/G5 或適用於 Office 365 的 Defender 附加元件。 |
| 租使用者允許/封鎖清單專案即將到期 | 當租使用者允許/封鎖清單專案中的允許專案或封鎖專案即將移除時,產生警示。 此事件會在到期日前七天觸發,這是根據專案建立或上次更新的時間而定。 針對允許專案和封鎖專案,您可以延長到期日。 如需觸發此警示之事件的詳細資訊,請 參閱管理租使用者允許/封鎖清單。 |
參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 受限制的租用戶無法傳送電子郵件 | 當組織中的大部分電子郵件流量偵測到可疑且Microsoft限制貴組織傳送電子郵件時,就會產生警示。 調查任何可能遭入侵的使用者和系統管理員帳戶、新的連接器或開啟轉送,然後連絡 Microsoft 支援服務以解除封鎖您的組織。 如需為何封鎖組織的詳細資訊,請參閱 修正 Exchange Online 中錯誤碼 5.7.7xx 的電子郵件傳遞問題。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 租用戶無法傳送未布建的電子郵件 | 從未註冊的網域傳送太多電子郵件, (也稱為 未布 建網域) 時,產生警示。 Office 365 可允許合理數量的電子郵件從未註冊的網域寄出,但您應該將每一個會用來傳送電子郵件的網域設定為接受的網域。 此警示表示組織中的所有使用者都無法再傳送電子郵件。 如需為何封鎖組織的詳細資訊,請參閱 修正 Exchange Online 中錯誤碼 5.7.7xx 的電子郵件傳遞問題。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 要求釋放隔離郵件的使用者 | 當使用者要求釋放隔離的郵件時,產生警示。 若要要求釋出隔離的郵件,隔離原則 (例如,從 [限制存取預設許可權] 群組) ,需要 [允許收件者要求郵件從隔離區釋出 (許可權][許可權][) ]。 如需詳細資訊,請參閱 允許收件者要求從隔離許可權釋放訊息。 | 參考 | 否 | Microsoft Business Basic、Microsoft Business Standard、Microsoft Business Premium、E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 受限制的用戶無法傳送電子郵件 | 當貴組織中的某人受限而無法傳送輸出郵件時,產生警示。 此警示通常表示遭入侵的帳戶,用戶會列在 的 [ 受限制的實體 ] 頁面上 https://security.microsoft.com/restrictedentities。 如需受限制使用者的詳細資訊,請參閱 從 [受限制的實體] 頁面移除封鎖的使用者。 | 高 | 是 | Microsoft Business Basic、Microsoft Business Standard、Microsoft Business Premium、E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 限制使用者共用表單和收集回應 | 當貴組織中的某人因為偵測到重複的網路釣魚嘗試行為而無法共享表單及使用Microsoft窗體收集回應時,產生警示。 | 高 | 否 | E1、E3/F3 或 E5 |
¹ 此警示原則是 因租使用者或使用者覆 寫而傳遞的網路釣魚取代功能的一部分,以及根據使用者意見反應移除的收 件匣/資料夾警示原則的使用者模擬網路 釣魚。 如需 Office 365 中反網路釣魚的詳細資訊,請參閱 反網路釣魚原則。
檢視警示
當組織中使用者執行的活動符合警示原則的設定時,系統會產生警示,並顯示在 Microsoft Purview 入口網站或 Defender 入口網站的 [ 警示 ] 頁面上。 根據警示原則的設定,觸發警示時,電子郵件通知也會傳送給指定的用戶清單。 針對每個警示,[ 警示 ] 頁面上的儀錶板會顯示對應警示原則的名稱、警示原則) 中定義之警示 (的嚴重性和類別,以及導致產生警示的活動發生次數。 此值是以警示原則的閾值設定為基礎。 儀錶板也會顯示每個警示的狀態。 如需使用 status 屬性來管理警示的詳細資訊,請參閱 管理警示。
若要檢視警示:
Microsoft Purview 合規性入口網站
移至 https://compliance.microsoft.com ,然後選取 [警示]。 或者,您可以直接前往 https://compliance.microsoft.com/compliancealerts。
![在合規性入口網站中,選取 [警示]。](media/viewalertsmcc.png)
Microsoft Defender 入口網站
移至 https://security.microsoft.com ,然後選取 [事件 & 警示>]。 或者,您可以直接前往 https://security.microsoft.com/alerts。
![在 Microsoft Defender 入口網站中,選取 [事件 & 警示],然後選取 [警示]。](media/viewalertsdefenderportal.png)
您可以使用下列篩選來檢視 [警示] 頁面上所有警示 的 子集:
- 狀態:顯示已指派特定狀態的警示。 默認狀態為 [作用中]。 您或其他系統管理員可以變更狀態值。
- 原則:顯示符合一或多個警示原則設定的警示。 或者,您可以顯示所有警示原則的所有警示。
- 時間範圍:顯示在特定日期和時間範圍內產生的警示。
- 嚴重性:顯示已指派特定嚴重性的警示。
- 類別:顯示來自一或多個警示類別的警示。
- Tags:顯示來自一或多個用戶標籤的警示。 標籤標會根據已標記的信箱或出現在警示中的使用者來反映。 若要深入瞭解,請參閱 適用於 Office 365 的 Defender 中的使用者標籤 。
- 來源:使用此篩選器可顯示 Microsoft Purview 入口網站中警示原則所觸發的警示,或Microsoft適用於雲端應用程式的 Defender 原則或兩者觸發的警示。 如需適用於雲端應用程式的Defender警示的詳細資訊,請參閱本文中的 View Defender for Cloud Apps 警示 一節。
重要事項
依使用者標籤篩選和排序目前處於公開預覽狀態,而且可能會在正式推出之前進行大幅修改。 Microsoft針對所提供的資訊,不提供任何明示或隱含的擔保。
警示匯總
當多個符合警示原則條件的事件在短時間內發生時,稱為 警示匯總的程式會將它們新增至現有的警示。 當事件觸發警示時,警示會產生並顯示在 [ 警示 ] 頁面上,並傳送通知。 如果在匯總間隔內發生相同的事件,則 Microsoft 365 會將新事件的詳細數據新增至現有的警示,而不是觸發新的警示。 警示匯總的目標是協助減少警示「疲勞」,並讓您專注於相同事件的較少警示並採取動作。
匯總間隔的長度取決於您的 Office 365 或 Microsoft 365 訂閱。
| 訂閱 | 集合體 間隔 |
|---|---|
| Office 365 或 Microsoft 365 E5/G5 | 1 分鐘 |
| 適用於 Office 365 的 Defender 方案 2 | 1 分鐘 |
| E5 合規性附加元件或 E5 探索和稽核附加元件 | 1 分鐘 |
| Office 365 或 Microsoft 365 E1/F1/G1 或 E3/F3/G3 | 15 分鐘 |
| 適用於 Office 365 的 Defender 方案 1 或 Exchange Online Protection | 15 分鐘 |
在匯總間隔內發生符合相同警示原則的事件時,會將後續事件的詳細數據新增至原始警示。 針對所有事件,匯總事件的相關信息會顯示在詳細數據欄位中,而使用匯總間隔的事件發生次數會顯示在活動/點擊計數位段中。 您可以檢視活動清單,以檢視所有匯總事件實例的詳細資訊。
下列螢幕快照顯示具有四個匯總事件的警示。 活動清單包含與警示相關的四個電子郵件訊息的相關信息。
請記住下列警示匯總事項:
偵測到可能惡意的 URL 點擊所觸發的警示,不會匯總預設警示原則。 之所以發生此行為,是因為此原則所觸發的警示對每個使用者和電子郵件訊息都是唯一的。
此時, [計數 ] 警示屬性不會指出所有警示原則的匯總事件數目。 對於這些警示原則所觸發的警示,您可以按兩下警示的 [ 檢視訊息清單 ] 或 [ 檢視活動 ] 來檢視匯總的事件。 我們正努力讓 [ 計數 ] 警示屬性中所列的匯總事件數目可供所有警示原則使用。
檢視警示所需的 RBAC 許可權
角色型訪問控制 (RBAC) 指派給組織中使用者的許可權,決定使用者可以在 [警示] 頁面上看到 哪些 警示。 如何完成這項作業? 指派給使用者的管理角色 (根據其在合規性入口網站或 Microsoft Defender 入口網站中的角色群組成員資格,) 決定使用者可以在 [ 警示 ] 頁面上看到的警示類別。 範例如下:
- 記錄管理角色群組的成員只能檢視已指派 [資訊控管] 類別之警示原則所產生的警示。
- 合規性系統管理員角色群組的成員無法檢視已指派 [威脅管理] 類別之警示原則所產生的警示。
- 「電子文件探索管理員」角色群組的成員無法檢視任何警示,因為所有指派的角色都不會提供任何警示類別的檢視警示的權限。
此設計 (以 RBAC 許可權為基礎,) 可讓您判斷組織中特定作業角色的使用者可以檢視 (和管理) 警示。
下表列出檢視來自六個不同警示類別之警示所需的角色。 複選標記表示獲指派該角色的使用者可以檢視標題列中所列對應警示類別的警示。
若要查看預設警示原則指派給哪個類別,請參閱 預設警示原則中的數據表。
提示
如需 Microsoft Defender XDR 整合角色型訪問控制 (RBAC) 中許可權的資訊,請參 閱 Microsoft Defender 入口網站中的警示原則。
| 角色 | Information 統轄 |
數據遺失 預防 |
郵件 流 |
權限 | 威脅 管理 |
其他人 |
|---|---|---|---|---|---|---|
| 合規性系統管理員 | ✔ | ✔ | ✔ | ✔ | ||
| DLP 合規性管理 | ✔ | |||||
| 資訊保護系統管理員 | ✔ | |||||
| 資訊保護分析員 | ✔ | |||||
| 資訊保護調查人員 | ✔ | |||||
| 管理提醒 | ✔ | |||||
| 組織組態 | ✔ | |||||
| 隱私權管理 | ||||||
| 隔離 | ||||||
| 記錄管理 | ✔ | |||||
| 保留管理 | ✔ | |||||
| 角色管理 | ✔ | |||||
| 安全性系統管理員 | ✔ | ✔ | ✔ | ✔ | ||
| 安全性讀取者 | ✔ | ✔ | ✔ | ✔ | ||
| 傳輸檢查 | ||||||
| 僅限檢視 DLP 合規性管理 | ✔ | |||||
| 僅限檢視組態 | ||||||
| 僅限檢視管理警示 | ✔ | |||||
| 僅限檢視收件者 | ✔ | |||||
| 僅限檢視記錄管理 | ✔ | |||||
| 僅限檢視保留管理 | ✔ |
提示
若要檢視指派給每個預設角色群組的角色,請在安全性 & 合規性 PowerShell 中執行下列命令:
$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,("-"*25); Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
您也可以在合規性入口網站或 Microsoft Defender 入口網站中檢視指派給角色群組的角色。 移至 [權 限] 頁面,然後選取角色群組。 指派的角色會列在飛出視窗頁面上。
管理警示
產生警示並顯示在 Microsoft Purview 入口網站的 [ 警示 ] 頁面之後,您可以分級、調查及解決警示。 為使用者提供警示存取權 的相同 RBAC 許可權,也讓他們能夠管理警示。
以下是您可以執行來管理警示的一些工作。
將狀態指派給警示:您可以將下列其中一個狀態指派給警示: 作用 中 (預設值) 、 調查、 已解決或 已解除。 然後,您可以篩選此設定,以顯示具有相同狀態設定的警示。 此狀態設定可協助追蹤管理警示的程式。
檢視警示詳細數據:您可以選取警示,以顯示包含警示詳細數據的飛出視窗頁面。 詳細資訊取決於對應的警示原則,但通常包含下列資訊:
- 觸發警示的實際作業名稱,例如 Cmdlet 或稽核記錄作業。
- 觸發警示之活動的描述。
- 觸發警示的使用者 (或) 用戶清單。 這僅包含在設定為追蹤單一使用者或單一活動的警示原則中。
- 警示所追蹤的活動執行次數。 此數目可能不符合 [警示] 頁面上所列的實際相關警示數目,因為可能觸發了更多警示。
- 活動清單的連結,其中包含觸發警示之每個執行活動的專案。 此清單中的每個專案會識別活動發生的時間、實際作業 (的名稱,例如 「FileDeleted」) 、執行活動的使用者、物件 (例如檔案、電子檔探索案例或活動執行所在的信箱) ,以及用戶計算機的 IP 位址。 針對與惡意代碼相關的警示,這會連結至訊息清單。
- 對應警示原則的名稱 (和連結) 。
隱藏電子郵件通知:您可以從警示的飛出視窗頁面關閉 (或隱藏) 電子郵件通知。 當您隱藏電子郵件通知時,Microsoft不會在發生符合警示原則條件的活動或事件時傳送通知。 但是,當使用者執行的活動符合警示原則的條件時,就會觸發警示。 您也可以編輯警示原則來關閉電子郵件通知。
解決警示:您可以在警示 (的飛出視窗頁面上,將警示標示為已解決) 。 除非您變更篩選,否則已解決的警示不會顯示在 [ 警示 ] 頁面上。
檢視適用於雲端應用程式的Defender警示
適用於雲端應用程式的Defender原則所觸發的警示現在會顯示在 Microsoft Purview 入口網站的 [ 警示 ] 頁面上。 這包括由適用於雲端應用程式的Defender中的異常偵測原則所觸發的活動原則和警示所觸發的警示。 這表示您可以在 Microsoft Purview 入口網站中檢視所有警示。 適用於雲端應用程式的Defender僅適用於具有 Office 365 企業版 E5 或 Office 365 美國政府 G5 訂閱的組織。 如需詳細資訊,請參閱 適用於雲端應用程式的Defender概觀。
將適用於雲端應用程式的Defender Microsoft為Enterprise Mobility + Security E5 訂用帳戶或獨立服務一部分的組織,也可以在合規性入口網站或 Microsoft Defender 入口網站中檢視與 Microsoft 365 應用程式和服務相關的適用於雲端應用程式的 Defender 警示。
若只要在 Microsoft Purview 入口網站或 Defender 入口網站中顯示適用於雲端應用程式的 Defender 警示,請使用 [來源 ] 篩選,然後選取 [ 適用於雲端應用程式的 Defender]。
類似於 Microsoft Purview 入口網站中警示原則所觸發的警示,您可以選取適用於雲端應用程式的 Defender 警示,以顯示包含警示詳細數據的飛出視窗頁面。 警示包含在適用於雲端應用程式的Defender入口網站中檢視詳細數據和管理警示的連結,以及觸發警示的對應適用於雲端應用程式的Defender原則連結。 請參閱 在適用於雲端應用程式的Defender中監視警示。
重要事項
在 Microsoft Purview 入口網站中變更適用於雲端應用程式的 Defender 警示狀態,並不會更新適用於雲端應用程式的 Defender 入口網站中相同警示的解決狀態。 例如,如果您在 Microsoft Purview 入口網站中將警示的狀態標示為已 解決 ,則適用於雲端應用程式的 Defender 入口網站中的警示狀態會保持不變。 若要解決或關閉適用於雲端應用程式的Defender警示,請在適用於雲端應用程式的Defender入口網站中管理警示。