Håndter kompromitterede brugerkonti med automatiseret undersøgelse og svar
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
Microsoft Defender for Office 365 Plan 2 indeholder effektive funktioner til automatiseret undersøgelse og svar (AIR). Sådanne funktioner kan spare dit team for sikkerhedshandlinger en masse tid og kræfter på at håndtere trusler. I denne artikel beskrives et af facetpunkterne for AIR-funktionerne, den kompromitterede brugersikkerhedslegebog.
Den kompromitterede brugersikkerhedslegebog gør det muligt for organisationens sikkerhedsteam at:
- Gør registreringen af kompromitterede brugerkonti hurtigere.
- Begræns omfanget af et brud, når en konto kompromitteres. og
- Reager på kompromitterede brugere mere effektivt og effektivt.
Kompromitterede brugerbeskeder
Når en brugerkonto kompromitteres, opstår der atypiske eller unormale funktionsmåder. Phishing- og spammeddelelser kan f.eks. blive sendt internt fra en brugerkonto, der er tillid til. Defender for Office 365 kan registrere sådanne uregelmæssigheder i mailmønstre og samarbejdsaktivitet i Office 365. Når det sker, udløses beskeder, og processen til afhjælpning af trusler starter.
Undersøg og reager på en kompromitteret bruger
Når en brugerkonto kompromitteres, udløses der beskeder. Og i nogle tilfælde er brugerkontoen blokeret og forhindret i at sende yderligere mails, indtil problemet er løst af organisationens sikkerhedsteam. I andre tilfælde starter en automatiseret undersøgelse, hvilket kan resultere i anbefalede handlinger, som dit sikkerhedsteam skal foretage.
Vigtigt!
Du skal have de nødvendige tilladelser til at udføre følgende opgaver. Se Påkrævede tilladelser til at bruge AIR-funktioner.
Se denne korte video for at få mere at vide om, hvordan du kan registrere og reagere på bruger kompromitteret Microsoft Defender for Office 365 ved hjælp af AIR (Automated Investigation and Response) og kompromitterede brugerbeskeder.
Få vist og undersøg begrænsede brugere
Du har et par muligheder for at navigere til en liste over begrænsede brugere. På Microsoft Defender-portalen kan du f.eks. gå til Mail & samarbejde>Gennemsebrugere med begrænset adgang>. I følgende procedure beskrives navigationen ved hjælp af dashboardet Beskeder , hvilket er en god måde at se forskellige typer beskeder, der kan være blevet udløst.
Åbn Microsoft Defender-portalen på , https://security.microsoft.com og gå til Hændelser & beskeder>Beskeder. Du kan også gå direkte til siden Beskeder ved at bruge https://security.microsoft.com/alerts.
På siden Beskeder skal du filtrere resultaterne efter tidsperiode og politikken med navnet Bruger begrænset fra at sende mail.
Hvis du vælger posten ved at klikke på navnet, åbnes en bruger, der ikke kan sende mailsiden , med yderligere oplysninger, som du kan gennemse. Ud for knappen Administrer besked kan du klikke på Flere indstillinger og derefter vælge Vis begrænsede brugeroplysninger for at gå til siden Begrænsede brugere , hvor du kan frigive den begrænsede bruger.
Få vist oplysninger om automatiserede undersøgelser
Når en automatiseret undersøgelse er begyndt, kan du se dens detaljer og resultater i Løsningscenter på Microsoft Defender portalen.
Du kan få mere at vide under Få vist detaljer om en undersøgelse.
Vær opmærksom på følgende punkter
Hold dig opdateret om dine beskeder. Jo længere et kompromis bliver opdaget, jo større er risikoen for omfattende indvirkning og omkostninger for din organisation, dine kunder og dine partnere. Tidlig registrering og rettidig reaktion er afgørende for at afhjælpe trusler, og især når en brugers konto kompromitteres.
Automatisering hjælper dit team af sikkerhedshandlinger. Automatiserede undersøgelses- og svarfunktioner kan registrere en kompromitteret bruger tidligt og gøre det muligt for dit team af sikkerhedshandlinger at træffe foranstaltninger til at afhjælpe truslen. Har du brug for hjælp til dette? Se Gennemse og godkend handlinger.