在 Office 365 安全和合规性中心中的警报策略

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

您可以使用新建通知策略和通知的仪表板工具中Office 365 安全与合规中心若要创建通知的策略,然后查看用户执行警报策略的条件相匹配的活动时,将生成的警报。通知策略构建和展开的活动通知功能通过让您 catagorize 通知策略、 适用于您的组织中的所有用户的策略、 设置阈值级别的通知时触发,并决定要接收电子邮件通知。还有查看通知中安全和合规性中心 ,您可以在其中查看并筛选页面通知,通知将状态设置为帮助您管理通知,并已解决了即解决基础之后,然后关闭通知事件。我们也已扩展,您可以创建通知的事件的类型。例如,您可以创建通知的策略,以跟踪恶意软件的活动和数据丢失事件。最后,我们也提供了大量的默认策略,可帮助您监控Exchange Online、 恶意软件攻击和删除文件和外部共享的异常级别中分配管理员权限的通知。

目前,通知策略为您的组织需要Office 365 E5 订阅。如果您不具有该计划,并且想要尝试通知的策略,则可以注册试用版的 Office 365 企业版 E5

内容

如何通知策略工作

通知策略设置

默认警报策略

查看通知

管理通知

如何通知策略工作

下面介绍了如何通知策略工作的快速概述和活动用户或管理警报策略的条件匹配时触发器通知。

如何通知策略工作的概述
  1. 您的组织中的管理员创建、 配置,并打开通知策略安全和合规性中心中使用通知策略页面。您还可以通过 PowerShell 中使用New-ProtectionAlert cmdlet 创建通知的策略。

  2. 用户执行活动的通知的策略的条件相匹配。对于恶意软件攻击感染病毒的电子邮件发送给您的组织中的用户将触发通知。

  3. Office 365生成安全和合规性中心中的查看通知页上显示警报。此外,如果通知策略启用了电子邮件通知, Office 365到列表收件人发送通知。

  4. 管理员管理安全和合规性中心中的警报。管理警报包括分配通知状态以帮助您跟踪和管理任何调查。

返回页首

通知策略设置

通知策略由一组规则和定义的用户或将生成警报,如果他们执行的活动,会触发警报的用户列表的管理员活动的条件和定义活动的次数的阈值具有发生之前n 触发。您也分类策略,并将其分配严重级别。这两个设置可帮助您管理警报策略 (和匹配的策略条件时触发通知) 因为管理策略和查看在安全和合规性中心通知时,可以筛选这些设置。例如,您可以查看相同的类别中的条件相匹配的警报或查看具有相同的严重性级别的通知。

若要查看和创建通知的策略,转到警报> 安全和合规性中心中的警报策略

在安全和 Complinace 中心中,单击通知,,然后单击警报策略能够查看和创建通知的策略

通知的策略包括下的设置和条件。

  • 正在跟踪的活动警报   您创建了策略来跟踪的活动,或在某种情况下几个相关的活动,此类共享文件与外部用户共享、 分配访问权限,或创建匿名的链接。当用户执行策略定义的活动时,触发基于警报阈值设置。

  • 活动条件   对于大多数活动,您可以定义其他通知触发必须满足的条件。常见条件包括 IP 地址 (以便当用户与特定的 IP 地址或 IP 地址范围内的计算机上执行的活动触发)、 触发如果特定用户执行的活动,以及是否在特定的文件的名称或 URL 被执行的活动。您还可以配置您的组织中的任何用户执行活动时触发警报的条件。请注意,取决于所选活动可用的条件。

  • 警报阈值   您可以配置定义之前触发活动可能发生的频率阈值设置。这允许您要将策略设置为每次活动满足策略条件或仅在超过特定阈值时生成警报。阈值定义如何多次之前生成警报活动可能发生的时间范围内。

    您也可以分配基于异常活动警报阈值。如果选择此类型的阈值设置, Office 365建立一个定义所选的活动; 普通频率的比较基准值需要 7 天建立此基准,不会在此期间生成警报。建立比较基准后,由警报策略大大跟踪的活动的频率超过比较基准值时,将会触发通知。 对于 (如文件和文件夹的活动) 审核相关的活动,您可以建立比较基准基于单个用户,或者根据您的组织; 中的所有用户对于恶意软件相关的活动,您可以建立比较基准基于单个恶意软件系列、 一个收件人或您的组织中的所有邮件。

  • 警报类别   为了帮助跟踪和管理策略生成的警报,您可以向策略分配以下类别之一。

    • 数据管理

    • 数据丢失保护

    • 权限

    • 威胁管理

    • 其他

    活动发生时的通知策略的条件相匹配,则生成的通知标有此设置中定义的类别。这允许您跟踪和管理安全和合规性中心中的查看通知页具有相同的类别设置,因为您可以进行排序和筛选器警报基于类别的通知。

  • 警报严重性   您类似于通知类别,分配到警报策略严重性属性 ()。通知类别,如发生的警报策略的条件相匹配的活动时生成的通知为标记有同样设置警报策略的严重性级别中。同样,这允许您跟踪和管理通知的视图通知页上具有相同的严重性设置。例如,您可以筛选通知的列表,以便仅严重性的警报显示。

    提示: 设置通知的策略,请考虑将高严重性分配给可能会导致严重负面影响,如检测到的恶意软件之后传递给用户的活动、 查看的敏感或机密数据、 与外部用户共享数据或其他活动,导致数据丢失或安全威胁。这可以帮助您确定其优先顺序通知和调查并解决根本原因而执行的操作。

  • 电子邮件通知   您可以设置策略,以便电子邮件通知的发送 (或不发送) 与用户的列表时触发。您也可以设置每日通知限制,以便一旦达到通知的最大数目,没有更多的通知发送通知在那一天。在其他电子邮件通知,您或其他管理员可以查看视图通知页上的策略触发的警报。考虑启用特定类别的警报策略的电子邮件通知或具有较高的严重性设置。

返回页首

默认警报策略

Office 365提供帮助确定 Exchange 管理员权限滥用、 恶意软件活动和数据管理风险的下列内置通知策略。默认情况下时,这些策略处于打开状态。您可以关闭这些策略 (或重新打开),设置的收件人列表向其发送电子邮件通知,并设置每日通知限制。不能编辑这些策略的其他设置。

通知策略页中,这些内置策略的名称加粗并策略类型定义为系统

  • 创建转发/重定向规则   当用户在您的组织中创建其转发或将邮件重定向到其他电子邮件帐户的邮箱的收件箱规则将生成警报。该策略有严重性设置。使用规则转发和重定向Outlook中的电子邮件的详细信息,请参阅转发和重定向通过电子邮件发送自动

  • 提升的 Exchange 管理员权限   当某人分配管理权限Exchange Online组织; 中的生成警报例如,如果将用户添加到Exchange Online中的组织管理角色组。该策略有严重性设置。

  • 恶意软件活动后传递检测   向您的组织中的邮箱发送大量邮件包含恶意软件时生成警报。如果发生此事件, Office 365从Exchange Online邮箱中删除感染病毒的消息。该策略有严重性设置。

  • 恶意软件活动检测并阻止   当有人试图发送大量包含特定类型的恶意软件向您的组织中的用户的电子邮件时,将生成警报。如果发生此事件,感染病毒的邮件Office 365被阻止并不会传递到邮箱。该策略有严重性设置。

  • SharePoint和OneDrive中检测到的恶意软件市场   SharePoint网站或您组织中的OneDrive帐户文件中检测到的恶意软件或病毒非常高音量时生成警报。该策略有严重性设置。

  • 外部用户文件活动异常   通常大量活动通过在您的组织外部的用户执行SharePoint或OneDrive中的文件时生成警报。这其中包括例如访问文件、 下载文件,并删除的文件的活动。该策略有严重性设置。

  • 异常音量外部文件共享   与您的组织外部的用户共享通常大量SharePoint或OneDrive中的文件时生成警报。此策略具有中等严重性设置。

  • 异常音量删除文件   在SharePoint或OneDrive短时间内删除大量文件时生成警报。此策略具有中等严重性设置。

  • 异常消息为网络钓鱼或垃圾邮件/不垃圾邮件报告量   在您的组织使用报告消息加载项中Outlook到报表邮件为垃圾邮件、 不是垃圾邮件或网络仿冒邮件中的人数显著增加时生成警报。该策略有严重性设置。有关此加载项的详细信息,请参阅使用报告消息加载项

请注意,由一些内置策略监控异常活动基于相同的过程所述设置警报阈值是以前。 Office 365建立一个定义为"常规"活动的普通频率的比较基准值。大大跟踪的内置通知策略活动的频率超过比较基准值时,然后将触发通知。

返回页首

查看通知

通过执行的活动组织中的用户匹配的通知的策略设置、 生成并查看通知在页上显示安全和合规性中心通知。根据警报策略的设置,电子邮件通知还被发送到指定的用户的列表时触发。每个通知,仪表板视图通知页上的显示 (通知策略中定义) 警报和的次数发生活动导致通知正在相应警报策略、 严重性和类别的名称生成;此值基于通知策略阈值设置。在仪表板还显示每个警报的状态。请参阅管理警报部分中使用的状态属性来管理通知有关详细信息。

若要查看通知,请转到警报> 安全和合规性中心中查看通知

在安全和 Complinace 中心中,单击通知,,然后单击查看通知,以查看通知

您可以使用以下筛选器查看通知页面上查看所有通知的子集。

  • 状态   使用此筛选器以显示特定的状态; 分配的通知默认状态处于活动状态。您或其他管理员可以更改状态值。

  • 策略   使用此筛选器显示匹配的一个或多个警告策略设置的通知。或者,您可以只显示所有通知策略的所有通知。

  • 时间范围   使用此筛选器以显示特定的日期和时间范围内生成的通知。

  • 严重性   使用此筛选器显示将被分配特定严重性的通知。

  • 类别   使用此筛选器显示警报的一个或多个类别的警报。

返回页首

管理通知

已生成并查看通知在页上显示安全和合规性中心通知后,您可以处理、 调查,和解决这些问题。下面是一些可以执行管理通知的任务。

  • 分配状态通知   您可以为通知指定下列状态之一:活动(默认值)、 Investigating已解决,或Dismissed。然后,您可以筛选此设置相同的状态设置显示警报。此状态设置有助于跟踪管理警报的过程。

  • 查看通知的详细信息   您可以单击以显示有关该通知的详细信息的弹出式页面的通知。详细的信息取决于所对应的通知策略,但它通常包括下列操作: 触发 (如 cmdlet) 通知的实际操作的名称的活动的触发警报、 用户 (或用户的列表) 的说明谁触发警报,并相应的名称 (和链接到) 警报策略。

    • 实际操作触发警报,如 cmdlet 或审核日志操作的名称。

    • 触发警报活动的描述。

    • 触发警报; 用户这是仅包括警报将设置为单个用户或单个活动跟踪的策略。

    • 执行的活动跟踪警报的次数。请注意,此号码可能不匹配相关通知,因为可能已触发其他警报视图通知页上列出的实际数。

    • 包括的项目执行触发警报的每个活动的活动列表的链接。此列表中的每个条目标识时出现的活动的实际操作,(如"FileDeleted") 和执行的活动、,执行活动的对象 (如文件、 电子数据展示案例或邮箱) 的用户和 IP 名称用户的计算机的地址。恶意软件与相关通知,此邮件列表中的链接。

    • 相应的通知策略的名称 (和链接到)。

  • 取消电子邮件通知   可以关闭 (或取消) 警报飞出页面中的电子邮件通知。符合条件的活动或事件时, Office 365禁止显示电子邮件通知时,不会发送通知警报策略。但是,将继续通知时由用户执行的活动匹配通知策略的条件,则会触发。您可以通过编辑通知策略关闭电子邮件通知。

  • 解决警报   您可以将警报标记为解决警报 (它将警报的状态设置为已解决) 飞出页面上。更改的筛选器,除非已解决的警报不会显示在视图通知页中。

返回页首

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×