監視和維護 Microsoft 365 商務進階版和 適用於企業的 Defender
在您設定 Microsoft 365 商務進階版 或獨立版本的 適用於企業的 Microsoft Defender 之後,下一個步驟是準備維護和作業的計劃。 請務必將系統、裝置、用戶帳戶和安全策略保持在最新狀態,以協助防範網路攻擊。 您可以使用本文作為準備計劃的指南。
當您準備計劃時,可以將各種工作組織成兩個主要類別,如下表所示:
| 工作類型 | Sections |
|---|---|
| 安全性工作 |
每日安全性工作 每周安全性工作 每月安全性工作 視需要執行的安全性工作 |
| 一般系統管理工作 |
管理員 中心工作 使用者、群組和密碼 電子郵件和行事曆 裝置 訂閱及計費 |
安全性工作
安全性工作通常由安全性系統管理員和安全性操作員執行。
每日安全性工作
| 工作 | 描述 |
|---|---|
| 檢查您的威脅弱點管理儀錶板 | 查看您的弱點管理儀錶板,以取得威脅弱點的快照集,該儀錶板會反映貴組織對於網路安全性威脅的弱點。 高暴露程度分數表示您的裝置更容易遭受惡意探索。 1.在 Microsoft Defender 入口網站中 (https://security.microsoft.com) ,在瀏覽窗格中選取 [弱點管理>儀錶板]。 2.查看您的 組織曝光分數。 如果是在可接受或「高」的範圍內,則您可以繼續執行。 如果不是,請選取 [改善分數] 以查看其他詳細資料和安全性建議,以改善此分數。 留意您的暴露程度分數可協助您: - 快速了解並識別組織中安全性狀態的高階重點 - 偵測和回應需要調查或動作以改善目前狀態的區域 - 與同儕溝通及管理安全性工作的影響 |
| 在控制中心檢閱待核准的動作 | 偵測到威脅時, 補救動作 就會生效。 根據特定威脅和安全性設定的設定方式,補救動作可能會自動採取動作,或僅在核准後採取動作,這也是為何需要定期性的監視的原因。 系統會在控制中心追蹤補救動作。 1.在 Microsoft Defender 入口網站中, (https://security.microsoft.com) ,在瀏覽窗格中選擇 [控制中心]。 2.選取 [ 擱置 ] 索引標籤以檢視和核准 (或拒絕) 任何擱置的動作。 這類動作可能來自防毒軟體或反惡意軟體保護、自動化調查、手動回應活動或即時回應工作階段。 3.選取 [ 歷程記錄] 索引標籤以檢視已完成的動作清單。 |
| 檢閱具有威脅偵測的裝置 | 在裝置上偵測到威脅時,您的安全性小組必須知道,才能立即採取任何必要的動作,例如隔離裝置。 1.在 Microsoft Defender 入口網站中 (https://security.microsoft.com) ,在瀏覽窗格中選擇 [報告>一般>安全性報告]。 2.向下捲動至 [易受攻擊的裝置] 數據 列。 如果在裝置上偵測到威脅,您可以在此數據列中看到該資訊。 |
| 了解新的事件或警示 | 當偵測到威脅並觸發警示時, 即會建立事件。 貴公司的安全性小組可以在 Microsoft Defender 入口網站中檢視和管理事件。 1.在 Microsoft Defender 入口網站中 (https://security.microsoft.com) ,在導覽功能表中選取 [事件]。 事件會顯示在具有相關聯警示的頁面上。 2.選取警示以開啟其飛出視窗窗格,您可以在其中深入瞭解警示。 3.在飛出視窗中,您可以看到警示標題、檢視 (的資產清單,例如受影響的端點或使用者帳戶) 、採取可用的動作,以及使用連結來檢視詳細資訊,甚至開啟所選警示的詳細數據頁面。 |
| 執行掃描或自動化調查 | 您的安全性小組可以在具有高風險層級或偵測到威脅的裝置上起始掃描或自動化調查。 根據掃描或自動化調查的結果, 補救動作 可能會自動或在核准時發生。 1.在 Microsoft Defender 入口網站中, (https://security.microsoft.com) ,在瀏覽窗格中選擇 [資產>裝置]。 2.選取裝置以開啟其飛出視窗面板,並檢閱顯示的資訊。 - 選取省略號 (...) 以開啟 [動作] 功能表。 - 選取動作,例如 執行防病毒軟體掃描 或 起始自動化調查。 |
每周安全性工作
| 工作 | 描述 |
|---|---|
| 監視及改善您的Microsoft安全分數 | Microsoft安全分數是組織安全性狀態的度量。 較高的數位表示需要較少的改進動作。 藉由使用安全分數,您可以: - 報告組織安全性狀態的目前狀態。 - 提供可探索性、可見性、指引和控制,以改善您的安全性狀態。 - 與效能評定進行比較,並建立關鍵效能指標 (KPI) 。 若要檢查您的分數,請遵循下列步驟: 1.在 Microsoft Defender 入口網站 (https://security.microsoft.com) ,在瀏覽窗格中選擇 [安全分數]。 2.檢閱並決定補救和動作,以改善整體Microsoft安全分數。 |
| 改善裝置的安全分數 | 使用安全性建議清單來補救問題,以改善您的安全性設定。 當您這麼做時,裝置的 Microsoft 安全分數會獲得改善,而且您的組織在日後會更能抵禦網路安全性威脅和弱點。 花費在檢閱並改善分數上的時間始終會是值得的。 若要檢查您的安全分數,請遵循下列步驟: 1.在 Microsoft Defender 入口網站中 (https://security.microsoft.com) ,在瀏覽窗格中選取 [安全分數]。 2.從 Defender 弱點管理 儀錶板中的 [Microsoft 裝置安全分數] 卡片中,選取其中一個類別。 隨即會顯示與該類別相關的建議清單以及建議。 3.選取清單上的專案,以顯示與建議相關的詳細數據。 4.選取 [補救選項]。 5.閱讀描述以了解問題的內容,以及接下來該怎麼做。 選擇到期日、新增附注,然後選取 [將 所有補救活動數據匯出至 CSV ],以便將它附加至電子郵件以進行後續追蹤。 確認訊息會告訴您已建立補救工作。 6.傳送後續電子郵件給您的IT系統管理員,並允許您分配給補救的時間在系統中傳播。 7.返回儀錶板上的 [Microsoft 裝置安全分數] 卡片。 由於您的動作,安全性控制項建議的數量已減少。 8.選取 [安全性控件 ] 傳回 [安全性建議] 頁面。 已解決的問題不會再列於此,這會使您的 Microsoft 安全分數改善。 |
每月安全性工作
| 工作 | 描述 |
|---|---|
| 執行報告 | Microsoft Defender 入口網站 () https://security.microsoft.com 提供數份報告。 1.在 Microsoft Defender 入口網站中, (https://security.microsoft.com) ,在瀏覽窗格中選取 [報告]。 2.選擇要檢閱的報表。 每個報吿都會顯示該報告的一些相關類別。 3.選 取 [檢視詳細數據 ] 以查看每個類別的更深入資訊。 4.選取特定威脅的標題,以查看其特定的詳細數據。 |
視需要執行的安全性工作
| 工作 | 描述 |
|---|---|
| 管理誤判/負面 | 誤判為真是實體,例如偵測到並識別為惡意的檔案或進程,即使實體實際上不是威脅也一樣。 誤判為真是未偵測到為威脅的實體,即使它實際上是惡意的。 任何威脅防護解決方案都可能發生誤判/負面,包括 適用於 Office 365 的 Microsoft Defender 和 適用於企業的 Microsoft Defender,這兩者都包含在 Microsoft 365 商務進階版 中。 幸運的是,您可以採取步驟來解決和減少這類問題。 如需裝置上的誤判/負面,請參閱解決 適用於端點的 Microsoft Defender 中的誤判/負面。 如需電子郵件中的誤判/負面,請參閱下列文章: - 如何使用 適用於 Office 365 的 Microsoft Defender 處理傳遞給收件者的惡意電子郵件 (誤判) - 如何使用 適用於 Office 365 的 Microsoft Defender 處理 (誤判) 封鎖的合法電子郵件 |
| 使用適用於端點的 Microsoft Defender 加強您的安全性態勢 | 適用於企業的 Defender 包含弱點管理儀錶板,可為您提供曝光分數,並可讓您檢視公開裝置的相關信息,並查看相關的安全性建議。 您可以使用 Defender 弱點管理 儀錶板來降低曝光率,並改善組織的安全性狀態。 請參閱下列文章: - 在 適用於企業的 Microsoft Defender 中使用您的弱點管理儀錶板 - 儀錶板深入解析 |
| 調整安全策略 |
報 表可供使用,讓您可以檢視偵測到的威脅、裝置狀態等相關信息。 有時候需要調整您的安全策略。 例如,您可以將嚴格的保護套用至某些用戶帳戶或裝置,並將標準保護套用至其他使用者帳戶或裝置。 請參閱下列文章: - 針對裝置保護:在 適用於企業的 Microsoft Defender 中檢視或編輯原則 - 針對電子郵件保護:EOP 和 適用於 Office 365 的 Microsoft Defender 安全性的建議設定 |
| 分析系統管理員提交 | 有時必須將電子郵件訊息、URL 或附件等實體提交至Microsoft以供進一步分析。 報告專案可協助減少誤判/負面的發生次數,並改善威脅偵測精確度。 請參閱下列文章: - 使用 [提交] 頁面將可疑的垃圾郵件、網络釣魚、URL、遭到封鎖的合法電子郵件,以及電子郵件附件提交至 Microsoft - 管理員 檢閱用戶回報的訊息 |
| 保護優先用戶帳戶 | 並非所有用戶帳戶都可以存取相同的公司資訊。 某些帳戶可以存取敏感性資訊,例如財務數據、產品開發資訊、重要組建系統的合作夥伴存取權等等。 如果遭到入侵,可存取高度機密資訊的帳戶會造成嚴重威脅。 我們將這些類型的帳戶稱為優先帳戶。 優先帳戶包含 (,但不限於) CEO、CISO、CPO、基礎結構系統管理員帳戶、組建系統帳戶等等。 請參閱下列文章: - 保護您的系統管理員帳戶 - Microsoft 365 中優先帳戶的安全性建議 |
| 保護高風險裝置 | 裝置的整體風險評估是以因素組合為基礎,例如裝置上作用中警示的類型和嚴重性。 當您的安全性小組解決作用中警示、核准補救活動,以及隱藏後續警示時,風險層級會降低。 請參閱在 適用於企業的 Microsoft Defender 中管理裝置。 |
| 將裝置上線或離線 | 當裝置被取代或淘汰、購買新裝置,或您的業務需求變更時,您可以從 適用於企業的 Defender 將裝置上線或離線。 請參閱下列文章: - 將裝置上線以 適用於企業的 Microsoft Defender - 從 適用於企業的 Microsoft Defender 將裝置離線 |
| 補救項目 | Microsoft 365 商務進階版 包含數個補救動作。 有些動作會自動執行,有些則等候安全性小組核准。 1.在 Microsoft Defender 入口網站中, (https://security.microsoft.com) ,在瀏覽窗格中,移至 [資產>裝置]。 2.選取裝置,例如具有高風險層級或暴露程度的裝置。 飛出視窗窗格隨即開啟,並顯示針對該專案產生的警示和事件的詳細資訊。 3.在飛出視窗上,檢視顯示的資訊。 選取省略號 (...) 以開啟列出可用動作的功能表。 4.選取可用的動作。 例如,您可以選擇 執行防毒軟體掃描,這會造成 Microsoft Defender 防毒軟體在裝置上開始快速掃描。 或者,您可以選取 啟動自動化調查 以觸發裝置上的自動化調查。 |
裝置的補救動作
下表摘要說明 Microsoft 365 商務進階版 和 適用於企業的 Defender 中裝置可用的補救動作:
| 來源 | 動作 |
|---|---|
| 自動化調查 | 隔離檔案 拿掉登錄機碼 終止進程 停止服務 停用驅動程式 拿掉排程的工作 |
| 手動回應動作 | 執行防毒掃描 隔離裝置 新增指示器以封鎖或允許檔案 |
| 即時回應 | 收集鑑識數據 分析檔案 執行腳本 將可疑實體傳送至Microsoft進行分析 修復檔案 主動威脅搜捕 |
一般系統管理工作
維護您的環境包括管理用戶帳戶、管理裝置,以及保持最新狀態並正常運作。 管理員 工作通常由全域管理員和租用戶系統管理員執行。 深入了解系統管理員角色。
重要事項
Microsoft 建議您使用權限最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
如果您不熟悉 Microsoft 365,請花點時間取得 Microsoft 365 系統管理中心 概觀。
管理員 中心工作
| 工作 | 可深入了解的資源 |
|---|---|
| 開始使用 Microsoft 365 系統管理中心 | Microsoft 365 系統管理中心概觀 |
| 瞭解 Microsoft 365 系統管理中心 中的新功能 | Microsoft 365 系統管理中心 的新功能 |
| 瞭解新產品更新和功能,以便協助準備使用者 | 掌握Microsoft 365產品和功能變更 |
| 檢視使用量報告,以查看人員如何使用 Microsoft 365 | 系統管理中心的 Microsoft 365 報告 |
| 開啟技術支援票證 | 取得商務用 Microsoft 365 支援 |
使用者、群組和密碼
| 工作 | 可深入了解的資源 |
|---|---|
| 新增使用者 | 將新員工新增至 Microsoft 365 |
| 指派或取消指派使用者的授權 |
指派或取消指派 Microsoft 365 系統管理中心 中用戶的授權 使用 PowerShell 將Microsoft 365 授權指派給用戶帳戶 |
| 將系統管理員角色指派給需要系統管理員許可權的人員 |
在 Microsoft 365 系統管理中心 中指派系統管理員角色 使用 PowerShell 將系統管理員角色指派給 Microsoft 365 用戶帳戶 |
| 移除使用者的授權 |
指派或取消指派 Microsoft 365 系統管理中心 中用戶的授權 使用 PowerShell 從使用者帳戶移除 Microsoft 365 授權 |
| 開啟或關閉代名詞 | 在 Microsoft 365 系統管理中心 中開啟或關閉貴組織的代名詞 |
| 判斷是否允許來賓存取其整個組織或個別群組的群組 (適用於 Microsoft 365 商務進階版) |
Microsoft 365 系統管理中心 中的來賓使用者 |
| 當某人離開您的組織時移除用戶帳戶 | 概觀:移除離職員工並保護數據 |
| 重設用戶帳戶的密碼 | 重設商務用 Microsoft 365 中的密碼 |
電子郵件和行事曆
| 工作 | 可深入了解的資源 |
|---|---|
| 將電子郵件和聯繫人從 Gmail 或其他電子郵件提供者移轉至 Microsoft 365 | 將電子郵件和連絡人移轉到 Microsoft 365 |
| 將電子郵件簽章、法律免責聲明或揭露聲明新增至傳入或傳出的電子郵件訊息 | 建立整個組織的簽章和免責聲明 |
| 設定、編輯或刪除安全組 | 在 Microsoft 365 系統管理中心 中建立、編輯或刪除安全組 |
| 將使用者新增至通訊群組 | 將使用者或聯繫人新增至 Microsoft 365 通訊群組 |
設定共用信箱,讓使用者可以監視和傳送來自常見電子郵件地址的電子郵件,例如 info@contoso.com |
建立共用信箱 |
裝置
| 工作 | 可深入了解的資源 |
|---|---|
| 使用 Windows Autopilot 來設定和預先設定新裝置,或重設、重新規劃及復原裝置 (適用於 Microsoft 365 商務進階版) |
Windows Autopilot 概觀 |
| 檢視目前的狀態並管理裝置 | 在適用於企業的 Microsoft Defender 中管理裝置 |
| 將裝置上線至適用於企業的 Defender | 將裝置上線至適用於企業的 Defender |
| 從 適用於企業的 Defender 卸除裝置 | 將裝置從適用於企業的 Defender 中離線 |
| 使用 Intune 管理裝置 |
使用 Intune 的裝置管理代表什麼意思? 在 Microsoft Intune 中管理您的裝置並控制裝置功能 |
網域
| 工作 | 可深入了解的資源 |
|---|---|
| 將 contoso.com) 等網域 (新增至您的 Microsoft 365 訂用帳戶 | 將網域新增至 Microsoft 365 |
| 購買網域 | 購買網域名稱 |
| 移除網域 | 移除網域 |
訂閱與計費
| 工作 | 可深入了解的資源 |
|---|---|
| 檢視帳單 | 檢視商務用 Microsoft 365 訂閱帳單或發票 |
| 管理您的付款方式 | 管理付款方式 |
| 變更付款頻率 | 變更您的 Microsoft 365 訂用帳戶計費頻率 |
| 變更帳單位址 | 變更商務用 Microsoft 365 帳單位址 |