Microsoft Defender for Office 365 邮件安全效能透明度

在当今世界，网络攻击者持续不断、资源充足、技术高度复杂且不断创新，这意味着网络安全解决方案的有效性必须持续评估，而非假设。尽管邮件安全在保护组织方面扮演关键角色，但邮件安全效能的衡量和沟通缺乏透明度和标准化，这使首席信息安全官（CISOs）和安全架构师难以基于数据做出决策。

在微软，我们认为透明度是信任的基础。作为邮件平台和安全提供商，我们希望与生态系统合作，赋能客户理解邮件安全效能。今天，我们宣布两项举措支持这一目标。

首先，为向 Microsoft Defender for Office 365 客户提供更丰富的效能数据，我们发布了一个面向客户的新仪表盘，提供跨多种威胁向量的效能可见性。

其次，我们发布了两份比较基准测试报告，旨在帮助客户评估集成多个邮件安全解决方案的好处。第一份报告描述了集成云邮件安全（ICES）供应商在 Microsoft Defender for Office 365 之后检测和修复威胁所增加的保护价值。第二份报告描述了安全邮件网关（SEGs）在邮件到达 Microsoft Defender for Office 365 之前过滤邮件的价值。这些报告基于真实威胁数据而非合成测试，提供大规模比较的客观基础。

安全是团队运动，我们感谢整个生态系统共同保护客户。我们鼓励客户查看其租户中部署的解决方案如何共同满足其需求。

介绍 Defender for Office 365 概览仪表盘

新的客户概览仪表盘允许安全团队跟踪投递前阻止的网络威胁、投递后缓解的威胁，甚至“遗漏”的威胁的效能。它包括 Microsoft Defender for Office 365 功能（如安全链接、安全附件和零小时自动清除）如何为组织的威胁防护做出贡献的详细信息。我们的目标很简单：帮助您自信地回答“我的组织用户在使用邮件和 Microsoft Teams 等协作表面时如何受到保护，免受恶意内容和网络攻击？”的问题。

基准测试

仅 Microsoft 产品效能的透明度还不够。我们知道客户需要数据来评估整个生态系统的效能，我们的基准测试研究旨在帮助您端到端规划网络安全解决方案。

与依赖合成测试或人工环境的传统基准不同，我们的报告使用在 Microsoft 生态系统中观察到的真实邮件威胁。我们特别比较了仅受 Microsoft Defender for Office 365 保护的环境、在 Defender 前部署 SEG 的环境，以及在 Defender for Office 365 之后由 ICES 供应商提供额外保护的环境。在此过程中，我们遵循严格的安全和隐私原则；本报告中所有数据均为聚合和匿名化，类似于 Microsoft 数字防御报告中发布的数据。

基准测试 SEG 供应商

SEGs 在许多组织的安全架构中继续扮演重要角色，提供额外的保护层。微软基准测试了七家 SEG 供应商和 Microsoft Defender for Office 365。

方法论

微软分析了使用特定 SEG 与 Defender for Office 365 的环境中的聚合威胁信号，然后按每 1,000 名受保护用户标准化结果以衡量遗漏威胁。

对于 SEG 供应商，如果威胁未在投递前检测到，或未在投递后短时间内移除，则被视为“遗漏”。然而，对于 Microsoft Defender for Office 365，我们应用了更严格的标准；即使威胁在投递后被移除，也被视为遗漏。

结果

此分析显示，当以 Defender for Office 为基准时，Defender for Office 遗漏的威胁最少。

ICES 供应商

随着组织采用分层安全策略，ICES 产品在 Microsoft Defender for Office 365 之后执行，充当次要过滤器。这些解决方案提供额外的检测层，专注于特定威胁类型或用户行为模式。

方法论

ICES 供应商使用 Microsoft Graph API 将邮件移动到文件夹，如垃圾邮件、促销或已删除项目。邮件可以从任何投递位置移动，如收件箱甚至垃圾邮件文件夹。在此数据研究中，由 ICES 供应商移动的邮件计为捕获。在 ICES 供应商移动之前被 Microsoft Defender for Office 365 标记为垃圾邮件或恶意的邮件计为重复捕获。通常，被 Microsoft Defender for Office 365 分类为垃圾邮件的邮件投递到垃圾邮件文件夹，分类为恶意的邮件进入隔离区。然而，一些客户配置可以覆盖邮件投递。ICES 供应商捕获通过 Microsoft Defender for Office 365 的整体捕获标准化，以简单查看 ICES 供应商增加的价值。

所用类别的定义：

营销和批量 — 来自已知发件人的促销优惠或新闻通讯（例如，食品配送应用的优惠券），非恶意但可能影响生产力。
垃圾邮件 — 来自未经请求或声誉不佳发件人的烦人邮件，非恶意但可能影响生产力。
恶意 — 包含有害内容的邮件，如钓鱼链接、恶意软件或其他安全威胁。
非恶意 — 良性邮件，可能是误报或由于客户偏好而被移动。

我们的分析显示，将 ICES 产品与 Defender for Office 365 结合使用，在增强促销或批量邮件检测方面产生最大影响，平均改进 20%。这些增强有助于减少收件箱杂乱以改善用户体验，特别是在关注营销噪音的环境中，并为我们考虑持续投资于启用路线图功能以惠及客户提供宝贵见解。对于恶意邮件和垃圾邮件，在所有分析的供应商中，恶意捕获平均改进 0.30%，垃圾邮件捕获平均改进 0.51。在基准测试网站上查找每个供应商的详细信息。

通过透明度和数据赋能安全

为保持我们对透明度和数据驱动严谨性的承诺，我们联系了 SE Labs（邮件安全测试的公认专家）独立审查我们的基准测试方法，确保我们坚持最高质量标准。

“企业需要选择他们能负担得起的最佳安全。使用真实威胁展示供应商提供的额外好处，如微软此处所做，可以帮助做出这一重要决策。虽然使用合成威胁的传统比较测试允许针对产品中的某些功能进行测试，使用特定、高级或新颖的攻击技术，但真实世界数据暴露了产品如何应对日常遇到的全谱威胁。两种测试都提供宝贵见解，共同给出安全效能的更完整图景。我们希望微软的数据激发更多比较测试，以帮助客户做出更好决策。 —Simon Edwards，SE Labs 创始人兼首席执行官”

在面对日益复杂的邮件威胁，网络安全决策带来深远后果时，清晰度和透明度不可或缺。为支持客户的数据驱动决策，我们计划为这些基准提供季度更新，并将继续收集反馈并与生态系统合作完善我们的方法。

微软坚定承诺不仅保护组织安全，还提供可靠工具和可操作的透明数据，帮助您评估效能并保持组织安全。

了解更多

了解更多关于 Microsoft Defender for Office 365 的信息。

要了解更多关于 Microsoft 安全解决方案的信息，请访问我们的网站。收藏安全博客以跟上我们关于安全问题的专家报道。此外，在 LinkedIn (Microsoft Security) 和 X (@MSFTSecurity) 上关注我们，获取网络安全的最新新闻和更新。