防範威脅

提示

您知道您可以免費試用Office 365方案 2 的Microsoft 365 Defender功能嗎? 使用 Microsoft 365 Defender 入口網站試用中樞的90 天適用於 Office 365 的 Defender試用版。 在這裡瞭解誰可以註冊和 試用條款

適用於

以下是將適用於 Office 365 的 Defender組態分成區塊的快速入門手冊。 如果您不熟悉Office 365中的威脅防護功能,不確定要從何處著手,或如果您是以最佳方式學習,請使用此指引作為檢查清單和起點。

重要事項

每種原則都包含初始的建議設定;不過,有許多選項可供使用,而且您可以調整設定以符合特定組織的需求。 讓您的原則或變更在資料中心內運作大約 30 分鐘。

若要略過適用於 Office 365 的 Defender中大部分原則的手動設定,您可以使用標準或嚴格層級的預設安全性原則。 如需詳細資訊,請參閱 EOP 和 適用於 Office 365 的 Microsoft Defender 中的預設安全性原則

需求

訂閱

威脅防護功能包含在所有Microsoft 或Office 365訂用帳戶中;不過,某些訂用帳戶具有進階功能。 下表列出本文中包含的保護功能,以及最低訂用帳戶需求。

提示

請注意,除了開啟稽核的指示之外,步驟也會啟動反惡意程式碼、反網路釣魚和反垃圾郵件,這些專案會標示為Office 365 Exchange Online Protection (EOP) 的一部分。 這在適用於 Office 365 的 Defender文章中看起來可能很奇奇,直到您記得 (適用於 Office 365 的 Defender) 包含並建置在 EOP 上。

保護類型 訂閱需求
用於報告用途的稽核記錄 () Exchange Online
反惡意程式碼保護 Exchange Online Protection (EOP)
防網路釣魚保護 EOP
反垃圾郵件保護 EOP
在安全連結和安全附件 (,防止電子郵件和 Office 檔中的惡意 URL 和檔案) 適用於 Office 365 的 Microsoft Defender

角色及權限

若要設定適用於 Office 365 的 Defender原則,您必須獲指派適當的角色。 請參閱下表中可執行這些動作的角色。

角色或角色群組 深入瞭解的位置
全域管理員 關於 Microsoft 365 系統管理員角色
安全性系統管理員 Azure AD 內建角色
Exchange Online 組織管理 Exchange Online 中的權限

若要深入瞭解,請參閱Microsoft 365 Defender 入口網站中的許可權

開啟稽核記錄以進行報告和調查

  • 提早啟動稽核記錄。 在下列一些步驟中,您必須將稽核設為 ON 。 稽核記錄可在包含Exchange Online的訂用帳戶中使用。 若要在威脅防護報告、 電子郵件安全性報告管中檢視資料,稽核記錄必須是 [開啟]。 若要確認稽核記錄已開啟或開啟,請參閱 開啟或關閉稽核

第 1 部分 - EOP 中的反惡意程式碼保護

如需反惡意程式碼建議設定的詳細資訊,請參閱 EOP 反惡意程式碼原則設定

  1. 在 Microsoft 365 Defender 入口網站中開啟 [反惡意程式碼] 頁面,網Microsoft 365 Defender。 https://security.microsoft.com/antimalwarev2

  2. 在 [ 反惡意程式碼 ] 頁面上,按一下名稱,選取名為 [ 預設 (預設) ] 的原則。

  3. 在開啟的原則詳細資料飛出視窗中,按一下 [ 編輯保護設定],然後設定下列設定:

    • 保護設定區 段:
      • 啟用一般附件篩選:選取 [ (開啟) ] 。 按一下 [自訂檔案類型 ] 以新增更多檔案類型。
      • 啟用惡意程式碼的零時差自動清除:確認已選取此設定。 如需惡意程式碼 ZAP 的詳細資訊,請參閱 惡意程式碼的零時 (自動清除 (ZAP)
    • 隔離原則:保留選取預設值 AdminOnlyAccessPolicy。 隔離原則會定義使用者可以對隔離郵件執行哪些操作,以及使用者是否收到隔離通知。 如需詳細資訊, 請參閱隔離原則的結構
    • 通知 區段:確認未選取任何通知設定。

    完成後,按一下 [儲存]

  4. 回到原則詳細資料飛出視窗,按一下 [關閉]

如需設定反惡意程式碼原則的詳細指示,請參閱 在 EOP 中設定反惡意程式碼原則

第 2 部分 - EOP 和 適用於 Office 365 的 Defender 中的反網路釣魚保護

在包含EOP的訂用帳戶中可使用防網路釣魚保護。 進階防網路釣魚保護可在適用於 Office 365 的 Defender中使用

如需反網路釣魚原則建議設定的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的EOP 防網路釣魚原則設定和防網路釣魚原則設定

下列程式描述如何設定預設的反網路釣魚原則。 只會在 適用於 Office 365 的 Defender 中使用的設定會清楚標示。

  1. 在 Microsoft 365 Defender 入口網站中開啟[防網路釣魚] 頁面。 https://security.microsoft.com/antiphishing

  2. 在 [ 防網路釣魚 ] 頁面上,按一下名稱,選取名為 Office365 AntiPhish Default (Default) 的原則。

  3. 在出現的原則詳細資料飛出視窗中,設定下列設定:

    • 網路釣魚閾值 & 保護 區段:按一下 [編輯保護設定 ],然後在開啟的飛出視窗中設定下列設定:

      • 網路釣魚電子郵件閾值* :選取2 - 積極 (標準) 或3 - 更積極 (嚴格) 。
      • 模擬 區段 * :設定下列值:
        • 取 [啟用使用者保護],按一下 [ 管理 (nn]) 寄件者 (出現的 [) ] 連結,然後新增內部和外部寄件者來防止模擬,例如貴組織的董事會成員、您的 CEO、CFO 和其他資深領導者。
        • 取 [啟用要保護的網域],然後設定下列顯示的設定:
          • 選取 [ 包含我所擁有的網域 ] ,藉由按一下 [檢 視我的網域 ]) 免于模擬,保護您所接受網域中的內部寄件者 (可見。
          • 若要保護其他網域中的寄件者,請選取 [ 包含自訂網域],按一下出現的 [管理 (nn) 自訂網域 (的) 連結,然後新增其他網域以防止模擬。
      • 新增信任的寄件者和網域 區段 * :按一下 [ 管理 (nn]) 受信任的寄件者 (的) 和網域 () ,視需要設定寄件者和寄件者網域例外狀況以進行模擬保護。
      • 信箱智慧設定 * :確認已選取 [啟用信箱智慧 ] 和 [ 啟用模擬保護的智慧 ]。
      • 詐騙 區段:確認已選取 [啟用詐騙情報 ]。

      完成後,按一下 [儲存]

    • 動作 區段:按一下 [編輯動作 ],然後在開啟的飛出視窗中設定下列設定:

      • 訊息動作 區段:設定下列設定:
        • 如果偵測到訊息為使用者模擬* :選取[隔離訊息]。 在 [ 套用隔離原則 ] 方塊中未選取任何專案,該方塊會使用套用至使用者模擬保護所隔離之郵件的預設 隔離 原則。
        • 如果偵測到訊息為網域模擬* :請在 [套用隔離原則] 方塊中選取任何專案,該方塊會使用預設隔離原則,套用至使用者網域模擬保護所隔離的郵件。
        • 如果信箱智慧偵測到模擬的使用者* :選取 [將郵件移至收件者的垃圾郵件] Email資料夾 ([標準) ] 或[將郵件隔離 (嚴格) ]。 在 [ 套用隔離原則 ] 方塊中未選取任何專案,該方塊會使用預設 隔離原則 ,該原則會套用至信箱智慧保護所隔離的郵件。
        • 如果詐騙情報偵測到郵件為詐騙:請選取 [將郵件移至收件者的垃圾郵件] Email資料夾 ([標準) ] 或 [將郵件隔離 (嚴格) ]。 在 [ 套用隔離原則 ] 方塊中未選取任何專案,該方塊會使用預設 隔離原則 ,該原則會套用至遭到詐騙情報保護隔離的郵件。
      • 安全提示 & 指標 區段:設定下列設定:
        • 顯示第一個連絡安全提示:選 (開啟) 。
        • 顯示使用者模擬安全提示* :選取 (開啟) 。
        • 顯示網域模擬安全提示* :選取 (開啟) 。
        • 顯示使用者模擬不尋常的字元安全提示* :選取 (開啟) 。
        • 針對未經驗證的寄件者顯示詐騙的 (?) :選取 [ (開啟) ]。
        • 顯示 「via」 標籤:選取 [ (開啟) ] 。

      完成後,按一下 [儲存]

    *此設定僅適用于適用於 Office 365 的 Defender。

  4. 按一下 [儲存 ],然後按一下 [ 關閉]

如需設定防網路釣魚原則的詳細指示,請參閱在 EOP 中設定防網路釣魚原則和在 適用於 Office 365 的 Microsoft Defender 中設定防網路釣魚原則

第 3 部分 - EOP 中的反垃圾郵件保護

如需反垃圾郵件建議設定的詳細資訊,請參閱 EOP 反垃圾郵件原則設定

  1. 在 Microsoft 365 Defender 入口網站中開啟[反垃圾郵件原則] 頁面,網Microsoft 365 Defender。 https://security.microsoft.com/antispam

  2. 在 [ 反垃圾郵件 原則] 頁面上,按一下名稱,從清單中選取名為 [ 反垃圾郵件輸入原則] ([預設) ] 的原則。

  3. 在出現的原則詳細資料飛出視窗中,設定下列設定:

    • 大量電子郵件閾值 & 垃圾郵件屬性 區段:按一下 [編輯垃圾郵件閾值和屬性]。 在出現的飛出視窗中,設定下列設定:

      • 大量電子郵件閾值:將此值設定為 5 (Strict) 或 6 (Standard) 。
      • 將其他設定保留在其預設值 ([關閉 ] 或 [ ]) 。

      完成後,按一下 [儲存]

    • 動作 區段:按一下 [編輯動作]。 在出現的飛出視窗中,設定下列設定:

      • 訊息動作 區段:

        • 垃圾郵件:確認已選取 [將郵件移至垃圾郵件] Email資料夾 ([標準) ],或選取 [隔離郵件] ([嚴格) ]。
        • 高信賴度垃圾郵件:選取 [隔離郵件]
        • 網路釣魚:選取 [隔離郵件]
        • 高信賴度網路釣魚:確認已選取 隔離郵件
        • 大量:確認已選取 [將郵件移至垃圾郵件] Email資料夾 ([標準) ],或選取 [隔離郵件] ([嚴格) ]。

        針對您選取 [隔離郵件] 的每個動作,將預設值保留在 [ 選取隔離 原則] 方塊中,該方塊會顯示 (包含空白值) 使用套用至反垃圾郵件保護隔離郵件的預設 隔離 原則。

      • 將垃圾郵件保留在隔離區中數天:確認值 為 30 天。

      • 啟用垃圾郵件安全提示:確認已選取此設定 (開啟) 。

      • 啟用 (ZAP) 的零時差自動清除 :) 開啟 (確認已選取此設定。

      完成後,按一下 [儲存]

    • 允許和封鎖的寄件者和網域 一節:檢閱或編輯您允許的寄件者和允許的網域,如 在 EOP 中建立封鎖的寄件者清單在 EOP 中建立安全寄件者清單中所述。

      完成後,按一下 [儲存]

  4. 完成時,請按一下 [關閉]

如需設定反垃圾郵件原則的詳細指示,請參閱 在 EOP 中設定反垃圾郵件原則

您可以在包含適用於 Office 365 的 Microsoft Defender的訂用帳戶中,取得惡意 URL 和檔案的點選時間保護。 它是透過 安全附件 和安全 連結 原則來設定。

適用於 Office 365 的 Microsoft Defender中的安全附件原則

如需安全附件建議設定的詳細資訊,請參閱 。安全附件設定

  1. 在 Microsoft 365 Defender 入口網站中開啟[安全附件] 頁面,網Microsoft 365 Defender端 https://security.microsoft.com/safeattachmentv2

  2. 在 [ 安全附件] 頁面上,按一下 [ 全域設定],然後在顯示的飛出視窗上設定下列設定:

    • 開啟 SharePoint、OneDrive 和 Microsoft Teams的適用於 Office 365 的 Defender:開啟此設定 (開啟。) 。

      重要事項

      在您開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件之前,請確認您的組織已開啟稽核記錄 , (預設會開啟) 。 若要確認稽核記錄已開啟或開啟,請參閱 開啟或關閉稽核

    • 開啟 Office 用戶端的安全檔:開啟此設定 (開啟。) 。 請注意,這項功能僅適用于必要的授權類型,而且才有意義。 如需詳細資訊,請參閱Microsoft 365 E5 中的安全檔

    • 即使安全檔將檔案識別為惡意,仍允許使用者按一下 [受保護的檢視]:確認此設定已關閉 (關閉。) 。

    完成後,請按一下 [儲存]

  3. 回到 [ 安全附件] 頁面,按一下 [ 建立圖示]

  4. 在開啟的 [ 建立安全附件 ] 原則精靈中,設定下列設定:

    • 為您的原則頁面命名
      • 名稱:輸入唯一且描述性的內容。
      • 描述:輸入選擇性描述。
    • 使用者和網域頁面:因為這是您的第一個原則,而且您可能想要最大化涵蓋範圍,請考慮在 [網域] 方塊中輸入您接受的網域。 否則,您可以使用 [使用者群組] 方 塊進行更細微的控制。 您可以選取 [排除這些使用者、群組和網域 ] 並輸入值來指定例外狀況。
    • 設定 頁面:
      • 安全附件未知的惡意程式碼回應:選取 [封鎖]
      • 隔離原則:預設值為空白,這表示會使用預設的 AdminOnlyAccessPolicy 原則。 隔離原則會定義使用者可以對隔離郵件執行哪些操作,以及使用者是否收到隔離通知。 如需詳細資訊, 請參閱隔離原則的結構
      • 使用偵測到的附件重新導向附件啟用重新導向:開啟此設定 (選取) 並輸入電子郵件地址以接收偵測到的郵件。
      • 如果掃描無法完成 (逾時或錯誤) ,請套用安全附件偵測回應 :確認已選取此設定。
  5. 完成後,按一下 [ 提交],然後按一下 [ 完成]

  6. (建議) 身為全域管理員或 SharePoint Online 系統管理員,請在 SharePoint Online PowerShell 中執行 Set-SPOTenant Cmdlet,並將 DisallowInfectedFileDownload 參數設定為 $true

    • $true 會封鎖偵測到檔案的刪除) 以外的所有動作 (。 人員無法開啟、移動、複製或共用偵測到的檔案。
    • $false 會封鎖 [刪除] 和 [下載] 以外的所有動作。 使用者可以選擇接受風險並下載偵測到的檔案。
  7. 最多允許 30 分鐘,讓您的變更散佈至所有 Microsoft 365 資料中心。

如需設定安全附件原則和安全附件全域設定的詳細指示,請參閱下列主題:

如需安全連結建議設定的詳細資訊,請參閱 安全連結原則設定

  1. 在 Microsoft 365 Defender 入口網站 https://security.microsoft.com/safelinksv2 中開啟[安全連結] 頁面,然後按一下 [建立圖示]

  2. 在開啟的 [ 建立安全連結 ] 原則精靈中,設定下列設定:

    • 為您的原則頁面命名
      • 名稱:輸入唯一且描述性的內容。
      • 描述:輸入選擇性描述。
    • 使用者和網域頁面:因為這是您的第一個原則,而且您可能想要最大化涵蓋範圍,請考慮在 [網域] 方塊中輸入您接受的網域。 否則,您可以使用 [使用者群組] 方 塊進行更細微的控制。 您可以選取 [排除這些使用者、群組和網域 ] 並輸入值來指定例外狀況。
    • URL & 按一下 [保護設定] 頁面:
      • 對 [電子郵件] 區段中潛在惡意 URL 採取的動作
        • 開啟:當使用者按一下電子郵件中的連結時,安全連結會檢查已知惡意連結的清單:選取其設定 (開啟) 。
        • 將安全連結套用至組織內傳送的電子郵件訊息:選取此設定 (開啟) 。
        • 針對指向檔案的可疑連結和連結套用即時 URL 掃描:選取此設定 (開啟) 。
          • 等候 URL 掃描完成,再傳遞訊息:選取此設定 (開啟) 。
        • 請勿重寫 URL,請只透過安全連結 API 進行檢查:確認未選取此設定 (關閉) 。
      • 請勿在電子郵件中重寫下列 URL:我們對此設定沒有特定建議。 如需詳細資訊, 請參閱安全連結原則中的「不要重寫下列 URL」清單
      • Microsoft Teams 中潛在惡意 URL 的動作 區段:
        • *開啟:當使用者按一下 Microsoft Teams 中的連結時,安全連結會檢查已知惡意連結的清單:選取此設定 (開啟) 。
      • 按一下 [保護設定] 區段:
        • 追蹤使用者點選:確認已選取此設定 (開啟) 。
          • 讓使用者按一下原始 URL:關閉此設定 (未選取) 。
          • 在通知和警告頁面上顯示組織商標:選取此設定 (開啟) 只有在您遵循 自訂貴組織的 Microsoft 365 主題 中的指示上傳公司標誌之後才有意義。
    • 通知 頁面:
      • 您要如何通知使用者? 區段:您可以選擇性地選取 [ 使用自訂通知文字 ],以輸入要使用的自訂通知文字。 您也可以選取 [使用 Microsoft Translator 來自動當地語系化 ],將自訂通知文字翻譯成使用者的語言。 否則,請保留選 取 [使用預設通知文字 ]。
  3. 完成後,按一下 [ 提交],然後按一下 [ 完成]

如需為安全連結設定安全連結原則和全域設定的詳細指示,請參閱在 適用於 Office 365 的 Microsoft Defender 中設定安全連結原則

現在為 SharePoint Online 或 商務用 OneDrive 中偵測到的檔案設定警示

若要在 SharePoint Online 中的檔案或商務用 OneDrive識別為惡意時收到通知,您可以設定警示,如本節所述。

  1. 在 Microsoft 365 Defender 入口網站中 https://security.microsoft.com ,移至Email & 共同作業>& 原則規則>警示原則]

  2. 在 [ 警示原則] 頁面上,按一下 [ 新增警示原則]

  3. [ 新增警示原則精 靈] 隨即開啟。 在 [ 名稱] 頁面上,設定下列設定:

    • 名稱:輸入唯一且描述性的名稱。 例如,您可以輸入「程式庫中的惡意檔案」。
    • 描述:輸入選擇性描述。
    • 嚴重性:選取 [低]、 [中][高]
    • 類別:選取 [威脅管理]

    完成後,按一下 下一步

  4. 在 [ 建立警示設定 ] 頁面上,設定下列設定:

    • 您想要警示什麼?section:在檔案中偵測到活動> 惡意程式碼。
    • 您要如何觸發警示 區段:確認每次選取 活動符合規則 時。

    完成後,按一下 下一步

  5. 在 [ 設定收件者] 頁面上,設定下列設定:

    • 傳送電子郵件通知:確認已選取此設定。
    • Email收件者:選取一或多個全域系統管理員、安全性系統管理員或安全性讀取者,這些人員應該在偵測到惡意檔案時收到通知。
    • 每日通知限制:確認未選取 任何限制

    完成後,按一下 下一步

  6. 在 [ 檢閱您的設定 ] 頁面上,檢閱您的設定,確認已選取 [ 是]、立即開啟, 然後按一下 [ 完成]

若要深入瞭解警示原則,請參閱Microsoft Purview 合規性入口網站中的警示原則

安裝後工作和後續步驟

設定威脅防護功能之後,請務必監視這些功能的運作方式! 檢閱和修改您的原則,讓原則能夠執行您需要的動作。 此外,watch可增加價值的新功能和服務更新。

處理方式 可深入了解的資源
檢視報告以瞭解威脅防護功能如何為您的組織運作 Email安全性報告

適用於 Office 365 的 Microsoft Defender報表

威脅總管

視需要定期檢閱和修訂威脅防護原則 安全分數

Microsoft 365 威脅調查和回應功能

監看新功能和服務更新 標準和目標發行選項

訊息中心

Microsoft 365 藍圖

服務描述