你可以使用警示政策和 Microsoft Defender 入口網站的警示儀表板來建立警示政策,然後查看使用者執行符合警示政策條件的活動時產生的警示。 有幾項預設警示政策幫助你監控活動,例如在 Exchange Online 中分配管理員權限、惡意軟體攻擊、網路釣魚攻擊,以及異常程度的檔案刪除或外部分享。
提示
請前往本文的 「預設警報政策 」章節,查看可用警報政策的清單與說明。
警示原則可讓您分類原則所觸發的警示、將原則套用至組織中所有的使用者、設定觸發警示時的臨界值等級,以及決定是否要在觸發警示時收到電子郵件通知。 此外,還有一個 警示 頁面,您可以查看並篩選警示,設定警示狀態以協助管理警示,並在處理或解決底層事件後關閉警示。
注意事項
以下組織可取得警示政策:
- Microsoft 365 企業版
- Office 365 企業版
- Office 365 美國政府 E1/F1/G1、E3/F3/G3 或 E5/G5
進階功能僅在以下組織中提供:
- Microsoft 365 E5/G5
- Microsoft 365 E1/F1/G1 或 Microsoft 365 E3/F3/G3,並可選擇以下其中一項附加訂閱:
- 適用於 Office 365 的 Microsoft Defender 方案 2
- Microsoft Defender 套件
- Microsoft 365 E5 合規性
- E5 電子發現與稽核附加元件
本文重點介紹了需要 Microsoft 365 E5/G5 或附加訂閱的進階功能。
美國政府機構如GCC、GCC High及DoD) (Office 365 均可取得警報政策。
警示原則的運作方式
以下是警示政策的快速說明,以及當使用者或管理員的活動符合警示政策條件時會觸發的警示。
您組織中的管理員可透過合規入口網站或 Microsoft Defender 入口網站的警示政策頁面,建立、設定並啟用警示政策。 你也可以在 Security & Compliance PowerShell 中使用 New-ProtectionAlert 指令檔來建立警報政策。
要建立警示政策,您必須在合規入口網站或 Defender 入口網站中被指派管理警示角色或組織設定角色。
注意事項
在建立或更新警示政策後,最多需要 24 小時才能由該政策觸發警示。 這是因為政策必須與警示偵測引擎同步。
使用者執行符合警示政策條件的活動。 在惡意軟體攻擊的情況下,寄給組織用戶的感染電子郵件會觸發警示。
Microsoft 365 會產生一個警示,並顯示在 Microsoft Defender 入口網站的警示頁面。 此外,若警示政策啟用電子郵件通知,Microsoft 會向收件人列表發送通知。 管理員或其他使用者能在警示頁面看到的警示,取決於該使用者被指派的角色。 欲了解更多資訊,請參閱 查看警報所需的 RBAC 權限。
管理員負責管理 Microsoft Defender 入口網站中的警示。 管理警示是指派一個警示狀態以協助追蹤和管理任何調查。
警示原則設定
警示原則包含一組規則和條件,可定義產生警示的使用者或系統管理員活動,以及在執行活動時觸發警示的使用者清單,以及定義觸發警示之前必須進行的活動次數的臨界值。 您也對原則進行分類,並指派嚴重性等級。 這兩個設定幫助你管理警示政策 (以及當政策條件匹配時觸發的警示) 因為你可以在管理政策並在Microsoft Defender入口網站查看警示時,依這些設定進行篩選。 例如,您可以查看與同一類別條件相符的警示,或查看具有相同嚴重程度等級的警示。
要查看並建立警報政策,請在Microsoft Defender入口網站Email &協作中選擇「政策」&「規則>」「警報政策」。 或者,您可以直接前往 https://security.microsoft.com/alertpolicies。
注意事項
您必須被指派 View-Only 管理警示角色,才能在Microsoft Defender入口網站查看警示政策。 您必須被指派管理警示角色來建立和編輯警示政策。 欲了解更多資訊,請參閱 Map Microsoft Defender 全面偵測回應 統一角色基礎存取控制 (RBAC) 權限。
警示政策包含以下設定與條件。
警報正在追蹤的活動。 你可以建立一個政策來追蹤一項活動,或在某些情況下追蹤幾個相關活動,例如透過分享檔案與外部使用者分享檔案、分配存取權限,或建立匿名連結。 當使用者執行原則所定義的活動時,系統會根據警示臨界值設定觸發警示。
注意事項
您可以追蹤的活動取決於您組織的 Office 365 企業版或 Office 365 美國政府方案。 一般而言,與惡意軟體活動及網路釣魚攻擊相關的活動需要 E5/G5 訂閱,或 E1/F1/G1 或 E3/F3/G3 訂閱,並搭配 Defender for Office 365 Plan 2 附加訂閱。
活動狀況。 對於大多數活動,你可以定義必須達成的額外條件才能觸發警報。 常見條件包括 IP 位址 (,當使用者在特定 IP 位址的電腦上執行活動) 時會觸發警示,或在特定使用者執行該活動時是否會觸發警示,以及該活動是否在特定檔案名稱或網址上執行。 你也可以設定一個條件,當組織中任何使用者執行該活動時,會觸發警報。 可用的條件取決於所選活動。
你也可以將使用者標籤定義為警示政策的條件。 此定義使政策觸發的警示包含受影響使用者的上下文。 你可以使用系統使用者標籤或自訂使用者標籤。 如需詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 中的使用者標籤。
警報被觸發時, 你可以設定一個設定,定義某項活動在警報觸發前的頻率。 這讓你能設定政策,每當活動符合政策條件、超過某個門檻,或警報追蹤的活動發生變得異常時,都會產生警報。
如果你是根據異常活動選擇設定,Microsoft 會建立一個基準值,定義該活動的正常頻率。 建立這個基準線需要長達七天,在此期間不會產生警報。 基線建立後,當警報政策追蹤的活動頻率遠超過基線值時,會觸發警報。 對於稽核相關活動 (如檔案與資料夾活動) ,您可以根據單一使用者或組織內所有使用者建立基準;針對惡意軟體相關活動,您可以根據單一惡意軟體家族、單一收件人,或組織內所有訊息建立基準。
注意事項
根據閾值或異常活動設定警報政策的能力,需要 E5/G5 訂閱,或是 E1/F1/G1 或 E3/F3/G3 訂閱,並搭配 Microsoft Defender for Office 365 P2、Microsoft 365 E5 合規性或 Microsoft 365 eDiscovery and Audit 附加元件。 擁有 E1/F1/G1 及 E3/F3/G3 訂閱的組織,只能建立每次活動發生時觸發警報的警示政策。
警報類別。 為了協助追蹤和管理政策產生的警示,你可以將以下其中一個類別指派到政策上。
- 資料外洩防護
- 資訊控管
- 郵件流程
- 權限
- 威脅管理
- 其他人
當發生符合警報政策條件的活動時,產生的警報會被標記為此設定中定義的類別。 這讓你能追蹤和管理在 Microsoft Defender 入口網站的警報頁面中具有相同類別設定的警報,因為你可以依類別排序和篩選警報。
警報嚴重度。 與警示類別類似,你可以為警示政策指派低、中、高或資訊性) 嚴重性屬性 (。 就像警示類別,當發生符合警示原則條件的活動時,所產生的警示會以針對警示原則所設定的嚴重性等級進行標記。 同樣地,這讓你能追蹤和管理在 警報 頁面上具有相同嚴重度設定的警報。 例如,你可以篩選警報清單,只顯示 嚴重度較高 的警報。
提示
在設定警示政策時,考慮對可能導致嚴重負面影響的行為設定較高嚴重程度,例如惡意軟體傳送後偵測到、查看敏感或機密資料、與外部使用者分享資料,或其他可能導致資料遺失或安全威脅的行為。 這有助於你優先處理警示,並採取哪些行動調查和解決根本原因。
自動化調查。 部分警報會觸發自動調查,以識別需要修復或緩解的潛在威脅與風險。 大多數情況下,這些警示是由偵測惡意電子郵件或活動觸發,但在某些情況下,警示是由管理員在安全入口網站的操作觸發。 欲了解更多自動化調查資訊,請參閱Microsoft Defender年 (AIR) 的自動化調查與回應Office 365。
Email通知。 你可以設定政策,讓郵件通知在觸發警報時 (或未發送給用戶名單) 。 您也可以設定每日通知上限,當通知數量達到最大時,當天不會再發送通知。 除了電子郵件通知外,您或其他管理員還可以在 警示 頁面查看由政策觸發的警示。 考慮啟用特定類別警示政策或嚴重度較高的電子郵件通知。
預設警報政策
Microsoft 提供內建警示政策,協助識別 Exchange 管理員權限濫用、惡意軟體活動、潛在的外部與內部威脅,以及資訊治理風險。 在 警示政策 頁面,這些內建政策名稱以粗體標示,政策類型定義為 系統。 這些政策預設會被開啟。 你可以) (或重新關閉這些政策,設定收件人清單發送電子郵件通知,並設定每日通知上限。 這些政策的其他設定無法被編輯。
以下表格列出並描述可用的預設警示政策及每個政策所分配的類別。 此分類用來決定使用者可以在警示頁面上查看哪些警示。 欲了解更多資訊,請參閱 查看警報所需的 RBAC 權限。
表格同時標示了每台所需的 Office 365 企業版與 Office 365 美國政府方案。 若貴組織除了E1/F1/G1或E3/F3/G3訂閱外,還擁有適當的附加訂閱,部分預設警示政策可用。
注意事項
部分內建政策監控的異常活動,基於與先前描述的警示閾值設定相同的流程。 Microsoft 建立一個基準值,定義「正常」活動的正常頻率。 當內建警示政策追蹤的活動頻率遠高於基準值時,警報就會被觸發。
資訊治理警示政策
注意事項
本區的警示政策正因客戶反饋為誤報而逐步被淘汰。 為了保留這些警報政策的功能,你可以用相同設定建立自訂警報政策。
| 名稱 | 描述 | 嚴重性 | 自動化調查 | 訂閱 |
|---|---|---|---|---|
| 外部檔案分享量異常頻繁 | 當 SharePoint 或 OneDrive 中異常多的檔案被分享給組織外的使用者時,會產生警示。 | 中 | 否 | E5/G5 或 Defender for Office 365 Plan 2 附加訂閱。 |
郵件流警示政策
| 名稱 | 描述 | 嚴重性 | 自動化調查 | 訂閱要求 |
|---|---|---|---|---|
| 郵件已延遲 | 當 Microsoft 無法透過連接器將電子郵件傳送到您的本地組織或合作夥伴伺服器時,會產生警示。 當這種情況發生時,訊息會被排隊到 Office 365。 當有 2,000 則訊息排隊超過一小時時,會觸發此警報。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 回覆-所有偵測到風暴 | 當偵測到「全部回覆風暴」且至少有一個「全部回覆」被封鎖時,會觸發此警示。 欲了解更多資訊,請參閱 《Reply-all》風暴防護報告。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
權限警示政策
| 名稱 | 描述 | 嚴重性 | 自動化調查 | 訂閱要求 |
|---|---|---|---|---|
| Exchange 管理員權限的提升 | 當有人在您的 Exchange Online 組織中被分配管理權限時,會產生警示。 例如,當使用者被加入 Exchange Online 的組織管理角色群組時, | 低 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
威脅管理警示政策
| 名稱 | 描述 | 嚴重性 | 自動化調查 | 訂閱要求 |
|---|---|---|---|---|
| 偵測到可能惡意的 URL 點擊 | 當組織中受 安全連結 保護的使用者點擊惡意連結時,會產生警示。 當使用者點擊連結並觸發 Microsoft Defender 對 Office 365 的 URL 判決變更識別時,會產生此警示。 它還會檢查從惡意網址判定以來過去48小時內的點擊次數,並針對該惡意連結48小時內的點擊產生警報。 此警示會自動觸發 Defender for Office 365 Plan 2 中的自動調查與回應。 欲了解更多觸發此警示事件的資訊,請參閱 「設置安全連結政策」。 | 高 | 是 | E5/G5 或 Defender for Office 365 Plan 2 附加訂閱。 |
| 租戶允許封鎖名單條目被發現為惡意 | 當 Microsoft 判定與租戶允許/封鎖清單中允許條目相關的管理員提交被發現為惡意時,會產生警示。 此事件會在 Microsoft 分析提交時立即觸發。 許可進入將持續到規定期限內。 欲了解更多觸發此警示事件的資訊,請參閱 管理租戶允許/封鎖清單。 |
參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 有使用者點擊到一個可能惡意的網址 | 當組織中受 安全連結 保護的使用者點擊惡意連結時,會產生警示。 當使用者點擊被識別為惡意或待驗證) 的網址 (時,會觸發此事件,並覆蓋安全連結警告頁面 (,根據貴組織的 Microsoft 365 for business 安全連結政策) 繼續前往該 URL 託管頁面/內容。 此警示會自動觸發 Defender for Office 365 Plan 2 中的自動調查與回應。 欲了解更多觸發此警示事件的資訊,請參閱 「設置安全連結政策」。 | 高 | 是 | E5/G5 或 Defender for Office 365 Plan 2 附加訂閱。 |
| 管理員提交結果完成 | 當管理員提交完成對已提交實體的重新掃描時,會產生警示。 每當管理員提交產生重新掃描結果時,都會觸發警示。 這些警示旨在提醒您檢視先前提交的結果,提交用戶回報訊息以獲得最新的政策檢查與重新掃描結果,並協助您判斷組織內的過濾政策是否達到預期效果。 |
參考 | 否 | E1/F1、E3/F3 或 E5 |
| 管理員觸發了對電子郵件的手動調查 | 當管理員觸發威脅檔案總管的電子郵件手動調查時,會產生警示。 更多資訊請參見 範例:安全管理員從威脅檔案管理器觸發調查。 此警示通知您的組織調查已展開。 警示提供觸發者資訊,並附有調查連結。 |
參考 | 是 | Microsoft 365 商務進階版、Defender for Office 365 Plan 1 附加元件、E5/G5 或 Defender for Office 365 Plan 2 附加元件。 |
| 管理員觸發使用者入侵調查 | 當管理員從威脅總管中手動啟動對電子郵件寄件人或收件人的使用者入侵調查時,會產生警示。 更多資訊請參見 範例:一位資安管理員從威脅檔案管理器中觸發調查,該瀏覽器會顯示電子郵件中相關的調查手冊觸發過程。 此警示通知您的組織已啟動使用者入侵調查。 警示提供觸發者資訊,並附有調查連結。 |
中 | 是 | Microsoft 365 商務進階版、Defender for Office 365 Plan 1 附加元件、E5/G5 或 Defender for Office 365 Plan 2 附加元件。 |
| 建立轉寄/重新導向規則 | 當您組織中有人為信箱建立收件匣規則,將郵件轉寄或重新導向其他電子郵件帳號時,會產生警示。 此政策僅追蹤使用先前稱為 Outlook Web App) 或 Exchange Online PowerShell Outlook 網頁版 (建立的收件匣規則。 欲了解更多關於使用收件匣規則在 Outlook 網頁版中轉寄及轉寄郵件的資訊,請參閱「在 Outlook 網頁版中使用規則自動轉寄訊息至其他帳號」。 | 參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 電子文件探索搜尋已啟動或已匯出 | 當有人使用Microsoft Purview入口網站的內容搜尋工具時,會自動產生警示。 當執行以下內容搜尋活動時,會觸發警示:
當先前的內容搜尋活動與電子發現案件相關執行時,警報也會被觸發。 欲了解更多內容搜尋活動資訊,請參閱 稽核日誌中的搜尋電子發現活動。 |
參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 傳遞後移除包含惡意檔案的電子郵件訊息 | 當任何包含惡意檔案的訊息送達你組織的信箱時,會自動發出警示。 若發生此事件,Microsoft 會使用 Zero Hour 自動清除功能,將感染郵件從 Exchange Online 信箱中移除。 此政策會自動觸發 Office 365 的自動調查與回應。 欲了解更多關於此新政策的資訊,請參閱 警示政策。 | 參考 | 是 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 傳遞後移除包含惡意 URL 的電子郵件訊息 | 當任何包含惡意網址的訊息送達你組織的信箱時,會自動發出警示。 若發生此事件,Microsoft 會使用 Zero Hour 自動清除功能,將感染郵件從 Exchange Online 信箱中移除。 此政策會自動觸發 Office 365 的自動調查與回應。 欲了解更多關於此新政策的資訊,請參閱 警示政策。 | 參考 | 是 | Microsoft 365 商務進階版、Defender for Office 365 Plan 1 附加元件、E5/G5 或 Defender for Office 365 Plan 2 附加元件。 |
| 傳遞後移除包含惡意郵件的電子郵件訊息 | 注意:此警示政策已被包含惡意檔案的 Email 訊息取代,該郵件在送達後被移除。 這個警示政策最終會消失,因此我們建議關閉它,改用包含惡意檔案的 Email 訊息,這些訊息會在送達後被移除。 欲了解更多資訊,請參閱 警示政策。 | 參考 | 是 | E5/G5 或 Defender for Office 365 Plan 2 附加訂閱。 |
| 傳遞後移除包含網路釣魚 URL 的電子郵件訊息 | 注意:此警示政策已被包含惡意網址的 Email 訊息取代,該郵件在送達後被移除。 此警示政策最終會消失,因此我們建議關閉它,改用包含惡意網址的 Email 訊息,送達後會被移除。 欲了解更多資訊,請參閱 警示政策。 | 參考 | 是 | Microsoft 365 商務進階版、Defender for Office 365 Plan 1 附加元件、E5/G5 或 Defender for Office 365 Plan 2 附加元件。 |
| 活動中的Email訊息在送達後被移除 | 當任何與 活動 相關的訊息送達你組織的信箱時,會自動產生警示。 若發生此事件,Microsoft 會使用 Zero Hour 自動清除功能,將感染郵件從 Exchange Online 信箱中移除。 此政策會自動觸發 Office 365 的自動調查與回應。 欲了解更多關於此新政策的資訊,請參閱 警示政策。 | 參考 | 是 | Microsoft 365 商務進階版、Defender for Office 365 Plan 1 附加元件、E5/G5 或 Defender for Office 365 Plan 2 附加元件。 |
| 傳送後即移除的電子郵件訊息 | 當任何惡意訊息(不含惡意實體 (網址或檔案) ,或與活動相關聯)送達您組織的信箱時,系統會產生警示。 若發生此事件,Microsoft 會使用 Zero Hour 自動清除功能,將感染郵件從 Exchange Online 信箱中移除。 此政策會自動觸發 Office 365 的自動調查與回應。 欲了解更多關於此新政策的資訊,請參閱 警示政策。 | 參考 | 是 | Microsoft 365 商務進階版、Defender for Office 365 Plan 1 附加元件、E5/G5 或 Defender for Office 365 Plan 2 附加元件。 |
| 使用者檢舉的Email是垃圾郵件 | 當組織內的使用者透過 Outlook 內建的「舉報」按鈕或「舉報訊息」外掛,當使用者將訊息視為垃圾郵件時,會產生警示。 欲了解更多關於這些外掛的資訊,請參見「使用檢舉訊息」外掛。 | 低 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 使用者報告為惡意郵件或網路釣魚的電子郵件 | 當組織內用戶透過 Outlook 內建的「舉報」按鈕或「舉報訊息」或「檢舉釣魚」外掛,將訊息舉報為釣魚時,會產生警示。欲了解更多關於這些外掛的資訊,請參見「使用檢舉訊息」外掛。 對於 Defender for Office 365 Plan 2、E5、G5 客戶,此警示會自動觸發 Defender for Office 365 Plan 2 中的自動調查與回應。 | 低 | 是 | Microsoft 365 商務進階版、Defender for Office 365 Plan 1 附加元件、E5/G5 或 Defender for Office 365 Plan 2 附加元件。 |
| 使用者檢舉的Email不是垃圾郵件 | 當組織內的使用者舉報訊息未被垃圾郵件處理時,會產生警示,該訊息會關閉 Outlook 內建的舉報按鈕或舉報訊息外掛。 欲了解更多關於這些外掛的資訊,請參見「使用檢舉訊息」外掛。 | 低 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| Email 發送限制超過 | 當您組織中有人寄出超過外發垃圾郵件政策允許的數量時,會自動發出警示。 這通常表示使用者發送過多電子郵件,或帳號可能遭到入侵。 如果你收到這個警報政策產生的警示,最好 檢查使用者帳號是否遭到入侵。 | 中 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 資料完全匹配上傳失敗 | 當使用者 上傳基於敏感資訊類型的資料完全匹配時,收到以下錯誤:新的敏感資訊未能上傳,系統會產生警示。 請於稍後再試一次。 | 高 | 否 | E5/G5。 |
| 表單因潛在網路釣魚嘗試而遭封鎖 | 當系統偵測到疑似網路釣魚行為時,系統會發出警示。 | 高 | 否 | E1、E3/F3 或 E5 |
| 已標幟表單並確認為網路釣魚 | 當您組織內以 Microsoft Forms 建立的表單被透過「舉報濫用」識別為潛在網路釣魚,並被 Microsoft 確認為釣魚時,會自動產生警示。 | 高 | 否 | E1、E3/F3 或 E5 |
| 惡意軟體沒被清除是因為 ZAP 被停用了 | 當Microsoft偵測到惡意軟體訊息送達信箱時,會因 Zero-Hour Phish 郵件自動清除功能被停用而產生警示。 | 參考 | 否 | E5/G5 或 Defender for Office 365 Plan 2 附加訂閱。 |
| 包含惡意實體的訊息在送達後未被移除 | 當任何包含惡意內容 (檔案、網址、活動、無實體) 的郵件送達你組織的信箱時,會自動產生警示。 如果發生此事件,Microsoft 嘗試使用 Zero Hour 自動清除功能移除 Exchange Online 信箱中的感染郵件,但因失敗未能移除該訊息。 建議進一步調查。 此政策會自動觸發 Office 365 的自動調查與回應。 | 中 | 是 | Microsoft 365 商務進階版、Defender for Office 365 Plan 1 附加元件、E5/G5 或 Defender for Office 365 Plan 2 附加元件。 |
| MIP 自動標籤模擬完成 | 當模擬模式下的服務端自動標註政策 完成時,會產生警示。 | 低 | 否 | E5/G5。 |
| Phish 因 ETR 覆寫 1 而已交付 | 當Microsoft偵測到 Exchange 傳輸規則 (也稱為郵件流規則時,會產生警示,該) 規則允許將高信心的釣魚郵件送達信箱。 欲了解更多關於交換傳輸規則 (郵件流規則) 的資訊,請參閱Exchange Online中的郵件流規則 (傳輸規則) 。 | 參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 因 IP 允許政策 1 而 Phish 已交付 | 當 Microsoft 偵測到允許高信心網路釣魚郵件送達信箱的 IP 允許政策時,會產生警示。 欲了解更多關於 IP 允許政策 (連線過濾) ,請參閱「設定預設連線過濾政策 - Office 365」。 | 參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| Phish 未被 zapp,因為 ZAP 被停用1 | 當Microsoft偵測到高信心度的釣魚郵件送達信箱時,會產生警示,因為 Zero-Hour Phish 郵件自動清除功能被停用。 | 參考 | 否 | E5/G5 或 Defender for Office 365 Plan 2 附加訂閱。 |
| 潛在的民族國家活動 | Microsoft 威脅情報中心偵測到您的租戶帳號遭到入侵的企圖。 | 高 | 否 | Microsoft 365 商務進階版、Defender for Office 365 Plan 1 附加元件、E5/G5 或 Defender for Office 365 Plan 2 附加元件。 |
| Purview 政策模擬完成 | 會產生警報,當模擬完成時通知管理員,適用於任何支援模擬模式的 Purview 政策。 | 低 | 否 | E5/G5 |
| 管理員對電子郵件、網址或寄件人所採取的補救措施 |
注意:本警示政策未被 管理員提交的行政行動取代。 此警示政策最終會消失,因此我們建議停用它,改用 管理員提交的行政行動 。 當管理員對所選實體採取修復行動時,會觸發此警示 |
參考 | 是 | Microsoft 365 商務進階版、Defender for Office 365 Plan 1 附加元件、E5/G5 或 Defender for Office 365 Plan 2 附加元件。 |
| 已移除租戶許可/封鎖名單中的一個條目 | 當租戶允許/封鎖清單中的允許條目被過濾系統學習並移除時,會產生警示。 當受影響網域或電子郵件地址、檔案或 URL) 被 移除時,會觸發此事件 (。 你不再需要受影響的許可證進入。 Email包含受影響實體的訊息,若訊息中沒有其他錯誤,則會送達收件匣。 點擊時允許使用網址和檔案。 欲了解更多觸發此警示事件的資訊,請參閱 管理租戶允許/封鎖清單。 |
參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 保留自動標註政策模擬完成 | 當保留自動標籤政策模擬完成時,會產生警示。 | 低 | 否 | E5/G5 |
| 成功上傳精確資料 | 當使用者成功上傳基於敏感資訊類型的精確資料匹配後,會產生警示。 | 低 | 否 | E5/G5 |
| 可疑的連接器活動 | 當您組織的入站連接器偵測到可疑活動時,會自動發出警示。 郵件被阻擋使用入站連接器。 管理員會收到電子郵件通知和警示。 此警示提供如何調查、還原變更及解除受限連接器阻擋的指引。 欲了解如何回應此警示,請參閱「 回應被入侵連接器」。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 可疑的電子郵件轉寄活動 | 當組織中有人自動轉寄電子郵件到可疑的外部帳號時,會產生警示。 這是對可能顯示帳號遭入侵行為的早期警示,但不至於嚴重到限制使用者。 雖然罕見,但此政策產生的警示可能是個異常現象。 檢查 使用者帳號是否遭到入侵是個好主意。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 偵測到可疑的電子郵件發送模式 | 當組織內有人發送可疑郵件並面臨被限制發送郵件的風險時,會自動發出警示。 這是對可能顯示帳號已被入侵但尚未嚴重到限制使用者的行為的早期警示。 雖然罕見,但此政策產生的警示可能是個異常現象。 不過, 檢查使用者帳號是否遭入侵是個好主意。 | 中 | 是 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 觀察到可疑的租戶傳送模式 | 當您的組織發現可疑的發送模式時,會產生警示,可能導致您的組織被封鎖發送電子郵件。 調查任何可能被入侵的使用者與管理員帳號、新的連接器或開放中繼,以避免租戶超過閾值區塊。 欲了解更多組織被封鎖的原因,請參閱「修正 Exchange Online 錯誤代碼 5.7.7xx 的電子郵件送達問題」。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 使用者回報的 Teams 訊息為安全風險 | 當 使用者將 Teams 訊息報告為安全風險時,會觸發此警示。 | 低 | 否 | E5/G5 或 Defender for Office 365 外掛。 |
| 租戶許可/封鎖名單的登錄即將到期 | 當租戶允許/封鎖名單中的允許條目或封鎖條目即將被移除時,會產生警示。 此事件會在到期日前七天觸發,該到期日依據條目建立或最後更新時間計算。 無論是允許條目還是區塊條目,都可以延長到期日。 欲了解更多觸發此警示事件的資訊,請參閱 管理租戶允許/封鎖清單。 |
參考 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 房客被限制發送電子郵件 | 當大部分來自你組織的電子郵件流量被偵測到為可疑,且 Microsoft 限制你的組織發送電子郵件時,會產生警示。 調查任何可能被入侵的使用者與管理員帳號、新連接器或開放中繼,然後聯絡 Microsoft 支援服務以解除組織封鎖。 欲了解更多組織被封鎖的原因,請參閱「修正 Exchange Online 錯誤代碼 5.7.7xx 的電子郵件送達問題」。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 租戶被限制發送未配置的電子郵件 | 當未註冊網域寄出過多郵件時 (也稱為 未配置 網域) ,會產生警示。 Office 365 可允許合理數量的電子郵件從未註冊的網域寄出,但您應該將每一個會用來傳送電子郵件的網域設定為接受的網域。 此提醒表示組織內所有使用者無法再發送電子郵件。 欲了解更多組織被封鎖的原因,請參閱「修正 Exchange Online 錯誤代碼 5.7.7xx 的電子郵件送達問題」。 | 高 | 否 | E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 使用者請求發布隔離訊息 | 當使用者申請釋放隔離訊息時,會產生警示。 若要請求釋放隔離訊息,允許 收件人請求解除隔離的訊息 (許可請求釋放) 權限需在隔離政策 (例如 有限存取 預設權限群組) 中取得許可。 欲了解更多資訊,請參閱 「允許收件人申請解除隔離許可的訊息」。 | 參考 | 否 | Microsoft Business Basic、Microsoft Business Standard、Microsoft Business Premium、E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 使用者被限制發送電子郵件 | 當您組織中有人被限制發送外寄郵件時,會產生警示。 此警示通常表示帳號遭入侵,且該用戶已列於受限制實體頁面。https://security.microsoft.com/restrictedentities 欲了解更多受限制使用者資訊,請參閱「 從受限制實體頁面移除被封鎖使用者」。 | 高 | 是 | Microsoft Business Basic、Microsoft Business Standard、Microsoft Business Premium、E1/F1/G1、E3/F3/G3 或 E5/G5 |
| 限制使用者共用表單和收集回應 | 當組織中有人因偵測到反覆釣魚行為而被限制無法分享表單及收集Microsoft Forms回應時,系統會發出警示。 | 高 | 否 | E1、E3/F3 或 E5 |
1 此警示政策是因 租戶或使用者覆寫而交付的釣魚 資訊的替代功能之一,以及因使用者反饋而移除的 收件匣/資料夾 警示政策所產生的使用者冒充釣魚。 欲了解更多關於 Office 365 反釣魚的資訊,請參閱反釣魚政策。
檢視警示
當組織內使用者執行的活動與警報政策設定相符時,警報會產生並在 Microsoft Defender 入口網站的警報頁面顯示。 根據警報政策的設定,當警報觸發時,也會向指定使用者名單發送電子郵件通知。 對於每個警示,警 示 頁面的儀表板會顯示對應警示政策名稱、警示政策) 中定義的 (警示嚴重程度與類別,以及導致該警示產生的活動次數。 此值基於警示政策的閾值設定。 儀表板也會顯示每個警示的狀態。 欲了解更多使用狀態屬性管理警示的資訊,請參閱 「管理警示」。
要查看警示,請在Microsoft Defender入口網站中選擇事件 & 警示>警示。 或者,您可以直接前往 https://security.microsoft.com/alerts。
您可以使用以下篩選條件查看 警報頁面上 部分所有警報:
- 嚴重度:顯示被指定為特定嚴重性的警報。
- 狀態:顯示被賦予特定狀態的警示。 預設狀態為新。 你或其他管理員可以更改狀態值。
- 分類:顯示一個或多個警報類別的警報。
- 服務/偵測來源:使用此篩選器顯示特定服務或偵測來源中由警報政策觸發的警報。 例如,您可以在 Microsoft Defender for Office 365 或 適用於身分識別的 Microsoft Defender 中顯示由警報政策觸發的警報。
- 標籤:顯示來自一個或多個使用者標籤的警示。
- 政策/政策規則:顯示與一個或多個警報政策設定相符的警示。 或者你可以顯示所有警報政策的警報。
- 警示類型:顯示根據特定警示類型產生的警示。
- 產品名稱:顯示特定 Microsoft 安全產品的警示。
- 警報訂閱 ID:顯示由特定警報訂閱 ID 產生的警報。
- 實體:顯示與特定實體相關的警示。
- 自動調查狀態:顯示處於特定自動調查狀態的警示。
- 工作區:顯示與特定工作區相關的警示。 這只適用於你組織內有一個或多個工作空間時。
- 資料串流:顯示與特定資料串流相關的警報。 例如,你可以顯示與 Microsoft OneDrive 和 Microsoft Exchange 資料串流相關的警示。
警報聚合
當多個符合警示政策條件的事件在短時間內發生時,這些事件會透過稱為 警示聚合的流程加入現有警示。 當事件觸發警報時,警報會被產生並顯示在 警報 頁面,並發送通知。 若相同事件發生於聚合期間內,Microsoft 365 會將新事件細節加入現有警報,而非觸發新警報。 警示彙整的目標是幫助減少警示「疲勞」,讓你能專注於同一事件中較少的警示並採取行動。
聚合時間的長度取決於你的 Office 365 或 Microsoft 365 訂閱。
| 訂閱 | 聚合 間 |
|---|---|
| Office 365 或 Microsoft 365 E5/G5 | 1 分鐘 |
| 適用於 Office 365 的 Defender 方案 2 | 1 分鐘 |
| E5 合規附加元件或 E5 發現與稽核元件 | 1 分鐘 |
| Office 365 或 Microsoft 365 E1/F1/G1 或 E3/F3/G3 | 15 分鐘 |
| Defender for Office 365 Plan 1 或 Exchange Online Protection | 15 分鐘 |
當在聚合期間內發生與相同警示政策相符的事件時,後續事件的細節會被加入原始警示中。 對於所有事件,聚合事件的資訊會顯示在詳細資料欄位,事件發生次數與聚合間隔則顯示在活動/點擊數欄位。 您可以透過查看活動清單查看所有聚合事件實例的更多資訊。
以下截圖顯示一個包含四個事件的警示。 活動清單包含與警示相關的四封電子郵件資訊。
關於警報聚合,請留意以下幾點:
由偵測到潛在惡意網址點擊的預設警報政策所觸發的警報不會被彙整。 此行為是因為該政策觸發的警示對每位使用者和電子郵件都是獨一無二的。
目前, Hit count alert 屬性並未顯示所有警報政策的總事件數量。 對於這些警報政策觸發的警報,您可以點擊「 查看訊息清單 」或「 檢視活動」 來查看彙整的事件。 我們正努力讓所有警報政策都能使用「 點擊次數 」警報屬性中列出的聚合事件數量。
查看警報需要 RBAC 權限
基於角色存取控制 (RBAC) 分配給組織內使用者的權限決定使用者可以在警示頁面看到哪些警示。 這是怎麼做到的? 分配給使用者的管理角色 (根據他們在Microsoft Defender入口網站中的角色群組成員身份,) 決定使用者可以在警報頁面上看到哪些警報類別。 範例如下:
- 記錄管理角色群組的成員只能檢視已指派 [資訊控管] 類別之警示原則所產生的警示。
- 合規性系統管理員角色群組的成員無法檢視已指派 [威脅管理] 類別之警示原則所產生的警示。
- 「電子文件探索管理員」角色群組的成員無法檢視任何警示,因為所有指派的角色都不會提供任何警示類別的檢視警示的權限。
此設計 (基於 RBAC 權限) 讓您決定哪些警示可由組織中特定職務的使用者 (查看並) 管理。
下表列出六種不同警示類別中需要的角色來查看警示。 勾選標記表示被指派該角色的使用者可以查看標題列中對應警報類別的警報。
欲了解預設警示政策被分配到哪個類別,請參閱 「預設警示政策」中的表格。
提示
關於 Microsoft Defender 全面偵測回應 統一角色基礎存取控制 (RBAC) 的權限資訊,請參閱 Microsoft Defender 入口網站中的警示政策。
| 角色 | Information 治理 |
資料遺失 預防 |
郵件 流 |
權限 | 威脅 管理 |
其他人 |
|---|---|---|---|---|---|---|
| 合規性系統管理員 | ✔ | ✔ | ✔ | ✔ | ||
| DLP 合規性管理 | ✔ | |||||
| 資訊保護系統管理員 | ✔ | |||||
| 資訊保護分析員 | ✔ | |||||
| 資訊保護調查人員 | ✔ | |||||
| 管理提醒 | ✔ | |||||
| 組織組態 | ✔ | |||||
| 隱私權管理 | ||||||
| 隔離 | ||||||
| 紀錄管理 | ✔ | |||||
| 保留管理 | ✔ | |||||
| 角色管理 | ✔ | |||||
| 安全性系統管理員 | ✔ | ✔ | ✔ | ✔ | ||
| 安全性讀取者 | ✔ | ✔ | ✔ | ✔ | ||
| 交通衛生 | ||||||
| 僅限檢視 DLP 合規性管理 | ✔ | |||||
| 僅限檢視組態 | ||||||
| 僅限檢視管理警示 | ✔ | |||||
| 僅限檢視收件者 | ✔ | |||||
| 僅限檢視記錄管理 | ✔ | |||||
| 僅限檢視保留管理 | ✔ |
提示
要查看分配給每個預設角色群組的角色,請在安全 & 合規 PowerShell 中執行以下指令:
$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,("-"*25); Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
您也可以在 Microsoft Defender 入口網站查看分配給角色群組的角色。 到 權限 頁面,選擇角色群組。 分配的角色會在飛出頁面列出。
管理警示
警報產生並顯示於 Microsoft Defender 入口網站的警報頁面後,您可以進行分流、調查並解決。 同時, RBAC 權限 也賦予使用者管理警報的能力。
以下是你可以執行的一些任務來管理警報。
為警示指派狀態:你可以為警示指定以下狀態之一: 新 ( 預設值) 、 進行中或 已解決。 接著,你可以在這個設定中篩選出同樣狀態設定的警示。 此狀態設定有助於追蹤警報管理的過程。
指派警示給使用者:你可以將警示指派給組織內的使用者。 此舉有助於確保警示被適當人員審查並解決。
分類警示:你可以為警示指派分類。 分類用來根據觸發警報的活動類型來分類警示。 例如,你可以將警報分類為 真陽性 或 資訊性警報。
查看警報細節:您可以選擇一個警報,顯示一個包含警報詳情的飛出頁面。 詳細資訊依應的警示政策而定,但通常包含以下資訊:
- 觸發警報的實際操作名稱,例如指令長(cmdlet)或審計日誌操作。
- 描述觸發警報的活動。
- 使用者 (或) 觸發警報的使用者名單。 此功能僅包含在設定為追蹤單一使用者或單一活動的警示政策中。
- 警報追蹤的活動執行次數。 這個數字可能與警報頁面上實際列出的相關警報數量不符,因為可能有更多警報被觸發。
- 一個活動清單連結,包含每個觸發警報活動的項目。 此清單中的每個項目都標示該活動發生的時間、實際操作名稱 (如「FileDeleted」) 、執行該活動的使用者、物件 (如檔案、電子發現案件或執行活動的信箱) ,以及使用者電腦的 IP 位址。 針對惡意軟體相關的警示,請連結至訊息清單。
- 名稱 (對應警示政策的連結) 。
- 警報被彙整的事件。
調整警報:你可以設定屬性、條件和動作來隱藏或解決警報。
更改警示政策的嚴重程度等級
- 使用您 Microsoft 365 組織中管理員帳號的憑證登入 Microsoft Defender 入口網站。
- 前往Email &協作>政策 & 規則頁面,然後選擇警示政策。
- 從清單中選擇你想更新的政策。 在 「動作 」欄位,選擇三個點,然後選擇 編輯。
- 在 編輯政策 選單中,選擇下拉選單調整 嚴重程度 。 如果適用,你也可以修改政策的 觸發設定 。
- 選擇 「下一步 」以繼續執行其他步驟。
- 選擇 提交 以套用新變更,然後選擇 完成 以完成編輯。