Vaarantuneita käyttäjätilejä käsitellään automatisoidulla tutkimuksella ja vastauksella

• Koskee seuraavia::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Microsoft Defender for Office 365 suunnitelma 2 sisältää tehokkaat automaattiset tutkimus- ja reagointitoiminnot. Tällaiset ominaisuudet voivat säästää suojaustoimintatiimiltäsi paljon aikaa ja vaivaa uhkien käsittelemiseen. Tässä artikkelissa kuvataan yksi AIR-toimintojen faseteista, vaarantunut käyttäjän suojauksen pelikirja.

Vaarantunut käyttäjien suojauksen pelikirja mahdollistaa organisaatiosi suojaustiimille seuraavat:

• Vaarantuneiden käyttäjätilien tunnistuksen nopeuttaminen;
• Rajoita tietomurron laajuutta, kun tili on vaarantunut. ja
• Reagoi vaarantuneita käyttäjiä varten entistä tehokkaammin.

Vaarantuneet käyttäjäilmoitukset

Kun käyttäjätili on vaarantunut, tapahtuu epätyypillistä tai poikkeavaa toimintaa. Esimerkiksi tietojenkalastelu- ja roskapostiviestit saatetaan lähettää sisäisesti luotetulta käyttäjätililtä. Defender for Office 365 voivat havaita tällaisia poikkeamia sähköpostimalleissa ja yhteistyötoiminnassa Office 365. Kun näin tapahtuu, hälytykset käynnistyvät ja uhkien lieventämisprosessi alkaa.

Vaarantuneelle käyttäjälle vastaaminen ja tutkiminen

Kun käyttäjätili on vaarantunut, hälytykset käynnistyvät. Joissakin tapauksissa kyseinen käyttäjätili on estetty ja se ei voi lähettää muita sähköpostiviestejä, ennen kuin organisaatiosi suojaustiimi on ratkaissut ongelman. Muissa tapauksissa aloitetaan automatisoitu tutkimus, joka voi johtaa suositeltuihin toimiin, jotka tietoturvatiimisi tulisi suorittaa.

• Rajoitettujen käyttäjien tarkasteleminen ja tutkiminen

• Automaattisia tutkimuksia koskevien tietojen tarkasteleminen

Tärkeää

Sinulla on oltava tarvittavat oikeudet seuraavien tehtävien suorittamiseen. Katso Pakolliset käyttöoikeudet AIR-ominaisuuksien käyttämiseksi.

Katso tästä lyhyestä videosta, miten voit tunnistaa käyttäjien kompromisseja ja reagoida niihin Microsoft Defender for Office 365 käyttämällä automaattista tutkintaa ja reagointia (AIR) ja vaarantuneita käyttäjäilmoituksia.

Rajoitettujen käyttäjien tarkasteleminen ja tutkiminen

Voit siirtyä rajoitettujen käyttäjien luetteloon muutamalla eri tavalla. Esimerkiksi Microsoft Defender portaalissa voit siirtyä kohtaan Sähköposti & yhteistyö>Tarkista>rajoitetut käyttäjät. Seuraavassa kuvataan siirtyminen Ilmoitusten koontinäytön avulla, mikä on hyvä tapa nähdä erilaisia mahdollisesti käynnistettyjä ilmoituksia.

1. Avaa Microsoft Defender portaali osoitteessa https://security.microsoft.com ja siirry kohtaan Tapaukset & hälytykset>. Voit myös siirtyä suoraan Ilmoitukset-sivulle valitsemalla https://security.microsoft.com/alerts.

2. Suodata Ilmoitukset-sivulla tulokset ajanjakson mukaan ja käytäntö nimeltä Käyttäjä on rajoitettu lähettämään sähköpostia.

   

3. Jos valitset merkinnän napsauttamalla nimeä, käyttäjä, joka ei voi lähettää sähköpostisivua , avautuu ja sisältää lisätietoja tarkistettavaksesi. Voit valita Hallitse ilmoituksia -painikkeen vieressä Lisää vaihtoehtoja ja valita sitten Näytä rajoitetut käyttäjätiedot siirtyäksesi Rajoitetut käyttäjät -sivulle, jossa voit vapauttaa rajoitetun käyttäjän.

Automaattisia tutkimuksia koskevien tietojen tarkasteleminen

Kun automatisoitu tutkimus on aloitettu, näet sen tiedot ja tulokset toimintokeskuksessa Microsoft Defender-portaalissa.

Lisätietoja on artikkelissa Tutkimuksen tietojen tarkasteleminen.

Pidä seuraavat asiat mielessä

• Pysy hälytysten päällä. Kuten tiedät, mitä kauemmin kompromissi jää huomaamatta, sitä suurempi on vaikutus ja kustannukset organisaatioosi, asiakkaisihisi ja kumppaneihisi. Varhainen tunnistaminen ja oikea-aikainen reagointi ovat kriittisiä uhkien lieventämiseksi erityisesti silloin, kun käyttäjän tili on vaarantunut.

• Automaatio avustaa suojaustoimintaryhmääsi. Automaattiset tutkinta- ja vastaustoiminnot voivat havaita vaarantuneet käyttäjät varhaisessa vaiheessa ja antaa suojaustoimintaryhmällesi mahdollisuuden ryhtyä toimiin uhan korjaamiseksi. Tarvitsetko apua tähän? Katso Tarkista ja hyväksy toimintoja.

Seuraavat vaiheet

• Tarkista vaaditut käyttöoikeudet AIR-ominaisuuksien käyttämiseksi

• Etsi ja tutki haitallisia sähköpostiviestejä Office 365

• Lue lisätietoja airista Microsoft Defender for Endpoint

• Tutustu Microsoft 365:n etenemissuunnitelmaan ja katso, mitä pian on tulossa, ja julkaise