監視和維護Microsoft 365 商務進階版和商務用 Defender
在您設定並設定Microsoft 365 商務進階版或獨立版本的適用於企業的 Microsoft Defender之後,下一個步驟是準備維護和作業的計畫。 請務必將系統、裝置、使用者帳戶和安全性原則保持在最新狀態,以協助防範網路攻擊。 您可以使用本文作為準備計畫的指南。
當您準備計畫時,可以將各種工作組織成兩個主要類別,如下表所示:
工作類型 | Sections |
---|---|
安全性工作 | 每日安全性工作 每週安全性工作 每月安全性工作 視需要執行的安全性工作 |
一般系統管理工作 | 管理員中心工作 使用者、群組和密碼 電子郵件和行事曆 裝置 訂閱及計費 |
安全性工作
安全性工作通常由安全性系統管理員和安全性操作員執行。
每日安全性工作
工作 | 描述 |
---|---|
檢查您的威脅弱點管理儀表板 | 查看您的弱點管理儀表板,以取得威脅弱點的快照集,該儀表板會反映貴組織對於網路安全性威脅的弱點。 高暴露程度分數表示您的裝置更容易遭受惡意探索。 1.在Microsoft Defender入口網站 (https://security.microsoft.com) ,在流覽窗格中,選取 [弱點管理 > 儀表板]。 2.查看您的 組織曝光分數。 如果是在可接受或「高」的範圍內,則您可以繼續執行。 如果不是,請選取 [改善分數] 以查看其他詳細資料和安全性建議,以改善此分數。 留意您的暴露程度分數可協助您: - 快速瞭解並識別組織中安全性狀態的高階重點 - 偵測和回應需要調查或動作以改善目前狀態的區域 - 與同儕溝通及管理安全性工作的影響 |
在控制中心檢閱待核准的動作 | 偵測到威脅時, 補救動作 就會生效。 根據特定威脅和安全性設定的設定方式,補救動作可能會自動採取動作,或僅在核准後採取動作,這也是為何需要定期性的監視的原因。 系統會在控制中心追蹤補救動作。 1.在Microsoft Defender入口網站中, (https://security.microsoft.com) ,在流覽窗格中選擇 [控制中心]。 2.選取 [ 擱置 ] 索引標籤以檢視和核准 (或拒絕) 任何擱置的動作。 這類動作可能來自防毒軟體或反惡意軟體保護、自動化調查、手動回應活動或即時回應工作階段。 3.選取 [ 歷程記錄] 索引標籤以檢視已完成的動作清單。 |
檢閱具有威脅偵測的裝置 | 在裝置上偵測到威脅時,您的安全性小組必須知道,才能立即採取任何必要的動作,例如隔離裝置。 1.在Microsoft Defender入口網站中, (https://security.microsoft.com) ,在流覽窗格中選擇 [報告 > 一般 > 安全性報告]。 2.向下捲動至 [易受攻擊的裝置] 資料 列。 如果在裝置上偵測到威脅,您可以在此資料列中看到該資訊。 |
了解新的事件或警示 | 當偵測到威脅並觸發警示時, 即會建立事件。 貴公司的安全性小組可以在Microsoft Defender入口網站中檢視和管理事件。 1.在Microsoft Defender入口網站 (https://security.microsoft.com) ,在導覽功能表中選取 [事件]。 事件會顯示在具有相關聯警示的頁面上。 2.選取警示以開啟其飛出視窗窗格,您可以在其中深入瞭解警示。 3.在飛出視窗中,您可以看到警示標題、檢視 (的資產清單,例如受影響的端點或使用者帳戶) 、採取可用的動作,以及使用連結來檢視詳細資訊,甚至開啟所選警示的詳細資料頁面。 |
執行掃描或自動化調查 | 您的安全性小組可以在具有高風險層級或偵測到威脅的裝置上起始掃描或自動化調查。 根據掃描或自動化調查的結果, 補救動作 可能會自動或在核准時發生。 1.在Microsoft Defender入口網站中, (https://security.microsoft.com) ,在流覽窗格中選擇 [資產>裝置]。 2.選取裝置以開啟其飛出視窗面板,並檢閱顯示的資訊。 - 選取省略號 (...) 以開啟 [動作] 功能表。 - 選取動作,例如 執行防毒軟體掃描 或 起始自動化調查。 |
每週安全性工作
工作 | 描述 |
---|---|
監視及改善您的 Microsoft 安全分數 | Microsoft 安全分數是組織安全性狀態的度量。 較高的數位表示需要較少的改進動作。 藉由使用安全分數,您可以: - 報告組織安全性狀態的目前狀態。 - 提供可探索性、可見度、指引和控制,以改善您的安全性狀態。 - 與效能評定進行比較,並建立關鍵效能指標 (KPI) 。 若要檢查您的分數,請遵循下列步驟: 1.在Microsoft Defender入口網站中, (https://security.microsoft.com) ,在流覽窗格中選擇[安全分數]。 2.檢閱並做出補救和動作的決策,以改善整體 Microsoft 安全分數。 |
改善裝置的安全分數 | 使用安全性建議清單來補救問題,以改善您的安全性設定。 當您這麼做時,裝置的 Microsoft 安全分數會獲得改善,而且您的組織在日後會更能抵禦網路安全性威脅和弱點。 花費在檢閱並改善分數上的時間始終會是值得的。 若要檢查您的安全分數,請遵循下列步驟: 1.在Microsoft Defender入口網站中 (https://security.microsoft.com) ,在流覽窗格中選取[安全分數]。 2.從 [Defender 弱點管理] 儀表板中的 [ 裝置安全分數 ] 卡片中,選取其中一個類別。 隨即會顯示與該類別相關的建議清單以及建議。 3.選取清單上的專案,以顯示與建議相關的詳細資料。 4.選取 [補救選項]。 5.閱讀描述以瞭解問題的內容,以及接下來該怎麼做。 選擇到期日、新增附注,然後選取 [將 所有補救活動資料匯出至 CSV ],以便將它附加至電子郵件以進行後續追蹤。 確認訊息會告訴您已建立補救工作。 6.傳送後續電子郵件給您的 IT 系統管理員,並允許您分配給補救的時間在系統中傳播。 7.返回儀表板上的 Microsoft 裝置安全分數卡片。 由於您的動作,安全性控制項建議的數量已減少。 8.選取 [安全性控制項 ] 返回 [安全性建議] 頁面。 已解決的問題不會再列於此,這會使您的 Microsoft 安全分數改善。 |
每月安全性工作
工作 | 描述 |
---|---|
執行報告 | Microsoft Defender入口網站 () https://security.microsoft.com 提供數份報告。 1.在Microsoft Defender入口網站中 (https://security.microsoft.com) ,在流覽窗格中選取 [報告]。 2.選擇要檢閱的報表。 每個報吿都會顯示該報告的一些相關類別。 3.選 取 [檢視詳細資料 ] 以查看每個類別的更深入資訊。 4.選取特定威脅的標題,以查看其特定的詳細資料。 |
執行模擬教學課程 | 透過訓練為您和您的團隊提升安全性準備始終會是個不錯的方法。 您可以在Microsoft Defender入口網站中存取模擬教學課程。 本教學課程涵蓋數種類型的網路威脅。 若要開始使用,請遵循下列步驟: 1.在Microsoft Defender入口網站中, (https://security.microsoft.com) ,在流覽窗格中選擇 [教學課程]。< 2.閱讀您想要執行之教學課程的逐步解說,然後下載檔案,或根據指示覆制執行模擬所需的腳本。 |
探索學習中樞網站 | 使用學習中樞來增加您對於網路安全性威脅的知識,以及如何解決這些問題。 我們建議您探索所提供的資源,特別是在Microsoft Defender 全面偵測回應和端點小節中。 1.在Microsoft Defender入口網站中, (https://security.microsoft.com) ,在流覽窗格中選擇[學習中樞]。 2.選取區域,例如Microsoft Defender 全面偵測回應或端點。 3.選取專案以深入瞭解每個概念。 Learning 中樞內的某些資源可能涵蓋未包含在Microsoft 365 商務進階版中的功能。 例如,進階搜捕功能包含在企業訂用帳戶中,例如適用于端點的 Defender 方案 2 或Microsoft Defender 全面偵測回應,但不在Microsoft 365 商務進階版中。 請參閱商務用 Defender 與 Microsoft 365 商務進階版的比較方式? |
視需要執行的安全性工作
工作 | 描述 |
---|---|
管理誤判/負面 | 誤判為真是實體,例如偵測到並識別為惡意的檔案或進程,即使實體實際上不是威脅也一樣。 誤判為真是未偵測到為威脅的實體,即使它實際上是惡意的。 任何威脅防護解決方案都可能發生誤判/負面,包括適用於 Office 365 的 Microsoft Defender和適用於企業的 Microsoft Defender,這兩者都包含在Microsoft 365 商務進階版中。 幸運的是,您可以採取步驟來解決和減少這類問題。 如需裝置上的誤判/負面,請參閱解決適用於端點的 Microsoft Defender中的誤判/負面。 如需電子郵件中的誤判/負面,請參閱下列文章: - 如何使用 適用於 Office 365 的 Microsoft Defender 處理傳遞給收件者的惡意電子郵件 (誤判) - 如何使用 適用於 Office 365 的 Microsoft Defender 處理 (誤判) 封鎖的合法電子郵件 |
加強您的安全性狀態 | 商務用 Defender 包含弱點管理儀表板,可為您提供曝光分數,並可讓您檢視公開裝置的相關資訊,並查看相關的安全性建議。 您可以使用 Defender 弱點管理儀表板來降低暴露程度,並改善組織的安全性狀態。 請參閱下列文章: - 在 適用於企業的 Microsoft Defender 中使用您的弱點管理儀表板 - 儀表板深入解析 |
調整安全性原則 | 報 表可供使用,讓您可以檢視偵測到的威脅、裝置狀態等相關資訊。 有時候需要調整您的安全性原則。 例如,您可以將嚴格的保護套用至某些使用者帳戶或裝置,並將標準保護套用至其他使用者帳戶或裝置。 請參閱下列文章: - 針對裝置保護:在適用於企業的 Microsoft Defender中檢視或編輯原則 - 針對電子郵件保護:EOP 和 適用於 Office 365 的 Microsoft Defender 安全性的建議設定 |
分析系統管理員提交 | 有時必須將電子郵件訊息、URL 或附件等實體提交給 Microsoft,以供進一步分析。 報告專案可協助減少誤判/負面的發生次數,並改善威脅偵測精確度。 請參閱下列文章: - 使用提交頁面將可疑的垃圾郵件、網路釣魚、URL、遭到封鎖的合法電子郵件,以及電子郵件附件提交給 Microsoft - 管理員檢閱使用者回報的訊息 |
保護優先使用者帳戶 | 並非所有使用者帳戶都可以存取相同的公司資訊。 某些帳戶可以存取敏感性資訊,例如財務資料、產品開發資訊、重要組建系統的合作夥伴存取權等等。 如果遭到入侵,可存取高度機密資訊的帳戶會造成嚴重威脅。 我們將這些類型的帳戶稱為優先帳戶。 優先帳戶包含 (,但不限於) CEO、CISO、CPO、基礎結構系統管理員帳戶、組建系統帳戶等等。 請參閱下列文章: - 保護您的系統管理員帳戶 - Microsoft 365 中優先帳戶的安全性建議 |
保護高風險裝置 | 裝置的整體風險評估是以因素組合為基礎,例如裝置上作用中警示的類型和嚴重性。 當您的安全性小組解決作用中警示、核准補救活動,以及隱藏後續警示時,風險層級會降低。 請參閱在適用於企業的 Microsoft Defender中管理裝置。 |
將裝置上線或離線 | 當裝置被取代或淘汰、購買新裝置,或您的商務需求變更時,您可以從商務用 Defender 將裝置上線或離線。 請參閱下列文章: - 將裝置上線以適用於企業的 Microsoft Defender - 從 適用於企業的 Microsoft Defender 將裝置離線 |
補救項目 | Microsoft 365 商務進階版包含數個補救動作。 有些動作會自動執行,有些則等候安全性小組核准。 1.在Microsoft Defender入口網站中, (https://security.microsoft.com) ,在流覽窗格中,移至 [資產>裝置]。 2.選取裝置,例如具有高風險層級或暴露程度的裝置。 飛出視窗窗格隨即開啟,並顯示針對該專案產生的警示和事件的詳細資訊。 3.在飛出視窗上,檢視顯示的資訊。 選取省略號 (...) 以開啟列出可用動作的功能表。 4.選取可用的動作。 例如,您可以選擇 執行防毒軟體掃描,這會造成 Microsoft Defender 防毒軟體在裝置上開始快速掃描。 或者,您可以選取 啟動自動化調查 以觸發裝置上的自動化調查。 |
裝置的補救動作
下表摘要說明 Microsoft 365 商務進階版 和商務用 Defender 中裝置可用的補救動作:
來源 | 動作 |
---|---|
自動化調查 | 隔離檔案 移除登錄機碼 終止進程 停止服務 停用驅動程式 移除排程的工作 |
手動回應動作 | 執行防毒掃描 隔離裝置 新增指示器以封鎖或允許檔案 |
即時回應 | 收集鑒識資料 分析檔案 執行腳本 將可疑實體傳送至 Microsoft 進行分析 修復檔案 主動威脅搜捕 |
一般系統管理工作
維護您的環境包括管理使用者帳戶、管理裝置,以及保持最新狀態並正常運作。 管理員工作通常由全域管理員和租使用者系統管理員執行。 深入了解系統管理員角色。
如果您不熟悉 Microsoft 365,請花點時間取得Microsoft 365 系統管理中心概觀。
管理員中心工作
工作 | 可深入了解的資源 |
---|---|
開始使用Microsoft 365 系統管理中心 | Microsoft 365 系統管理中心概觀 |
瞭解Microsoft 365 系統管理中心中的新功能 | Microsoft 365 系統管理中心的新功能 |
瞭解新產品更新和功能,以便協助準備使用者 | 隨時掌握 Microsoft 365 產品和功能變更 |
檢視使用量報告,以查看人員如何使用 Microsoft 365 | 系統管理中心的 Microsoft 365 報告 |
開啟技術支援票證 | 取得商務用 Microsoft 365 支援 |
使用者、群組和密碼
工作 | 可深入了解的資源 |
---|---|
新增使用者 | 將新員工新增至 Microsoft 365 |
指派或取消指派使用者的授權 | 在Microsoft 365 系統管理中心中指派或取消指派使用者的授權 使用 PowerShell 將 Microsoft 365 授權指派給使用者帳戶 |
將系統管理員角色指派給需要系統管理員許可權的人員 | 在Microsoft 365 系統管理中心中指派系統管理員角色 使用 PowerShell 將系統管理員角色指派給 Microsoft 365 使用者帳戶 |
移除使用者的授權 | 在Microsoft 365 系統管理中心中指派或取消指派使用者的授權 使用 PowerShell 從使用者帳戶移除 Microsoft 365 授權 |
開啟或關閉代名詞 | 在Microsoft 365 系統管理中心中開啟或關閉貴組織的代名詞 |
判斷是否允許來賓存取其整個組織或個別群組的群組 (適用于Microsoft 365 商務進階版) |
Microsoft 365 系統管理中心中的來賓使用者 |
當某人離開您的組織時移除使用者帳戶 | 概觀:移除離職員工並保護資料 |
重設使用者帳戶的密碼 | 在商務用 Microsoft 365 中重設密碼 |
電子郵件和行事曆
工作 | 可深入了解的資源 |
---|---|
將電子郵件和連絡人從 Gmail 或其他電子郵件提供者移轉至 Microsoft 365 | 將電子郵件和連絡人移轉到 Microsoft 365 |
將電子郵件簽章、法律免責聲明或揭露聲明新增至傳入或傳出的電子郵件訊息 | 建立整個組織的簽章和免責聲明 |
設定、編輯或刪除安全性群組 | 在Microsoft 365 系統管理中心中建立、編輯或刪除安全性群組 |
將使用者新增至通訊群組 | 將使用者或連絡人新增至 Microsoft 365 通訊群組 |
設定共用信箱,讓使用者可以監視和傳送來自常見電子郵件地址的電子郵件,例如 info@contoso.com |
建立共用信箱 |
裝置
工作 | 可深入了解的資源 |
---|---|
使用 Windows Autopilot 來設定和預先設定新裝置,或重設、重新規劃及復原裝置 (適用于Microsoft 365 商務進階版) |
Windows Autopilot 概觀 |
檢視目前的狀態並管理裝置 | 在適用於企業的 Microsoft Defender 中管理裝置 |
將裝置上線至適用於企業的 Defender | 將裝置上線至適用於企業的 Defender |
從商務用 Defender 將裝置離線 | 將裝置從適用於企業的 Defender 中離線 |
使用 Intune 管理裝置 | Intune 的裝置管理是什麼意思? 在 Microsoft Intune 中管理您的裝置並控制裝置功能 |
網域
工作 | 可深入了解的資源 |
---|---|
將如 contoso.com) 的網域 (新增至您的 Microsoft 365 訂閱 | 將網域新增至 Microsoft 365 |
購買網域 | 購買網域名稱 |
移除網域 | 移除網域 |
訂閱與計費
工作 | 可深入了解的資源 |
---|---|
檢視帳單 | 檢視商務用 Microsoft 365 訂閱帳單或發票 |
管理您的付款條件 | 管理付款方式 |
變更付款頻率 | 變更您的 Microsoft 365 訂閱計費頻率 |
變更帳單位址 | 變更您的商務用 Microsoft 365 計費位址 |
另請參閱
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: