試用版使用者指南：適用於 Office 365 的 Microsoft Defender

• 適用於:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Microsoft Defender 全面偵測回應 Office 365 方案 2 中的功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

歡迎使用 適用於 Office 365 的 Microsoft Defender 試用版使用者指南！ 本使用者指南可協助您充分利用免費試用，方法是教導您如何保護貴組織免於遭受電子郵件訊息、連結 (URL) ，以及共同作業工具所造成的惡意威脅。

什麼是適用於 Office 365 的 Defender？

適用於 Office 365 的 Defender 提供完整的功能，包括威脅防護原則、報告、威脅調查和回應功能，以及自動化調查和回應功能，協助組織保護其企業。

除了偵測進階威脅之外，下列影片還會示範 適用於 Office 365 的 Defender 的 SecOps 功能如何協助您的小組回應威脅：

稽核模式與封鎖模式的 適用於 Office 365 的 Defender

您要讓 適用於 Office 365 的 Defender 體驗成為主動或被動？ 以下是您可以從中選取的兩種模式：

• 稽核模式：針對防網路釣魚 (建立特殊 評估 原則，其中包括模擬保護) 、安全附件和安全連結。 這些評估原則設定為僅 偵測 威脅。 適用於 Office 365 的 Defender 偵測到有害的訊息進行報告，但不會對 (訊息採取動作，例如，偵測到的訊息不會) 隔離。 The settings of these evaluation policies are described in the Policies in audit mode section later in this article.

  稽核模式可讓您存取 適用於 Office 365 的 Microsoft Defender 評估頁面https://security.microsoft.com/atpEvaluation上的 適用於 Office 365 的 Defender 中評估原則偵測到的威脅自定義報告。

• 封鎖模式：默 認安全 策略的標準範本會開啟並用於試用版，而您指定要包含在試用版中的使用者會新增至標準預設安全策略。 適用於 Office 365 的 Defender 偵測到有害訊息並採取動作 (例如，偵測到的訊息會) 隔離。

  默認和建議的選擇是將這些 適用於 Office 365 的 Defender 原則的範圍設定為組織中的所有使用者。 但是，在試用版設定期間或之後，您可以將原則指派變更為 Microsoft Defender 入口網站或 PowerShell 中的特定使用者、群組或電子郵件網域。

  封鎖模式不會針對 適用於 Office 365 的 Defender 偵測到的威脅提供自定義報告。 相反地，資訊可在方案 2 的一般報告和調查功能中取得 適用於 Office 365 的 Defender。 如需詳細資訊，請 參閱封鎖模式的報告。

決定哪些模式可供您使用的關鍵因素：

• 您目前是否 適用於 Office 365 的 Defender (方案 1 或方案 2) ，如評估與 適用於 Office 365 的 Defender 試用版中所述。

• 如何將電子郵件傳遞至您的 Microsoft 365 組織，如下列案例所述：

  • 來自因特網的郵件會直接流向 Microsoft 365，但您目前的訂閱只有 Exchange Online Protection (EOP) 或 適用於 Office 365 的 Defender 方案 1。

    

    在這些環境中，視您的授權而定，可以使用稽核模式或封鎖模式。

  • 您目前使用第三方服務或裝置來保護 Microsoft 365 信箱的電子郵件。 來自因特網的郵件會在傳遞至您的 Microsoft 365 組織之前，透過保護服務流動。 Microsoft 365 保護盡可能低， (永遠不會完全關閉;例如，惡意代碼保護一律會強制執行) 。

    

    在這些環境中，只有稽核 模式 可供使用。 您不需要變更郵件流程 (MX 記錄) 以評估 適用於 Office 365 的 Defender 方案 2。

讓我們開始吧！

封鎖模式

步驟 1：開始使用封鎖模式

開始使用您的適用於 Office 365 的 Microsoft Defender 試用版

開始試用並完成設定流程之後，最多可能需要 2 小時，變更才能生效。

我們已在您的環境中自動啟用 標準預設安全策略 。 此配置檔代表適用於大部分使用者的基準保護配置檔。 開啟標準包括：

• 安全連結、安全附件和防網路釣魚原則，其範圍為整個租使用者或試用設定程式期間可能選擇的使用者子集。
• 適用於 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
• 用於支援 Office 365 的安全連結保護。

請觀看這部影片以深入瞭解：使用適用于 Office 365 的 Microsoft Defender 的安全連結來防範惡意連結 - YouTube。

讓使用者以封鎖模式報告可疑的內容

適用于 Office 365 的 Defender 可讓使用者向其安全性小組報告訊息，並允許系統管理員將郵件提交給 Microsoft 進行分析。

• 確認或設定 使用者回報的設定 ，讓報告的郵件移至指定的報告信箱、Microsoft 或兩者。
• 部署 報表訊息載入宏或報表網路釣魚載入宏 ，供使用者報告訊息。 或者，用戶可以在先前稱為 Outlook Web App 或 OWA) 的 Outlook 網頁版 (中使用內建的 [報表] 按鈕。
• 建立工作流程，以 回報誤判和漏報。
• 使用 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=user上的 [用戶回報] 索引標籤，查看和管理用戶回報的訊息。

觀看這段影片以深入瞭解： 瞭解如何使用提交頁面提交訊息以進行分析 - YouTube。

在封鎖模式中查看報告以了解威脅情況

使用適用于 Office 365 的 Defender 中的報告功能，取得有關您環境的詳細資訊。

• 使用 威脅防護狀態報表，瞭解在電子郵件和共同協作工具中收到的威脅。
• 使用 郵件流程狀態報表 來查看封鎖的威脅所在。
• 使用 URL 保護報告 來檢視或系統封鎖的連結。

步驟 2：封鎖模式中的中繼步驟

將焦點放在您最鎖定的使用者上

在適用于 Office 365 的 Defender 中，使用優先順序帳戶保護來保護您最主要且最可見的使用者，這可協助排定工作流程的優先順序，以確保這些使用者的安全。

• 識別出您最主要或最可見的使用者。
• 標記這些使用者 為優先帳戶。
• 在整個入口網站中追蹤優先帳戶的威脅。

請觀看這部影片以深入瞭解：在適用于 Office 365 的 Microsoft Defender 保護優先帳戶 - YouTube。

防止使用者危害，以避免高成本的違規行為

取得潛在危害的警示，並自動限制這些威脅的影響，以防止攻擊者取得更深入存取您的環境。

• 檢閱 已遭入侵的使用者警示。
• 調查並回應 遭入侵的使用者。

請觀看這部影片以深入瞭解：在適用于 Office 365 的 Microsoft Defender 偵測並回應外洩行為 - YouTube。

使用威脅總管來調查惡意電子郵件

適用于 Office 365 的 Defender 可讓您調查會導致貴組織人員面臨風險的活動，並採取行動以保護您的組織。 您可以使用 威脅總管 (總管) 來執行這項操作：

• 尋找傳送的可疑電子郵件：尋找並刪除郵件、識別惡意電子郵件寄件者的 IP 位址，或開始事件以進一步調查。
• Email 威脅總管和即時偵測中的安全性案例

查看以貴組織為目標的活動

使用適用于 Office 365 的 Defender 中的行銷即時檢視，查看更大型的圖片，讓您瞭解以貴組織為目標的攻擊活動，以及攻擊活動對使用者的影響。

• 識別針對您的使用者的活動。

• 視覺化攻擊的範圍。

• 使用這些訊息，追蹤使用者互動。

  

請觀看這部影片以深入瞭解：在適用于 Office 365 的 Microsoft Defender 的活動檢視 - YouTube。

使用自動化來補救風險

使用自動化調查與回應 (AIR) 有效率地回應，以審查、設定優先順序及回應威脅。

• 深入瞭解 調查使用者指南。
• 檢視調查的詳細資料和結果。
• 核准補救動作，以消除威脅。

步驟 3：封鎖模式中的進階內容

使用查詢型搜尋深入探討資料

使用進階搜捕來撰寫自訂偵測規則、主動檢查您環境中的事件，並找出威脅指示器。 探索您環境中的原始資料。

• 建立自訂偵測規則。
• 由其他人所建立的 存取共用查詢。

觀看這段影片以深入瞭解：使用 Microsoft Defender 全面偵測回應 威脅搜捕 - YouTube。

訓練使用者模擬攻擊，以發現威脅

使用適用于 Office 365 的 Defender 中的攻擊模擬訓練，讓您的使用者具備正確的知識，以識別威脅並報告可疑訊息。

• 模擬實際的威脅 以識別易受攻擊的使用者。

• 根據模擬結果，指派訓練資源 給使用者。

• 追蹤貴組織在模擬和培訓完成的進度。

  

稽核模式

步驟 1：在稽核模式下開始

啟動適用於 Office 365 的 Defender 評估

完成設定流程之後，最多可能需要 2 小時，變更才能生效。 我們已自動設定您的環境中的預先設定評估原則。

評估原則可確保不會對適用於 Office 365 的 Defender 所偵測到的電子郵件採取任何動作。

讓使用者在稽核模式中報告可疑的內容

適用于 Office 365 的 Defender 可讓使用者向其安全性小組報告訊息，並允許系統管理員將郵件提交給 Microsoft 進行分析。

• 確認或設定 使用者回報的設定 ，讓報告的郵件移至指定的報告信箱、Microsoft 或兩者。
• 部署 報表訊息載入宏或報表網路釣魚載入宏 ，供使用者報告訊息。 或者，用戶可以在先前稱為 Outlook Web App 或 OWA) Outlook 網頁版 (中使用內建的 [報表] 按鈕。
• 建立工作流程，以 回報誤判和漏報。
• 使用 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=user上的 [用戶回報] 索引標籤，查看和管理用戶回報的訊息。

觀看這段影片以深入瞭解： 瞭解如何使用提交頁面提交訊息以進行分析 - YouTube。

在稽核模式中查看報告以了解威脅情況

使用適用于 Office 365 的 Defender 中的報告功能，取得有關您環境的詳細資訊。

• 評估儀表板可讓您輕鬆檢視在評估期間，適用於 Office 365 的 Defende 所偵測到的威脅。
• 使用 威脅防護狀態報表，瞭解在電子郵件和共同協作工具中收到的威脅。

步驟 2：稽核模式中的中繼步驟

在稽核模式中使用威脅總管來調查惡意電子郵件

適用于 Office 365 的 Defender 可讓您調查會導致貴組織人員面臨風險的活動，並採取行動以保護您的組織。 您可以使用 威脅總管 (總管) 來執行這項操作：

• 尋找傳送的可疑電子郵件：尋找並刪除郵件、識別惡意電子郵件寄件者的 IP 位址，或開始事件以進一步調查。
• Email 威脅總管和即時偵測中的安全性案例

在評估期間結束時轉換為標準保護

當您準備好在生產環境中開啟 適用於 Office 365 的 Defender 原則時，可以開啟標準預設安全策略，其中包含稽核模式中的任何/所有收件者，以輕鬆地從稽核模式移至封鎖模式。

從協力廠商保護服務或裝置移轉到適用於 Office 365 的 Defender

如果您已經擁有現存位於 Microsoft 365 前的協力廠商保護服務或裝置，則您可以將保護移轉至適用於 Office 365 的 Microsoft Defender，以獲得合併管理體驗的優點、可降低成本 (使用您已支付的產品)，以及具有整合式安全性保護的成熟產品。

如需詳細資訊，請參閱從協力廠商保護服務或裝置移轉至適用於 Office 365 的 Microsoft Defender。

步驟 3：稽核模式中的進階內容

在稽核模式中訓練使用者模擬攻擊，以發現威脅

使用適用于 Office 365 的 Defender 中的攻擊模擬訓練，讓您的使用者具備正確的知識，以識別威脅並報告可疑訊息。

• 模擬實際的威脅 以識別易受攻擊的使用者。

• 根據模擬結果，指派訓練資源 給使用者。

• 追蹤貴組織在模擬和培訓完成的進度。

  

其他資源

• 互動指南：不熟悉適用於 Office 365 的 Defender 互動式指南？ 檢閱 互動指南 以瞭解如何開始使用。
• 快速追蹤入門指南*：適用於 Office 365 的 Microsoft Defender
• 適用於 Office 365 的 Microsoft Defender 檔：取得有關 適用於 Office 365 的 Defender 運作方式，以及如何為組織最佳實作的詳細資訊。 請流覽 適用於 Office 365 的 Microsoft Defender 檔。
• 包含什麼：如需依產品層列出的 Office 365 電子郵件安全性功能的完整清單，請檢視功能一覽表。
• 為什麼使用適用于 Office 365 的 Defender：適用于 Office 365 的 Defender 資料表 會顯示出客戶選擇 Microsoft 的 10 大原因。