查看和编辑Microsoft Defender 商业版中的设置
可以在Microsoft Defender门户 () 中查看和编辑设置,例如门户https://security.microsoft.com设置和高级功能。 使用本文大致了解可用的各种设置以及如何编辑 Defender for Business 设置。
查看高级功能的设置
在Microsoft Defender门户 (https://security.microsoft.com) ,转到“设置>终结点>常规>高级功能”。
下表介绍了高级功能设置。
| Setting | 说明 |
|---|---|
| 自动调查 (默认处于打开状态) |
生成警报时,可能会进行自动调查。 每个自动调查确定检测到的威胁是否需要操作,然后采取或建议修正操作,例如发送文件进行隔离、停止进程、隔离设备或阻止 URL。 运行调查时,出现的所有相关警报都将添加到调查中,直到调查完成。 如果在其他位置看到受影响的实体,则自动调查会扩展其范围以包含该实体,并且重复调查流程。 可以在 “事件 ”页上查看调查。 选择事件,然后选择“ 调查 ”选项卡。 默认情况下,在租户范围内启用自动调查和响应功能。 建议启用自动调查。 如果将其关闭,Microsoft Defender防病毒中的实时保护将受到影响,并且整体保护级别会降低。 详细了解自动调查。 |
| 实时响应 | Defender for Business 包括以下类型的手动响应操作: - 运行防病毒扫描 - 隔离设备 - 停止和隔离文件 - 添加指示器以阻止或允许文件 详细了解响应操作。 |
| 服务器的实时响应 | (此设置目前在 Defender for Business 中不可用。) |
| 实时响应未签名脚本执行 | (此设置目前在 Defender for Business 中不可用。) |
| 在块模式下启用 EDR (默认处于打开状态) |
当Microsoft Defender防病毒不是主要防病毒产品并在设备上以被动模式运行时,提供针对恶意项目的附加保护。 终结点检测和响应 (块模式下的 EDR) 在后台工作,以修正 EDR 功能检测到的恶意项目。 非 Microsoft 的主要防病毒产品可能错过了此类项目。 详细了解块模式下的 EDR。 |
| 允许或阻止文件 (默认处于打开状态) |
使你能够使用 指示器允许或阻止文件。 此功能要求Microsoft Defender防病毒处于活动模式并启用云保护。 阻止文件会阻止在组织中的设备上读取、写入或执行该文件。 详细了解文件指示器。 |
| 自定义网络指示器 (默认处于打开状态) |
使你能够使用 网络指示器允许或阻止 IP 地址、URL 或域。 此功能要求Microsoft Defender防病毒处于活动模式并启用网络保护。 可以根据威胁情报允许或阻止 IP、URL 或域。 如果用户打开有风险的应用,还可以提示他们,但提示不会阻止他们使用该应用。 详细了解网络保护。 |
| 篡改防护 (我们建议打开此设置) |
篡改防护可防止恶意应用执行如下操作: - 禁用病毒和威胁防护 - 禁用实时保护 - 关闭行为监视 - 禁用云保护 - 删除安全智能更新 - 禁用对检测到的威胁的自动操作 篡改防护实质上将Microsoft Defender防病毒锁定为其安全默认值,并防止应用和未经授权的方法更改安全设置。 详细了解篡改防护。 |
| 显示用户详细信息 (默认处于打开状态) |
使组织中的人员能够查看详细信息,例如员工的图片、姓名、职务和部门。 这些详细信息存储在 Microsoft Entra ID 中。 详细了解 Microsoft Entra ID 中的用户配置文件。 |
| Skype for Business 集成 (默认处于打开状态) |
Skype for Business已于 2021 年 7 月停用。 如果尚未迁移到 Microsoft Teams,请参阅 在小型企业中设置 Microsoft Teams。 与 Microsoft Teams (或以前的Skype for Business) 集成可实现企业中人员之间的一键式通信。 |
| Web 内容筛选 (默认处于打开状态) |
阻止访问包含不需要内容的网站,并跨所有域跟踪 Web 活动。 请参阅 设置 Web 内容筛选。 |
| Microsoft Intune连接 (我们建议打开此设置(如果有Intune) |
如果组织的订阅包括) Microsoft 365 商业高级版资源中包含的Microsoft Intune (,则此设置允许 Defender for Business 与 Intune 共享有关设备的信息。 |
| 设备发现 (默认处于打开状态) |
使安全团队能够查找连接到公司网络的非托管设备。 未知和非托管设备会给网络带来重大风险,无论是未修补的打印机、安全配置较弱的网络设备,还是没有安全控制的服务器。 设备发现使用载入设备来发现非托管设备,因此安全团队可以加入非托管设备并减少漏洞。 详细了解设备发现。 |
| 预览功能 | Microsoft 会不断更新 Defender for Business 等服务,以包括新功能增强功能和功能。 如果选择接收预览功能,你将是第一个尝试预览体验中即将推出的功能的用户之一。 详细了解预览功能。 |
在Microsoft Defender门户中查看和编辑其他设置
除了应用于设备的安全策略外,还可以在 Defender for Business 中查看和编辑其他设置。 例如,指定要使用的时区,并且可以载入(或卸载)设备。
注意
租户中的设置可能多于本文中列出的设置。 本文重点介绍应在 Defender for Business 中查看的最重要设置。
要针对 Defender for Business 进行评审的设置
下表介绍了可以在 Defender for Business 中查看和编辑的设置:
| 类别 | Setting | 说明 |
|---|---|---|
| 安全中心 | 时区 | 选择要用于事件、检测到的威胁以及自动调查和修正中显示的日期和时间的时区。 可以使用 UTC 或本地时区 (建议) 。 |
| Microsoft Defender XDR | Account | 查看详细信息,例如数据存储位置、租户 ID 和组织 (组织) ID。 |
| Microsoft Defender XDR | 预览功能 | 启用预览功能以尝试即将推出的功能和新功能。 你可以成为第一批预览新功能并提供反馈的用户之一。 |
| 终结点 | 电子邮件通知 | 设置或编辑电子邮件通知规则。 检测到漏洞或创建警报后,电子邮件通知规则中指定的收件人将收到一封电子邮件。 详细了解电子邮件通知。 |
| 终结点 | 设备管理>载入 | 使用可下载的脚本将设备载入 Defender for Business。 若要了解详细信息,请参阅 将设备载入 Defender for Business。 |
| 终结点 | 设备管理>卸载 | 卸载 (从 Defender for Business 中删除) 设备。 当你离开设备时,它不再将数据发送到 Defender for Business,但会保留在卸载之前收到的数据。 若要了解详细信息,请参阅 卸载设备。 |
在Microsoft Defender门户中访问设置
转到Microsoft Defender门户 (https://security.microsoft.com/) ,然后登录。
选择“设置”,然后选择一个类别 (,例如安全中心、Microsoft Defender XDR或终结点) 。
在设置列表中,选择要查看或编辑的项。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈