使用 Microsoft 365 警报策略进行实时警报 - Office 365 报告

Microsoft 365 套件附带大量应用程序和服务，其中大多数都具有用户友好的界面。然而，Microsoft 365 套件非常庞大，包含组织中执行的所有操作的大量审核日志列表。因此，管理员监控正在发生的可疑活动和未经授权的操作变得困难且耗时。这就是 Microsoft 365 警报策略发挥作用的地方。

使用合规中心和 Microsoft 365 Defender/安全管理中心中提供的警报策略功能，您可以解决此问题。借助警报策略，您可以监控用户活动和安全事件，例如网络钓鱼、异常的外部用户活动、可疑的大量文件或文件夹删除等。

内容：

1. 使用 Microsoft 365 警报策略的要求
2. 警报策略如何运作
3. 默认 Microsoft 365 警报策略

4. 如何在 Microsoft 365 中创建警报策略

   • 方法 1：使用合规性管理中心创建警报策略
5. 方法 2：使用 Microsoft 365 Defender 门户创建警报策略
6. 如何在 Microsoft 365 中查看警报和警报策略
7. 本机警报策略的缺点
8. AdminDroid 如何简化 Microsoft 365 警报

使用 Microsoft 365 警报策略的要求：

要使用 Office 365 警报策略，您需要拥有 E5 许可证，或者 E1 或 E3 许可证 以及 Microsoft Defender for Office 365 P2、Microsoft 365 E5 合规性或 Microsoft 365 电子数据展示和审核加载项 -关于订阅。使用这些许可证，您可以根据异常活动设置警报策略，并提供阈值。

如果您的组织只有 E1 或 E3 订阅，您将只能创建仅在活动发生时触发警报的警报策略。

警报策略如何运作：

存在与警报策略的功能相关的三个组件。他们是：

1. 警报策略创建：

   管理员可以在 Microsoft 365 合规中心或 Microsoft 365 Defender 门户中创建警报策略。还可以选择使用 PowerShell cmdlet New-ProtectionAlert 创建警报策略。您可以配置不同的警报设置，例如警报严重性、警报类别、警报触发活动等。

2. 警报触发操作：

   然后，用户执行与警报策略的条件相对应的操作。然后，Microsoft 365 检测所执行的操作并发出警报，您可以在合规中心或 Defender 门户的警报页面中看到该警报。警报将根据警报策略的配置触发，并且取决于警报严重性、警报类别等设置。然后，警报通知将发送到配置的相应收件人列表。

3. 警报报告：

   可以在合规中心的“警报”部分查看警报，其中包含警报名称、警报严重性、警报状态等统计信息。

警报策略配置：

以下是警报策略的不同配置：

• 警报严重性：严重性分为三个级别：低、中和高。您可以根据自己的喜好设置严重性。稍后在解决警报时，您可以通过优先考虑严重类型的警报来过滤掉。

• 警报类别：警报策略可以根据其处理的警报类型分为五类：

  • 威胁管理
• 信息治理
• 权限邮件流
• 邮件流程
• 其他的

默认 Microsoft 365 警报策略：

默认情况下，Microsoft 365 包含多个内置的警报策略模板，可以跟踪恶意软件和网络钓鱼活动、外部用户操作、异常文件共享活动等。这些是属于“系统”警报类型的警报策略，可以可以打开和关闭。您可以修改默认警报策略配置，包括是否发送电子邮件通知、设置通知收件人以及每日通知限额。默认警报策略的一些示例是：

• 超出电子邮件发送限制：当用户发送的电子邮件数量超过允许的限制时，管理员可以使用此策略生成警报。使用此策略，您可以控制组织用户可以发送的出站电子邮件流。当您想要阻止用户发送不必要的/垃圾邮件时，可以使用此警报策略。此策略的严重性设置为中。
• 检测并阻止恶意软件活动：当有人尝试在组织中发送多封包含恶意软件的电子邮件时，管理员可以使用此策略生成警报。此策略的严重性设置为低。

• 异常外部用户文件活动：管理员可以使用此策略来检查外部用户对组织专有文件执行的操作。当不属于组织的用户对 SharePoint 或 OneDrive 文件执行大量操作时，就会触发警报。此策略具有高严重性设置。

如何在 Microsoft 365 中创建警报策略：

您可以从以下位置创建警报策略

1. 微软合规中心
2. Microsoft Defender 门户

两个门户提供相同的步骤来创建警报策略，但导航不同。您可以选择所需的门户，然后创建警报策略。

方法 1：使用合规性管理中心创建警报策略：

1. 转到合规管理中心，然后点击左侧菜单中的政策。

2. 从警报下拉菜单中，选择警报策略。这将显示当前可用的所有警报策略的列表，并且可以选择创建新的警报策略。

   

3. 单击新警报策略。这将打开一个窗口，指导您创建新的警报策略。

4. 现在，输入策略的名称和描述。然后选择警报策略的严重性和类别。

   

5. 选择触发警报的活动（例如：针对特定用户或特定 IP 地址）并提供何时触发警报的附加条件。选择实施警报策略之前事件应发生的次数阈值。
6. 接下来，指定在触发警报时将向其发送电子邮件通知的收件人。您还可以设置单个警报的每日通知限制。
7. 查看策略并选择是要立即打开还是其他时间打开。
8. 选择完成以部署警报策略。

方法 2：使用 Microsoft 365 Defender 门户创建警报策略：

1. 转到 Microsoft 365 Defender 门户。

2. 从左侧菜单中的电子邮件和协作下选择策略和规则，然后选择警报策略。这将显示所有警报策略的列表，您还可以创建新的警报策略。

   

3. 单击新警报策略。将打开一个新窗口，指导您完成创建警报策略的过程。
4. 您可以按照“使用合规中心创建警报策略”中给出的相同步骤 4 到 8 进行操作。

如何在 Microsoft 365 中查看警报和警报策略：

当用户的活动与警报策略中配置的设置匹配时，就会生成警报。要查看警报和配置的警报策略，您可以使用以下门户。

方法 1：使用合规性管理中心查看提醒：

单击合规中心中的“警报”可查看已触发警报的列表及其详细信息。

从左侧菜单中选择策略>警报策略以查看警报策略。将列出所有警报策略及其详细信息。

方法 2：使用 Microsoft 365 Defender 门户查看触发的警报：

选择政策与规则>活动警报。所有警报均列出及其相应的详细信息。

要查看警报策略，请选择策略和规则>警报策略。会列出所有警报策略及其相应的详细信息。

本机警报策略的缺点：

1. 许可成本：您可以利用警报策略的功能数量取决于您拥有的许可证类型。要访问高级警报和其他默认警报策略等功能，您需要拥有 Microsoft 365 E5 计划或其他附加计划。这将导致每次订阅的成本更高，因此不太划算。
2. 可供跟踪的活动数量有限：审核日志列出了组织中执行的所有活动。只有少数预定义的警报策略可用。此外，您还可以仅针对少量活动创建自定义警报策略。这是一个问题，因为某些可疑活动将无法跟踪。因此，使用警报策略自动进行审计监控并不是一个好主意。
3. 仅提供很少的预定义警报类别：仅提供四种预定义警报类别 - 威胁管理、信息治理、权限和邮件流。其余警报将属于其他类别。因此，这是一个大问题，因为也无法选择创建自定义标签。

这些是组织从本机警报转向第三方警报工具的一些主要原因。

AdminDroid 如何简化 Microsoft 365 警报：

为了克服这些缺点，您可以使用 AdminDroid Office 365 警报工具，它具有高级警报功能。它是一个非常强大的应用程序，可以帮助您以非常简单的方式查看、创建和管理警报。该工具最好的部分是您不需要 E5 或同等许可证即可使警报正常工作，从而降低了许可成本。整个应用程序有一个非常人性化的界面。

AdminDroid Microsoft 365 警报工具一览：

• 通过比较活动趋势，协助识别新风险和异常活动。
• 监控1400+ Microsoft 365 活动。
• 提供为警报类别创建自定义标签的选项，以便您可以更好地对警报进行分类。
• 提供48 个可供部署的默认模板，推荐给所有组织。
• 警报的报告非常详细，以便您可以快速做出反应。
• 在警报仪表板中快速可视化警报、状态和趋势。
• 立即对警报采取行动，并将其标记为已关闭或正在调查。
• 允许下载警报报告和警报策略报告。

请警惕 Microsoft 365 环境中的所有恶意软件攻击、有风险的登录和异常活动。下载 AdminDroid Microsoft 365 警报工具，了解它如何帮助您检测风险和网络攻击。

结论：

警报策略是 Office 365 中一项非常有用且强烈推荐的功能，它将帮助您有效监控 Microsoft 365 环境，并帮助您的组织及时了解组织租户中发生的任何异常活动。因此，它为您的 Microsoft 365 租户添加了一层安全保护。