Skydda mot hot

Gäller för

• Exchange Online Protection
• Microsoft Defender för Office 365 Abonnemang 1 och Abonnemang 2
• Microsoft 365 Defender

Här är en snabbstartsguide som bryter konfigurationen av Defender för Office 365 delar. Om du inte har börjat använda skyddsfunktioner i Office 365, vet inte var du ska börja eller om du lär dig bäst genom att göra det kan du använda den här vägledningen som en checklista och en utgångspunkt.

Krav

Prenumerationer

Skyddsfunktioner för hot ingår i alla Microsoft- eller Office 365 prenumerationer. Men vissa prenumerationer har avancerade funktioner. I tabellen nedan visas de skyddsfunktioner som ingår i den här artikeln tillsammans med minimikraven för prenumeration.

Roller och behörigheter

Du måste vara tilldelad Office 365 för att kunna konfigurera Defender för Office 365-principer. I tabellen nedan ser du vilka roller som kan utföra de här åtgärderna.

Mer information finns i Behörigheter i Microsoft 365 Defender portal.

Aktivera granskningsloggning för rapportering och undersökning

• Starta granskningsloggningen tidigt. Du måste granska vara PÅ för vissa av följande steg. Granskningsloggning är tillgänglig i prenumerationer som innehåller Exchange Online. För att du ska kunna visa data i rapporter om skydd mot hot, e-postsäkerhetsrapporter och Utforskarenmåste granskningsloggningen vara På. Mer information finns i Aktivera eller inaktivera granskningsloggsökning.

Del 1 – Skydd mot skadlig programvara i EOP

Mer information om rekommenderade inställningar för skydd mot skadlig programvara finns i Inställningar för EOP-policymot skadlig programvara.

1. Öppna sidan mot skadlig programvara i Microsoft 365 Defender på https://security.microsoft.com/antimalwarev2 .

2. På sidan mot skadlig programvara väljer du principen Standard (standard) genom att klicka på namnet.

3. Klicka på Redigera skyddsinställningar i den utfäll plats som öppnas med principinformation och konfigurera sedan följande inställningar:

   • Avsnittet Skyddsinställningar:
     • Aktivera filtret för vanliga bifogade filer: Välj (aktivera). Klicka på Anpassa filtyper om du vill lägga till fler filtyper.
     • Aktivera automatisk rensning utan timme för skadlig programvara: Kontrollera att den här inställningen är markerad. Mer information om ZAP för skadlig programvara finns i Zap (Zero-hour auto purge) för skadlig programvara.
   • Karantänprincip: Låt standardvärdet AdminOnlyAccessPolicy vara markerat. Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användare får karantänaviseringar. Mer information finns i Karantänprinciper.
   • Meddelandeavsnitt: Kontrollera att inga av meddelandeinställningarna är markerade.

   Klicka på Spara när du är klar.

4. Tillbaka på utfällda menyn principinformation klickar du Stäng.

Detaljerade instruktioner för konfigurering av principer för skadlig programvara finns i Konfigurera principer för skydd mot skadlig programvara i EOP.

Del 2 – Skydd mot nätfiske i EOP och Defender för Office 365

Skydd mot nätfiske är tillgängligt i prenumerationer som innehåller EOP. Avancerat skydd mot nätfiske finns i Defender för Office 365.

Mer information om rekommenderade inställningar för principer för skydd mot nätfiske finns i Inställningar för skydd mot nätfiske i EOP och Inställningar för mot nätfiskeprincip i Microsoft Defender för Office 365.

Här beskrivs hur du konfigurerar standardprincipen för skydd mot nätfiske. Inställningar som bara finns i Defender för Office 365 tydligt.

1. Öppna sidan mot nätfiske i Microsoft 365 Defender i https://security.microsoft.com/antiphishing .

2. Välj principen Office365 AntiPhish Default (standard) på sidan Mot nätfiske genom att klicka på namnet.

3. Konfigurera följande inställningar i den utfällade menyn med principinformation:

   • Tröskelvärde för & skydd: Klicka på Redigera skyddsinställningar och konfigurera följande inställningar i den utfällklara menyn som öppnas:

     • Tröskelvärde för nätfiske: ^* Välj 2 – Aggressiv (standard) eller 3 – Mer aggressiva (strikt).
     • Personifieringsavsnitt: ^* Konfigurera följande värden:
       • Välj Aktivera användare att skydda , klicka på länken Hantera (nn) avsändare som visas och lägg sedan till interna och externa avsändare som ska skyddas från personifiering, till exempel företagets styrelsemedlemmar, din VD, CFO och andra högre chefer.
       • Markera Aktivera domäner att skydda och konfigurera sedan följande inställningar som visas:
         • Välj Inkludera domäner som jag äger för att skydda interna avsändare i dina godkända domäner (visas genom att klicka på Visa mina domäner) från personifiering.
         • Om du vill skydda avsändare i andra domäner väljer du Inkludera egna domäner , klickar på länken Hantera (nn) anpassade domäner som visas och lägger sedan till andra domäner för att skydda mot personifiering.
     • Avsnittet Lägg till betrodda avsändare och domäner: Klicka på Hantera ^* (nn) betrodda avsändare och domäner om du vill konfigurera undantag från avsändar- och avsändardomänen till personifieringsskydd om det behövs.
     • Inställningar för ^* postlådeintelligens: Kontrollera att Aktivera postlådeintelligens och Aktivera intelligens för personifieringsskydd är markerade.
     • Förfalskningsavsnitt: Kontrollera att Aktivera förfalskningsinformation har markerats.

     Klicka på Spara när du är klar.

   • Avsnittet Åtgärder: Klicka på Redigera åtgärder och konfigurera följande inställningar i den utfällfältet som öppnas:

     • Avsnittet Meddelandeåtgärder: Konfigurera följande inställningar:
       • Om meddelandet identifieras som en imiterad användare: ^* Välj Sätt meddelandet i karantän. Rutan Använd karantänprincip visas där du väljer den karantänprincip som gäller för meddelanden som har satts i karantän av personifieringsskydd för användare.
       • Om meddelandet identifieras som en imiterad domän: ^* Välj Sätt meddelandet i karantän. Rutan Använd karantänprincip visas där du väljer den karantänprincip som gäller för meddelanden som har satts i karantän efter domänpersonifieringsskydd.
       • Om postlådeinformation upptäcker en imiterad användare: Välj Flytta meddelandet till mottagarnas skräppostmappar (Standard) eller Sätt meddelandet ^* i karantän (Strikt). Om du väljer Sätt meddelande i karantän visas rutan Använd karantänprincip där du väljer den karantänprincip som gäller för meddelanden som har satts i karantän av postlådeinformationsskydd.
       • Om meddelandet identifieras som förfalskning väljer du Flytta meddelandet till mottagarnas skräppostmappar (Standard) eller Sätt meddelandet i karantän (Strikt). Om du väljer Sätt meddelandet i karantän visas rutan Använd karantänprincip där du väljer den karantänprincip som gäller för meddelanden som har satts i karantän genom förfalskningsskydd.
     • Säkerhetstips & indikatorer: Konfigurera följande inställningar:
       • Visa dialogrutan för säkerhetstips: Välj (aktivera).
       • Visa användares personifiering säkerhetstips ^* : Välj (aktivera).
       • Visa domänens personifiering säkerhetstips: ^* Välj (aktivera).
       • Visa ovanliga tecken för användarpersonifiering säkerhetstips ^* : Välj (aktivera).
       • Visa (?) för oauthenticerade avsändare för förfalskning: Välj (aktivera).
       • Visa "via"-taggen: Välj (aktivera).

     Klicka på Spara när du är klar.

   ^*Den här inställningen är endast tillgänglig i Defender för Office 365.

4. Klicka på Spara och sedan på Stäng

Detaljerade instruktioner för hur du konfigurerar principer för skydd mot nätfiske finns i Konfigurera principer för skydd mot nätfiske i EOP och Konfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365.

Del 3 – Skydd mot skräppost i EOP

Mer information om rekommenderade inställningar för skydd mot skräppost finns i Inställningarna för EOP-policymot skräppost.

1. Öppna sidan Principer för skydd mot skräppost i Microsoft 365 Defender-portalen på https://security.microsoft.com/antispam .

2. På sidan Principer för skräppostskydd markerar du principen Anti-spam inbound policy (Default) i listan genom att klicka på namnet.

3. Konfigurera följande inställningar i den utfällade menyn med principinformation:

   • Tröskelvärde för massutskick & egenskaper för skräppost: Klicka på Redigera tröskelvärde för skräppost och egenskaper. Konfigurera följande inställningar i den utfäll du vill använda:

     • Tröskelvärde för massutskick: Ställ in det här värdet på 5 (strikt) eller 6 (standard).
     • Lämna andra inställningar för standardvärdena (Av eller Inget).

     Klicka på Spara när du är klar.

   • Avsnittet Åtgärder: Klicka på Redigera åtgärder. Konfigurera följande inställningar i den utfäll du vill använda:

     • Avsnittet Meddelandeåtgärder:

       • Skräppost: Kontrollera att Flytta meddelandet till mappen Skräppost är markerat (Standard) eller välj Sätt meddelande i karantän (strikt).
       • Skräppost med hög konfidens: Välj sätt meddelande i karantän.
       • Nätfiske: Välj Sätt meddelande i karantän.
       • Nätfiske med hög konfidens: Kontrollera att meddelanden i karantän är markerat.
       • Mass: Kontrollera att Flytta meddelandet till mappen Skräppost är markerat (Standard) eller välj Sätt meddelande i karantän (strikt).

       För varje åtgärd där du väljer Sätt meddelande i karantän visas rutan Välj karantänprincip där du väljer den karantänprincip som gäller för meddelanden som har satts i karantän av skydd mot skräppost.

     • Behåll skräppost i karantän i så här många dagar: Verifiera värdet 30 dagar.

     • Aktivera säkerhetstips för skräppost: Kontrollera att den här inställningen är markerad (aktiverad).

     • Aktivera ZAP (Zero-hour auto purge): Kontrollera att den här inställningen är vald (aktiverad).

       • Aktivera för nätfiskemeddelanden: Kontrollera att den här inställningen är markerad (aktiverad). Mer information finns i ZAP (Zero-hour auto purge) för nätfiske.
       • Aktivera för skräppostmeddelanden: Kontrollera att den här inställningen är markerad (aktiverad). Mer information finns i ZAP (Zero-hour auto purge) för skräppost.

     Klicka på Spara när du är klar.

   • Avsnittet Tillåtna och blockerade avsändare och domäner: Granska eller redigera tillåtna avsändare och tillåtna domäner enligt beskrivningen i Skapa spärrade avsändarlistor i EOP eller Skapa listor över betrodda avsändare i EOP.

     Klicka på Spara när du är klar.

4. Klicka på Stäng när du är klar.

Detaljerade instruktioner för hur du konfigurerar principer för skydd mot skräppost finns i Konfigurera principer för skydd mot skräppost i EOP.

Del 4 – Skydd mot skadliga URL:er och filer (Valv länkar Valv bifogade filer i Defender för Office 365)

Skydd vid klickning från skadliga URL:er och filer är tillgängligt i prenumerationer som inkluderar Microsoft Defender för Office 365. Den konfigureras via principer Valv Och Valv Länkar.

Valv Principer för bifogade filer i Microsoft Defender för Office 365

Mer information om rekommenderade inställningar för bifogade Valv finns i . Valv för bifogade filer.

1. Öppna sidan Valv bifogade filer i Microsoft 365 Defender portal på https://security.microsoft.com/safeattachmentv2 .

2. På sidan Valv bifogade filer klickar du på Globala inställningar och konfigurerar sedan följande inställningar på den utfäll sida som visas:

   • Aktivera Defender för Office 365 för SharePoint, OneDrive och Microsoft Teams : Aktivera den här inställningen (aktivera).

     Viktigt

     Innan du aktiverar Valv för e SharePoint, OneDrive och Microsoft Teams ska du kontrollera att granskningsloggning har aktiverats i organisationen. Den här åtgärden utförs vanligtvis av någon som har rollen Granskningsloggar tilldelad i Exchange Online. Mer information finns i Aktivera eller inaktivera granskningsloggsökning!

   • Aktivera Valv dokument för Office: Aktivera den här inställningen på). Observera att den här funktionen endast är tillgänglig och meningsfull för de typer av licenser som krävs. Mer information finns i Valv i Microsoft 365 E5.

   • Tillåt att andra klickar i Skyddad vy även om Valv dokument identifierat filen som skadlig : Kontrollera att den här inställningen är inaktiverad

   När du är klar klickar du på Spara

3. På sidan för Valv klickar du på Skapa .

4. I guiden skapa Valv bifogade filer som öppnas konfigurerar du följande inställningar:

   • Namnge principsidan:
     • Namn: Ange något unikt och beskrivande.
     • Beskrivning: Ange en valfri beskrivning.
   • Sidan Användare och domäner: Eftersom det här är din första princip och du förmodligen vill maximera täckningen kan du ange dina godkända domäner i rutan Domäner. Annars kan du använda rutorna Användare och Grupper för en mer detaljerad kontroll. Du kan ange undantag genom att välja Exkludera dessa användare, grupper och domäner och ange värden.
   • Inställningar sidan:
     • Valv ( okänd respons på skadlig programvara): Välj Blockera.
     • Karantänprincip: Standardvärdet är tomt, vilket innebär att AdminOnlyAccessPolicy-principen används. Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användare får karantänaviseringar. Mer information finns i Karantänprinciper.
     • Omdirigera bifogade filer med identifierade bifogade filer : Aktivera omdirigering: Aktivera (markera) den här inställningen och ange en e-postadress för att ta emot identifierade meddelanden.
     • Använd Valv för identifiering av bifogade filer om genomsökning inte kan slutföras (timeout eller fel) : Kontrollera att den här inställningen är markerad.

5. När du är klar klickar du på Skicka och sedan på Klar.

6. (Rekommenderas) Som global administratör eller SharePoint Online-administratör kör du cmdleten Set-SPOTenant med parametern DisallowInfectedFileDownload inställd på $true i SharePoint Online PowerShell.

   • $true blockerar alla åtgärder (utom Ta bort) för identifierade filer. Användare kan inte öppna, flytta, kopiera eller dela identifierade filer.
   • $false blockerar alla åtgärder utom Ta bort och Ladda ned. Användare kan välja att acceptera risken och ladda ned en upptäckt fil.

7. Det kan ta upp till 30 minuter innan ändringarna sprids till alla Microsoft 365 datacenter.

Detaljerade instruktioner för hur du konfigurerar Valv principer för bifogade filer och globala inställningar Valv bifogade filer finns i följande avsnitt:

• Konfigurera principer Valv för bifogade filer i Microsoft Defender för Office 365
• Aktivera säkra bilagor för SharePoint, OneDrive och Microsoft Teams
• Säkra dokument i Microsoft 365 E5

Valv Länkprinciper i Microsoft Defender för Office 365

Mer information om rekommenderade inställningar för Valv finns i inställningar Valv Länkar.

1. Öppna sidan Valv Länkar i Microsoft 365 Defender på https://security.microsoft.com/safelinksv2 .

2. På sidan Valv klickar du på Globala inställningar och konfigurerar sedan följande inställningar på den utfäll sida som visas:

   • Inställningar som gäller för innehåll i avsnittet Office 365 program:
     • Använd Valv länkar i Office 365: Kontrollera att den här inställningen är aktiverad
     • Spåra inte när användare klickar på skyddade länkar i Office 365: Inaktivera den här inställningen (inaktivera).
     • Låt inte användare klicka till den ursprungliga URL:en i Office 365 appar : Kontrollera att den här inställningen är aktiverad på).

   När du är klar klickar du på Spara

3. På sidan Valv klickar du på Skapa ikon. .

4. I principguiden Valv Länkar som öppnas konfigurerar du följande inställningar:

   • Namnge principsidan:
     • Namn: Ange något unikt och beskrivande.
     • Beskrivning: Ange en valfri beskrivning.
   • Sidan Användare och domäner: Eftersom det här är din första princip och du förmodligen vill maximera täckningen kan du ange dina godkända domäner i rutan Domäner. Annars kan du använda rutorna Användare och Grupper för en mer detaljerad kontroll. Du kan ange undantag genom att välja Exkludera dessa användare, grupper och domäner och ange värden.
   • Inställningssidan för skydd:
     • Välj åtgärden för okända potentiellt skadliga URL-adresser i meddelanden: Aktivera den här inställningen.
     • Välj åtgärden för okända eller potentiellt skadliga URL-adresser i Microsoft Teams: Aktivera den här inställningen. Från och med mars 2020 är den här inställningen förhandsversion och kan bara användas av medlemmar i Microsoft Teams Technology Adoption Program (TAP).
     • Använd URL-skanning i realtid för misstänkta länkar och länkar som pekar på filer: Välj den här inställningen (aktivera).
       • Vänta tills URL-skanningen är klar innan du levererar meddelandet: Välj den här inställningen (aktivera).
     • Använd Valv länkar till e-postmeddelanden som skickas inom organisationen: Välj den här inställningen (aktivera).
     • Spåra inte användarklick: Kontrollera att den här inställningen inte är markerad (inaktiverad).
     • Låt inte användarna klicka sig fram till den ursprungliga URL:en: Kontrollera att den här inställningen är aktiverad (markerad).
     • Visa företagsmärket på aviserings- och varningssidor: Om du väljer den här inställningen (aktivera den) är den meningsfull först när du har följt instruktionerna i Anpassa Microsoft 365 för din organisation för att ladda upp din företagslogotyp.
     • Omskrivning inte av följande URL:er: Vi har ingen särskild rekommendation för den här inställningen. Mer information finns i "Skriva inte om följande URL-listor" i avsnittet om Valv länkar.
   • Meddelandesida:
     • Hur vill du meddela användarna? avsnitt: Alternativt kan du välja Använd anpassad meddelandetext för att ange anpassad meddelandetext som ska användas. Du kan också välja Använd Microsoft Translator för automatisk lokalisering för att översätta den anpassade meddelandetexten till användarens språk. Annars lämnar du Använd standardmeddelandetexten markerad.

5. När du är klar klickar du på Skicka och sedan på Klar.

Detaljerade instruktioner för hur du konfigurerar Valv principer för länkar och globala inställningar Valv länkar finns i följande avsnitt:

• Konfigurera principer Valv länkar i Microsoft Defender för Office 365
• Konfigurera globala inställningar för Valv Länkar i Microsoft Defender för Office 365

Konfigurera nu aviseringar för identifierade filer i SharePoint Online eller OneDrive för företag

Om du vill få ett meddelande när en fil i SharePoint Online eller OneDrive för företag har identifierats som skadlig kan du konfigurera en avisering enligt beskrivningen i det här avsnittet.

1. I den Microsoft 365 Defender på https://security.microsoft.com går du till E-& samarbete > Policyer & > Aviseringsprincip.

2. Klicka på Ny aviseringsprincip på sidan Aviseringsprincip.

3. Guiden Ny aviseringsprincip öppnas. Konfigurera följande inställningar på sidan Namn:

   • Namn: Ange ett unikt och beskrivande namn. Du kan till exempel skriva Skadliga filer i bibliotek.
   • Beskrivning: Ange en valfri beskrivning.
   • Allvarlighetsgrad: Välj Låg, Medel eller Hög.
   • Kategori: Välj Hantering av hot.

   Klicka på Nästa när du är klar

4. Konfigurera följande inställningar på sidan Skapa aviseringsinställningar:

   • Vad vill du avisering om? avsnitt: Aktivitet har > upptäckts av skadlig programvara i filen.
   • Hur vill du att aviseringen ska utlösas: Verifiera varje gång en aktivitet matchar regeln markeras.

   Klicka på Nästa när du är klar

5. På sidan Ange mottagare konfigurerar du följande inställningar:

   • Skicka e-postaviseringar: Kontrollera att den här inställningen är markerad.
   • E-postmottagare: Välj en eller flera globala administratörer, säkerhetsadministratörer eller säkerhetsläsare som ska få ett meddelande när en skadlig fil identifieras.
   • Daglig meddelandegräns: Kontrollera att ingen gräns har valts.

   Klicka på Nästa när du är klar

6. Granska inställningarna på sidan Granska dina inställningar, kontrollera Ja, aktivera det direkt är markerat och klicka sedan på Slutför

Mer information om aviseringsprinciper finns i Aviseringsprinciper i Microsoft 365 Efterlevnadscenter.

Uppgifter efter installationen och nästa steg

När du har konfigurerat funktionerna för skydd mot hot ska du övervaka hur de här funktionerna fungerar! Granska och ändra dina principer så att de gör det de behöver för dem. Titta också efter nya funktioner och tjänstuppdateringar som kan tillför något.