试点Microsoft Defender for Office 365

  • 项目

适用于:

  • Microsoft Defender XDR

本文是设置Microsoft Defender for Office 365评估环境过程中的步骤 3(共 3 步)。 有关此过程的详细信息,请参阅 概述文章

使用以下步骤为Microsoft Defender for Office 365设置和配置试点。

在 Microsoft Defender for Office 365 门户中创建试点的步骤。

评估Microsoft Defender for Office 365时,可以选择在为整个组织启用和执行策略之前试点特定用户。 创建通讯组有助于管理部署过程。 例如,创建Defender for Office 365用户 - 标准保护Defender for Office 365用户 - 严格保护Defender for Office 365用户 - 自定义保护Defender for Office 365用户 - 异常

为什么“标准”和“严格”是用于这些组的术语可能并不明显,但当你深入了解Defender for Office 365安全预设时,这一点会变得清晰起来。 将组命名为“自定义”和“例外”不言而喻,尽管大多数用户应属于 标准严格,但自定义和异常组将收集有关管理风险的宝贵数据。

步骤 1:Create试点组

可以直接在 Exchange Online 中创建和定义通讯组,也可以从本地 Active Directory同步通讯组。

  1. 使用已被授予收件人管理员角色或已委派组管理权限的帐户, (EAC) https://admin.exchange.microsoft.com 登录到 Exchange 管理员中心。

  2. 转到 “收件人>”。

    要单击的“组”菜单项。

  3. “组 ”页上,选择“ 添加组”图标。添加组

    要单击的“添加组”选项。

  4. 对于组类型,请选择“ 分发”,然后单击“ 下一步”。

    “选择组类型”部分。

  5. 为组提供 “名称” 和可选 “说明”,然后单击“下一步”。

    设置基础知识部分。

  6. 在剩余的页面上,分配所有者、将成员添加到组、设置电子邮件地址、加入/离开限制和其他设置。

步骤 2:配置保护

默认情况下,Defender for Office 365中的某些功能已配置并启用,但安全操作可能希望提高默认保护级别。

某些功能 尚未 配置。 可以使用以下选项来配置保护 (以后) 更改这些选项:

  • 将用户分配到预设的安全策略预设安全策略 是针对所有功能快速分配统一保护级别的建议方法。 可以选择 “标准”“严格 保护”。 此处的表中介绍了“标准”和“严格”的设置。 此处的表中汇总了“标准”和“严格”之间的差异。

    预设安全策略的优点是,根据数据中心的观察结果使用 Microsoft 建议的设置,尽快保护用户组。 随着新保护功能的添加和安全环境的变化,预设安全策略中的设置会自动更新为建议的设置。

    预设安全策略的缺点是,无法自定义预设安全策略中的任何安全设置, (例如,无法将操作从“交付”更改为“垃圾邮件”更改为“隔离”,反之亦然,) 。 例外是 用户模拟和域模拟保护的条目和可选异常,必须手动配置。

    此外,请记住,预设的安全策略 始终 在自定义策略之前应用。 因此,如果要创建和使用任何自定义策略,则需要从预设的安全策略中排除这些自定义策略中的用户。

  • 配置自定义保护策略:如果希望自行配置环境,请比较 EOP 和Microsoft Defender for Office 365安全性的建议设置中的默认设置、标准设置和严格设置。 保留自定义生成偏离位置的电子表格。

    还可以使用 配置分析器 将自定义策略中的设置与标准和严格值进行比较。

有关选择预设安全策略与自定义策略的详细信息,请参阅 确定保护策略策略

分配预设的安全策略

建议从 EOP 中的预设安全策略开始,并将这些策略分配给特定的试点用户或定义的组作为评估的一部分,从而快速Defender for Office 365。 预设策略提供基线 标准 保护模板或更激进的 严格 保护模板,可以单独分配该模板。

例如,如果收件人是定义的 EOP 标准保护组 的成员 ,然后通过向组添加帐户或从中删除帐户来管理,则可以应用试点评估的 EOP 条件。

同样,如果收件人是定义的Defender for Office 365标准保护的成员,然后通过组添加/删除帐户进行管理,则可以应用试点评估的Defender for Office 365条件。

有关完整说明,请参阅使用Microsoft Defender门户向用户分配标准和严格预设安全策略

配置自定义保护策略

预定义的标准严格Defender for Office 365策略模板为试点用户提供建议的基线保护。 但是,还可以在评估过程中生成和分配自定义保护策略。

请务必注意应用和强制实施这些保护策略时的优先级,如预设安全策略和其他策略的优先级顺序中所述。

配置保护策略中的说明和表提供了有关需要配置的内容的便捷参考。

步骤 3:试用功能并熟悉模拟、监视和指标

设置和配置试点后,熟悉 microsoft 365 Microsoft Defender特有的报告、监视和攻击模拟工具会很有帮助。

功能 说明 更多信息
威胁资源管理器 威胁资源管理器是一个功能强大的准实时工具,可帮助安全运营团队调查和响应威胁,并显示有关Office 365电子邮件和文件中检测到的恶意软件和网络钓鱼的信息,以及组织面临的其他安全威胁和风险。 关于威胁资源管理器
攻击模拟培训 可以使用 Microsoft Defender 门户中的攻击模拟训练在组织中运行实际攻击方案,这有助于在实际攻击影响环境之前识别和查找易受攻击的用户。 开始使用攻击模拟培训
报表仪表板 在左侧导航菜单上,单击“报表”,然后展开“Email &协作”标题。 Email &协作报告涉及发现安全趋势,其中一些趋势允许你通过“转到提交”) 等按钮 (采取操作,而另一些则显示趋势。 这些指标是自动生成的。 在Microsoft Defender门户中查看电子邮件安全报告

在Microsoft Defender门户中查看Defender for Office 365报表

后续步骤

评估 Microsoft Defender for Endpoint

返回到评估Microsoft Defender for Office 365概述

返回到评估和试点Microsoft Defender XDR概述

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区