试点Microsoft Defender for Office 365
适用于:
- Microsoft Defender XDR
本文是设置Microsoft Defender for Office 365评估环境过程中的步骤 3(共 3 步)。 有关此过程的详细信息,请参阅 概述文章。
使用以下步骤为Microsoft Defender for Office 365设置和配置试点。
评估Microsoft Defender for Office 365时,可以选择在为整个组织启用和执行策略之前试点特定用户。 创建通讯组有助于管理部署过程。 例如,创建Defender for Office 365用户 - 标准保护、Defender for Office 365用户 - 严格保护、Defender for Office 365用户 - 自定义保护或Defender for Office 365用户 - 异常。
为什么“标准”和“严格”是用于这些组的术语可能并不明显,但当你深入了解Defender for Office 365安全预设时,这一点会变得清晰起来。 将组命名为“自定义”和“例外”不言而喻,尽管大多数用户应属于 标准 且 严格,但自定义和异常组将收集有关管理风险的宝贵数据。
步骤 1:Create试点组
可以直接在 Exchange Online 中创建和定义通讯组,也可以从本地 Active Directory同步通讯组。
使用已被授予收件人管理员角色或已委派组管理权限的帐户, (EAC) https://admin.exchange.microsoft.com 登录到 Exchange 管理员中心。
转到 “收件人>组”。
在 “组 ”页上,选择“ 添加组。
对于组类型,请选择“ 分发”,然后单击“ 下一步”。
为组提供 “名称” 和可选 “说明”,然后单击“下一步”。
在剩余的页面上,分配所有者、将成员添加到组、设置电子邮件地址、加入/离开限制和其他设置。
步骤 2:配置保护
默认情况下,Defender for Office 365中的某些功能已配置并启用,但安全操作可能希望提高默认保护级别。
某些功能 尚未 配置。 可以使用以下选项来配置保护 (以后) 更改这些选项:
将用户分配到预设的安全策略: 预设安全策略 是针对所有功能快速分配统一保护级别的建议方法。 可以选择 “标准” 或 “严格 保护”。 此处的表中介绍了“标准”和“严格”的设置。 此处的表中汇总了“标准”和“严格”之间的差异。
预设安全策略的优点是,根据数据中心的观察结果使用 Microsoft 建议的设置,尽快保护用户组。 随着新保护功能的添加和安全环境的变化,预设安全策略中的设置会自动更新为建议的设置。
预设安全策略的缺点是,无法自定义预设安全策略中的任何安全设置, (例如,无法将操作从“交付”更改为“垃圾邮件”更改为“隔离”,反之亦然,) 。 例外是 用户模拟和域模拟保护的条目和可选异常,必须手动配置。
此外,请记住,预设的安全策略 始终 在自定义策略之前应用。 因此,如果要创建和使用任何自定义策略,则需要从预设的安全策略中排除这些自定义策略中的用户。
配置自定义保护策略:如果希望自行配置环境,请比较 EOP 和Microsoft Defender for Office 365安全性的建议设置中的默认设置、标准设置和严格设置。 保留自定义生成偏离位置的电子表格。
还可以使用 配置分析器 将自定义策略中的设置与标准和严格值进行比较。
有关选择预设安全策略与自定义策略的详细信息,请参阅 确定保护策略策略。
分配预设的安全策略
建议从 EOP 中的预设安全策略开始,并将这些策略分配给特定的试点用户或定义的组作为评估的一部分,从而快速Defender for Office 365。 预设策略提供基线 标准 保护模板或更激进的 严格 保护模板,可以单独分配该模板。
例如,如果收件人是定义的 EOP 标准保护组 的成员 ,然后通过向组添加帐户或从中删除帐户来管理,则可以应用试点评估的 EOP 条件。
同样,如果收件人是定义的Defender for Office 365标准保护组的成员,然后通过组添加/删除帐户进行管理,则可以应用试点评估的Defender for Office 365条件。
有关完整说明,请参阅使用Microsoft Defender门户向用户分配标准和严格预设安全策略。
配置自定义保护策略
预定义的标准或严格Defender for Office 365策略模板为试点用户提供建议的基线保护。 但是,还可以在评估过程中生成和分配自定义保护策略。
请务必注意应用和强制实施这些保护策略时的优先级,如预设安全策略和其他策略的优先级顺序中所述。
配置保护策略中的说明和表提供了有关需要配置的内容的便捷参考。
步骤 3:试用功能并熟悉模拟、监视和指标
设置和配置试点后,熟悉 microsoft 365 Microsoft Defender特有的报告、监视和攻击模拟工具会很有帮助。
功能 | 说明 | 更多信息 |
---|---|---|
威胁资源管理器 | 威胁资源管理器是一个功能强大的准实时工具,可帮助安全运营团队调查和响应威胁,并显示有关Office 365电子邮件和文件中检测到的恶意软件和网络钓鱼的信息,以及组织面临的其他安全威胁和风险。 | 关于威胁资源管理器 |
攻击模拟培训 | 可以使用 Microsoft Defender 门户中的攻击模拟训练在组织中运行实际攻击方案,这有助于在实际攻击影响环境之前识别和查找易受攻击的用户。 | 开始使用攻击模拟培训 |
报表仪表板 | 在左侧导航菜单上,单击“报表”,然后展开“Email &协作”标题。 Email &协作报告涉及发现安全趋势,其中一些趋势允许你通过“转到提交”) 等按钮 (采取操作,而另一些则显示趋势。 这些指标是自动生成的。 | 在Microsoft Defender门户中查看电子邮件安全报告 在Microsoft Defender门户中查看Defender for Office 365报表 |
后续步骤
评估 Microsoft Defender for Endpoint
返回到评估Microsoft Defender for Office 365概述
返回到评估和试点Microsoft Defender XDR概述
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈