korjaustoiminnot Microsoft Defender for Office 365
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Korjaustoimet
Microsoft Defender for Office 365 uhkien suojausominaisuudet sisältävät tiettyjä korjaustoimintoja. Tällaisia korjaustoimintoja voivat olla esimerkiksi seuraavat:
- Sähköpostiviestien tai klustereiden pehmeä poisto
- Url-esto (napsautusaika)
- Poista käytöstä ulkoisten viestien edelleenlähetys
- Poista delegointi käytöstä
Microsoft Defender for Office 365 korjaustoimintoja ei toteuteta automaattisesti. Sen sijaan korjaustoimintoja suoritetaan vain organisaation suojaustoimintatiimin hyväksynnän jälkeen.
Uhka- ja korjaustoiminnot
Microsoft Defender for Office 365 sisältää korjaustoimintoja erilaisten uhkien torjumiseksi. Automatisoidut tutkimukset johtavat usein yhteen tai useampaan tarkistettavaan ja hyväksyttävään korjaustoimintoon. Joissakin tapauksissa automatisoitu tutkimus ei johda tiettyyn korjaustoimintoon. Jos haluat tutkia asiaa tarkemmin ja ryhtyä asianmukaisiin toimiin, käytä seuraavan taulukon ohjeita.
| Luokka | Uhka/riski | Korjaustoiminnot |
|---|---|---|
| Sähköposti | Haittaohjelma | Sähköpostin tai klusterin pehmeä poisto Jos yli kourallinen klusterin sähköpostiviestejä sisältää haittaohjelmia, klusteria pidetään haitallisena. |
| Sähköposti | Haitallinen URL-osoite ( Turvalliset linkit havaitsivat haitallisen URL-osoitteen.) |
Sähköpostin tai klusterin pehmeä poisto Url-esto (napsautuksen aikavahvistus) Haitallisia URL-osoitteita sisältävää sähköpostia pidetään pahantahtoisena. |
| Sähköposti | Tietojen kalastelu | Sähköpostin tai klusterin pehmeä poisto Jos yli kourallinen klusterin sähköpostiviestejä sisältää tietojenkalasteluyrityksiä, koko klusteria pidetään tietojenkalasteluyrityksenä. |
| Sähköposti | Zapped phish (Sähköpostiviestit toimitettiin ja sitten zapped.) |
Sähköpostin tai klusterin pehmeä poisto Raportit ovat käytettävissä zapped-viestien tarkastelemiseen. Tarkista, siirsikö ZAP viestin ja usein kysytyt kysymykset. |
| Sähköposti | Käyttäjän ilmoittama vastaamaton tietojen kalasteluviesti | Käyttäjän raportin käynnistämä automatisoitu tutkimus |
| Sähköposti | Tilavuuspoikkeama (Viimeksi käytettyjen sähköpostien määrä ylittää edelliset 7–10 päivää täyttävien ehtojen osalta.) |
Automaattinen tutkimus ei johda tiettyyn odottavaan toimintoon. Volyymipoikkeama ei ole selvä uhka, mutta se on vain osoitus viime päivien suuremmista sähköpostimääristä verrattuna edelliseen 7–10 päivään. Vaikka suuri määrä sähköpostiviestejä voi olla merkkinä mahdollisista ongelmista, tarvitaan vahvistusta joko haitallisten tuomioiden tai sähköpostiviestien/klustereiden manuaalisen tarkistuksen osalta. Katso Etsi epäilyttävä sähköposti, joka toimitettiin. |
| Sähköposti | Uhkia ei löytynyt (Järjestelmä ei löytänyt uhkia, jotka perustuivat tiedostoihin, URL-osoitteisiin tai sähköpostiklusterin tuomioiden analyysiin.) |
Automaattinen tutkimus ei johda tiettyyn odottavaan toimintoon. Tutkimuksen valmistuttua löydetyt ja räjätetyt uhat eivät näy tutkimuksen numeerisissa havainnoissa, mutta tällaiset uhat ovat nähtävissä Threat Explorerissa. |
| Käyttäjä | Käyttäjä napsautti haitallista URL-osoitetta (Käyttäjä pääsi sivulle, joka myöhemmin todettiin haitalliseksi, tai käyttäjä ohitti Turvalliset linkit -varoitussivun päästäkseen haitalliselle sivulle.) |
Automaattinen tutkimus ei johda tiettyyn odottavaan toimintoon. Url-esto (napsautusaika) Threat Explorerin avulla voit tarkastella URL-osoitteita koskevia tietoja ja napsauttaa tuomioita. Jos organisaatiosi käyttää Microsoft Defender for Endpoint, harkitse käyttäjän tutkimista sen selvittämiseksi, onko hänen tilinsä vaarantunut. |
| Käyttäjä | Käyttäjä lähettää haittaohjelmia/tietojenkalastelutoimintoja | Automaattinen tutkimus ei johda tiettyyn odottavaan toimintoon. Käyttäjä saattaa ilmoittaa haittaohjelmasta tai tietojenkalastelusta, tai joku saattaa huijata käyttäjää osana hyökkäystä. Threat Explorerin avulla voit tarkastella ja käsitellä haittaohjelmia tai tietojenkalastelua sisältäviä sähköpostiviestejä. |
| Käyttäjä | Sähköpostiviestien edelleenlähetys (Postilaatikon edelleenlähetyssäännöt on määritetty, chch:tä voidaan käyttää tietojen suodatusta varten.) |
Poista edelleenlähetyssääntö Automaattisesti jaetut viestit -raportin avulla voit tarkastella välitettyjen sähköpostiviestien tiettyjä tietoja. |
| Käyttäjä | Sähköpostin delegoinnin säännöt (Käyttäjän tilille on määritetty delegointeja.) |
Poista delegointisääntö Jos organisaatiosi käyttää Microsoft Defender for Endpoint, harkitse sen käyttäjän tutkimista, joka saa delegoinnin käyttöoikeuden. |
| Käyttäjä | Tietojen suodatus (Käyttäjä on rikkonut sähköpostin tai tiedostojen jakamisen DLP-käytäntöjä |
Automaattinen tutkimus ei johda tiettyyn odottavaan toimintoon. |
| Käyttäjä | Poikkeava sähköpostin lähettäminen (Käyttäjä on äskettäin lähettänyt enemmän sähköpostia kuin edellisten 7-10 päivän aikana.) |
Automaattinen tutkimus ei johda tiettyyn odottavaan toimintoon. Suuren sähköpostimäärän lähettäminen ei ole haitallista. käyttäjä on ehkä juuri lähettänyt sähköpostiviestin suurelle määrälle tapahtuman vastaanottajia. Voit tutkia asiaa käyttämällä EAC:n EAC- ja Lähtevä viesti -raportissa olevia uusia käyttäjiä, jotka välittävät merkityksellisiä sähköpostiviestejä, ja määrittämään, mitä on tekeillä, ja ryhtymään toimiin. |
Seuraavat vaiheet
- Microsoft Defender for Office 365 automatisoidun tutkimuksen tietojen ja tulosten tarkasteleminen
- Tarkastele odottavia tai valmiita korjaustoimintoja Microsoft Defender for Office 365