Microsoft 365 中的警报策略

可以使用 Microsoft Purview 合规门户或 Microsoft Defender 门户中的警报策略和警报仪表板来创建警报策略,然后查看用户在执行与警报策略条件匹配的活动时生成的警报。 有几个默认警报策略可帮助你监视活动,例如在 Exchange Online 中分配管理员权限、恶意软件攻击、网络钓鱼活动以及异常级别的文件删除和外部共享。

提示

转到本文中的 “默认警报策略 ”部分,获取可用警报策略的列表和说明。

通过警报策略,可以对策略触发的警报进行分类,将策略应用于组织的所有用户,为触发警报的时间设置阈值级别,并决定是否在触发警报时接收电子邮件通知。 还有一个 “警报 ”页,你可以在其中查看和筛选警报,设置警报状态以帮助管理警报,然后在解决或解决基础事件后消除警报。

注意

警报策略在以下组织中可用:

  • Microsoft 365 企业版。
  • Office 365 企业版。
  • Office 365 美国政府版 E1/F1/G1、E3/F3/G3 或 E5/G5。

高级功能仅在以下组织中可用:

  • E5/G5。
  • E1/F1/G1 或 E3/F3/G3 以及以下加载项订阅之一:
    • Microsoft Defender for Office 365 计划 2。
    • Microsoft 365 E5 合规性。
    • E5 电子数据展示和审核加载项。

本文重点介绍了需要 E5/G5 或加载项订阅的高级功能。

警报策略在美国政府组织中可用, (Office 365 GCC、GCC High 和 DoD) 。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从 Microsoft Purview 合规性门户试用中心开始。 了解有关 注册和试用条款的详细信息。

警报策略的工作原理

下面简要概述了警报策略的工作原理,以及当用户或管理员活动与警报策略的条件匹配时触发的警报。

警报策略工作原理概述。

  1. 组织中的管理员使用合规性门户或 Microsoft Defender 门户中的 “警报策略 ”页创建、配置和启用警报策略。 还可以使用 Security & Compliance PowerShell 中的 New-ProtectionAlert cmdlet 创建警报策略。

    若要创建警报策略,必须在合规性门户或 Defender 门户中分配“管理警报”角色或“组织配置”角色。

    注意

    创建或更新警报策略后,最多需要 24 小时,策略才会触发警报。 这是因为策略必须同步到警报检测引擎。

  2. 用户执行与警报策略的条件匹配的活动。 在恶意软件攻击的情况下,发送给组织中的用户的受感染电子邮件会触发警报。

  3. Microsoft 365 会生成一个警报,该警报显示在合规性门户或 Defender 门户中的 “警报 ”页上。 此外,如果为警报策略启用了电子邮件通知,Microsoft向收件人列表发送通知。 管理员或其他用户在“警报”页上可以看到的警报由分配给用户的角色决定。 有关详细信息,请参阅 查看警报所需的 RBAC 权限

  4. 管理员在 Microsoft Purview 合规性门户中管理警报。 管理警报包括分配警报状态以帮助跟踪和管理任何调查。

警报策略设置

警报策略包含一组规则和条件,用于定义生成警报的用户或管理员活动、触发警报的用户列表(如果他们执行活动)以及一个定义触发通知之前必须发生活动次数的阈值。 还可以对策略进行分类,并为其分配严重性级别。 这两个设置可帮助你管理 (警报策略,以及) 策略条件匹配时触发的警报,因为在 Microsoft Purview 合规性门户中管理策略和查看警报时,可以筛选这些设置。 例如,可以查看与同一类别中的条件匹配的警报,或查看具有相同严重级别的警报。

若要查看和创建警报策略,请执行以下操作:

注意

必须分配 View-Only“管理警报”角色才能在 Microsoft Purview 合规性门户或 Microsoft Defender 门户中查看警报策略。 必须分配“管理警报”角色才能创建和编辑警报策略。 有关详细信息,请参阅 Microsoft Purview 合规门户中的权限

警报策略包含以下设置和条件。

  • 警报正在跟踪的活动。 可以创建一个策略来跟踪活动或在某些情况下,一些相关活动,例如通过共享、分配访问权限或创建匿名链接与外部用户共享文件。 当用户执行策略定义的活动时,将基于警报阈值设置触发警报。

    注意

    可以跟踪的活动取决于组织的 Office 365 企业版或 Office 365 美国政府版计划。 通常,与恶意软件活动和网络钓鱼攻击相关的活动需要 E5/G5 订阅或 E1/F1/G1 或 E3/F3/G3 订阅 以及 Defender for Office 365 计划 2 加载项订阅。

  • 活动条件。 对于大多数活动,可以定义触发警报必须满足的其他条件。 常见条件包括 (IP 地址,以便当用户在具有特定 IP 地址的计算机上或) 的 IP 地址范围内执行活动时触发警报,如果特定用户或用户执行该活动,是否触发警报,以及是否针对特定文件名或 URL 执行活动。 还可以配置条件,在组织中的任何用户执行活动时触发警报。 可用条件取决于所选活动。

还可以将用户标记定义为警报策略的条件。 此定义会导致策略触发的警报,以包含受影响用户的上下文。 可以使用系统用户标记或自定义用户标记。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记

  • 触发警报时。 可以配置一个设置,该设置定义在触发警报之前活动发生的频率。 这样,就可以设置一个策略,以便在每次活动与策略条件匹配时、超出特定阈值时,或者当跟踪的警报对组织而言异常时生成警报。

    根据活动发生时间、阈值或组织的异常活动配置警报的触发方式。

    如果基于异常活动选择设置,Microsoft将建立一个基线值,用于定义所选活动的正常频率。 建立此基线最多需要 7 天时间,在此期间不会生成警报。 建立基线后,当警报策略跟踪的活动频率大大超出基线值时,将触发警报。 对于与审核相关的活动 ((例如文件和文件夹活动) ),可以基于单个用户或组织中的所有用户建立基线;对于与恶意软件相关的活动,可以基于单个恶意软件系列、单个收件人或组织中所有邮件建立基线。

    注意

    若要根据阈值或异常活动配置警报策略,需要 E5/G5 订阅,或者具有 Microsoft Defender for Office 365 P2 的 E1/F1/G1 或 E3/F3/G3 订阅、Microsoft 365 E5 符合性或Microsoft 365 电子数据展示和审核加载项订阅。 具有 E1/F1/G1 和 E3/F3/G3 订阅的组织只能创建警报策略,每次发生活动时都会触发警报。

  • 警报类别。 为了帮助跟踪和管理策略生成的警报,可以将以下类别之一分配给策略。

    • 数据丢失防护
    • 信息管理政策
    • 邮件流
    • Permissions
    • 威胁管理
    • 其他

    当发生与警报策略的条件匹配的活动时,生成的警报将标记此设置中定义的类别。 这使你可以跟踪和管理Microsoft Purview 门户中的 “警报 ”页上具有相同类别设置的警报,因为可以根据类别对警报进行排序和筛选。

  • 警报严重性。 与警报类别类似,为警报策略分配严重性属性 (信息) 。 与警报类别一样,当发生与警报策略条件匹配的活动时,生成的警报将标记为与警报策略设置的相同严重级别。 同样,这允许跟踪和管理在“警报”页上具有相同严重性设置的 警报 。 例如,可以筛选警报列表,以便仅显示严重性 较高的 警报。

    提示

    设置警报策略时,请考虑为可能导致严重负面后果的活动分配更高的严重性,例如在向用户传递后检测恶意软件、查看敏感或机密数据、与外部用户共享数据,或者可能导致数据丢失或安全威胁的其他活动。 这可以帮助你确定警报的优先级,以及调查和解决根本原因所采取的措施。

  • 自动调查。 某些警报会触发自动调查,以识别需要修正或缓解的潜在威胁和风险。 在大多数情况下,这些警报是通过检测恶意电子邮件或活动触发的,但在某些情况下,警报是由安全门户中的管理员操作触发的。 有关自动调查的详细信息,请参阅 Microsoft Defender for Office 365 中的 AIR) (自动调查和响应

  • 电子邮件通知。 可以设置策略,以便在触发警报时 (发送电子邮件通知,或者不将) 发送给用户列表。 还可以设置每日通知限制,以便在达到最大通知数后,当天不会再为警报发送通知。 除了电子邮件通知,你或其他管理员可以在“警报”页上查看策略触发的 警报 。 请考虑为特定类别或具有较高严重性设置的警报策略启用电子邮件通知。

默认警报策略

Microsoft提供内置警报策略,可帮助识别 Exchange 管理员权限滥用、恶意软件活动、潜在的外部和内部威胁以及信息治理风险。 在 “警报策略 ”页上,这些内置策略的名称以粗体显示,策略类型定义为 “系统”。 默认情况下,这些策略处于打开状态。 你可以关闭这些策略 (或重新打开) ,设置要向其发送电子邮件通知的收件人列表,并设置每日通知限制。 无法编辑这些策略的其他设置。

下表列出了可用的默认警报策略以及每个策略分配到的类别。 类别用于确定用户可以在“警报”页上查看哪些警报。 有关详细信息,请参阅 查看警报所需的 RBAC 权限

这些表还指示每个计划所需的 Office 365 企业版和 Office 365 美国政府版计划。 如果你的组织除了 E1/F1/G1 或 E3/F3/G3 订阅外,还具有相应的加载项订阅,则某些默认警报策略可用。

注意

某些内置策略监视的异常活动基于与前面所述的警报阈值设置相同的过程。 Microsoft建立一个基线值,该值定义“常见”活动的正常频率。 然后,当内置警报策略跟踪的活动频率大大超出基线值时,将触发警报。

信息治理警报策略

注意

本部分中的警报策略正在根据客户反馈作为误报弃用。 若要保留这些警报策略的功能,可以使用相同的设置创建自定义警报策略。

名称 说明 Severity 自动调查 订阅
异常的外部文件共享量 当 SharePoint 或 OneDrive 中的大量文件与组织外部的用户共享时,生成警报。 E5/G5 或 Defender for Office 365 计划 2 加载项订阅。

邮件流警报策略

名称 说明 Severity 自动调查 所需订阅
邮件已延迟 当Microsoft无法使用连接器将电子邮件传递到本地组织或合作伙伴服务器时,生成警报。 发生这种情况时,邮件将在 Office 365 中排队。 当有 2,000 条或更多消息排队超过一小时时,将触发此警报。 E1/F1/G1、E3/F3/G3 或 E5/G5
检测到所有回复风暴 当检测到“全部答复”风暴并且至少阻止了对邮件线程的一个全部答复时,将触发此警报。 有关详细信息,请参阅 全部回复风暴防护报告 E1/F1/G1、E3/F3/G3 或 E5/G5

权限警报策略

名称 说明 Severity 自动调查 所需订阅
Exchange 管理员权限提升 在 Exchange Online 组织中为某人分配管理权限时生成警报。 例如,将用户添加到 Exchange Online 中的“组织管理”角色组时。 E1/F1/G1、E3/F3/G3 或 E5/G5

威胁管理警报策略

名称 说明 Severity 自动调查 所需订阅
检测到潜在的恶意 URL 单击 在组织中受 安全链接 保护的用户单击恶意链接时生成警报。 当用户单击链接时,此警报由 Microsoft Defender for Office 365 触发 URL 裁定更改标识时生成。 它还检查自识别恶意 URL 判决后过去 48 小时内的任何点击,并针对该恶意链接的 48 小时时间范围内发生的点击生成警报。 此警报会自动触发 Defender for Office 365 计划 2 中的自动调查和响应。 有关触发此警报的事件的详细信息,请参阅 设置安全链接策略 E5/G5 或 Defender for Office 365 计划 2 加载项订阅。
发现租户允许阻止列表条目是恶意的 当Microsoft确定与租户允许/阻止列表中的允许条目对应的管理员提交是恶意的时,将生成警报。 一旦Microsoft分析提交,就会触发此事件。

允许条目将在其规定的持续时间内继续存在。 有关触发此警报的事件的详细信息,请参阅 管理租户允许/阻止列表
信息 E1/F1/G1、E3/F3/G3 或 E5/G5
用户单击到潜在恶意 URL 在组织中受 安全链接 保护的用户单击恶意链接时生成警报。 当用户单击被标识为恶意或挂起验证) 的 URL (并基于组织的 Microsoft 365 for Business 安全链接策略) 覆盖安全链接警告页 (,以继续访问 URL 托管页面/内容时,将触发此事件。 此警报会自动触发 Defender for Office 365 计划 2 中的自动调查和响应。 有关触发此警报的事件的详细信息,请参阅 设置安全链接策略 E5/G5 或 Defender for Office 365 计划 2 加载项订阅。
管理员提交结果已完成 管理员提交 完成对提交的实体的重新扫描时生成警报。 每次从管理员提交呈现重新扫描结果时,都会触发警报。

这些警报旨在提醒你 查看以前提交的结果,提交用户报告的消息以获取最新的策略检查和重新扫描判决,并帮助你确定组织中的筛选策略是否具有预期的影响。
信息 E1/F1、E3/F3 或 E5
管理员触发的电子邮件手动调查 当管理员从威胁资源管理器触发电子邮件的手动调查时,生成警报。 有关详细信息,请参阅 示例:安全管理员从威胁资源管理器触发调查

此警报通知你的组织调查已开始。 警报提供有关触发警报的人员的信息,并包含调查链接。
信息 Microsoft 365 商业高级版、Defender for Office 365 计划 1 加载项、E5/G5 或 Defender for Office 365 计划 2 加载项。
管理员触发的用户泄露调查 当管理员触发来自威胁资源管理器的电子邮件发件人或收件人的手动用户泄露调查时,生成警报。 有关详细信息,请参阅 示例:安全管理员从威胁资源管理器触发调查,其中显示了对电子邮件的调查的相关手动触发。

此警报通知组织用户泄露调查已启动。 警报提供有关触发警报的人员的信息,并包含调查链接。
Microsoft 365 商业高级版、Defender for Office 365 计划 1 加载项、E5/G5 或 Defender for Office 365 计划 2 加载项。
创建转发/重定向规则 当组织中的某人为其邮箱创建将邮件转发或重定向到另一个电子邮件帐户的收件箱规则时,将生成警报。 此策略仅跟踪使用 Outlook 网页版创建的收件箱规则 (以前称为 Outlook Web App) 或 Exchange Online PowerShell。 有关在 Outlook 网页版中使用收件箱规则转发和重定向电子邮件的详细信息,请参阅 使用 Outlook 网页版中的规则自动将邮件转发到另一个帐户 信息 E1/F1/G1、E3/F3/G3 或 E5/G5
电子数据展示搜索已启动或已导出 当有人在 purview 门户中使用内容搜索工具时,生成警报Microsoft。 执行以下内容搜索活动时,将触发警报:
  • 将启动内容搜索。
  • 导出内容搜索结果。
  • 导出内容搜索报表。

当与电子数据展示案例一起执行以前的内容搜索活动时,也会触发警报。 有关内容搜索活动的详细信息,请参阅 在审核日志中搜索电子数据展示活动
信息 E1/F1/G1、E3/F3/G3 或 E5/G5
送达后,删除包含恶意文件的电子邮件 将包含恶意文件的任何邮件传递到组织中的邮箱时,生成警报。 如果发生此事件,Microsoft使用 零小时自动清除从 Exchange Online 邮箱中删除受感染的邮件。 此策略会自动触发 Office 365 中的自动调查和响应。 有关此新策略的详细信息,请参阅 Defender for Office 365 中的新警报策略 信息 E1/F1/G1、E3/F3/G3 或 E5/G5
送达后删除的包含恶意 URL 的电子邮件 将包含恶意 URL 的任何邮件传递到组织中的邮箱时,生成警报。 如果发生此事件,Microsoft使用 零小时自动清除从 Exchange Online 邮箱中删除受感染的邮件。 此策略会自动触发 Office 365 中的自动调查和响应。 有关此新策略的详细信息,请参阅 Defender for Office 365 中的新警报策略 信息 Microsoft 365 商业高级版、Defender for Office 365 计划 1 加载项、E5/G5 或 Defender for Office 365 计划 2 加载项。
送达后删除了包含恶意软件的电子邮件 注意:此警报策略已替换为 包含恶意文件的电子邮件在传递后删除。 此警报策略最终会消失,因此我们建议禁用它,并改用 包含送达后删除的恶意文件的电子邮件 。 有关详细信息,请参阅 Defender for Office 365 中的新警报策略 信息 E5/G5 或 Defender for Office 365 计划 2 加载项订阅。
送达后删除的包含钓鱼 URL 的电子邮件 注意:此警报策略已替换为 在传递后删除包含恶意 URL 的电子邮件。 此警报策略最终会消失,因此我们建议禁用它,并改用 在传递后删除的包含恶意 URL 的电子邮件 。 有关详细信息,请参阅 Defender for Office 365 中的新警报策略 信息 Microsoft 365 商业高级版、Defender for Office 365 计划 1 加载项、E5/G5 或 Defender for Office 365 计划 2 加载项。
投放后从市场活动中删除的电子邮件 在将与 市场活动 关联的任何邮件传递到组织中的邮箱时,生成警报。 如果发生此事件,Microsoft使用 零小时自动清除从 Exchange Online 邮箱中删除受感染的邮件。 此策略会自动触发 Office 365 中的自动调查和响应。 有关此新策略的详细信息,请参阅 Defender for Office 365 中的新警报策略 信息 Microsoft 365 商业高级版、Defender for Office 365 计划 1 加载项、E5/G5 或 Defender for Office 365 计划 2 加载项。
电子邮件在送达后删除 当不包含恶意实体 (URL 或文件) 或与市场活动关联的任何恶意邮件传递到组织中的邮箱时,将生成警报。 如果发生此事件,Microsoft使用 零小时自动清除从 Exchange Online 邮箱中删除受感染的邮件。 此策略会自动触发 Office 365 中的自动调查和响应。 有关此新策略的详细信息,请参阅 Defender for Office 365 中的新警报策略 信息 Microsoft 365 商业高级版、Defender for Office 365 计划 1 加载项、E5/G5 或 Defender for Office 365 计划 2 加载项。
用户报告为垃圾邮件的电子邮件 当组织中的用户使用 Outlook 中的内置“报告”按钮或“报告邮件加载项”将邮件报告为垃圾邮件时,生成警报。 有关加载项的详细信息,请参阅 使用报表消息加载项 E1/F1/G1、E3/F3/G3 或 E5/G5
用户报告为恶意软件或网络钓鱼的电子邮件 当组织中的用户使用 Outlook 中的内置“报告”按钮或“报告邮件”或“报告钓鱼”加载项将邮件报告为钓鱼时,将生成警报。有关加载项的详细信息,请参阅 使用报表消息加载项。 对于 Defender for Office 365 计划 2、E5、G5 客户,此警报会自动触发 Defender for Office 365 计划 2 中的自动调查和响应 Microsoft 365 商业高级版、Defender for Office 365 计划 1 加载项、E5/G5 或 Defender for Office 365 计划 2 加载项。
用户报告为非垃圾邮件的电子邮件 当组织中的用户将 Outlook 或“报告邮件”加载项中的内置“报表”按钮报告为非垃圾邮件时,将生成警报。 有关加载项的详细信息,请参阅 使用报表消息加载项 E1/F1/G1、E3/F3/G3 或 E5/G5
已超出电子邮件发送限制 当组织中的某人发送的邮件超过出站垃圾邮件策略允许的邮件数时,会生成警报。 这通常表示用户发送了过多的电子邮件或帐户可能遭到入侵。 如果收到此警报策略生成的警报,最好 检查用户帐户是否遭到入侵 E1/F1/G1、E3/F3/G3 或 E5/G5
完全数据匹配上传失败 当用户 在上传基于完全数据匹配的敏感信息类型时收到以下错误时生成警报:新敏感信息上传失败。 请稍后重试。 E5/G5。
表单因潜在的网络钓鱼尝试已被阻止 当组织中的某人由于检测到重复的钓鱼尝试行为而被限制使用 Microsoft Forms 共享表单和收集响应时,会生成警报。 E1、E3/F3 或 E5
表单已被标记并确认为网络钓鱼 当组织内部在 Microsoft Forms 中创建的表单通过报告滥用行为被标识为潜在网络钓鱼,并通过Microsoft确认为钓鱼时,将生成警报。 E1、E3/F3 或 E5
由于 ZAP 被禁用,恶意软件未被破坏 当Microsoft检测到将恶意软件邮件传递到邮箱时,会生成警报,因为 Zero-Hour 网络钓鱼邮件的自动清除已禁用。 信息 E5/G5 或 Defender for Office 365 计划 2 加载项订阅。
包含恶意实体的邮件在传递后未删除 将包含恶意内容 (文件、URL、市场活动、无实体) 的任何邮件传递到组织中的邮箱时,将生成警报。 如果发生此事件,Microsoft尝试使用 零小时自动清除从 Exchange Online 邮箱中删除受感染的邮件,但由于失败而未删除邮件。 建议进行其他调查。 此策略会自动触发 Office 365 中的自动调查和响应 Microsoft 365 商业高级版、Defender for Office 365 计划 1 加载项、E5/G5 或 Defender for Office 365 计划 2 加载项。
MIP 自动标记模拟已完成 模拟模式下的服务端自动标记策略 完成时生成警报。 E5/G5。
由于 ETR 替代而传递的钓鱼 当Microsoft检测到 Exchange 传输规则 (也称为允许将高置信度钓鱼邮件传递到邮箱的邮件流规则) 时,生成警报。 有关 Exchange 传输规则 (邮件流规则) 的详细信息,请参阅 Exchange Online 中的邮件流规则 (传输规则) 信息 E1/F1/G1、E3/F3/G3 或 E5/G5
由于 IP 允许策略而传递的钓鱼 当Microsoft检测到允许将高置信度钓鱼邮件传递到邮箱的 IP 允许策略时,会生成警报。 有关 IP 允许策略 (连接筛选) 的详细信息,请参阅 配置默认连接筛选器策略 - Office 365 信息 E1/F1/G1、E3/F3/G3 或 E5/G5
由于 ZAP 被禁用,网络钓鱼未被击破 当Microsoft检测到将高置信度钓鱼邮件传递到邮箱时,会生成警报,因为 Zero-Hour 自动清除网络钓鱼邮件已禁用。 信息 E5/G5 或 Defender for Office 365 计划 2 加载项订阅。
潜在的民族-国家活动 Microsoft威胁情报中心检测到试图从租户中入侵帐户。 Microsoft 365 商业高级版、Defender for Office 365 计划 1 加载项、E5/G5 或 Defender for Office 365 计划 2 加载项。
Purview 策略模拟已完成 为支持模拟模式的任何 Purview 策略生成警报,以便在模拟完成时通知管理员。 E5/G5
管理员对电子邮件、URL 或发件人采取的修正操作 注意:此警报策略已替换为 管理员提交的管理操作。 此警报策略最终会消失,因此我们建议禁用它,改用 管理员提交的管理操作

当管理员对所选实体执行修正操作时,会触发此警报
信息 Microsoft 365 商业高级版、Defender for Office 365 计划 1 加载项、E5/G5 或 Defender for Office 365 计划 2 加载项。
删除了租户允许/阻止列表中的条目 通过筛选系统并从中删除租户允许/阻止列表中的允许项时,生成警报。 删除受影响域或电子邮件地址、文件或 URL 的允许条目 (实体) 时,将触发此事件。

不再需要受影响的允许项。 如果邮件中没有任何其他内容被确定为错误,则包含受影响实体的电子邮件将传递到收件箱。 单击时将允许 URL 和文件。

有关触发此警报的事件的详细信息,请参阅 管理租户允许/阻止列表
信息 E1/F1/G1、E3/F3/G3 或 E5/G5
保留自动标记策略模拟已完成 在保留自动标记策略模拟完成时生成警报。 E5/G5
成功上传完全匹配的数据 在用户成功上传基于完全数据匹配的敏感信息类型后生成警报。 E5/G5
可疑连接器活动 在组织中的入站连接器上检测到可疑活动时,生成警报。 邮件被阻止使用入站连接器。 管理员会收到电子邮件通知和警报。 此警报提供有关如何调查、还原更改和取消阻止受限连接器的指导。 若要了解如何响应此警报,请参阅 响应已泄露的连接器 E1/F1/G1、E3/F3/G3 或 E5/G5
可疑电子邮件转发活动 当组织中的某人将电子邮件自动转发到可疑外部帐户时,生成警报。 这是针对可能指示帐户已泄露的行为的早期警告,但不够严重,无法限制用户。 虽然这种情况很少见,但此策略生成的警报可能是异常。 最好 检查用户帐户是否遭到入侵 E1/F1/G1、E3/F3/G3 或 E5/G5
检测到可疑的电子邮件发送模式 当组织中的某人发送了可疑电子邮件,并面临被限制发送电子邮件的风险时,会生成警报。 这是针对可能指示帐户已泄露的行为的早期警告,但不够严重,无法限制用户。 虽然这种情况很少见,但此策略生成的警报可能是异常。 但是,最好 检查用户帐户是否已泄露 E1/F1/G1、E3/F3/G3 或 E5/G5
观察到可疑的租户发送模式 在组织中观察到可疑的发送模式时,生成警报,这可能导致组织被阻止发送电子邮件。 调查任何可能泄露的用户和管理员帐户、新连接器或开放中继,以避免租户超过阈值块。 有关阻止组织的原因的详细信息,请参阅 修复 Exchange Online 中错误代码 5.7.7xx 的电子邮件传递问题 E1/F1/G1、E3/F3/G3 或 E5/G5
用户报告为安全风险的 Teams 消息 当用户将 Teams 消息报告为安全风险时,会触发此警报。 E5/G5 或 Defender for Office 365 加载项。
租户允许/阻止列表条目即将过期 在即将删除租户允许/阻止列表条目中的允许条目或阻止项时,生成警报。 此事件在到期日期前七天触发,该日期基于创建或上次更新条目的时间。

对于允许条目和块条目,可以延长到期日期。 有关触发此警报的事件的详细信息,请参阅 管理租户允许/阻止列表
信息 E1/F1/G1、E3/F3/G3 或 E5/G5
租户无法发送电子邮件 当组织的大部分电子邮件流量被检测为可疑且Microsoft已限制组织发送电子邮件时,将生成警报。 调查任何可能泄露的用户和管理员帐户、新连接器或打开的中继,然后联系Microsoft支持部门来解除对组织的阻止。 有关阻止组织的原因的详细信息,请参阅 修复 Exchange Online 中错误代码 5.7.7xx 的电子邮件传递问题 E1/F1/G1、E3/F3/G3 或 E5/G5
租户受限制,无法发送未预配的电子邮件 从未注册的域 ((也称为 未预配 的域) )发送过多电子邮件时,生成警报。 虽然 Office 365 允许合理数量的电子邮件发送自未注册的域,但你应将每个用于发送电子邮件的域都配置为接受的域。 此警报表示组织中的所有用户都无法再发送电子邮件。 有关阻止组织的原因的详细信息,请参阅 修复 Exchange Online 中错误代码 5.7.7xx 的电子邮件传递问题 E1/F1/G1、E3/F3/G3 或 E5/G5
请求释放隔离邮件的用户 当用户请求释放隔离邮件时生成警报。 若要请求释放隔离邮件,隔离 (策略中需要“ 允许收件人请求从隔离区释放邮件 (PermissionToRequestRelease) 权限,例如,从 ”受限访问 预设权限“组) 。 有关详细信息,请参阅 允许收件人请求从隔离权限中释放邮件 信息 Microsoft Business Basic、Microsoft Business Standard、Microsoft Business Premium、E1/F1/G1、E3/F3/G3 或 E5/G5
用户无法发送电子邮件 当组织中的某人被限制发送出站邮件时,生成警报。 此警报通常指示已泄露的帐户,该帐户的用户列在 的 “受限实体 ”页上 https://security.microsoft.com/restrictedentities。 有关受限用户的详细信息,请参阅从“受限 实体”页中删除阻止的用户 Microsoft Business Basic、Microsoft Business Standard、Microsoft Business Premium、E1/F1/G1、E3/F3/G3 或 E5/G5
用户已被限制共享表单和收集回复 当组织中的某人由于检测到重复的钓鱼尝试行为而被限制使用 Microsoft Forms 共享表单和收集响应时,会生成警报。 E1、E3/F3 或 E5

¹ 此警报策略是网络钓鱼的替换功能的一部分, 由于租户或用户替代 以及 用户模拟钓鱼传递到收件箱/文件夹 警报策略,这些策略根据用户反馈删除。 有关 Office 365 中防钓鱼的详细信息,请参阅 反钓鱼策略

查看警报

当组织中的用户执行的活动与警报策略的设置匹配时,会在 Microsoft Purview 门户或 Defender 门户的 “警报 ”页上生成并显示警报。 触发警报时,还会向指定用户列表发送电子邮件通知,具体取决于警报策略的设置。 对于每个警报, “警报 ”页上的仪表板会显示相应警报策略的名称、警报策略) 中定义的警报 (的严重性和类别,以及导致生成警报的活动发生的次数。 此值基于警报策略的阈值设置。 仪表板还显示每个警报的状态。 有关使用状态属性管理警报的详细信息,请参阅 管理警报

查看警报:

Microsoft Purview 合规性门户

转到 https://compliance.microsoft.com ,然后选择“ 警报”。 或者,可以直接转到 https://compliance.microsoft.com/compliancealerts

在合规性门户中,选择“警报”。

Microsoft Defender 门户

转到 https://security.microsoft.com ,然后选择“ 事件 & 警报>警报”。 或者,可以直接转到 https://security.microsoft.com/alerts

在 Microsoft Defender 门户中,选择“事件 & 警报”,然后选择“警报”。

可以使用以下筛选器在“ 警报 ”页上查看所有警报的子集:

  • 状态:显示分配有特定状态的警报。 默认状态为 “活动”。 你或其他管理员可以更改状态值。
  • 策略:显示与一个或多个警报策略的设置匹配的警报。 或者,可以显示所有警报策略的所有警报。
  • 时间范围:显示在特定日期和时间范围内生成的警报。
  • 严重性:显示分配有特定严重性的警报。
  • 类别:显示来自一个或多个警报类别的警报。
  • 标记:显示来自一个或多个用户标记的警报。 标记根据标记的邮箱或警报中显示的用户进行反映。 有关详细信息,请参阅 Defender for Office 365 中的用户标记
  • :使用此筛选器可在 Microsoft Purview 门户中显示警报策略触发的警报,或显示由 Microsoft Defender for Cloud Apps 策略触发的警报,或同时显示这两者。 有关 Defender for Cloud Apps 警报的详细信息,请参阅本文中的 查看 Defender for Cloud Apps 警报 部分。

重要

按用户标记进行筛选和排序目前为公共预览版,在正式发布之前,可能会进行大量修改。 Microsoft不就所提供的信息作出任何明示或暗示的保证。

警报聚合

当多个与警报策略条件匹配的事件在短时间内发生时,它们将通过称为警报聚合的进程添加到现有 警报中。 当事件触发警报时,警报将生成并显示在 “警报 ”页上,并发送通知。 如果在聚合间隔内发生相同的事件,Microsoft 365 会将有关新事件的详细信息添加到现有警报,而不是触发新警报。 警报聚合的目标是帮助减少警报的“疲劳”,并使你能够专注于对相同事件的更少警报执行操作。

聚合间隔的长度取决于 Office 365 或 Microsoft 365 订阅。

订阅 集合体
interval
Office 365 或 Microsoft 365 E5/G5 1 分钟
Defender for Office 365 计划 2 1 分钟
E5 合规性加载项或 E5 发现和审核加载项 1 分钟
Office 365 或 Microsoft 365 E1/F1/G1 或 E3/F3/G3 15 分钟
Defender for Office 365 计划 1 或 Exchange Online Protection 15 分钟

当与相同警报策略匹配的事件在聚合间隔内发生时,有关后续事件的详细信息将添加到原始警报中。 对于所有事件,有关聚合事件的信息将显示在详细信息字段中,并且活动/命中计数字段中显示聚合间隔事件的发生次数。 可以通过查看活动列表来查看所有聚合事件实例的详细信息。

以下屏幕截图显示了包含四个聚合事件的警报。 活动列表包含与警报相关的四封电子邮件的相关信息。

警报聚合示例。

有关警报聚合,请记住以下事项:

  • 检测到潜在恶意 URL 单击时触发的警报不会聚合默认警报策略。 出现此行为是因为此策略触发的警报对每个用户和电子邮件都是唯一的。

  • 目前, 命中计数 警报属性不指示所有警报策略的聚合事件数。 对于这些警报策略触发的警报,可以通过单击警报上的“ 查看消息列表 ”或“ 查看活动 ”来查看聚合事件。 我们正在努力使 命中计数 警报属性中列出的聚合事件数可用于所有警报策略。

查看警报所需的 RBAC 权限

分配给组织中的用户的基于角色的访问控制 (RBAC) 权限确定用户可以在“警报”页上看到哪些 警报 。 这是如何实现的? 分配给用户的管理角色 (基于用户在合规性门户或 Microsoft Defender 门户的角色组中的成员身份) 确定用户可以在“ 警报 ”页上看到哪些警报类别。 下面是一些示例:

  • 记录管理角色组的成员只能查看由分配了信息管理类别的警报策略生成的警报。
  • 合规性管理员角色组的成员无法查看由分配了威胁管理类别的警报策略生成的警报。
  • 电子数据展示管理员角色组的成员无法查看任何警报,因为任何分配的角色都未提供查看任何警报类别警报的权限。

此设计 (基于 RBAC 权限) ,可让你确定组织中特定作业角色的用户可以查看 (和管理) 警报。

下表列出了查看来自六个不同警报类别的警报所需的角色。 复选标记指示分配有该角色的用户可以查看标题行中列出的相应警报类别中的警报。

若要查看默认警报策略分配到的类别,请参阅 默认警报策略中的表。

Role Information
统辖
数据丢失
预防
邮件
权限 威胁
管理
其他
合规性管理员
DLP 合规性管理
信息保护管理员
信息保护分析师
信息保护调查员
管理通知
组织配置
隐私管理
Quarantine
记录管理
保留管理
角色管理
安全管理员
安全信息读取者
运输卫生
View-Only DLP 合规性管理
仅查看配置
View-Only 管理警报
仅查看收件人
View-Only 记录管理
View-Only 保留管理

提示

若要查看分配给每个默认角色组的角色,请在安全性 & 合规性 PowerShell 中运行以下命令:

$RoleGroups = Get-RoleGroup

$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,("-"*25); Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}

还可以在合规性门户或 Microsoft Defender 门户中查看分配给角色组的角色。 转到 “权限” 页,然后选择角色组。 分配的角色在浮出控件页上列出。

管理警报

在生成警报并将其显示在 Microsoft Purview 门户的 “警报 ”页上后,可以对其进行会审、调查和解决。 允许用户访问警报的 相同 RBAC 权限 也使他们能够管理警报。

下面是一些可以执行以管理警报的任务。

  • 将状态分配给警报:可以将以下状态之一分配给警报: 活动 (默认值) 、 正在调查已解决已消除。 然后,可以根据此设置进行筛选,以显示具有相同状态设置的警报。 此状态设置可帮助跟踪管理警报的过程。

  • 查看警报详细信息:可以选择警报以显示包含警报详细信息的浮出控件页面。 详细信息取决于相应的警报策略,但它通常包括以下信息:

    • 触发警报的实际操作的名称,例如 cmdlet 或审核日志操作。
    • 触发警报的活动的说明。
    • 用户 (或触发警报的用户) 列表。 这仅适用于设置为跟踪单个用户或单个活动的警报策略。
    • 警报跟踪的活动执行次数。 此数字可能与“警报”页上列出的相关警报的实际数量不匹配,因为可能触发了更多警报。
    • 指向活动列表的链接,其中包含触发警报的每个活动的项。 此列表中的每个条目标识活动发生时间、实际操作的名称 ((例如“FileDeleted”) 、执行活动的用户、对象 ((例如文件、电子数据展示事例或执行活动) 邮箱)以及用户计算机的 IP 地址。 对于与恶意软件相关的警报,此链接指向消息列表。
    • 相应警报策略的名称 (和链接) 。
  • 禁止显示电子邮件通知:可以从警报的浮出控件页面关闭 (或取消) 电子邮件通知。 禁止显示电子邮件通知时,Microsoft不会在发生与警报策略条件匹配的活动或事件时发送通知。 但是,当用户执行的活动与警报策略的条件匹配时,将触发警报。 还可以通过编辑警报策略来关闭电子邮件通知。

  • 解决警报:可以在警报的浮出控件页面上将警报标记为已解决 (该警报的状态设置为“ 已解决) ”。 除非更改筛选器,否则“警报”页上不会显示已解决的 警报

查看 Defender for Cloud Apps 警报

Defender for Cloud Apps 策略触发的警报现在显示在 Microsoft Purview 门户的 “警报 ”页上。 这包括活动策略触发的警报,以及 Defender for Cloud Apps 中的异常情况检测策略触发的警报。 这意味着可以在 Microsoft Purview 门户中查看所有警报。 Defender for Cloud Apps 仅适用于具有 Office 365 企业版 E5 或 Office 365 美国政府版 G5 订阅的组织。 有关详细信息,请参阅 Defender for Cloud Apps 概述

Microsoft Defender for Cloud Apps 作为企业移动性 + 安全性 E5 订阅的一部分或作为独立服务的组织还可以在合规性门户或 Microsoft Defender 门户中查看与 Microsoft 365 应用和服务相关的 Defender for Cloud Apps 警报。

若要在 Microsoft Purview 门户或 Defender 门户中仅显示 Defender for Cloud Apps 警报,请使用 筛选器并选择“ Defender for Cloud Apps”。

使用源筛选器仅显示 Defender for Cloud Apps 警报。

与 Microsoft Purview 门户中的警报策略触发的警报类似,可以选择 Defender for Cloud Apps 警报以显示包含警报详细信息的浮出控件页。 警报包括一个链接,用于在 Defender for Cloud Apps 门户中查看详细信息和管理警报,以及指向触发警报的相应 Defender for Cloud Apps 策略的链接。 请参阅 在 Defender for Cloud Apps 中监视警报

警报详细信息包含指向 Defender for Cloud Apps 门户的链接。

重要

在 Microsoft Purview 门户中更改 Defender for Cloud Apps 警报的状态不会更新 Defender for Cloud Apps 门户中相同警报的解决状态。 例如,如果在 Microsoft Purview 门户中将警报的状态标记为 “已解决 ”,则 Defender for Cloud Apps 门户中警报的状态将保持不变。 若要解决或消除 Defender for Cloud Apps 警报,请在 Defender for Cloud Apps 门户中管理警报。