Riasztási szabályzatok a Microsoft 365-ben

A riasztási szabályzatok és a riasztási irányítópult a Microsoft Purview megfelelőségi portál vagy a Microsoft 365 Defender portálon való használatával riasztási szabályzatokat hozhat létre, majd megtekintheti azokat a riasztásokat, amelyek akkor jönnek létre, amikor a felhasználók a riasztási szabályzat feltételeinek megfelelő tevékenységeket végeznek. Számos alapértelmezett riasztási szabályzat segít olyan tevékenységek figyelésében, mint például a rendszergazdai jogosultságok hozzárendelése a Exchange Online, a kártevők elleni támadások, az adathalászati kampányok, valamint a fájltörlések és a külső megosztás szokatlan szintjei.

Tipp

Az elérhető riasztási szabályzatok listáját és leírását a jelen cikk Alapértelmezett riasztási házirendek szakaszában találja.

A riasztási szabályzatokkal kategorizálhatja a házirend által aktivált riasztásokat, alkalmazhatja a házirendet a szervezet összes felhasználója számára, küszöbértéket állíthat be a riasztások aktiválásakor, és eldöntheti, hogy e-mail-értesítéseket kapjon-e a riasztások aktiválásakor. Van egy Riasztások lap is, ahol megtekintheti és szűrheti a riasztásokat, riasztási állapotot állíthat be a riasztások kezeléséhez, majd elvetheti a riasztásokat a mögöttes incidens kezelése vagy megoldása után.

Megjegyzés

A riasztási szabályzatok Microsoft 365 Nagyvállalati verzió, Office 365 Nagyvállalati verzió vagy Office 365 US Government E1/F1/G1, E3/F3/G3 vagy E5/G5 előfizetéssel rendelkező szervezetek számára érhetők el. A speciális funkciók csak az E5/G5-előfizetéssel rendelkező szervezetek, illetve az E1/F1/G1 vagy E3/F3/G3 előfizetéssel és Office 365-höz készült Microsoft Defender P2 vagy Microsoft 365 Megfelelőség E5 csomag vagy E5 feltárási és naplózási bővítmény-előfizetéssel rendelkező szervezetek számára érhetők el. Az E5/G5- vagy bővítmény-előfizetést igénylő funkciók ki lesznek emelve ebben a témakörben. Azt is vegye figyelembe, hogy a riasztási szabályzatok Office 365 GCC, GCC High és DoD US government környezetekben érhetők el.

A riasztási szabályzatok működése

Íme egy gyors áttekintés a riasztási szabályzatok működéséről, valamint azokról a riasztásokról, amelyek akkor aktiválódnak, ha a felhasználói vagy rendszergazdai tevékenység megfelel egy riasztási szabályzat feltételeinek.

A riasztási szabályzatok működésének áttekintése.

  1. A szervezet egyik rendszergazdája riasztási szabályzatot hoz létre, konfigurál és kapcsol be a megfelelőségi portál riasztási házirendek lapján vagy a Microsoft 365 Defender portálon. Riasztási szabályzatokat a Security & Compliance PowerShell New-ProtectionAlert parancsmagjának használatával is létrehozhat.

    Riasztási szabályzatok létrehozásához hozzá kell rendelnie a Riasztások kezelése szerepkört vagy a Szervezeti konfiguráció szerepkört a megfelelőségi portálon vagy a Defender portálon.

    Megjegyzés

    A riasztási szabályzat létrehozása vagy frissítése után akár 24 óra is eltelhet, mire a szabályzat riasztásokat aktiválhat. Ennek az az oka, hogy a szabályzatot szinkronizálni kell a riasztásészlelési motorral.

  2. A felhasználó olyan tevékenységet hajt végre, amely megfelel egy riasztási szabályzat feltételeinek. Kártevőtámadások esetén a szervezet felhasználóinak küldött fertőzött e-mailek riasztást váltanak ki.

  3. A Microsoft 365 létrehoz egy riasztást, amely a megfelelőségi portál vagy a Defender portál Riasztások lapján jelenik meg. Ha az e-mail-értesítések engedélyezve vannak a riasztási szabályzathoz, a Microsoft értesítést küld a címzettek listájának. Azokat a riasztásokat, amelyeket egy rendszergazda vagy más felhasználók láthatnak, a Riasztások lapon a felhasználóhoz rendelt szerepkörök határozzák meg. További információ: A riasztások megtekintéséhez szükséges RBAC-engedélyek.

  4. A rendszergazda kezeli a riasztásokat a Microsoft Purview megfelelőségi portál. A riasztások kezelése egy riasztási állapot hozzárendeléséből áll, amely segít a vizsgálatok nyomon követésében és kezelésében.

Riasztási szabályzat beállításai

A riasztási szabályzatok olyan szabályokból és feltételekből állnak, amelyek meghatározzák a riasztást létrehozó felhasználói vagy rendszergazdai tevékenységet, a riasztást a tevékenység végrehajtásakor aktiváló felhasználók listáját, valamint egy küszöbértéket, amely meghatározza, hogy a tevékenységnek hányszor kell történnie a riasztás aktiválása előtt. Emellett kategorizálhatja a szabályzatot, és hozzárendelheti egy súlyossági szinthez. Ez a két beállítás segít kezelni a riasztási szabályzatokat (és azokat a riasztásokat, amelyek akkor aktiválódnak, amikor a szabályzat feltételei teljesülnek), mivel ezekre a beállításokra szűrhet a szabályzatok kezelésekor és a riasztások megtekintésekor a Microsoft Purview megfelelőségi portál. Megtekintheti például az azonos kategóriába tartozó feltételeknek megfelelő riasztásokat, vagy megtekintheti az azonos súlyossági szinttel rendelkező riasztásokat.

Riasztási szabályzatok megtekintése és létrehozása:

Megjegyzés

A riasztási szabályzatok Microsoft Purview megfelelőségi portál vagy a Microsoft 365 Defender portálon való megtekintéséhez hozzá kell rendelnie a View-Only Riasztások kezelése szerepkört. Riasztási szabályzatok létrehozásához és szerkesztéséhez hozzá kell rendelnie a Riasztások kezelése szerepkört. További információ: Engedélyek a Microsoft Purview megfelelőségi portál.

A riasztási szabályzat a következő beállításokból és feltételekből áll.

  • Tevékenység, amelyet a riasztás követ. Létrehozhat egy olyan szabályzatot, amely nyomon követ egy tevékenységet, vagy néhány kapcsolódó tevékenységet, például megoszt egy fájlt egy külső felhasználóval a megosztásával, hozzáférési engedélyek hozzárendelésével vagy névtelen hivatkozás létrehozásával. Amikor egy felhasználó végrehajtja a szabályzat által meghatározott tevékenységet, a riasztás küszöbérték-beállításai alapján riasztás aktiválódik.

    Megjegyzés

    A nyomon követhető tevékenységek a szervezet Office 365 Nagyvállalati verzió vagy az USA kormányzati szerveinek Office 365 tervétől függenek. A kártevőkampányokhoz és adathalászati támadásokhoz kapcsolódó tevékenységekhez általában E5/G5-előfizetésre vagy E1/F1/G1 vagy E3/F3/G3 előfizetésre van szükség, amely Office 365-höz készült Defender 2. csomag bővítmény-előfizetéssel rendelkezik.

  • Tevékenységfeltételek. A legtöbb tevékenységhez megadhat további feltételeket, amelyeknek teljesülniük kell egy riasztás aktiválásához. A gyakori feltételek közé tartoznak az IP-címek (így a riasztás akkor aktiválódik, amikor a felhasználó egy adott IP-címmel vagy IP-címtartományon belül végzi a tevékenységet egy számítógépen), hogy egy adott felhasználó vagy felhasználó végrehajtja-e ezt a tevékenységet, és hogy a tevékenységet egy adott fájlnéven vagy URL-címen hajtják-e végre. Konfigurálhat egy olyan feltételt is, amely riasztást aktivál, ha a tevékenységet a szervezet bármely felhasználója végrehajtja. A rendelkezésre álló feltételek a kiválasztott tevékenységtől függnek.

A felhasználói címkéket riasztási szabályzat feltételeként is definiálhatja. Ez azt eredményezi, hogy a szabályzat által aktivált riasztások tartalmazzák az érintett felhasználó környezetét. Rendszerfelhasználói vagy egyéni felhasználói címkéket is használhat. További információ: Felhasználói címkék a Office 365-höz készült Microsoft Defender.

  • A riasztás aktiválásakor. Konfigurálhat egy beállítást, amely meghatározza, hogy milyen gyakran fordulhat elő tevékenység a riasztás aktiválása előtt. Ez lehetővé teszi, hogy beállítson egy szabályzatot úgy, hogy riasztást hozzon létre minden alkalommal, amikor egy tevékenység megfelel a szabályzat feltételeinek, amikor túllép egy bizonyos küszöbértéket, vagy amikor a riasztás által nyomon követett tevékenység előfordulása szokatlanná válik a szervezet számára.

    A riasztások aktiválásának konfigurálása a tevékenység bekövetkezése, a küszöbérték vagy a szervezet szokatlan tevékenysége alapján.

    Ha szokatlan tevékenység alapján választja ki a beállítást, a Microsoft létrehoz egy alapértéket, amely meghatározza a kiválasztott tevékenység normál gyakoriságát. Ennek az alapkonfigurációnak a létrehozása akár hét napot is igénybe vehet, amely alatt nem jönnek létre riasztások. Az alapkonfiguráció létrehozása után riasztás akkor aktiválódik, ha a riasztási szabályzat által nyomon követett tevékenység gyakorisága jelentősen meghaladja az alapértéket. A naplózással kapcsolatos tevékenységek (például fájl- és mappatevékenységek) esetében létrehozhat egy alapkonfigurációt egyetlen felhasználó vagy a szervezet összes felhasználója alapján; a kártevőkhez kapcsolódó tevékenységekhez létrehozhat egy alapkonfigurációt egyetlen kártevőcsalád, egyetlen címzett vagy a szervezet összes üzenete alapján.

    Megjegyzés

    A riasztási szabályzatok küszöbértéken vagy szokatlan tevékenységen alapuló konfigurálásához E5/G5-előfizetés, illetve E1/F1/G1 vagy E3/F3/G3 előfizetés szükséges, amely Office 365-höz készült Microsoft Defender P2, Microsoft 365 Megfelelőség E5 csomag vagy Microsoft 365 elektronikus adatok feltárása és naplózása bővítmény-előfizetéssel rendelkezik. Az E1/F1/G1 és E3/F3/G3 előfizetéssel rendelkező szervezetek csak akkor hozhatnak létre riasztási szabályzatokat, ha a riasztás minden tevékenység bekövetkezésekor aktiválódik.

  • Riasztási kategória. A szabályzatok által létrehozott riasztások nyomon követéséhez és kezeléséhez az alábbi kategóriák egyikét rendelheti hozzá egy szabályzathoz.

    • Adatveszteség-megelőzés
    • Adatkezelés
    • Levélforgalom
    • Engedélyek
    • Fenyegetéskezelés
    • Mások

    Ha olyan tevékenység történik, amely megfelel a riasztási szabályzat feltételeinek, a létrehozott riasztást a rendszer az ebben a beállításban meghatározott kategóriával címkézi meg. Ez lehetővé teszi az azonos kategóriabeállítással rendelkező riasztások nyomon követését és kezelését a Microsoft Purview portál Riasztások lapján, mivel a riasztásokat kategóriák alapján rendezheti és szűrheti.

  • Riasztás súlyossága. A riasztási kategóriához hasonlóan egy súlyossági attribútumot (Alacsony, Közepes, Magas vagy Tájékoztató) rendel a riasztási szabályzatokhoz. A riasztási kategóriához hasonlóan, ha a riasztási szabályzat feltételeinek megfelelő tevékenység történik, a létrehozott riasztást a rendszer a riasztási szabályzathoz beállított súlyossági szinttel címkézi meg. Ez ismét lehetővé teszi az azonos súlyosságú riasztások nyomon követését és kezelését a Riasztások lapon. Szűrheti például a riasztások listáját úgy, hogy csak a nagy súlyosságú riasztások jelenjenek meg.

    Tipp

    Riasztási szabályzat beállításakor érdemes lehet magasabb súlyosságot rendelni azokhoz a tevékenységekhez, amelyek súlyos negatív következményekkel járhatnak, például a kártevők észlelése a felhasználóknak való továbbítás után, bizalmas vagy besorolt adatok megtekintése, adatok megosztása külső felhasználókkal, vagy egyéb olyan tevékenységek, amelyek adatvesztést vagy biztonsági fenyegetést okozhatnak. Ez segíthet a riasztások és a mögöttes okok kivizsgálására és megoldására tett műveletek rangsorolásában.

  • Automatizált vizsgálatok. Egyes riasztások automatizált vizsgálatokat indítanak a lehetséges fenyegetések és kockázatok azonosításához, amelyek szervizelést vagy kockázatcsökkentést igényelnek. A legtöbb esetben ezeket a riasztásokat rosszindulatú e-mailek vagy tevékenységek észlelése váltja ki, de bizonyos esetekben a riasztásokat rendszergazdai műveletek aktiválják a biztonsági portálon. Az automatizált vizsgálatokkal kapcsolatos további információkért lásd az Office 365-höz készült Microsoft Defender automatizált vizsgálat és reagálás (AIR) című témakörét.

  • értesítések Email. Beállíthatja a házirendet úgy, hogy a rendszer riasztás aktiválásakor e-mail-értesítéseket küldjön (vagy ne küldjön) a felhasználók listájának. Napi értesítési korlátot is beállíthat, így ha elérte az értesítések maximális számát, akkor az adott nap folyamán a rendszer nem küld több értesítést a riasztásról. Az e-mailes értesítések mellett Ön vagy más rendszergazdák is megtekinthetik azokat a riasztásokat, amelyeket egy szabályzat aktivál a Riasztások lapon. Fontolja meg az e-mail-értesítések engedélyezését egy adott kategóriába tartozó vagy magasabb súlyosságú riasztási szabályzatokhoz.

Alapértelmezett riasztási szabályzatok

A Microsoft beépített riasztási szabályzatokat biztosít, amelyek segítenek azonosítani az Exchange rendszergazdai engedélyekkel való visszaéléseit, a kártevők tevékenységét, a potenciális külső és belső fenyegetéseket, valamint az információszabályozási kockázatokat. A Riasztási szabályzatok lapon a beépített szabályzatok neve félkövér, a házirend típusa pedig Rendszer. Ezek a szabályzatok alapértelmezés szerint be vannak kapcsolva. Kikapcsolhatja ezeket a házirendeket (vagy ismét bekapcsolhatja), beállíthatja a címzettek listáját, hogy e-mail-értesítéseket küldjön, és beállíthat egy napi értesítési korlátot. A házirendek egyéb beállításai nem szerkeszthetők.

Az alábbi táblázatok felsorolják és ismertetik az elérhető alapértelmezett riasztási szabályzatokat, valamint azt a kategóriát, amelyhez az egyes szabályzatok hozzá vannak rendelve. Ez a kategória határozza meg, hogy a felhasználó mely riasztásokat tekintheti meg a Riasztások lapon. További információ: A riasztások megtekintéséhez szükséges RBAC-engedélyek.

A táblák azt is jelzik, hogy az egyes csomagokhoz milyen Office 365 Nagyvállalati verzió és Office 365 US Government-csomag szükséges. Egyes alapértelmezett riasztási szabályzatok akkor érhetők el, ha a szervezet egy E1/F1/G1 vagy E3/F3/G3 előfizetés mellett rendelkezik a megfelelő bővítmény-előfizetéssel.

Megjegyzés

Egyes beépített szabályzatok által figyelt szokatlan tevékenység ugyanazon a folyamaton alapul, mint a korábban leírt riasztási küszöbérték-beállítás. A Microsoft létrehoz egy alapértéket, amely meghatározza a "szokásos" tevékenységek normál gyakoriságát. A riasztások akkor aktiválódnak, ha a beépített riasztási szabályzat által nyomon követett tevékenységek gyakorisága jelentősen meghaladja az alapértéket.

Információirányítási riasztási szabályzatok

Name (Név) Leírás Súlyossága Automatizált vizsgálat Nagyvállalati előfizetés
Szokatlan külső felhasználói fájltevékenység Riasztást hoz létre, ha a szervezeten kívüli felhasználók szokatlanul sok tevékenységet végeznek a SharePointban vagy a OneDrive-on tárolt fájlokon. Ebbe beletartoznak az olyan tevékenységek, mint a fájlok elérése, a fájlok letöltése és a fájlok törlése. Magas Nem E5/G5, Office 365-höz készült Microsoft Defender P2 vagy Microsoft 365 E5 bővítmény-előfizetés
Szokatlan mennyiségű külső fájlmegosztás Riasztást küld, ha a SharePointban vagy a OneDrive-on szokatlanul sok fájlt osztanak meg a szervezeten kívüli felhasználókkal. Közepes Nem E5/G5, Office 365-höz készült Defender P2 vagy Microsoft 365 E5 bővítmény-előfizetés
Szokatlan mennyiségű fájl törlése Riasztást küld, ha a SharePointban vagy a OneDrive-on szokatlanul nagy számú fájlt törölnek rövid időn belül. Közepes Nem E5/G5, Office 365-höz készült Defender P2 vagy Microsoft 365 E5 bővítmény-előfizetés

E-mail-forgalomra vonatkozó riasztási szabályzatok

Name (Név) Leírás Súlyossága Automatizált vizsgálat Nagyvállalati előfizetés
Az üzenetek késtek Riasztást hoz létre, ha a Microsoft nem tud e-maileket kézbesíteni a helyszíni szervezetnek vagy partnerkiszolgálónak összekötő használatával. Ebben az esetben az üzenet várólistára kerül a Office 365. Ez a riasztás akkor aktiválódik, ha több mint 2000 üzenet van várólistán egy óránál tovább. Magas Nem E1/F1/G1, E3/F3/G3 vagy E5/G5

Engedélyriasztási szabályzatok

Name (Név) Leírás Súlyossága Automatizált vizsgálat Nagyvállalati előfizetés
Az Exchange rendszergazdai jogosultságának emelése Riasztást hoz létre, ha valaki rendszergazdai engedélyeket kap a Exchange Online szervezetében. Ha például hozzáad egy felhasználót a Szervezetkezelés szerepkörcsoporthoz Exchange Online. Alacsony Nem E1/F1/G1, E3/F3/G3 vagy E5/G5

Fenyegetéskezelési riasztási szabályzatok

Megjegyzés

Ideiglenesen eltávolítottuk a bérlői vagy felhasználói felülbírálás és a felhasználói megszemélyesítési adathalászat miatt kézbesített adathalászatot a beérkezett üzenetek/mappák alapértelmezett riasztási házirendjeibe az ügyfelek visszajelzései alapján. Dolgozunk a fejlesztésen, és végül új verziókra cseréljük őket. Addig is létrehozhat egyéni riasztási szabályzatokat, amelyek a működésüket a következő feltételekkel cserélik le:

  • Tevékenység: Adathalász e-mail észlelése a kézbesítéskor
  • A posta nem ZAP'd
  • A levél iránya: Bejövő
  • A levélkézbesítés állapota: Kézbesítve
  • Az észlelési technológia a következő:
    • Bérlői vagy felhasználói felülbírálás miatt kézbesített adathalászat replikálása: rosszindulatú URL-cím megőrzése, URL-detonáció, speciális adathalász szűrő, általános adathalász szűrő, tartományi megszemélyesítés, felhasználói megszemélyesítés és márka megszemélyesítése.
    • A Beérkezett üzenetek mappába/mappába kézbesített felhasználói megszemélyesítési adathalászat replikálása: Felhasználó megszemélyesítése

Az adathalászat elleni Office 365 kapcsolatos további információkért lásd: Adathalászat elleni és adathalászat elleni házirendek beállítása.

Name (Név) Leírás Súlyossága Automatizált vizsgálat Nagyvállalati előfizetés
A rendszer rosszindulatú URL-kattintást észlelt Riasztást hoz létre, ha a szervezet biztonságos hivatkozásokkal védett felhasználója rosszindulatú hivatkozásra kattint. Ez a riasztás akkor jön létre, amikor egy felhasználó egy hivatkozásra kattint, és ez az esemény elindítja az URL-döntés módosításának azonosítását Office 365-höz készült Microsoft Defender. Ez a riasztás automatikusan elindítja az automatikus vizsgálatot és választ a Office 365. A riasztást kiváltó eseményekről további információt a Biztonságos hivatkozások házirendek beállítása című témakörben talál. Magas Igen E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
Egy felhasználó átkattintott egy potenciálisan rosszindulatú URL-címre Riasztást hoz létre, ha a szervezet biztonságos hivatkozásokkal védett felhasználója rosszindulatú hivatkozásra kattint. Ez az esemény akkor aktiválódik, ha a felhasználó egy URL-címre kattint (amely rosszindulatúként vagy függőben lévő ellenőrzésként van azonosítva), és felülbírálja a Biztonságos hivatkozások figyelmeztető oldalt (a szervezet Microsoft 365 Vállalati verzió biztonságos hivatkozásaira vonatkozó szabályzata alapján), hogy továbbra is az URL-cím által üzemeltetett lapra vagy tartalomra lépjen. Office 365-höz készült Defender P2, E5, G5 ügyfelek esetében ez a riasztás automatikusan elindítja az automatikus vizsgálatot és választ Office 365. A riasztást kiváltó eseményekről további információt a Biztonságos hivatkozások házirendek beállítása című témakörben talál. Magas Igen E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
Rendszergazda beküldési eredmény befejeződött Riasztást hoz létre, amikor egy Rendszergazda beküldése befejezi a beküldött entitás ismételt vizsgálatait. A rendszer minden alkalommal aktivál egy riasztást, amikor egy Rendszergazda-beküldésből újra megvizsgálja az eredményt.

Ezek a riasztások emlékeztetik Önt a korábbi beküldések eredményeinek áttekintésére, a felhasználók által jelentett üzenetek elküldésére a legújabb szabályzatellenőrzéshez és az ítéletek ismételt vizsgálatához, valamint annak meghatározásához, hogy a szervezet szűrési szabályzatai a kívánt hatással vannak-e.
Információs Nem E1/F1, E3/F3 vagy E5
az e-mailek manuális vizsgálatának Rendszergazda aktiválva Riasztást hoz létre, amikor egy rendszergazda elindítja egy e-mail manuális vizsgálatát a Threat Explorerből. További információ: Példa: Egy biztonsági rendszergazda vizsgálatot indít a Threat Explorerből.

Ez a riasztás értesíti a szervezetet a vizsgálat indításáról. A riasztás információt nyújt arról, hogy ki aktiválta azt, és tartalmaz egy, a vizsgálatra mutató hivatkozást.
Információs Igen E5/G5 vagy Office 365-höz készült Microsoft Defender P2 bővítmény-előfizetés
Rendszergazda felhasználó sérülésének kivizsgálása Riasztást hoz létre, amikor egy rendszergazda elindítja az e-mail feladójának vagy címzettjének manuális, a Veszélyforrás-kezelőből származó felhasználói sérülés vizsgálatát. További információ : Példa: Egy biztonsági rendszergazda vizsgálatot indít a Threat Explorerből, amely egy e-mail vizsgálatának kapcsolódó manuális aktiválását mutatja be. Ez a riasztás értesíti a szervezetet arról, hogy a felhasználó sérülésének kivizsgálása megkezdődött.

A riasztás információt nyújt arról, hogy ki aktiválta azt, és tartalmaz egy, a vizsgálatra mutató hivatkozást.
Közepes Igen E5/G5 vagy Office 365-höz készült Microsoft Defender P2 bővítmény-előfizetés
Rendszergazda által benyújtott felügyeleti művelet A rendszergazdák különböző felületek használatával manuális e-mail-műveleteket végezhetnek az e-mail-entitásokon. Ilyen például a Veszélyforrás-kezelő, a speciális veszélyforrás-keresés vagy az egyéni észlelés. Amikor a szervizelés elindul, riasztást generál. Ez a riasztás megjelenik a riasztások várólistájában a rendszergazda által elküldött Rendszergazdai művelet névvel, amely azt jelzi, hogy egy rendszergazda egy entitás szervizelését végezte el. A riasztás olyan részleteket tartalmaz, mint a művelet típusa, a támogatási vizsgálati hivatkozás, az idő stb. Hasznos tudni, hogy mikor hajtanak végre bizalmas műveleteket, például szervizelést az entitásokon. Információs Igen E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
Továbbítási/átirányítási szabály létrehozása Riasztást hoz létre, ha a szervezet egyik tagja létrehoz egy levelezési szabályt a postaládájához, amely üzeneteket továbbít vagy átirányít egy másik e-mail fiókba. Ez a szabályzat csak a Webes Outlook (korábbi nevén Outlook Web App) vagy Exchange Online PowerShell használatával létrehozott levelezési szabályokat követi nyomon. Ha többet szeretne tudni arról, hogy a levelezési szabályokkal továbbíthatja és átirányíthatja az e-maileket Webes Outlook, olvassa el a Szabályok használata a Webes Outlook-ben az üzenetek automatikus továbbítását egy másik fiókba című témakörben. Információs Nem E1/F1/G1, E3/F3/G3 vagy E5/G5
Feltárási keresés indult vagy exportált Riasztást hoz létre, ha valaki a Microsoft Purview portál Tartalomkereső eszközét használja. Riasztás akkor aktiválódik, ha a rendszer a következő tartalomkeresési tevékenységeket hajtja végre:

  • Tartalomkeresés indult el
  • A tartalomkeresés eredményeit exportálja a rendszer
  • A tartalomkeresési jelentés exportálása

    A riasztások akkor is aktiválódnak, ha az előző tartalomkeresési tevékenységeket egy feltárási esettel társítva hajtják végre. A tartalomkeresési tevékenységekkel kapcsolatos további információkért lásd: Feltárási tevékenységek keresése az auditnaplóban.
  • Információs Nem E1/F1/G1, E3/F3/G3 vagy E5/G5
    kártékony fájlokat tartalmazó üzenetek Email kézbesítés után eltávolítva Riasztást hoz létre, ha a szervezet postaládáiba rosszindulatú fájlt tartalmazó üzenetek érkeznek. Ha ez az esemény bekövetkezik, a Microsoft nullaórás automatikus törléssel eltávolítja a fertőzött üzeneteket Exchange Online postaládákból. Ez a szabályzat automatikusan elindítja az automatikus vizsgálatot és választ a Office 365. Az új szabályzatról további információt a Office 365-höz készült Microsoft Defender új riasztási szabályzatai című témakörben talál. Információs Igen E5/G5 vagy Office 365-höz készült Microsoft Defender P2 bővítmény-előfizetés
    Email kártékony URL-címeket tartalmazó üzenetek kézbesítés után el lettek távolítva Riasztást hoz létre, ha a szervezet postaládáiba rosszindulatú URL-címet tartalmazó üzenetek érkeznek. Ha ez az esemény bekövetkezik, a Microsoft nullaórás automatikus törléssel eltávolítja a fertőzött üzeneteket Exchange Online postaládákból. Ez a szabályzat automatikusan elindítja az automatikus vizsgálatot és választ a Office 365. Az új szabályzatról további információt a Office 365-höz készült Microsoft Defender új riasztási szabályzatai című témakörben talál. Információs Igen E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
    A kézbesítés után eltávolított kártevőt tartalmazó üzenetek Email Megjegyzés: Ezt a riasztási házirendet Email kézbesítés után eltávolított kártékony fájlokat tartalmazó üzenetek váltották fel. Ez a riasztási szabályzat végül megszűnik, ezért javasoljuk, hogy tiltsa le ezt a riasztási házirendet, és használjon Email üzeneteket, amelyek a kézbesítés után eltávolított kártékony fájlokat tartalmazzák. További információ: Új riasztási szabályzatok a Office 365-höz készült Microsoft Defender-ban. Információs Igen E5/G5 vagy Office 365-höz készült Microsoft Defender P2 bővítmény-előfizetés
    Email kézbesítés után eltávolított adathalász URL-címeket tartalmazó üzenetek Megjegyzés: Ezt a riasztási házirendet Email kézbesítés után eltávolított kártékony URL-t tartalmazó üzenetek váltották fel. Ez a riasztási szabályzat végül megszűnik, ezért javasoljuk, hogy tiltsa le ezt a riasztási házirendet, és használjon Email üzeneteket, amelyekben a kézbesítés után eltávolított kártékony URL-cím szerepel. További információ: Új riasztási szabályzatok a Office 365-höz készült Microsoft Defender-ban. Információs Igen E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
    Email egy kampány üzeneteit eltávolították a kézbesítés után Riasztást hoz létre, ha a kampányhoz társított üzenetek a szervezet postaládáiba érkeznek. Ha ez az esemény bekövetkezik, a Microsoft nullaórás automatikus törléssel eltávolítja a fertőzött üzeneteket Exchange Online postaládákból. Ez a szabályzat automatikusan elindítja az automatikus vizsgálatot és választ a Office 365. Az új szabályzatról további információt a Office 365-höz készült Microsoft Defender új riasztási szabályzatai című témakörben talál. Információs Igen E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
    Email üzenetek eltávolítása a kézbesítés után Riasztást hoz létre, ha a szervezet postaládáiba kerülnek az olyan rosszindulatú üzenetek, amelyek nem tartalmaznak kártékony entitást (URL-címet vagy fájlt), vagy kampányhoz vannak társítva. Ha ez az esemény bekövetkezik, a Microsoft nullaórás automatikus törléssel eltávolítja a fertőzött üzeneteket Exchange Online postaládákból. Ez a szabályzat automatikusan elindítja az automatikus vizsgálatot és választ a Office 365. Az új szabályzatról további információt a Office 365-höz készült Microsoft Defender új riasztási szabályzatai című témakörben talál. Információs Igen E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
    Email, amelyet a felhasználó kártevőként vagy adathalászatként jelentett be Riasztást hoz létre, amikor a szervezet felhasználói adathalász e-mailként jelentik az üzeneteket a Jelentési üzenet bővítmény használatával. A bővítményről további információt a Jelentésüzenet bővítmény használata című témakörben talál. Office 365-höz készült Defender P2, E5, G5 ügyfelek esetében ez a riasztás automatikusan elindítja az automatikus vizsgálatot és választ Office 365. Alacsony Igen E1/F1/G1, E3/F3/G3 vagy E5/G5
    Email küldési korlát túllépve Riasztást hoz létre, ha a szervezet egyik tagja több e-mailt küldött, mint amennyit a kimenő levélszemét-házirend megenged. Ez általában azt jelzi, hogy a felhasználó túl sok e-mailt küld, vagy a fiók biztonsága sérülhet. Ha a riasztási szabályzat által generált riasztást kap, érdemes ellenőrizni, hogy a felhasználói fiók biztonsága sérült-e. Közepes Nem E1/F1/G1, E3/F3/G3 vagy E5/G5
    Lehetséges adathalászati kísérlet miatt letiltott űrlap Riasztást hoz létre, ha a szervezet egyik tagja nem oszt meg űrlapokat, és nem gyűjt válaszokat az Microsoft Forms az adathalászati kísérlet ismételt észlelése miatt. Magas Nem E1, E3/F3 vagy E5
    Adathalászatként megjelölt és megerősített űrlap Riasztást hoz létre, ha a szervezeten belülről Microsoft Forms létrehozott űrlapot potenciális adathalászatként azonosították a Visszaélés jelentése révén, és a Microsoft adathalászatként igazolta. Magas Nem E1, E3/F3 vagy E5
    HVE – A rendszer rosszindulatú URL-kattintást észlelt Riasztást hoz létre, ha egy prioritási fiókként megjelölt személy rosszindulatú hivatkozásra kattintott. Ez az esemény akkor aktiválódik, ha a felhasználó olyan URL-címre kattint, amely kártékonyként vagy ellenőrzés alatt áll, és felülbírálja a Biztonságos hivatkozások figyelmeztető oldalt, hogy továbbra is az eredeti URL-címet vagy tartalmat használja (a szervezet Biztonságos hivatkozások házirend-beállításai alapján). Ez az esemény elindítja az URL-döntés módosításának azonosítását Office 365-höz készült Microsoft Defender.

    Office 365-höz készült Defender P2, E5, G5 ügyfelek esetében ez a riasztás automatikusan elindítja az automatikus vizsgálatot és választ. További információt a Office 365-höz készült Microsoft Defender felhasználói címkéi és a Biztonságos hivatkozások házirendek beállítása című témakörben talál.
    Magas Nem E1/F1, E3/F3 vagy E5
    Kártevőkampány észlelve a kézbesítés után Riasztást hoz létre, ha szokatlanul sok kártevőt tartalmazó üzenet érkezik a szervezet postaládáiba. Ha ez az esemény bekövetkezik, a Microsoft eltávolítja a fertőzött üzeneteket Exchange Online postaládákból. Magas Nem E5/G5 vagy Office 365-höz készült Microsoft Defender P2 bővítmény-előfizetés
    Kártevőkampány észlelve és letiltva Riasztást hoz létre, ha valaki szokatlanul nagy számú, bizonyos típusú kártevőt tartalmazó e-mailt próbált küldeni a szervezet felhasználóinak. Ha ez az esemény bekövetkezik, a fertőzött üzeneteket a Microsoft blokkolja, és nem érkezik meg a postaládákba. Alacsony Nem E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
    Kártevőkampány észlelhető a SharePointban és a OneDrive-on Riasztást hoz létre, ha szokatlanul nagy mennyiségű kártevőt vagy vírust észlel a szervezet SharePoint-webhelyein vagy OneDrive-fiókjain található fájlokban. Magas Nem E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
    A kártevő nincs leképezve, mert a ZAP le van tiltva Riasztást hoz létre, ha a Microsoft észleli, hogy egy kártevő üzenetet kézbesít egy postaládába, mert Zero-Hour adathalász üzenetek automatikus kiürítése le van tiltva. Információs Nem E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
    Rosszindulatú entitást tartalmazó üzenetek kézbesítés után nem törlődnek Riasztást hoz létre, ha bármilyen kártékony tartalmat (fájlt, URL-címet, kampányt, entitást nem tartalmazó) üzenetet kézbesít a szervezet postaládáiba. Ha ez az esemény bekövetkezik, a Microsoft nullaórás automatikus törléssel próbálta eltávolítani a fertőzött üzeneteket Exchange Online postaládákból, de hiba miatt az üzenet nem lett eltávolítva. További vizsgálat ajánlott. Ez a szabályzat automatikusan elindítja az automatikus vizsgálatot és választ a Office 365. Közepes Igen E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
    Adathalászat kézbesítve, mert a felhasználó Levélszemét mappája le van tiltva Megjegyzés: Ez a riasztási szabályzat jelenleg elavult. A postaláda-beállítások már nem határozzák meg, hogy az észlelt üzenetek áthelyezhetők-e a Levélszemét Email mappába. További információ: Levélszemét-beállítások konfigurálása Exchange Online postaládákban. Információs Nem E1/F1/G1, E3/F3/G3 vagy E5/G5
    ETR-felülbírálás miatt kézbesített adathalászat Riasztást hoz létre, ha a Microsoft olyan Exchange átviteli szabályt (más néven levélforgalmi szabályt) észlel, amely lehetővé tette a megbízható adathalász üzenetek postaládába történő kézbesítését. Az Exchange átviteli szabályairól (levélforgalmi szabályokról) a Exchange Online levélforgalmi szabályait (átviteli szabályait) ismertető cikkben olvashat bővebben. Információs Nem E1/F1/G1, E3/F3/G3 vagy E5/G5
    Ip-engedélyezési szabályzat miatt kézbesített adathalászat Riasztást hoz létre, ha a Microsoft olyan IP-engedélyezési szabályzatot észlel, amely lehetővé tette a megbízható adathalász üzenetek postaládába történő kézbesítését. További információ az IP-engedélyezési szabályzatról (kapcsolatszűrésről): Az alapértelmezett kapcsolatszűrő házirend konfigurálása – Office 365. Információs Nem E1/F1/G1, E3/F3/G3 vagy E5/G5
    Az adathalászat nincs leképezve, mert a ZAP le van tiltva Riasztást hoz létre, ha a Microsoft megbízható adathalász üzenetet észlel egy postaládába, mert Zero-Hour adathalász üzenetek automatikus kiürítése le van tiltva. Információs Nem E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
    Lehetséges nemzetállami tevékenység A Microsoft Threat Intelligence Center a bérlői fiókok feltörésére tett kísérletet észlelt. Magas Nem E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
    A rendszergazda által az e-mailekre, URL-címre vagy feladóra vonatkozó szervizelési művelet Megjegyzés: Ezt a riasztási házirendet a rendszergazdai riasztási házirend által benyújtott felügyeleti művelet váltotta fel. Ez a riasztási szabályzat végül megszűnik, ezért javasoljuk, hogy tiltsa le ezt a riasztási házirendet, és használja inkább a rendszergazda által elküldött felügyeleti műveletet .

    Ez a riasztás akkor aktiválódik, ha egy rendszergazda szervizelési műveletet hajt végre a kiválasztott entitáson
    Információs Igen E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
    Gyanús összekötő-tevékenység Riasztást hoz létre, ha gyanús tevékenységet észlel a szervezet egyik bejövő összekötőjén. A levelek nem használhatják a bejövő összekötőt. A rendszergazda e-mailben értesítést és riasztást kap. Ez a riasztás útmutatást nyújt a korlátozott összekötők vizsgálatához, visszaállításához és letiltásának feloldásához. A riasztásra való válaszadásról további információt a "Válasz egy sérült összekötőre" című témakörben talál. Magas Nem E1/F1/G1, E3/F3/G3 vagy E5/G5
    Gyanús e-mail-továbbítási tevékenység Riasztást hoz létre, ha a szervezet egyik tagja automatikusan e-maileket ítélt oda egy gyanús külső fióknak. Ez egy korai figyelmeztetés olyan viselkedésre, amely azt jelezheti, hogy a fiók biztonsága sérült, de nem elég súlyos ahhoz, hogy korlátozza a felhasználót. Bár ritka, a szabályzat által generált riasztások anomáliák lehetnek. Érdemes ellenőrizni, hogy a felhasználói fiók biztonsága sérült-e. Magas Nem E1/F1/G1, E3/F3/G3 vagy E5/G5
    Gyanús e-mail-küldési minták észlelhetők Riasztást hoz létre, ha a szervezet egyik tagja gyanús e-mailt küldött, és fennáll a veszélye annak, hogy az e-mailek küldését korlátozzák. Ez egy korai figyelmeztetés olyan viselkedésre, amely azt jelezheti, hogy a fiók biztonsága sérült, de nem elég súlyos ahhoz, hogy korlátozza a felhasználót. Bár ritka, a szabályzat által generált riasztások anomáliák lehetnek. Érdemes azonban ellenőrizni, hogy a felhasználói fiók biztonsága sérült-e. Közepes Igen E1/F1/G1, E3/F3/G3 vagy E5/G5
    A bérlő engedélyezési/tiltólistájára vonatkozó bejegyzés hamarosan lejár Riasztást hoz létre, ha egy bérlő engedélyezési/tiltólistájára vonatkozó bejegyzést hamarosan eltávolítanak. Ez az esemény a lejárat dátuma előtt három nappal aktiválódik, amely a bejegyzés létrehozásának vagy utolsó frissítésének időpontján alapul.

    Blokkok esetén meghosszabbíthatja a lejárati dátumot, hogy a blokk a helyén maradjon. Az lehetővé teszi, hogy újra el kell küldenie az elemet, hogy az elemzők más szemügyre vehessenek. Ha azonban az engedélyezést már hamis pozitívként osztályozták, akkor a bejegyzés csak akkor jár le, ha a rendszerszűrők frissültek, hogy természetes módon engedélyezve legyen a bejegyzés. A riasztást kiváltó eseményekről további információt a Bérlői engedélyezés/tiltás lista kezelése című témakörben talál.
    Információs Nem E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
    A bérlő nem küldhet e-maileket Riasztást hoz létre, ha a szervezettől érkező e-mail forgalom nagy részét gyanúsként észlelte a rendszer, és a Microsoft korlátozta a szervezet e-mailek küldését. Vizsgálja meg az esetlegesen feltört felhasználói és rendszergazdai fiókokat, új összekötőket vagy nyitott továbbítót, majd lépjen kapcsolatba Microsoft ügyfélszolgálata a szervezet letiltásának feloldásához. A szervezetek letiltásának okáról a Exchange Online 5.7.7xx-ös hibakódú levélkézbesítési problémák megoldása című témakörben talál további információt. Magas Nem E1/F1/G1, E3/F3/G3 vagy E5/G5
    A bérlő korlátozta a le nem bontott e-mailek küldését Riasztást hoz létre, ha túl sok e-mailt küldenek a nem regisztrált tartományokból (más néven kiépítetlen tartományokból). Office 365 ésszerű mennyiségű e-mailt engedélyez a nem regisztrált tartományokból, de minden olyan tartományt konfigurálnia kell, amelyet az e-mailek elfogadott tartományként való küldésére használ. Ez a riasztás azt jelzi, hogy a szervezet összes felhasználója már nem tud e-mailt küldeni. A szervezetek letiltásának okáról a Exchange Online 5.7.7xx-ös hibakódú levélkézbesítési problémák megoldása című témakörben talál további információt. Magas Nem E1/F1/G1, E3/F3/G3 vagy E5/G5
    Az adathalászként jelentett e-mailek szokatlan növekedése Riasztást hoz létre, ha jelentősen megnőtt a szervezetében az Outlook Jelentési üzenet bővítményét használó személyek száma, hogy adathalász e-mailként jelentse az üzeneteket. A bővítményről további információt a Jelentésüzenet bővítmény használata című témakörben talál. Közepes Nem E5/G5 vagy Office 365-höz készült Defender P2 bővítmény-előfizetés
    A felhasználó karanténba helyezett üzenet kiadását kérte Riasztást hoz létre, amikor egy felhasználó karanténba helyezett üzenet kiadását kéri. A karanténba helyezett üzenetek kiadásának kérelmezéséhez a Karanténba helyezési szabályzatban (például a Korlátozott hozzáférésű előzetes engedélyek csoportból) szükség van arra, hogy a címzettek kérhessenek egy üzenetet a karanténból való feloldáshoz (PermissionToRequestRelease). További információ: Üzenet felszabadítása a karanténba helyezési engedélyből a címzettek számára. Információs Nem Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 vagy E5/G5
    A felhasználó korlátozta az e-mailek küldését Riasztást hoz létre, ha a szervezet egyik tagja nem küldhet kimenő e-maileket. Ez általában akkor következik be, ha egy fiók biztonsága sérül, és a felhasználó megjelenik a megfelelőségi portál Korlátozott felhasználók lapján. (A lap eléréséhez nyissa meg a Veszélyforrások kezelése > – Korlátozott felhasználók áttekintése > lapot). További információ a korlátozott felhasználókról: Felhasználó, tartomány vagy IP-cím eltávolítása egy tiltólistáról a levélszemét küldése után. Magas Igen Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 vagy E5/G5
    A felhasználó nem oszthatja meg az űrlapokat és nem gyűjthet válaszokat Riasztást hoz létre, ha a szervezet egyik tagja nem oszt meg űrlapokat, és nem gyűjt válaszokat az Microsoft Forms az adathalászati kísérlet ismételt észlelése miatt. Magas Nem E1, E3/F3 vagy E5

    Riasztások megtekintése

    Ha a szervezet felhasználói által végzett tevékenység megfelel egy riasztási szabályzat beállításainak, a rendszer riasztást hoz létre és jelenít meg a Microsoft Purview portál vagy a Defender portál Riasztások lapján. A riasztási szabályzat beállításaitól függően a rendszer e-mailben értesítést küld a megadott felhasználók listájának is, amikor riasztást aktivál. Az egyes riasztások esetében a Riasztások lapon található irányítópult megjeleníti a megfelelő riasztási szabályzat nevét, a riasztás súlyosságát és kategóriáját (a riasztási szabályzatban definiálva), valamint azt, hogy egy tevékenység hányszor fordult elő, ami a riasztás létrejöttét eredményezte. Ez az érték a riasztási szabályzat küszöbérték-beállításán alapul. Az irányítópult az egyes riasztások állapotát is megjeleníti. További információ az állapottulajdonság riasztások kezelésére való használatáról: Riasztások kezelése.

    Riasztások megtekintése:

    Microsoft Purview megfelelőségi portál

    Nyissa meg, https://compliance.microsoft.com majd válassza a Riasztások lehetőséget. Másik lehetőségként közvetlenül is megnyithatja.https://compliance.microsoft.com/compliancealerts

    A megfelelőségi portálon válassza a Riasztások lehetőséget.

    Microsoft 365 Defender portál

    Nyissa meg Microsoft 365 Defender portált, majd válassza az Incidensek & riasztások > lehetőséget. Másik lehetőségként közvetlenül is megnyithatja.https://security.microsoft.com/alerts

    A Microsoft 365 Defender portálon válassza az Incidensek & riasztások, majd a Riasztások lehetőséget.

    Az alábbi szűrőkkel megtekintheti az összes riasztás egy részét a Riasztások lapon:

    • Állapot: Adott állapotú riasztások megjelenítése. Az alapértelmezett állapot az Aktív. Ön vagy más rendszergazdák módosíthatják az állapotértéket.
    • Szabályzat: Egy vagy több riasztási szabályzat beállításának megfelelő riasztások megjelenítése. Vagy megjelenítheti az összes riasztási szabályzat összes riasztását.
    • Időtartomány: Adott dátumon és időtartományon belül létrehozott riasztások megjelenítése.
    • Súlyosság: Adott súlyosságú riasztások megjelenítése.
    • Kategória: Egy vagy több riasztási kategória riasztásainak megjelenítése.
    • Címkék:Riasztások megjelenítése egy vagy több felhasználói címke alapján. A címkék a címkézett postaládák vagy a riasztásokban megjelenő felhasználók alapján jelennek meg. További információt a Office 365-höz készült Defender felhasználói címkéi között talál.
    • Forrás: Ezzel a szűrővel megjelenítheti a Microsoft Purview portálon a riasztási szabályzatok által aktivált riasztásokat, vagy Microsoft Defender for Cloud Apps szabályzatok által aktivált riasztásokat, vagy mindkettőt. A Defender for Cloud Apps riasztásairól a jelen cikk Defender for Cloud Apps-riasztások megtekintése című szakaszában talál további információt.

    Fontos

    A felhasználói címkék szerinti szűrés és rendezés jelenleg nyilvános előzetes verzióban érhető el, és az általánosan elérhető verzió előtt jelentősen módosulhat. A Microsoft semmilyen kifejezett vagy hallgatólagos garanciát nem vállal a rá vonatkozó információkra vonatkozóan.

    Riasztások összesítése

    Ha egy riasztási szabályzat feltételeinek megfelelő több esemény is bekövetkezik egy rövid idő alatt, a rendszer hozzáadja őket egy meglévő riasztáshoz egy riasztás-összesítés nevű folyamattal. Amikor egy esemény aktivál egy riasztást, a rendszer létrehozza és megjeleníti a riasztást a Riasztások lapon, és értesítést küld. Ha ugyanaz az esemény az összesítési intervallumon belül következik be, akkor a Microsoft 365 az új esemény részleteit adja hozzá a meglévő riasztáshoz ahelyett, hogy új riasztást aktivál. A riasztások összesítésének célja, hogy segítsen csökkenteni a riasztások "fáradtságát", és lehetővé tegye, hogy kevesebb riasztásra összpontosítson és cselekedjen ugyanahhoz az eseményhez.

    Az összesítési időköz hossza a Office 365 vagy a Microsoft 365-előfizetésétől függ.

    Előfizetés Összesítés
    Intervallum
    Office 365 vagy Microsoft 365 E5/G5 1 perc
    Office 365-höz készült Microsoft Defender 2. csomag 1 perc
    E5 megfelelőségi bővítmény vagy E5 felderítési és naplózási bővítmény 1 perc
    Office 365 vagy Microsoft 365 E1/F1/G1 vagy E3/F3/G3 15 perc
    Office 365-höz készült Defender 1. vagy Exchange Online Védelmi szolgáltatás. csomag 15 perc

    Ha az azonos riasztási szabályzatnak megfelelő események az összesítési intervallumon belül történnek, a rendszer hozzáadja az ezt követő esemény részleteit az eredeti riasztáshoz. Az összes esemény esetében az összesített eseményekre vonatkozó információk jelennek meg a részletek mezőben, és a tevékenység/találatok száma mezőben, hogy egy esemény hányszor fordult elő az összesítési intervallummal. A tevékenységlista megtekintésével további információkat tekinthet meg az összes összesített eseménypéldányról.

    Az alábbi képernyőképen egy négy összesített eseményt tartalmazó riasztás látható. A tevékenységlista a riasztáshoz kapcsolódó négy e-mail-üzenet adatait tartalmazza.

    Példa a riasztások összesítésére.

    A riasztások összesítésével kapcsolatban tartsa szem előtt az alábbi szempontokat:

    • Az A potenciálisan rosszindulatú URL-kattintás által aktivált riasztások az alapértelmezett riasztási szabályzatot nem összesítik. Ennek az az oka, hogy a szabályzat által aktivált riasztások egyediek az egyes felhasználók és e-mailek esetében.

    • A Találatok száma riasztási tulajdonság jelenleg nem jelzi az összes riasztási szabályzat összesített eseményeinek számát. A riasztási szabályzatok által aktivált riasztások esetén az összesített eseményeket az üzenetlista megtekintése vagy a riasztás tevékenységének megtekintése elemre kattintva tekintheti meg. Dolgozunk azon, hogy a Találatok száma riasztási tulajdonságban felsorolt összesített események száma elérhető legyen az összes riasztási szabályzat számára.

    A riasztások megtekintéséhez szükséges RBAC-engedélyek

    A szervezet felhasználóihoz rendelt szerepköralapú Access Control (RBAC) engedélyek határozzák meg, hogy a felhasználók mely riasztásokat láthatják a Riasztások lapon. Hogyan történik ez? A felhasználókhoz rendelt felügyeleti szerepkörök (a megfelelőségi portálon vagy a Microsoft 365 Defender portál szerepkörcsoportjaiban való tagságuk alapján) határozzák meg, hogy a felhasználók mely riasztáskategóriákat láthatják a Riasztások lapon. Néhány példa:

    • A Rekordkezelés szerepkörcsoport tagjai csak az információirányítási kategóriához rendelt riasztási szabályzatok által létrehozott riasztásokat tekinthetik meg.
    • A Megfelelőségi rendszergazda szerepkörcsoport tagjai nem tekinthetik meg a Fenyegetéskezelés kategóriához rendelt riasztási szabályzatok által generált riasztásokat.
    • Az Adatfeltárás-kezelő szerepkörcsoport tagjai nem tekinthetnek meg riasztásokat, mert egyik hozzárendelt szerepkör sem biztosít engedélyt a riasztáskategóriák riasztásainak megtekintésére.

    Ezzel a kialakítással (az RBAC-engedélyek alapján) meghatározhatja, hogy mely riasztásokat tekinthetik meg (és kezelhetik) a szervezet adott feladatszerepköreiben lévő felhasználók.

    Az alábbi táblázat felsorolja azokat a szerepköröket, amelyek a hat különböző riasztási kategória riasztásainak megtekintéséhez szükségesek. A pipa azt jelzi, hogy az adott szerepkörrel rendelkező felhasználók megtekinthetik a címsorban felsorolt megfelelő riasztási kategória riasztásait.

    Annak megtekintéséhez, hogy melyik kategóriához van alapértelmezett riasztási szabályzat rendelve, tekintse meg az Alapértelmezett riasztási szabályzatok táblázatát.

    Szerepkör Információ
    Kormányzás
    Adatvesztés
    Megelőzés
    Mail
    Áramlás
    Engedélyek Fenyegetés
    Kezelése
    Mások
    Megfelelőségi rendszergazda
    <!---X--->DLP-megfelelőségkezelés
    Information Protection Rendszergazda
    Information Protection Analyst
    Information Protection nyomozó
    Riasztások kezelése
    Szervezeti konfiguráció
    Adatvédelem
    Karantén
    <!---X--->Rekordkezelés
    Adatmegőrzés kezelése
    Szerepkörkezelés
    Biztonsági rendszergazda
    Biztonsági olvasó
    Szállítási higiénia
    <!---X--->DLP-megfelelőségkezelés View-Only
    View-Only-konfiguráció
    riasztások View-Only kezelése
    Címzettek View-Only
    <!---X--->rekordkezelés View-Only
    <!---X--->View-Only adatmegőrzés kezelése

    Tipp

    Az egyes alapértelmezett szerepkörcsoportokhoz rendelt szerepkörök megtekintéséhez futtassa a következő parancsokat a Security & Compliance PowerShellben:

    $RoleGroups = Get-RoleGroup
    $RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,("-"*25); Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
    

    A szerepkörcsoportokhoz rendelt szerepköröket a megfelelőségi portálon vagy a Microsoft 365 Defender portálon is megtekintheti. Lépjen az Engedélyek lapra, és válasszon ki egy szerepkörcsoportot. A hozzárendelt szerepkörök az úszó panelen jelennek meg.

    Értesítések kezelése

    Miután létrejöttek és megjelentek a riasztások a Microsoft Purview portál Riasztások lapján, osztályozhatja, kivizsgálhatja és feloldhatja őket. Ugyanazok az RBAC-engedélyek , amelyek hozzáférést biztosítanak a felhasználóknak a riasztásokhoz, szintén lehetővé teszik számukra a riasztások kezelését.

    Íme néhány feladat, amelyeket végrehajthat a riasztások kezeléséhez.

    • Állapot hozzárendelése riasztásokhoz: A riasztásokhoz a következő állapotok egyikét rendelheti hozzá: Aktív (az alapértelmezett érték), Vizsgálat, Feloldva vagy Elvetve. Ezután szűrhet erre a beállításra, hogy ugyanazzal az állapotbeállítással jelenítsen meg riasztásokat. Ez az állapotbeállítás segíthet nyomon követni a riasztások kezelésének folyamatát.

    • Riasztás részleteinek megtekintése: Kiválaszthat egy riasztást, hogy megjelenítse a riasztás részleteit tartalmazó úszó panelt. A részletes információk a megfelelő riasztási szabályzattól függnek, de általában a következő információkat tartalmazzák:

      • A riasztást kiváltó tényleges művelet neve, például egy parancsmag vagy egy auditnapló-művelet.
      • A riasztást kiváltó tevékenység leírása.
      • A riasztást kiváltó felhasználó (vagy felhasználók listája). Ez csak olyan riasztási szabályzatok esetén érhető el, amelyek egyetlen felhasználó vagy egyetlen tevékenység nyomon követésére vannak beállítva.
      • A riasztás által nyomon követett tevékenység végrehajtásának száma. Előfordulhat, hogy ez a szám nem egyezik meg a Riasztások lapon felsorolt kapcsolódó riasztások tényleges számával, mert több riasztás aktiválódott.
      • Egy tevékenységlistára mutató hivatkozás, amely tartalmazza a riasztást kiváltó minden egyes tevékenységhez tartozó elemet. A lista minden bejegyzése azonosítja a tevékenység bekövetkezésének időpontját, a tényleges művelet nevét (például "Fájl törölve"), a tevékenységet végrehajtó felhasználót, az objektumot (például egy fájlt, egy feltárási esetet vagy egy postaládát), amelyen a tevékenységet végrehajtották, valamint a felhasználó számítógépének IP-címét. A kártevőkre vonatkozó riasztások esetén ez egy üzenetlistára mutat.
      • A megfelelő riasztási szabályzat neve (és hivatkozása).
    • E-mail-értesítések mellőzése: A riasztások úszó panelén kikapcsolhatja (vagy letilthatja) az e-mail-értesítéseket. Ha letiltja az e-mail-értesítéseket, a Microsoft nem küld értesítéseket, ha a riasztási szabályzat feltételeinek megfelelő tevékenységek vagy események történnek. A riasztások azonban akkor aktiválódnak, ha a felhasználók által végrehajtott tevékenységek megfelelnek a riasztási szabályzat feltételeinek. Az e-mail-értesítéseket a riasztási szabályzat szerkesztésével is kikapcsolhatja.

    • Riasztások feloldása: A riasztásokat feloldottként jelölheti meg a riasztások úszó paneljén (amely a riasztás állapotát Feloldva értékre állítja). Ha nem módosítja a szűrőt, a megoldott riasztások nem jelennek meg a Riasztások lapon.

    A Defender for Cloud Apps riasztásainak megtekintése

    A Defender for Cloud Apps-szabályzatok által aktivált riasztások mostantól megjelennek a Microsoft Purview portál Riasztások lapján. Ide tartoznak a tevékenységszabályzatok által aktivált riasztások és a Defender for Cloud Apps anomáliadetektálási szabályzatai által aktivált riasztások. Ez azt jelenti, hogy az összes riasztást megtekintheti a Microsoft Purview portálon. A Defender for Cloud Apps csak olyan szervezetek számára érhető el, amelyek Office 365 Nagyvállalati verzió E5 vagy Office 365 US Government G5 előfizetéssel rendelkezik. További információ: A Defender for Cloud Apps áttekintése.

    Azok a szervezetek, amelyek Enterprise Mobility + Security E5-előfizetés részeként vagy önálló szolgáltatásként Microsoft Defender for Cloud Apps, megtekinthetik a Microsoft 365-alkalmazásokhoz és -szolgáltatásokhoz kapcsolódó Defender for Cloud Apps-riasztásokat a megfelelőségi portálon vagy a Microsoft 365 Defender portálon.

    Ha csak a Defender for Cloud Apps riasztásait szeretné megjeleníteni a Microsoft Purview portálon vagy a Defender portálon, használja a Forrás szűrőt, és válassza a Defender for Cloud Apps lehetőséget.

    A Forrás szűrővel csak a Defender for Cloud Apps riasztásait jelenítheti meg.

    A Microsoft Purview portálon egy riasztási szabályzat által aktivált riasztáshoz hasonlóan kiválaszthatja a Defender for Cloud Apps-riasztást, hogy megjelenítsen egy úszó panelt a riasztás részleteivel. A riasztás tartalmaz egy hivatkozást a riasztás részleteinek megtekintéséhez és kezeléséhez a Defender for Cloud Apps portálon, valamint egy hivatkozást a megfelelő Defender for Cloud Apps-szabályzathoz, amely aktiválta a riasztást. Lásd: Riasztások figyelése a Defender for Cloud Appsben.

    A riasztás részletei a Defender for Cloud Apps portálra mutató hivatkozásokat tartalmaznak.

    Fontos

    A Microsoft Purview portálon a Defender for Cloud Apps-riasztások állapotának módosítása nem frissíti ugyanannak a riasztásnak a feloldási állapotát a Defender for Cloud Apps portálon. Ha például a riasztás állapotát Feloldva állapotúként jelöli meg a Microsoft Purview portálon, a Riasztás állapota a Defender for Cloud Apps portálon változatlan marad. A Defender for Cloud Apps-riasztások feloldásához vagy elvetéséhez kezelje a riasztást a Defender for Cloud Apps portálon.