Microsoft Defender for Office 365 入门

在包含 Microsoft Defender for Office 365 (或作为附加订阅) 的新 Microsoft 365 组织中,本文介绍在组织的早期需要在 Exchange Online Protection (EOP) Defender for Office 365 中执行的配置步骤。

尽管 Microsoft 365 组织从创建它 (或向其添加 Defender for Office 365) 的那一刻起就包括默认保护级别,但本文中的步骤提供了一个可操作的计划,以释放 EOP 和 Defender for Office 365 的完整保护功能。 完成这些步骤后,还可以使用本文向管理层展示你在 Microsoft 365 中的投资最大化。

下图介绍了配置 EOP 和 Defender for Office 365 的步骤:

显示配置 Defender for Office 365 的步骤的概念图。

提示

作为本文的配套内容,我们建议在 中使用 Microsoft Defender for Office 365 自动设置指南 https://admin.microsoft.com/Adminportal/Home?Q=learndocs#/modernonboarding/office365advancedthreatprotectionadvisor。 本指南根据你的环境自定义你的体验。 若要在不登录和激活自动安装功能的情况下查看最佳做法,请转到 Microsoft 365 安装门户 https://setup.microsoft.com/defender/office-365-setup-guide。。

要求

电子邮件威胁防护功能包含在通过 EOP 使用云邮箱 的所有 Microsoft 365 订阅中。 Defender for Office 365 包括其他保护功能。 有关 EOP、Defender for Office 365 for Plan 1 和 Defender for Office 365 计划 2 中的功能的详细比较,请参阅 Microsoft Defender for Office 365 概述

角色和权限

若要配置 EOP 和 Defender for Office 365 功能,需要权限。 下表列出了执行本文中的步骤所需的权限, (一个权限就足够了:不需要全部) 。

角色或角色组 了解详细信息
Microsoft Entra 中的全局管理员* Microsoft Entra 内置角色
电子邮件中的组织管理 & 协作角色组 Microsoft Defender for Office 365 中的角色组
Microsoft Entra 中的安全管理员 Microsoft Entra 内置角色
电子邮件 & 协作角色组中的安全管理员 Microsoft Defender for Office 365 中的电子邮件 & 协作权限
Exchange Online 组织管理 Exchange Online 中的权限

重要

* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

步骤 1:为 Microsoft 365 域配置电子邮件身份验证

摘要:按该) 顺序配置 SPFDKIMDMARC 记录 (所有自定义Microsoft 365 个域 (包括) 的托管域和子域。 如有必要,请配置任何 受信任的 ARC 密封器

详细信息

电子邮件身份验证 (也称为 电子邮件验证) 是一组用于验证电子邮件是否合法、未经更改且来自发件人电子邮件域的预期来源的标准。 有关详细信息,请参阅 EOP 中的电子邮件身份验证

我们继续假设你在 Microsoft 365 中对电子邮件使用一个或多个 自定义域 (例如 contoso.com) ,因此你需要为用于电子邮件的每个自定义域创建特定的电子邮件身份验证 DNS 记录。

在 DNS 注册机构或 DNS 托管服务中,为 Microsoft 365 中用于电子邮件的每个自定义域创建以下电子邮件身份验证 DNS 记录:

  • 发件人策略框架 (SPF) :SPF TXT 记录标识域中发件人的有效电子邮件来源。 有关说明,请参阅 设置 SPF 以帮助防止欺骗

  • 域密钥标识邮件 (DKIM) :DKIM 对出站邮件进行签名,并将签名存储在邮件头中,以便邮件转发中幸存下来。 有关说明,请参阅 使用 DKIM 验证从自定义域发送的出站电子邮件

  • 基于域的邮件身份验证、报告和符合性 (DMARC) :DMARC 可帮助目标电子邮件服务器决定对自定义域中未通过 SPF 和 DKIM 检查的邮件执行的操作。 请务必将 DMARC 策略 (p=rejectp=quarantine) 和 DMARC 报告目标包含在 DMARC 记录中, (聚合和取证报告) 。 有关说明,请参阅 使用 DMARC 验证电子邮件

  • 经身份验证的接收链 (ARC) :如果使用第三方服务在传递到 Microsoft 365 之前修改传输中的 入站 消息,则可以将服务标识为 受信任的 ARC 封口器 (如果它们支持它) ,则修改后的邮件不会自动在 Microsoft 365 中失败电子邮件身份验证检查。 有关说明,请参阅 配置受信任的 ARC 密封器

如果将 *.onmicrosoft.com 域用于电子邮件 (也称为“Microsoft联机电子邮件路由地址”或“MOERA 域) ”,则几乎不需要执行以下操作:

  • SPF:已为 *.onmicrosoft.com 域配置 SPF 记录。
  • DKIM:已针对使用 *.onmicrosoft.com 域的出站邮件配置了 DKIM 签名,但你也可以 手动自定义它
  • DMARC:需要手动为 *.onmicrosoft.com 域设置 DMARC 记录,如此 所述。

步骤 2:配置保护策略

摘要:为所有收件人启用并使用标准和/或严格 预设安全策略 。 或者,如果 业务需求决定,请改为创建和使用自定义保护策略,但定期使用 配置分析器对其进行检查。

详细信息

可以想象,EOP 和 Defender for Office 365 中提供了许多保护策略。 有三种基本类型的保护策略:

  • 默认策略:这些策略从创建组织的那一刻起就存在。 它们适用于组织中的所有收件人,你无法关闭策略,并且无法修改策略应用于的人员。 但可以像修改自定义策略一样修改策略中的安全设置。 EOP 和 Microsoft Defender for Office 365 安全性的建议设置中的表中介绍了默认策略中的设置。

  • 预设安全策略:预设安全性实际上是包含 EOP 和 Defender for Office 365 中大多数可用保护策略的配置文件,这些策略根据特定保护级别定制设置。 预设的安全策略包括:

    • 严格预设安全策略。
    • 标准预设安全策略。
    • 内置保护。

    默认情况下,“标准”和“严格”预设安全策略处于关闭状态,直到你将其打开。 在“标准”和“严格”预设安全策略中,指定 (用户、组成员、域或所有收件人) EOP 保护功能和 Defender for Office 365 保护功能的收件人条件和例外。

    默认情况下,Defender for Office 365 中的内置保护处于打开状态,为所有收件人提供基本的安全附件和安全链接保护。 可以指定收件人例外以标识未获得保护的用户。

    在 Defender for Office 365 组织的标准和严格预设安全策略中,需要为用户和域模拟保护配置条目和可选例外。 所有其他设置都锁定在建议的标准值和严格值 (其中许多设置都是相同的) 。 可以在 EOP 和 Microsoft Defender for Office 365 安全性的推荐设置中查看“标准”和“严格”值,并 在此处查看“标准”和“严格”之间的差异。

    随着新的保护功能添加到 EOP 和 Defender for Office 365 以及安全环境的变化,预设安全策略中的设置会自动更新为建议的设置。

  • 自定义策略:对于大多数可用的保护策略,可以创建任意数量的自定义策略。 可以使用收件人条件和例外 (用户、组成员或域) 将策略应用于用户,并且可以自定义设置。

下表总结了上述信息以及所涉及的保护策略:

  默认策略 预设安全策略 自定义策略
EOP 保护策略
  反恶意软件
  反垃圾邮件
  防钓鱼 (欺骗保护)
  出站垃圾邮件
  连接筛选 ✔¹
Defender for Office 365 策略
  防钓鱼 (欺骗保护) 加: ✔² ✔²
  安全链接 ³
  安全附件 ³
常规行为
  默认启用保护?
  配置保护条件/例外? ✔⁵
  自定义安全设置?
  保护设置自动更新?

¹ IP 允许列表或 IP 阻止列表中没有默认条目,因此,除非自定义设置,否则默认连接筛选器策略实际上不执行任何操作。

² 在 Defender for Office 365 中,用户模拟或域模拟保护没有条目或可选例外,直到配置它们。

尽管 Defender for Office 365 中没有默认的安全附件或安全链接策略,但内置保护提供始终处于打开状态的基本安全附件和安全链接保护。

⁴ Defender for Office 365) 中的内置保护 (安全附件和安全链接保护是默认启用的唯一预设安全策略。

⁵ 对于标准和严格预设的安全策略,可以为 EOP 和 Defender for Office 365 保护配置单独的收件人条件和可选例外。 对于 Defender for Office 365 中的内置保护,只能配置来自保护的收件人例外。

⁶ 预设安全策略中唯一可自定义的安全设置是 Defender for Office 365 标准预设安全策略中的用户模拟保护和域模拟保护的条目和可选例外。

保护策略的优先级顺序

在决定如何为用户配置安全设置时,如何应用保护策略是一个重要考虑因素。 需要记住的要点是:

  • 保护功能具有不可配置的 处理顺序。 例如,始终在垃圾邮件之前评估传入邮件的恶意软件。
  • 特定功能 (反垃圾邮件、反恶意软件、防钓鱼等的保护策略 ) 按特定优先级顺序应用, (以后) 的优先级顺序进行更多应用。
  • 如果用户有意或无意地包含在特定功能的多个策略中,则该功能的第一个保护策略 (根据优先级顺序) 确定 (消息、文件、URL 等 ) 项会发生什么情况。
  • 将第一个保护策略应用于用户的特定项后,该功能的策略处理将停止。 不会为该用户和该特定项评估该功能的更多保护策略。

预设 安全策略和其他策略的优先级顺序中详细介绍了优先级顺序,但此处简要总结了这些顺序:

  1. 预设安全策略中的保护策略:
    1. 严格预设安全策略。
    2. 标准预设安全策略。
  2. 特定功能的自定义保护策略 (例如反恶意软件策略) 。 每个自定义策略都有一个优先级值,该值确定策略相对于相同功能的其他保护策略的应用顺序:
    1. 优先级值为 0 的自定义策略。
    2. 优先级值为 1 的自定义策略。
    3. 等等。
  3. 特定功能的默认保护策略 (例如,Defender for Office 365 中的反恶意软件) 或内置保护 (安全链接和安全附件) 。

请参阅上表,了解特定保护策略如何按优先级顺序表示。 例如,每个级别都存在反恶意软件策略。 出站垃圾邮件策略在自定义策略和默认策略级别可用。 连接筛选器策略仅在默认策略级别可用。

若要避免混淆和意外应用策略,请使用以下准则:

  • 在每个级别使用明确的组或收件人列表。 例如,对“标准”和“严格”预设安全策略使用不同的组或收件人列表。
  • 根据需要在每个级别配置异常。 例如,将需要自定义策略的收件人配置为“标准”和“严格”预设安全策略的例外。
  • 未在较高级别标识的任何剩余收件人都将获得 Defender for Office 365 中的默认策略或内置保护, (安全链接和安全附件) 。

借助此信息,你可以决定在组织中实施保护策略的最佳方法。

确定保护策略策略

了解不同类型的保护策略及其应用方式后,可以决定如何使用 EOP 和 Defender for Office 365 来保护组织中的用户。 你的决定不可避免地属于以下范围:

  • 仅使用标准预设安全策略。
  • 使用“标准”和“严格”预设安全策略。
  • 使用预设的安全策略和自定义策略。
  • 仅使用自定义策略。

请记住,Defender for Office 365 中的默认策略 (和内置保护) 自动保护组织中所有收件人, (未在标准或严格预设安全策略或自定义策略) 中定义的任何人。 因此,即使你不执行任何操作,组织中的所有收件人也会获得默认保护,如 EOP 和 Microsoft Defender for Office 365 安全性的推荐设置中所述。

同样重要的是要意识到,你不会永远被锁定在最初的决定中。 建议的设置表以及标准与严格比较表中的信息应允许你做出明智的决策。 但是,如果需求、结果或环境发生变化,以后切换到其他策略并不难。

如果没有令人信服的业务需求,我们建议从组织中所有用户的标准预设安全策略开始。 预设安全策略根据Microsoft 365 个数据中心的多年观察情况配置设置,并且应该是大多数组织的正确选择。 并且,策略会自动更新,以匹配安全环境的威胁。

在预设的安全策略中,可以选择“ 所有收件人” 选项,以便轻松将保护应用到组织中的所有收件人。

如果要将某些用户包含在严格预设安全策略中,其余用户包含在标准预设安全策略中,请记得使用以下方法考虑本文前面所述的 优先级顺序

  • 在每个预设的安全策略中使用明确的组或收件人列表。

  • 将应获取标准预设安全策略设置的收件人配置为严格预设安全策略中的例外。

请记住,以下保护功能配置不受预设安全策略影响, (你可以使用预设的安全策略,还可以) 独立配置这些保护设置:

若要打开和配置预设安全策略,请参阅 EOP 和 Microsoft Defender for Office 365 中的预设安全策略

决定使用自定义策略而不是或除了预设的安全策略之外,最终会归结为以下业务要求:

  • 用户需要不同于预设安全策略中的不可修改设置的安全设置, (垃圾邮件与隔离,反之亦然,无安全提示、通知自定义收件人等 ) 。
  • 用户需要未在预设的安全策略中 配置的 设置 (例如,在反垃圾邮件策略) 中阻止来自特定国家/地区或特定语言的电子邮件。
  • 用户需要不同于预设安全策略中不可修改的设置的 隔离体验隔离策略 根据邮件被隔离的原因以及收件人是否收到有关其隔离邮件的通知来定义用户可以对其隔离邮件执行的操作。 此处的表中汇总了默认最终用户隔离体验,此处的表中介绍了标准和严格预设安全策略中使用的隔离策略。

使用 EOP 和 Microsoft Defender for Office 365 安全性的建议设置 中的信息,将自定义策略或默认策略中的可用设置与标准和严格预设安全策略中配置的内容进行比较。

特定功能的多个自定义策略的设计准则 (例如,反恶意软件策略) 包括:

  • 由于 优先级顺序的原因,自定义策略中的用户不能包含在标准或严格预设安全策略中。
  • 将更少的用户分配到更高的优先级策略,将更多的用户分配到较低的优先级策略。
  • 将优先级较高的策略配置为具有比优先级较低的策略更严格或更专用的设置 (包括默认策略) 。

如果决定使用自定义策略,请使用 配置分析器 定期将策略中的设置与“标准”和“严格”预设安全策略中的建议设置进行比较。

步骤 3:向管理员分配权限

摘要:将 Microsoft Entra 中的 安全管理员 角色分配给其他管理员、专家和技术支持人员,以便他们可以在 EOP 和 Defender for Office 365 中执行任务。

详细信息

你可能已在使用在 Microsoft 365 中注册的初始帐户来执行本部署指南中的所有工作。 该帐户是 Microsoft 365 (中随处可见的管理员,具体来说,它是 Microsoft Entra) 中的 全局管理员 角色的成员,并允许你执行几乎任何操作。 本文前面在 角色和权限中介绍了所需的权限。

但是,此步骤的目的是配置其他管理员,以帮助你将来管理 EOP 和 Defender for Office 365 的功能。 你不需要的是很多具有全局管理员权限的人,他们不需要它。 例如,他们是否确实需要删除/创建帐户或使其他用户成为全局管理员? 最好遵循最低特权 (分配执行作业所需的权限,而只分配任何) 权限的概念。

在 EOP 和 Defender for Office 365 中为任务分配权限时,可以使用以下选项:

为简单起见,我们建议对需要在 EOP 和 Defender for Office 365 中配置设置的其他人使用 Microsoft Entra 中的 安全管理员 角色。

有关说明,请参阅 向用户分配Microsoft Entra 角色使用 Microsoft Entra 全局角色管理对 Microsoft Defender XDR 的访问权限

步骤 4:优先级帐户和用户标记

摘要:确定组织中的相应用户并将其标记为 优先帐户 ,以便更轻松地在报告和调查中识别,并在 Defender for Office 365 中获得 优先帐户保护 。 请考虑在 Defender for Office 365 计划 2 中创建和应用自定义 用户标记

详细信息

在 Defender for Office 365 中,优先级帐户允许你标记多达 250 个高价值用户,以便在报告和调查中轻松识别。 这些优先帐户还会收到不会使普通员工受益的其他试探。 有关详细信息,请参阅 管理和监视优先级帐户在 Microsoft Defender for Office 365 中配置和查看优先级帐户保护

在 Defender for Office 365 计划 2 中,还可以创建和应用自定义 用户标记 ,以轻松识别报告和调查中的特定用户组。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记

确定要标记为优先帐户的相应用户,并确定是否需要创建和应用自定义用户标记。

步骤 5:查看和配置用户报告的消息设置

摘要:部署报告邮件或报告钓鱼加载项受支持的第三方工具,以便用户可以在 Outlook 中报告误报和误报,以便这些报告的邮件可供管理员在 Defender 门户的“提交”页的“用户报告”选项卡上使用。 配置组织,使报告邮件转到指定的报告邮箱和/或Microsoft。

详细信息

对于监视和调整 EOP 和 Defender for Office 365 中的保护设置,用户能够报告标记为坏 (误报) ) 或 (误报或错误邮件的能力非常重要。

用户消息报告的重要部分包括:

  • 用户如何报告消息?:确保客户端使用以下方法之一,以便报告消息显示在 Defender 门户https://security.microsoft.com/reportsubmission?viewid=user提交”页的“用户报告”选项卡上::

  • Outlook 网页版中的内置 “报表 ”按钮 (以前称为 Outlook Web App 或 OWA) 。

  • Microsoft Outlook 和 Outlook 网页版的 “报告邮件”或“报告钓鱼”加载项

  • 使用 支持的邮件提交格式的第三方报告工具。

  • 用户报告的消息将转到何处?:有以下选项:

    • 对于指定的报告邮箱,Microsoft (这是默认值) 。
    • 仅限指定的报告邮箱。
    • 仅限Microsoft。

    用于收集用户报告邮件的默认邮箱是全局管理员的邮箱, (组织) 的初始帐户。 如果希望用户报告的邮件转到组织中的报告邮箱,则应 创建配置 要使用的独占邮箱。

    你是否希望用户报告的邮件也转到Microsoft进行专门分析 (,以及发送到指定的报告邮箱) ,由你决定。

    如果希望用户报告的邮件仅转到指定的报告邮箱,管理员应手动将用户报告的邮件提交到 Microsoft,以便从 Defender 门户中https://security.microsoft.com/reportsubmission?viewid=user“提交”页的“用户报告”选项卡进行分析。

    将用户报告的消息提交到Microsoft对于允许筛选器学习和改进非常重要。

有关用户报告的消息设置的完整信息,请参阅 用户报告设置

步骤 6:阻止和允许条目

摘要:熟悉在 Defender for Office 365 中阻止和允许邮件、文件和 URL 的过程。

详细信息

需要熟悉如何在 Defender 门户中的以下位置暂时阻止和 () 允许邮件发件人、文件和 URL:

通常,创建块比允许的要容易,因为不必要的允许条目会向系统筛选的恶意电子邮件公开你的组织。

  • 阻止

    • 可以在租户允许/阻止列表中的相应选项卡上为 域和电子邮件地址文件和URL 创建阻止条目,并将项目提交到“ 提交 ”页Microsoft进行分析。 将项提交到Microsoft时,也会在租户允许/阻止列表中创建相应的块条目。

      提示

      组织中的用户也无法将电子邮件 发送到 租户允许/阻止列表中的块条目中指定的域或电子邮件地址。

    • 欺骗情报 阻止的消息显示在“ 欺骗情报 ”页上。 如果将允许条目更改为阻止条目,则发送方将成为租户允许/阻止列表中的“ 欺骗发件人 ”选项卡上的手动阻止条目。 还可以 在“欺骗 发件人”选项卡上主动为尚未遇到欺骗发件人创建阻止条目。

  • 允许

    • 不能直接在租户允许/阻止列表中的相应选项卡上为 域和电子邮件地址文件和URL 创建允许条目。 相反,可以使用 “提交” 页将项目报告为Microsoft。 向Microsoft报告项时,可以选择允许该项,这会在“租户允许/阻止”列表中创建相应的临时允许条目。

    • 欺骗智能允许的消息显示在“欺骗情报”页上。 如果将阻止条目更改为允许项,则发送方将成为租户允许/阻止列表中的“ 欺骗发件人 ”选项卡上的手动允许条目。 还可以 在“欺骗 发件人”选项卡上主动为尚未遇到欺骗发件人创建允许条目。

有关完整详细信息,请参阅以下文章:

步骤 7:使用攻击模拟训练启动网络钓鱼模拟

在 Defender for Office 365 计划 2 中,攻击模拟训练允许你向用户发送模拟钓鱼消息,并根据用户的响应方式分配培训。 可以选择以下选项:

  • 使用内置或自定义有效负载的单个模拟
  • 使用多个有效负载和自动计划从真实网络钓鱼攻击中获取的模拟自动化
  • 仅培训活动 ,在分配培训之前,无需启动市场活动,并等待用户单击链接或下载模拟钓鱼邮件中的附件。

有关详细信息,请参阅 开始使用攻击模拟训练

步骤 8:调查和响应

完成初始设置后,请使用 Microsoft Defender for Office 365 安全操作指南 中的信息来监视和调查组织中的威胁。