Microsoft Defender for Office 365计划 2 中的威胁跟踪器

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

Microsoft 365 个组织在其订阅中包含Microsoft Defender for Office 365计划 2 或作为加载项购买,它们具有威胁跟踪器。 威胁跟踪器是在 威胁资源管理器中创建和保存的查询, (也称为资源管理器) 。 使用这些查询可自动或手动发现组织中的网络安全威胁。

有关在威胁资源管理器中创建和保存查询的信息,请参阅 在威胁资源管理器中保存的查询

威胁跟踪器的权限和许可

若要使用威胁跟踪器,需要分配权限。 可以选择下列选项:

  • Email & Microsoft Defender门户中的协作权限
    • 创建、保存和修改威胁资源管理器查询组织管理安全管理员 角色组中的成员身份。
    • 威胁跟踪器页上威胁资源管理器查询的只读访问权限“安全读取者”“全局读取者”角色组中的成员身份。
  • Microsoft Entra权限:这些角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限权限:
    • 创建、保存和修改威胁资源管理器查询全局管理员安全管理员*角色的成员身份。

    • 威胁跟踪器页上威胁资源管理器查询的只读访问权限安全读取者角色或全局读取者角色的成员身份。

      重要

      * Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

若要在威胁资源管理器中修正消息,需要其他权限。 有关详细信息,请参阅 威胁资源管理器的权限和许可和实时检测

若要使用威胁资源管理器或威胁跟踪器,需要为订阅中包含的Defender for Office 365 (分配许可证或附加许可证) 。

威胁资源管理器和威胁跟踪器包含分配给他们的Defender for Office 365许可证的用户的数据。

威胁跟踪器

威胁跟踪器页位于Email &协作>威胁跟踪器的Microsoft Defender门户中https://security.microsoft.com。 或者,若要直接转到 “威胁跟踪器 ”页,请使用 https://security.microsoft.com/threattrackerv2

威胁跟踪器 ”页包含三个选项卡:

  • 保存的查询:包含在威胁资源管理器中保存的所有查询。
  • 跟踪的查询:包含在“威胁资源管理器”中保存的查询结果,其中选择了 “跟踪查询”。 查询会自动定期运行,结果会显示在此选项卡上。
  • 热门市场活动:我们在此选项卡上填充信息,以突出显示组织中收到的新威胁。

以下小节介绍了这些选项卡。

“保存的查询”选项卡

威胁跟踪器”页上https://security.microsoft.com/threattrackerv2的“保存查询”选项卡包含来自威胁资源管理器的所有已保存查询。 可以使用这些查询,而无需重新创建搜索筛选器。

保存查询 ”选项卡上显示以下信息。可以通过单击可用的列标题对条目进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列。

  • 创建日期
  • 名称
  • 类型
  • Author
  • 上次执行
  • 跟踪的查询:此值由在威胁资源管理器中创建查询时是否选择了“ 跟踪此查询 ”进行控制:
    • :需要手动运行查询。
    • :查询会自动定期运行。 查询和结果也可在 “跟踪的查询 ”页上找到。
  • 操作:选择“ 浏览 ”以在威胁资源管理器中打开并运行查询,或者在威胁资源管理器中更新或保存查询的修改或未修改副本。

如果选择查询,将显示“ 编辑 ”和 “删除” 操作。

如果选择“编辑”,则可以在打开的详细信息浮出控件中更新现有查询的日期和跟踪查询设置。

跟踪的查询

威胁跟踪器”页上https://security.microsoft.com/threattrackerv2的“跟踪查询”选项卡包含你在“威胁资源管理器”中创建的查询的结果,其中选择了“跟踪此查询”。 跟踪的查询会自动运行,从而提供最新信息,而无需记住运行查询。

跟踪的查询 ”选项卡上显示以下信息。可以通过单击可用的列标题对条目进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列。

  • 创建日期
  • 名称
  • 今天的消息计数
  • 前一天的消息计数
  • 趋势:今天与前一周
  • 操作:选择“ 浏览 ”以在威胁资源管理器中打开并运行查询。

如果选择查询,将显示 “编辑” 操作。 如果选择此操作,则可以在打开的详细信息浮出控件中更新现有查询的日期和 跟踪 查询设置。

威胁跟踪器”页上https://security.microsoft.com/threattrackerv2的“趋势市场活动”选项卡会自动突出显示组织最近收到的新电子邮件威胁。

以下信息显示在“ 热门市场活动 ”选项卡上。可以通过单击可用的列标题对条目进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列。

  • 恶意软件系列
  • 前一天的消息计数
  • 趋势:今天与前一周
  • 目标:你的公司与全球
  • 操作:选择“ 浏览 ”以在威胁资源管理器中打开并运行查询。