適用於：

• Microsoft Defender XDR

本文提供在組織中試驗和部署 適用於 Office 365 的 Microsoft Defender 的工作流程。 您可以使用這些建議，將 適用於 Office 365 的 Microsoft Defender 作為個別的網路安全性工具上線，或作為端對端解決方案的一部分，並搭配 Microsoft Defender 全面偵測回應。

本文假設您有生產Microsoft 365 租使用者，並在此環境中試驗和部署 適用於 Office 365 的 Microsoft Defender。 此做法會維護您在試驗期間為完整部署所設定的任何設定和自定義。

適用於 Office 365 的 Defender 藉由協助防止或減少因缺口而造成的業務損害，為 零信任 架構做出貢獻。 如需詳細資訊，請參閱 Microsoft 零信任 採用架構中的防止或減少因外泄商務案例而造成的業務損害。

這是系列文章 6 的第 3 篇文章，可協助您部署 Microsoft Defender 全面偵測回應元件，包括調查和回應事件。

本系列中的文章會對應至下列端對端部署階段：

下圖說明在IT環境中部署產品或服務的常見程式。

首先，您會評估產品或服務，以及其在組織內的運作方式。 然後，您可以使用適當的小型生產基礎結構子集來試驗產品或服務，以進行測試、學習和自定義。 然後，逐漸增加部署的範圍，直到涵蓋整個基礎結構或組織為止。

以下是在生產環境中試驗和部署 適用於 Office 365 的 Defender 的工作流程。

依照下列步驟執行：

1. 稽核並驗證公用 MX 記錄
2. 稽核接受的網域
3. 稽核輸入連接器
4. 啟用評估
5. 建立試驗群組
6. 設定保護
7. 試用功能

以下是每個部署階段的建議步驟。

下圖說明 適用於 Office 365 的 Microsoft Defender 的基準架構，其中可包含第三方 SMTP 閘道或內部部署整合。 混合式共存案例 (也就是，生產信箱是內部部署和在線信箱，) 需要更複雜的設定，本文或評估指引並未涵蓋。

下表描述此圖例。

內部部署整合很常見，但為選擇性。 如果您的環境僅限雲端，本指引也適用於您。

若要成功 適用於 Office 365 的 Defender 評估或生產試驗，需要下列必要條件：

• 您所有的收件者信箱目前都在 Exchange Online 中。
• 您的公用 MX 記錄會直接解析為 EOP 或第三方的簡易郵件傳輸通訊協定 (SMTP) 閘道，然後直接將輸入外部電子郵件轉送至 EOP。
• 您的主要電子郵件網域已在 Exchange Online 中設定為授權。
• 您已成功部署並設定以 目錄為基礎的Edge封鎖 (適當地) DBEB。 如需詳細資訊，請 參閱使用 Directory-Based Edge 封鎖來拒絕傳送給無效收件者的訊息。

若要有效地評估 適用於 Office 365 的 Microsoft Defender，請務必透過與租使用者相關聯的 Exchange Online Protection (EOP) 實例轉送輸入外部電子郵件。

1. 在 M365 管理員 入口網站中https://admin.microsoft.com，展開 ...視需要顯示全部內容，展開 [設定]，然後選取 [網域]。 或者，若要直接移至 [ 網域] 頁面，請使用 https://admin.microsoft.com/Adminportal/Home#/Domains。
2. 在 [ 網域] 頁面上，按下複選框以外的專案上的任何位置，選取已驗證的電子郵件網域。
3. 在開啟的網域詳細數據飛出視窗中，選取 [DNS 記錄] 索引 標籤。記下產生並指派給 EOP 租使用者的 MX 記錄。
4. 存取外部 (公用) DNS 區域，並檢查與您的電子郵件網域相關聯的主要 MX 記錄：
   • 例如，如果您的公用 MX 記錄目前符合指派的 EOP 位址 (，contoso-com.mail.protection.outlook.com) 则不需要进一步的路由变更。
   • 如果您的公用 MX 記錄目前解析為第三方或內部部署 SMTP 閘道，則可能需要額外的路由設定。
   • 如果您的公用 MX 記錄目前解析為內部部署 Exchange，則您可能仍在混合式模型中，其中某些收件者信箱尚未移轉至 EXO。

1. 在 Exchange 系統管理中心 (EAC) ， https://admin.exchange.microsoft.com展開 [郵件流程]，然後按兩下 [ 接受的網域]。 或者，若要直接移至 [ 已接受的網域] 頁面，請使用 https://admin.exchange.microsoft.com/#/accepteddomains。
2. 在 [ 已接受的網域 ] 頁面上，記下您主要電子郵件網域的 [ 網域類型 ] 值。
   • 如果網域類型設定為 [授權]，則假設您組織的所有收件者信箱目前都位於 Exchange Online。
   • 如果網域類型設定為 InternalRelay，則您可能仍在混合式模型中，其中某些收件者信箱仍位於內部部署。

1. 在 Exchange 系統管理中心 (EAC) ， https://admin.exchange.microsoft.com展開 [郵件流程]，然後按兩下 [ 連接器]。 或者，若要直接前往 連接器 頁面，請使用 https://admin.exchange.microsoft.com/#/connectors。
2. 在 [ 連接器 ] 頁面上，記下具有下列設定的任何連接器：
   • From 值是可能與第三方 SMTP 閘道相互關聯的合作夥伴組織。
   • From 值是您的組織，可能表示您仍在混合式案例中。

使用此處的指示，從 Microsoft Defender 入口網站啟用 適用於 Office 365 的 Microsoft Defender 評估。

如需詳細資訊，請參閱試用 適用於 Office 365 的 Microsoft Defender。

1. 在 Microsoft Defender 入口網站https://security.microsoft.com中，展開 Email & 共同作業>選取 [原則 & 規則>]，選取 [威脅原則>] 向下卷動至 [其他] 區段，然後選取 [評估模式]。 或者，若要直接移至 評估模式 頁面，請使用 https://security.microsoft.com/atpEvaluation。

2. 在 [ 評估模式] 頁面上，按兩下 [開始評估]。

3. 在 [ 開啟保護 ] 對話框中，選取 [ 否，我只想要報告]，然後按兩下 [ 繼續]。

4. 在 [ 選取您要包含的使用者 ] 對話框中，選取 [ 所有使用者]，然後按兩下 [ 繼續]。

5. 在 [ 協助我們瞭解您的郵件流程 ] 對話框中，會根據我們偵測到您網域的 MX 記錄，自動選取下列其中一個選項：

   • 我只使用 Microsoft Exchange Online：網域的 MX 記錄指向 Microsoft 365。 不需要設定任何專案，因此請按兩下 [ 完成]。

   • 我使用第三方和/或內部部署服務提供者：在即將推出的畫面中，選取廠商名稱以及接受來自該解決方案之郵件的輸入連接器。 您也決定您是否需要 Exchange Online 郵件流程規則 (也稱為傳輸規則) ，以略過從第三方保護服務或裝置傳入郵件的垃圾郵件篩選。 當您完成時，按兩下 [ 完成]。

當您試驗 適用於 Office 365 的 Microsoft Defender 時，您可以選擇先試驗特定使用者，再為整個組織啟用和強制執行原則。 建立通訊群組有助於管理部署程式。 例如，建立群組，例如 適用於 Office 365 的 Defender 使用者 - 標準保護、適用於 Office 365 的 Defender 使用者 - 嚴格保護、適用於 Office 365 的 Defender 使用者 - 自定義保護或適用於 Office 365 的 Defender 使用者 - 例外狀況。

「標準」和「嚴格」是用於這些群組的詞彙可能不明顯，但當您深入探索 適用於 Office 365 的 Defender 安全性預設值時，這會變得很明顯。 命名群組「自定義」和「例外狀況」代表自己，雖然您大部分的使用者都應該落在 標準 和 嚴格之下，但自定義和例外狀況群組會為您收集有關管理風險的寶貴數據。

通訊群組可以直接在 Exchange Online 中建立和定義，或從 內部部署的 Active Directory 同步處理。

1. 使用已獲授與收件者系統管理員角色或已委派群組管理許可權的帳戶，登入 Exchange 管理員 Center (EAC) https://admin.exchange.microsoft.com。

2. 移至 [收件者>群組] 。

3. 在 [群組] 頁面上，選取 [新增群組。

4. 針對群組類型，選取 [ 散發]，然後按 [ 下一步]。

5. 為群組提供 [名稱 ] 和選用的 [描述]，然後按 [下一步]。

6. 在其餘頁面上，指派擁有者、將成員新增至群組、設定電子郵件位址、加入離職限制和其他設定。

默認會設定並開啟 適用於 Office 365 的 Defender 中的某些功能，但安全性作業可能會想要提高預設的保護層級。

某些功能尚未設定。 您有下列選項可用來設定保護 (稍後很容易變更) ：

• 將使用者指派給預設安全策略： 建議使用預設安全 策略來快速指派所有功能的統一保護層級。 您可以從 [標準 ] 或 [ 嚴格 保護] 中選擇。 這裏 的數據表說明 Standard 和 Strict 的設定。 此 處的表格摘要說明 Standard 與 Strict 之間的差異。

  默認安全策略的優點是，您可以根據數據中心內的觀察，使用Microsoft的建議設定，儘快保護使用者群組。 隨著新的保護功能新增，而且隨著安全性環境的變更，預設安全策略中的設定會自動更新為我們建議的設定。

  默認安全策略的缺點是您無法在預設安全策略中幾乎自定義任何安全性設定 (例如，您無法將動作從傳遞變更為垃圾郵件到隔離，反之亦然) 。 例外狀況是 用戶模擬和網域模擬保護的專案和選擇性例外狀況，您必須手動設定。

  此外，請記住，預設安全策略 一律 會在自定義原則之前套用。 因此，如果您想要建立並使用任何自定義原則，則必須將這些自定義原則中的使用者從預設的安全策略中排除。

• 設定自定義保護原則：如果您想要自行設定環境，請比較 EOP 建議設定中的預設、標準和嚴格設定，適用於 Office 365 的 Microsoft Defender 安全性。 保留自定義組建偏差位置的電子表格。

  您也可以使用組 態分析器 ，將自定義原則中的設定與 Standard 和 Strict 值進行比較。

如需選擇預設安全策略與自定義原則的詳細資訊，請參閱 判斷您的保護原則策略。

建議您從 EOP 中的預設安全策略開始，並將它們指派給特定試驗用戶或定義的群組，以快速 適用於 Office 365 的 Defender 評估。 默認原則提供基準 標準 保護範本或更積極的 Strict 保護範本，可獨立指派。

例如，如果收件者是已定義 EOP 標準保護群組的成員，然後藉由將帳戶新增至群組或從中移除帳戶來管理，則可以套用試驗評估的 EOP 條件。

同樣地，如果收件者是已定義 適用於 Office 365 的 Defender 標準保護群組的成員，然後透過群組新增或移除帳戶來管理，則可以套用試驗評估的 適用於 Office 365 的 Defender 條件。

如需完整指示，請參閱使用 Microsoft Defender 入口網站將標準和嚴格預設安全策略指派給使用者。

預先定義的標準或嚴格 適用於 Office 365 的 Defender 原則範本可為試驗使用者提供建議的基準保護。 不過，您也可以在評估過程中建置和指派自定義保護原則。

請 務必 留意套用和強制執行這些保護原則時所採取的優先順序，如 預設安全策略和其他原則的優先順序順序中所述。

設定 保護 原則中的說明和表格提供您需要設定之專案的方便參考。

現在，您的試驗已設定完成，您可以熟悉針對 Microsoft 365 Microsoft Defender 特有的報表、監視和攻擊模擬工具。

您可以將 適用於 Office 365 的 Defender 與 Microsoft Sentinel 或一般安全性資訊和事件管理整合 (SIEM) 服務，以啟用來自已連線應用程式的警示和活動的集中監視。 透過 Microsoft Sentinel，您可以更全面地分析整個組織的安全性事件，並建置劇本以取得有效且立即的回應。

Microsoft Sentinel 包含 適用於 Office 365 的 Defender 連接器。 如需詳細資訊，請參閱從 適用於 Office 365 的 Microsoft Defender 連線警示。

適用於 Office 365 的 Microsoft Defender 也可以使用 Office 365 活動管理 API 整合到其他 SIEM 解決方案中。 如需與泛型 SIEM 系統整合的相關信息，請參閱 一般 SIEM 整合。

將 適用於 Office 365 的 Microsoft Defender 安全性作業指南中的資訊併入您的 SecOps 程式中。

使用試驗和部署適用於端點的Defender，繼續進行 Microsoft Defender 全面偵測回應的端對端部署。