Microsoft 365 中的警示原則
您可以在Microsoft Purview 合規性入口網站或Microsoft 365 Defender入口網站中使用警示原則和警示儀表板來建立警示原則,然後檢視當使用者執行符合警示原則條件的活動時產生的警示。 有數個預設警示原則可協助您監視活動,例如在Exchange Online中指派系統管理員許可權、惡意程式碼攻擊、網路釣魚活動,以及異常層級的檔案刪除和外部共用。
提示
如需可用警示原則的清單和描述,請移至本文中的 預設警示 原則一節。
警示原則可讓您分類原則所觸發的警示、將原則套用至組織中所有的使用者、設定觸發警示時的臨界值等級,以及決定是否要在觸發警示時收到電子郵件通知。 另外還有 [ 警示 ] 頁面,您可以在其中檢視和篩選警示、設定警示狀態以協助您管理警示,然後在解決或解決基礎事件之後關閉警示。
注意事項
警示原則適用于具有Microsoft 365 企業版、Office 365 企業版或Office 365美國政府 E1/F1/G1、E3/F3/G3 或 E5/G5 訂用帳戶的組織。 進階功能僅適用于具有 E5/G5 訂用帳戶的組織,或具有 E1/F1/G1 或 E3/F3/G3 訂用帳戶和適用於 Office 365 的 Microsoft Defender P2 或Microsoft 365 E5 合規性或 E5 電子檔探索和稽核附加元件訂用帳戶的組織。 本主題將醒目提示需要 E5/G5 或附加元件訂用帳戶的功能。 另請注意,警示原則適用于Office 365 GCC、GCC High 和 DoD 美國政府環境。
提示
如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料。
警示原則的運作方式
以下是警示原則運作方式的快速概觀,以及當使用者或系統管理員活動符合警示原則的條件時所觸發的警示。
組織中的系統管理員會使用合規性入口網站或Microsoft 365 Defender入口網站中的 [警示原則] 頁面,來建立、設定及開啟警示原則。 您也可以使用安全 & 性合規性 PowerShell 中的New-ProtectionAlert Cmdlet 來建立警示原則。
若要建立警示原則,您必須在合規性入口網站或 Defender 入口網站中獲派管理警示角色或組織設定角色。
注意事項
建立或更新警示原則後,最多需要 24 小時的時間,才能由原則觸發警示。 這是因為原則必須同步至警示偵測引擎。
使用者會執行符合警示原則條件的活動。 在惡意程式碼攻擊的情況下,傳送給組織中使用者的受感染電子郵件訊息會觸發警示。
Microsoft 365 會產生警示,該警示會顯示在合規性入口網站或 Defender 入口網站的 [ 警示 ] 頁面上。 此外,如果警示原則已啟用電子郵件通知,Microsoft 會將通知傳送給收件者清單。 系統管理員或其他使用者可以在 [警示] 頁面上看到的警示,取決於指派給使用者的角色。 如需詳細資訊,請參閱 檢視警示所需的 RBAC 許可權。
系統管理員會管理Microsoft Purview 合規性入口網站中的警示。 管理警示包含指派警示狀態,以協助追蹤和管理任何調查。
警示原則設定
警示原則包含一組規則和條件,可定義產生警示的使用者或系統管理員活動,以及在執行活動時觸發警示的使用者清單,以及定義觸發警示之前必須進行的活動次數的臨界值。 您也對原則進行分類,並指派嚴重性等級。 這兩個設定可協助您管理警示原則 (以及比對原則條件時所觸發的警示) 因為您可以在管理原則和檢視Microsoft Purview 合規性入口網站中的警示時篩選這些設定。 例如,您可以檢視符合相同類別條件的警示,或檢視具有相同嚴重性層級的警示。
若要檢視和建立警示原則:
Microsoft Purview 合規性入口網站:
移至合規性入口網站,然後選取 [原則>警示警示>原則]。
![在Microsoft Purview 合規性入口網站中,選取 [原則],然後在 [警示] 底下選取 [警示原則] 以檢視和建立警示原則。](media/launchalertpoliciesmcc.png)
Microsoft 365 Defender入口網站:
移至Microsoft 365 Defender 入口網站,然後在[Email & 共同作業] 底下,選取 [原則 & 規則>] [警示原則]。 或者,您可以直接前往 https://security.microsoft.com/alertpolicies。
![在 Defender 入口網站中,選 & 取 [Email共同作業] 底下的 [原則 & 規則],然後選取 [警示原則] 以檢視和建立警示原則。](media/launchalertpoliciesdefenderportal.png)
注意事項
您必須獲指派 View-Only 管理警示角色,才能在Microsoft Purview 合規性入口網站或Microsoft 365 Defender入口網站中檢視警示原則。 您必須獲指派管理警示角色,才能建立和編輯警示原則。 如需詳細資訊,請參閱 Microsoft Purview 合規性入口網站中的權限。
警示原則包含下列設定和條件。
正在追蹤警示的活動。 您可以建立原則來追蹤活動,或在某些情況下建立一些相關活動,例如與外部使用者共用檔案、指派存取權限,或建立匿名連結來共用檔案。 當使用者執行原則所定義的活動時,系統會根據警示臨界值設定觸發警示。
注意事項
您可以追蹤的活動取決於貴組織的Office 365 企業版或Office 365美國政府方案。 一般而言,與惡意程式碼活動和網路釣魚攻擊相關的活動需要 E5/G5 訂用帳戶或 E1/F1/G1 或 E3/F3/G3 訂用帳戶,以及適用於 Office 365 的 Defender方案 2 附加元件訂用帳戶。
活動條件。 對於大部分的活動,您可以定義必須符合才能觸發警示的其他條件。 常見的條件包括 IP 位址 (,以便當使用者在具有特定 IP 位址或 IP 位址範圍) 的電腦上執行活動時觸發警示、是否在特定使用者或使用者執行該活動時觸發警示,以及是否在特定的檔案名或 URL 上執行活動。 您也可以設定一個條件,以在組織中的任何使用者執行活動時觸發警示。 可用的條件取決於選取的活動。
您也可以將使用者標籤定義為警示原則的條件。 這會導致原則觸發的警示包含受影響使用者的內容。 您可以使用系統使用者標籤或自訂使用者標籤。 如需詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 中的使用者標籤。
觸發警示時。 您可以設定一個設定,定義觸發警示之前活動發生的頻率。 這可讓您設定原則,以在每次活動符合原則條件、超過特定閾值時,或當您組織遇到警示追蹤的活動變得不尋常時產生警示。
如果您根據不尋常的活動選取設定,Microsoft 會建立基準值,以定義所選活動的正常頻率。 建立此基準最多需要七天的時間,在此期間將不會產生警示。 建立基準之後,當警示原則追蹤的活動頻率大幅超過基準值時,就會觸發警示。 針對稽核相關的活動 (例如檔案和資料夾活動) ,您可以根據單一使用者或組織中的所有使用者來建立基準;針對與惡意程式碼相關的活動,您可以根據單一惡意程式碼系列、單一收件者或組織中的所有郵件來建立基準。
注意事項
若要能夠根據閾值或根據不尋常的活動來設定警示原則,需要 E5/G5 訂用帳戶,或 E1/F1/G1 或 E3/F3/G3 訂用帳戶與適用於 Office 365 的 Microsoft Defender P2、Microsoft 365 E5 合規性或 Microsoft 365 電子檔探索和稽核附加元件訂用帳戶。 具有 E1/F1/G1 和 E3/F3/G3 訂用帳戶的組織只能建立警示原則,每次活動發生時都會觸發警示。
警示類別。 若要協助追蹤和管理原則所產生的警示,您可以將下列其中一個類別指派給原則。
- 資料外洩防護
- 資訊控管
- 郵件流程
- 權限
- 威脅管理
- 其他人
當發生符合警示原則條件的活動時,所產生的警示會標記為此設定中定義的類別。 這可讓您在 Microsoft Purview 入口網站 的 [警示 ] 頁面上追蹤和管理具有相同類別設定的警示,因為您可以根據類別來排序和篩選警示。
警示嚴重性。 與警示類別類似,您會將嚴重性屬性指派 (低、 中、 高或 資訊) 給警示原則。 就像警示類別,當發生符合警示原則條件的活動時,所產生的警示會以針對警示原則所設定的嚴重性等級進行標記。 同樣地,這可讓您在 [警示] 頁面上追蹤和管理具有相同嚴重性設定 的 警示。 例如,您可以篩選警示清單,只顯示 高嚴重性的 警示。
提示
設定警示原則時,請考慮將較高的嚴重性指派給可能會造成嚴重負面後果的活動,例如在傳遞給使用者之後偵測到惡意程式碼、檢視敏感或分類的資料、與外部使用者共用資料,或其他可能導致資料遺失或安全性威脅的活動。 這可協助您排定警示的優先順序,以及您為調查和解決根本原因所採取的動作。
自動化調查。 某些警示會觸發自動化調查,以識別需要補救或緩和的潛在威脅和風險。 在大部分情況下,這些警示是透過偵測惡意電子郵件或活動來觸發,但在某些情況下,警示是由安全性入口網站中的系統管理員動作所觸發。 如需自動化調查的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的自動化調查和回應 (AIR) 。
Email通知。 您可以設定原則,以便在 (傳送電子郵件通知,或在觸發警示時,) 傳送電子郵件通知給使用者清單。 您也可以設定每日通知限制,如此一來,一旦達到通知數目上限,就不會在當天針對警示傳送任何通知。 除了電子郵件通知之外,您或其他系統管理員還可以在 [警示] 頁面上檢視原則所觸發 的 警示。 請考慮針對特定類別或具有較高嚴重性設定的警示原則啟用電子郵件通知。
預設警示原則
Microsoft 提供內建的警示原則,可協助識別 Exchange 系統管理員許可權濫用、惡意程式碼活動、潛在的外部和內部威脅,以及資訊控管風險。 在 [ 警示原則] 頁面上,這些內建原則的名稱是粗體,而原則類型會定義為 [系統]。 預設會開啟這些原則。 您可以關閉這些原則 (或重新開啟) 、設定要傳送電子郵件通知的收件者清單,以及設定每日通知限制。 無法編輯這些原則的其他設定。
下表列出並描述可用的預設警示原則,以及每個原則指派給的類別。 類別是用來判斷使用者可以在 [警示] 頁面上檢視的警示。 如需詳細資訊,請參閱 檢視警示所需的 RBAC 許可權。
這些資料表也指出Office 365 企業版和Office 365每個方案所需的美國政府方案。 如果您的組織除了 E1/F1/G1 或 E3/F3/G3 訂用帳戶之外,還有適當的附加元件訂用帳戶,則可使用一些預設警示原則。
注意事項
某些內建原則所監視的異常活動,是以與先前所述的警示閾值設定相同的程式為基礎。 Microsoft 會建立基準值,以定義「一般」活動的正常頻率。 當內建警示原則追蹤的活動頻率大幅超過基準值時,就會觸發警示。
資訊控管警示原則
注意事項
本節中的警示原則正在根據客戶意見反應被取代為誤判。 若要保留這些警示原則的功能,您可以使用相同的設定建立自訂警示原則。
| 名稱 | 描述 | 嚴重性 | 自動化調查 | 訂閱 |
|---|---|---|---|---|
| 不尋常的外部使用者檔案活動 | 當組織外部的使用者在 SharePoint 或 OneDrive 中的檔案上執行異常大量的活動時,就會產生警示。 這包括存取檔案、下載檔案和刪除檔案等活動。 | 高 | 否 | E5/G5、適用於 Office 365 的 Microsoft Defender P2 或Microsoft 365 E5附加元件訂用帳戶 |
| 不尋常的外部檔案共用數量 | 當 SharePoint 或 OneDrive 中異常大量的檔案與組織外部的使用者共用時,就會產生警示。 | 中 | 否 | E5/G5、適用於 Office 365 的 Defender P2 或Microsoft 365 E5附加元件訂用帳戶 |
| 異常的檔案刪除量 | 在短時間內在 SharePoint 或 OneDrive 中刪除大量檔案時,就會產生警示。 | 中 | 否 | E5/G5、適用於 Office 365 的 Defender P2 或Microsoft 365 E5附加元件訂用帳戶 |
郵件流程警示原則
| 名稱 | 描述 | 嚴重性 | 自動化調查 | 必要的訂用帳戶 |
|---|---|---|---|---|
| 郵件已延遲 | 當 Microsoft 無法使用連接器將電子郵件訊息傳遞至內部部署組織或合作夥伴伺服器時,產生警示。 發生這種情況時,訊息會排入佇列Office 365。 當有 2,000 則訊息或超過一小時已排入佇列時,就會觸發此警示。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
許可權警示原則
| 名稱 | 描述 | 嚴重性 | 自動化調查 | 必要的訂用帳戶 |
|---|---|---|---|---|
| 提高 Exchange 系統管理員許可權 | 當Exchange Online組織中有人獲指派系統管理許可權時產生警示。 例如,當使用者新增至 Exchange Online 中的組織管理角色群組時。 | 低 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
威脅管理警示原則
| 名稱 | 描述 | 嚴重性 | 自動化調查 | 必要的訂用帳戶 |
|---|---|---|---|---|
| 偵測到潛在的惡意 URL 點擊 | 當組織中受 安全連結 保護的使用者按一下惡意連結時,產生警示。 當使用者按一下連結,而此事件觸發由適用於 Office 365 的 Microsoft Defender的 URL 決策變更識別時,就會產生此警示。 它也會檢查從識別惡意 URL 決策起過去 48 小時內的任何點選,並針對該惡意連結在 48 小時時間範圍內發生的點選產生警示。 此警示會自動在Office 365中觸發自動化調查和回應。 如需觸發此警示之事件的詳細資訊,請 參閱設定安全連結原則。 | 高 | 是 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 使用者點選到可能的惡意 URL | 當組織中受 安全連結 保護的使用者按一下惡意連結時,產生警示。 當使用者按一下識別為惡意或擱置驗證) 的 URL (,並根據貴組織的 Microsoft 365 商務安全連結原則覆寫安全連結警告頁面 (,) 繼續前往 URL 託管的頁面/內容時,就會觸發此事件。 針對 適用於 Office 365 的 Defender P2、E5、G5 客戶,此警示會自動觸發Office 365中的自動化調查和回應。 如需觸發此警示之事件的詳細資訊,請 參閱設定安全連結原則。 | 高 | 是 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 提交結果完成管理員 | 當提交管理員完成已提交實體的重新掃描時產生警示。 每次從管理員提交轉譯重新掃描結果時,就會觸發警示。 這些警示旨在提醒您 檢閱先前提交的結果、提交使用者回報的訊息以取得最新的原則檢查和重新掃描決策,並協助您判斷組織中的篩選原則是否具有預期的影響。 |
參考 | 否 | E1/F1、E3/F3 或 E5 |
| 管理員觸發電子郵件的手動調查 | 當系統管理員從威脅總管觸發電子郵件的手動調查時,產生警示。 如需詳細資訊,請參閱 範例:安全性系統管理員從威脅總管觸發調查。 此警示會通知您的組織調查已啟動。 警示會提供觸發該警示的人員相關資訊,並包含調查連結。 |
參考 | 是 | E5/G5 或 適用於 Office 365 的 Microsoft Defender P2 附加元件訂用帳戶 |
| 管理員觸發的使用者入侵調查 | 當系統管理員觸發來自威脅總管的電子郵件寄件者或收件者的手動使用者入侵調查時,產生警示。 如需詳細資訊,請參閱 範例:安全性系統管理員從威脅總管觸發調查,其中顯示電子郵件上相關的手動觸發調查。 此警示會通知您的組織使用者入侵調查已啟動。 警示會提供觸發該警示的人員相關資訊,並包含調查連結。 |
中 | 是 | E5/G5 或 適用於 Office 365 的 Microsoft Defender P2 附加元件訂用帳戶 |
| 系統管理員提交的系統管理動作 | 系統管理員可以使用各種介面,對電子郵件實體採取手動電子郵件動作。 例如,威脅總管、進階搜捕或透過自訂偵測。 當補救開始時,它會產生警示。 此警示會顯示在警示佇列中,其名稱為系統 管理員所提交的 系統管理動作,以指出系統管理員已採取補救實體的動作。 警示包含動作類型、支援調查連結、時間等詳細資料。每當實體上執行補救之類的敏感性動作時,就很有説明。 | 參考 | 是 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 建立轉寄/重新導向規則 | 當貴組織中的某人為其信箱建立收件匣規則,以將郵件轉寄或重新導向至另一個電子郵件帳戶時,就會產生警示。 此原則只會追蹤使用先前稱為 Outlook Web App) 或 Exchange Online PowerShell 的Outlook 網頁版 (建立的收件匣規則。 如需在Outlook 網頁版中使用收件匣規則轉寄和重新導向電子郵件的詳細資訊,請參閱在Outlook 網頁版中使用規則自動將郵件轉寄至另一個帳戶。 | 參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 電子文件探索搜尋已啟動或已匯出 | 當有人在 Microsoft Purview 入口網站中使用內容搜尋工具時,會產生警示。 執行下列內容搜尋活動時,就會觸發警示:
當先前的內容搜尋活動與電子檔探索案例相關聯時,也會觸發警示。 如需內容搜尋活動的詳細資訊,請 參閱在稽核記錄中搜尋電子檔探索活動。 |
參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 傳遞後移除包含惡意檔案的電子郵件訊息 | 當包含惡意檔案的任何訊息傳遞至組織中的信箱時,會產生警示。 如果發生此事件,Microsoft 會使用零時差自動清除,從Exchange Online信箱中移除受感染的郵件。 此原則會自動在Office 365中觸發自動化調查和回應。 如需此新原則的詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 中的新警示原則。 | 參考 | 是 | E5/G5 或 適用於 Office 365 的 Microsoft Defender P2 附加元件訂用帳戶 |
| 傳遞後移除包含惡意 URL 的電子郵件訊息 | 當包含惡意 URL 的任何訊息傳遞至您組織中的信箱時,就會產生警示。 如果發生此事件,Microsoft 會使用零時差自動清除,從Exchange Online信箱中移除受感染的郵件。 此原則會自動在Office 365中觸發自動化調查和回應。 如需此新原則的詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 中的新警示原則。 | 參考 | 是 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 傳遞後移除包含惡意郵件的電子郵件訊息 | 注意:此警示原則已由Email訊息取代,其中包含傳遞後移除的惡意檔案。 此警示原則最終會消失,因此建議您停用此警示原則,並改用包含傳遞後移除之惡意檔案的Email訊息。 如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的新警示原則。 | 參考 | 是 | E5/G5 或 適用於 Office 365 的 Microsoft Defender P2 附加元件訂用帳戶 |
| 傳遞後移除包含網路釣魚 URL 的電子郵件訊息 | 注意:此警示原則已由Email訊息取代,其中包含傳遞後移除的惡意 URL。 此警示原則最終會消失,因此建議您停用此警示原則,並改用包含傳遞後移除之惡意 URL 的Email訊息。 如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的新警示原則。 | 參考 | 是 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| Email傳遞後移除行銷活動的訊息 | 當與 行銷活動 相關聯的任何訊息傳遞至組織中的信箱時,會產生警示。 如果發生此事件,Microsoft 會使用零時差自動清除,從Exchange Online信箱中移除受感染的郵件。 此原則會自動在Office 365中觸發自動化調查和回應。 如需此新原則的詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 中的新警示原則。 | 參考 | 是 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 傳送後即移除的電子郵件訊息 | 當任何不包含惡意實體的惡意訊息 (URL 或檔案) 或與活動相關聯的惡意訊息傳遞至您組織中的信箱時,就會產生警示。 如果發生此事件,Microsoft 會使用零時差自動清除,從Exchange Online信箱中移除受感染的郵件。 此原則會自動在Office 365中觸發自動化調查和回應。 如需此新原則的詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 中的新警示原則。 | 參考 | 是 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 使用者報告為惡意郵件或網路釣魚的電子郵件 | 當組織中的使用者使用 Outlook 中的內建 [報表] 按鈕或 [報表訊息] 或 [報表網路釣魚] 增益集,將郵件回報為網路釣魚時,就會產生警示。如需增益集的詳細資訊,請參 閱使用報表訊息增益集。 針對 適用於 Office 365 的 Defender P2、E5、G5 客戶,此警示會自動觸發Office 365中的自動化調查和回應。 | 低 | 是 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| Email使用者回報為垃圾郵件 | 當組織中的使用者使用 Outlook 中的內建 [報表] 按鈕或 [報表訊息] 增益集,將郵件回報為垃圾郵件時,就會產生警示。 如需增益集的詳細資訊,請參 閱使用報表訊息增益集。 | 低 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| Email使用者回報為非垃圾郵件 | 當組織中的使用者在 Outlook 或報表訊息增益集中將訊息回報為非垃圾郵件時,就會產生警示。 如需增益集的詳細資訊,請參 閱使用報表訊息增益集。 | 低 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 超過傳送限制Email | 當貴組織中的某人傳送的郵件超過輸出垃圾郵件原則所允許的郵件數目時,就會產生警示。 這通常表示使用者傳送太多電子郵件,或帳戶可能遭到入侵。 如果您收到此警示原則所產生的警示,最好 檢查使用者帳戶是否遭到入侵。 | 中 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 表單因潛在網路釣魚嘗試而遭封鎖 | 當貴組織中的某人因為偵測到重複的網路釣魚嘗試行為而無法共用表單及使用Microsoft Forms收集回應時,產生警示。 | 高 | 否 | E1、E3/F3 或 E5 |
| 已標幟表單並確認為網路釣魚 | 當組織內在Microsoft Forms中建立的表單已透過報表濫用識別為潛在網路釣魚,並由 Microsoft 確認為網路釣魚時,就會產生警示。 | 高 | 否 | E1、E3/F3 或 E5 |
| 發現租使用者允許封鎖清單專案為惡意專案 | 當 Microsoft 判斷對應到租使用者允許/封鎖清單中允許專案的系統管理員提交是惡意專案時,會產生警示。 一旦 Microsoft 分析提交,就會觸發此事件。 允許專案會在其規定的持續時間內繼續存在。 如需觸發此警示之事件的詳細資訊,請 參閱管理租使用者允許/封鎖清單。 |
參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 傳遞之後偵測到惡意程式碼行銷活動¹ | 當包含惡意程式碼的異常大宗郵件傳遞至您組織中的信箱時,會產生警示。 如果發生此事件,Microsoft 會從信箱Exchange Online移除受感染的郵件。 | 高 | 否 | E5/G5 或 適用於 Office 365 的 Microsoft Defender P2 附加元件訂用帳戶 |
| 偵測到惡意程式碼活動並封鎖¹ | 當有人嘗試傳送異常大量的電子郵件訊息,其中包含特定類型的惡意程式碼給組織中的使用者時,就會產生警示。 如果發生此事件,Microsoft 會封鎖受感染的郵件,而不會傳遞至信箱。 | 低 | 否 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 在 SharePoint 和 OneDrive 中偵測到惡意程式碼活動¹ | 在您組織中 SharePoint 網站或 OneDrive 帳戶的檔案中偵測到異常大量的惡意程式碼或病毒時,就會產生警示。 | 高 | 否 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 因為 ZAP 已停用,所以惡意程式碼未受到攻擊 | 當 Microsoft 偵測到將惡意程式碼訊息傳遞至信箱時,會產生警示,因為 Zero-Hour 網路釣魚訊息的自動清除已停用。 | 參考 | 否 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 包含傳遞後未移除惡意實體的訊息 | 當任何包含惡意內容的郵件 (檔案、URL、行銷活動、沒有實體) ,傳遞至您組織中的信箱時,就會產生警示。 如果發生此事件,Microsoft 會嘗試使用零時差自動清除,從Exchange Online信箱中移除受感染的郵件,但因失敗而未移除郵件。 建議您進行其他調查。 此原則會自動在Office 365中觸發自動化調查和回應。 | 中 | 是 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 移除反垃圾郵件標頭的新傳輸規則 | 偵測到新的郵件流程規則 (傳輸規則) ,以移除反垃圾郵件標頭。 此警示可能表示組織中使用信箱的垃圾郵件活動目前正在進行。 | 中 | 否 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 網路釣魚已傳遞,因為使用者的垃圾郵件資料夾已停用 | 注意:此警示原則正在被取代。 信箱設定不再決定偵測到的郵件是否可以移至 [垃圾郵件] Email資料夾。 如需詳細資訊,請參閱設定 Exchange Online 信箱的垃圾郵件設定。 | 參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 因 ETR 覆寫而傳遞的網路釣魚² | 當 Microsoft 偵測到 Exchange 傳輸規則 (也稱為郵件流程規則) 允許將高信賴度網路釣魚郵件傳遞至信箱時,就會產生警示。 如需 Exchange 傳輸規則 (郵件流程規則) 的詳細資訊,請參閱 Exchange Online中的郵件流程規則 (傳輸規則) 。 | 參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 因 IP 允許原則而傳遞的網路釣魚² | 當 Microsoft 偵測到允許將高信賴度網路釣魚訊息傳遞至信箱的 IP 允許原則時,會產生警示。 如需 IP 允許原則 (連線篩選) 的詳細資訊,請參閱設定預設連線篩選原則 - Office 365。 | 參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 網路釣魚未被點選,因為 ZAP 已停用² | 當 Microsoft 偵測到將高信賴度網路釣魚郵件傳遞至信箱時,會產生警示,因為 Zero-Hour 網路釣魚郵件自動清除已停用。 | 參考 | 否 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 潛在的國家/州活動 | Microsoft 威脅情報中心偵測到嘗試從您的租使用者入侵帳戶。 | 高 | 否 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 系統管理員對電子郵件、URL 或寄件者採取的補救動作 | 注意:系統管理員警示原則 所提交的系統管理動作 已取代此警示原則。 此警示原則最終會消失,因此建議您停用此警示原則,並改用 系統管理員提交的系統管理動作 。 當系統管理員對選取的實體採取補救動作時,就會觸發此警示 |
參考 | 是 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 已移除租使用者允許/封鎖清單中的專案 | 篩選系統並移除租使用者允許/封鎖清單中的允許專案時,產生警示。 移除受影響網域或電子郵件地址、檔案或 URL (實體) 的允許專案時,就會觸發此事件。 您不再需要受影響的允許專案。 如果訊息中沒有任何其他專案判斷為不正確,則包含受影響實體的Email訊息將會傳遞至 [收件匣]。 按一下時將允許 URL 和檔案。 如需觸發此警示之事件的詳細資訊,請 參閱管理租使用者允許/封鎖清單。 |
參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 可疑的連接器活動 | 在組織中的輸入連接器上偵測到可疑活動時產生警示。 郵件遭到封鎖,無法使用輸入連接器。 系統管理員會收到電子郵件通知和警示。 此警示提供如何調查、還原變更,以及解除封鎖受限制連接器的指引。 若要瞭解如何回應此警示,請參閱 回應遭入侵的連接器。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 可疑的電子郵件轉寄活動 | 當貴組織中的某人已自動將電子郵件轉寄至可疑的外部帳戶時,產生警示。 這是行為的早期警告,可能表示帳戶遭到入侵,但不夠嚴重,無法限制使用者。 雖然很少見,但此原則所產生的警示可能是異常。 最好 檢查使用者帳戶是否遭到入侵。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 偵測到可疑的電子郵件傳送模式 | 當貴組織中的某人已傳送可疑的電子郵件,而且有被限制無法傳送電子郵件的風險時,就會產生警示。 這是行為的早期警告,可能表示帳戶遭到入侵,但不夠嚴重,無法限制使用者。 雖然很少見,但此原則所產生的警示可能是異常。 不過,最好 檢查使用者帳戶是否遭到入侵。 | 中 | 是 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 觀察到可疑的租使用者傳送模式 | 在組織中觀察到可疑的傳送模式時產生警示,這可能會導致您的組織遭到封鎖而無法傳送電子郵件。 調查任何可能遭入侵的使用者和系統管理員帳戶、新連接器或開啟轉送,以避免租使用者超出閾值區塊。 如需為何封鎖組織的詳細資訊,請參閱修正Exchange Online中錯誤碼 5.7.7xx 的電子郵件傳遞問題。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 建立可疑的輸入連接器和傳輸規則,以移除寄件者電子郵件標頭 | 已建立可疑的輸入連接器和郵件流程規則 (傳輸規則) ,以移除識別郵件寄件者之真實來源位址的標頭。 此警示可能表示組織中使用信箱的垃圾郵件活動目前正在進行。 | 中 | 否 | E5/G5 或 適用於 Office 365 的 Microsoft Defender P2 附加元件訂用帳戶 |
| 偵測到可疑的電子郵件傳輸規則 | 已建立可疑的郵件流程規則 (傳輸規則) ,以將組織中的任何電子郵件轉寄至攻擊者擁有的信箱。 | 中 | 否 | E5/G5 或 適用於 Office 365 的 Microsoft Defender P2 附加元件訂用帳戶 |
| 輸入連接器建立的可疑模式 | 偵測到輸入連接器建立的可疑模式。 此行為可能建議攻擊者設定惡意的輸入連接器,以允許透過組織的 Exchange Server 進行匿名轉送。 | 中 | 否 | E5/G5 或 適用於 Office 365 的 Microsoft Defender P2 附加元件訂用帳戶 |
| 來自新 Exchange 輸入連接器的可疑電子郵件傳送模式。 | 偵測到來自新 Exchange 輸入連接器的可疑電子郵件傳送模式。 此行為可能建議攻擊者設定惡意的輸入連接器,以允許透過組織的 Exchange Server 進行匿名轉送。 | 中 | 否 | E5/G5 或 適用於 Office 365 的 Microsoft Defender P2 附加元件訂用帳戶 |
| 租使用者允許/封鎖清單專案即將到期 | 當租使用者允許/封鎖清單專案中的允許專案或封鎖專案即將移除時,產生警示。 此事件會在到期日前 7 天觸發,這是根據專案建立或上次更新的時間而定。 針對允許專案和封鎖專案,您可以延長到期日。 如需觸發此警示之事件的詳細資訊,請 參閱管理租使用者允許/封鎖清單。 |
參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 受限制的租使用者無法傳送電子郵件 | 當組織中的大部分電子郵件流量都偵測到可疑且 Microsoft 已限制貴組織傳送電子郵件時,就會產生警示。 調查任何可能遭入侵的使用者和系統管理員帳戶、新的連接器或開啟轉送,然後連絡Microsoft 支援服務解除封鎖您的組織。 如需為何封鎖組織的詳細資訊,請參閱修正Exchange Online中錯誤碼 5.7.7xx 的電子郵件傳遞問題。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 租使用者無法傳送未布建的電子郵件 | 從未註冊的網域傳送太多電子郵件, (也稱為 未布 建網域) 時,產生警示。 Office 365 可允許合理數量的電子郵件從未註冊的網域寄出,但您應該將每一個會用來傳送電子郵件的網域設定為接受的網域。 此警示表示組織中的所有使用者都無法再傳送電子郵件。 如需為何封鎖組織的詳細資訊,請參閱修正Exchange Online中錯誤碼 5.7.7xx 的電子郵件傳遞問題。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 回報為網路釣魚的電子郵件異常增加¹ | 當組織中使用 Outlook 中的報表郵件增益集將郵件報告為網路釣魚郵件的人數大幅增加時,產生警示。 如需此增益集的詳細資訊,請 參閱使用報表訊息增益集。 | 中 | 否 | E5/G5 或 適用於 Office 365 的 Defender P2 附加元件訂用帳戶 |
| 要求釋放隔離郵件的使用者 | 當使用者要求釋放隔離的郵件時,產生警示。 若要要求釋出隔離的郵件,隔離原則 (例如,從 [限制存取預設許可權] 群組) ,需要 [允許收件者要求郵件從隔離區釋出 (許可權][許可權][) ]。 如需詳細資訊,請參閱 允許收件者要求從隔離許可權釋放訊息。 | 參考 | 否 | Microsoft Business Basic、Microsoft Business Standard、Microsoft Business Premium、E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 受限制的使用者無法傳送電子郵件 | 當貴組織中的某人受限而無法傳送輸出郵件時,產生警示。 這通常會導致帳戶遭到入侵,且使用者列在合規性入口網站的 [ 受限制的使用者 ] 頁面上。 (若要存取此頁面,請移至 [ 威脅管理 > ] [檢閱 > 受限制的使用者) ]。 如需受限制使用者的詳細資訊,請參閱在 傳送垃圾郵件電子郵件之後,從封鎖清單中移除使用者、網域或 IP 位址。 | 高 | 是 | Microsoft Business Basic、Microsoft Business Standard、Microsoft Business Premium、E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 限制使用者共用表單和收集回應 | 當貴組織中的某人因為偵測到重複的網路釣魚嘗試行為而無法共用表單及使用Microsoft Forms收集回應時,產生警示。 | 高 | 否 | E1、E3/F3 或 E5 |
¹ 根據客戶的意見反應,此警示原則正在被取代為誤判。 若要保留此警示原則的功能,您可以使用相同的設定建立自訂警示原則。
² 此警示原則是 因租使用者或使用者覆寫而傳遞的網路 釣魚取代功能的一部分,以及根據使用者意見反應移除的收 件匣/資料夾警示原則的使用者模擬網路 釣魚。 如需Office 365中反網路釣魚的詳細資訊,請參閱反網路釣魚原則。
檢視警示
當組織中使用者執行的活動符合警示原則的設定時,會產生警示,並顯示在 Microsoft Purview 入口網站或 Defender 入口網站的 [ 警示 ] 頁面上。 根據警示原則的設定,觸發警示時,電子郵件通知也會傳送給指定的使用者清單。 針對每個警示,[ 警示 ] 頁面上的儀表板會顯示對應警示原則的名稱、警示原則) 中定義之警示 (的嚴重性和類別,以及導致產生警示的活動發生次數。 此值是以警示原則的閾值設定為基礎。 儀表板也會顯示每個警示的狀態。 如需使用 status 屬性來管理警示的詳細資訊,請參閱 管理警示。
若要檢視警示:
Microsoft Purview 合規性入口網站
移至 https://compliance.microsoft.com ,然後選取 [警示]。 或者,您可以直接前往 https://compliance.microsoft.com/compliancealerts。
![在合規性入口網站中,選取 [警示]。](media/viewalertsmcc.png)
Microsoft 365 Defender 入口網站概觀
移至Microsoft 365 Defender 入口網站,然後選取[事件 & 警示>警示]。 或者,您可以直接前往 https://security.microsoft.com/alerts。
![在Microsoft 365 Defender入口網站中,選取 [事件 & 警示],然後選取 [警示]。](media/viewalertsdefenderportal.png)
您可以使用下列篩選來檢視 [警示] 頁面上所有警示 的 子集:
- 狀態:顯示已指派特定狀態的警示。 預設狀態為 [作用中]。 您或其他系統管理員可以變更狀態值。
- 原則:顯示符合一或多個警示原則設定的警示。 或者,您可以顯示所有警示原則的所有警示。
- 時間範圍:顯示在特定日期和時間範圍內產生的警示。
- 嚴重性:顯示已指派特定嚴重性的警示。
- 類別:顯示來自一或多個警示類別的警示。
- Tags:顯示來自一或多個使用者標籤的警示。 標籤會根據已標記的信箱或出現在警示中的使用者來反映。 若要深入瞭解,請參閱適用於 Office 365 的 Defender 中的使用者標籤。
- 來源:使用此篩選器可顯示 Microsoft Purview 入口網站中警示原則所觸發的警示,或由Microsoft Defender for Cloud Apps原則或兩者觸發的警示。 如需適用于雲端應用程式的 Defender 警示的詳細資訊,請參閱本文中的 View Defender for Cloud Apps 警示 一節。
重要事項
依使用者標籤篩選和排序目前處於公開預覽狀態,而且可能會在正式推出之前進行大幅修改。 Microsoft 對於所提供的資訊,不提供任何明示或隱含的擔保。
警示匯總
當多個符合警示原則條件的事件在短時間內發生時,稱為 警示匯總的程式會將它們新增至現有的警示。 當事件觸發警示時,警示會產生並顯示在 [ 警示 ] 頁面上,並傳送通知。 如果在匯總間隔內發生相同的事件,則 Microsoft 365 會將新事件的詳細資料新增至現有的警示,而不是觸發新的警示。 警示匯總的目標是協助減少警示「疲勞」,並讓您專注于相同事件的較少警示並採取動作。
匯總間隔的長度取決於您的Office 365或 Microsoft 365 訂閱。
| 訂閱 | 聚集 區間 |
|---|---|
| Office 365或Microsoft 365 E5/G5 | 1 分鐘 |
| 適用於 Office 365 的 Defender 方案 2 | 1 分鐘 |
| E5 合規性附加元件或 E5 探索和稽核附加元件 | 1 分鐘 |
| Office 365或 Microsoft 365 E1/F1/G1 或 E3/F3/G3 | 15 分鐘 |
| 適用於 Office 365 的 Defender方案 1 或Exchange Online Protection | 15 分鐘 |
在匯總間隔內發生符合相同警示原則的事件時,會將後續事件的詳細資料新增至原始警示。 針對所有事件,匯總事件的相關資訊會顯示在詳細資料欄位中,而使用匯總間隔的事件發生次數會顯示在活動/點擊計數位段中。 您可以檢視活動清單,以檢視所有匯總事件實例的詳細資訊。
下列螢幕擷取畫面顯示具有四個匯總事件的警示。 活動清單包含與警示相關的四個電子郵件訊息的相關資訊。
請記住下列警示匯總事項:
偵測到可能惡意 URL 點選所觸發的警示,不會匯總預設警示原則。 這是因為此原則所觸發的警示對每個使用者和電子郵件訊息都是唯一的。
此時, [計數 ] 警示屬性不會指出所有警示原則的匯總事件數目。 對於這些警示原則所觸發的警示,您可以按一下警示的 [ 檢視訊息清單 ] 或 [ 檢視活動 ] 來檢視匯總的事件。 我們正努力讓 [ 計數 ] 警示屬性中所列的匯總事件數目可供所有警示原則使用。
檢視警示所需的 RBAC 許可權
指派給組織中使用者的角色型存取控制 (RBAC) 許可權,決定使用者可以在 [警示] 頁面上看到哪些警示。 如何完成這項作業? 指派給使用者的管理角色 (根據其在合規性入口網站或Microsoft 365 Defender入口網站中的角色群組成員資格,) 判斷使用者可以在 [警示] 頁面上看到哪些警示類別。 範例如下:
- 記錄管理角色群組的成員只能檢視已指派 [資訊控管] 類別之警示原則所產生的警示。
- 合規性系統管理員角色群組的成員無法檢視已指派 [威脅管理] 類別之警示原則所產生的警示。
- 「電子文件探索管理員」角色群組的成員無法檢視任何警示,因為所有指派的角色都不會提供任何警示類別的檢視警示的權限。
此設計 (以 RBAC 許可權為基礎,) 可讓您判斷組織中特定作業角色的使用者可以檢視 (和管理) 警示。
下表列出檢視來自六個不同警示類別之警示所需的角色。 核取記號表示獲指派該角色的使用者可以檢視標題列中所列對應警示類別的警示。
若要查看預設警示原則指派給哪個類別,請參閱 預設警示原則中的資料表。
| 角色 | 資訊 治理 |
資料遺失 預防 |
郵件 流 |
權限 | 威脅 管理 |
其他人 |
|---|---|---|---|---|---|---|
| 合規性系統管理員 | ✔ | ✔ | ✔ | ✔ | ||
| DLP 合規性管理 | ✔ | |||||
| 資訊保護系統管理員 | ✔ | |||||
| 資訊保護分析員 | ✔ | |||||
| 資訊保護調查人員 | ✔ | |||||
| 管理提醒 | ✔ | |||||
| 組織組態 | ✔ | |||||
| 隱私權管理 | ||||||
| 隔離 | ||||||
| 記錄管理 | ✔ | |||||
| 保留管理 | ✔ | |||||
| 角色管理 | ✔ | |||||
| 安全性系統管理員 | ✔ | ✔ | ✔ | ✔ | ||
| 安全性讀取者 | ✔ | ✔ | ✔ | ✔ | ||
| 傳輸檢查 | ||||||
| 僅限檢視 DLP 合規性管理 | ✔ | |||||
| 僅限檢視組態 | ||||||
| 僅限檢視管理警示 | ✔ | |||||
| 僅限檢視收件者 | ✔ | |||||
| 僅限檢視記錄管理 | ✔ | |||||
| 僅限檢視保留管理 | ✔ |
提示
若要檢視指派給每個預設角色群組的角色,請在安全 & 性合規性 PowerShell 中執行下列命令:
$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,("-"*25); Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
您也可以在合規性入口網站或Microsoft 365 Defender入口網站中檢視指派給角色群組的角色。 移至 [權 限] 頁面,然後選取角色群組。 指派的角色會列在飛出視窗頁面上。
管理警示
產生警示並顯示在 Microsoft Purview 入口網站 的 [警示 ] 頁面之後,您可以分級、調查及解決警示。 為使用者提供警示存取權 的相同 RBAC 許可權,也讓他們能夠管理警示。
以下是您可以執行來管理警示的一些工作。
將狀態指派給警示:您可以將下列其中一個狀態指派給警示: 作用 中 (預設值) 、 調查、 已解決或 已解除。 然後,您可以篩選此設定,以顯示具有相同狀態設定的警示。 此狀態設定可協助追蹤管理警示的程式。
檢視警示詳細資料:您可以選取警示,以顯示包含警示詳細資料的飛出視窗頁面。 詳細資訊取決於對應的警示原則,但通常包含下列資訊:
- 觸發警示的實際作業名稱,例如 Cmdlet 或稽核記錄作業。
- 觸發警示之活動的描述。
- 觸發警示的使用者 (或) 使用者清單。 這僅包含在設定為追蹤單一使用者或單一活動的警示原則中。
- 警示所追蹤的活動執行次數。 此數目可能不符合 [警示] 頁面上所列的實際相關警示數目,因為可能觸發了更多警示。
- 活動清單的連結,其中包含觸發警示之每個執行活動的專案。 此清單中的每個專案會識別活動發生的時間、實際作業 (的名稱,例如 「FileDeleted」) 、執行活動的使用者、物件 (例如檔案、電子檔探索案例或活動執行所在的信箱) ,以及使用者電腦的 IP 位址。 針對與惡意程式碼相關的警示,這會連結至訊息清單。
- 對應警示原則的名稱 (和連結) 。
隱藏電子郵件通知:您可以從警示的飛出視窗頁面關閉 (或隱藏) 電子郵件通知。 當您隱藏電子郵件通知時,Microsoft 不會在發生符合警示原則條件的活動或事件時傳送通知。 但是,當使用者執行的活動符合警示原則的條件時,就會觸發警示。 您也可以編輯警示原則來關閉電子郵件通知。
解決警示:您可以在警示 (的飛出視窗頁面上,將警示標示為已解決) 。 除非您變更篩選,否則已解決的警示不會顯示在 [ 警示 ] 頁面上。
檢視適用于雲端應用程式的 Defender 警示
適用于雲端應用程式的 Defender 原則所觸發的警示現在會顯示在 Microsoft Purview 入口網站 的 [警示 ] 頁面上。 這包括由適用于雲端應用程式的 Defender 中的異常偵測原則所觸發的活動原則和警示所觸發的警示。 這表示您可以在 Microsoft Purview 入口網站中檢視所有警示。 適用于雲端應用程式的 Defender 僅適用于具有 Office 365 企業版 E5 或Office 365美國政府 G5 訂用帳戶的組織。 如需詳細資訊,請參閱 適用于雲端應用程式的 Defender 概觀。
具有Microsoft Defender for Cloud Apps作為 Enterprise Mobility + Security E5 訂用帳戶或獨立服務一部分的組織,也可以在合規性入口網站中檢視與 Microsoft 365 應用程式和服務相關的適用于雲端應用程式的 Defender 警示或Microsoft 365 Defender入口網站。
若只要在 Microsoft Purview 入口網站或 Defender 入口網站中顯示適用于雲端應用程式的 Defender 警示,請使用 [來源 ] 篩選,然後選取 [ 適用于雲端應用程式的 Defender]。
類似于 Microsoft Purview 入口網站中警示原則所觸發的警示,您可以選取適用于雲端應用程式的 Defender 警示,以顯示包含警示詳細資料的飛出視窗頁面。 警示包含在適用于雲端應用程式的 Defender 入口網站中檢視詳細資料和管理警示的連結,以及觸發警示的對應適用于雲端應用程式的 Defender 原則連結。 請參閱 在適用于雲端應用程式的 Defender 中監視警示。
重要事項
在 Microsoft Purview 入口網站中變更適用于雲端應用程式的 Defender 警示狀態,並不會更新適用于雲端應用程式的 Defender 入口網站中相同警示的解決狀態。 例如,如果您在 Microsoft Purview 入口網站中將警示的狀態標示為已 解決 ,則適用于 Cloud Apps 的 Defender 入口網站中的警示狀態會保持不變。 若要解決或關閉適用于雲端應用程式的 Defender 警示,請在適用于雲端應用程式的 Defender 入口網站中管理警示。