Feltört felhasználói fiókok kezelése automatizált vizsgálattal és válaszokkal

• A következőre érvényes::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.

Office 365-höz készült Microsoft Defender 2. csomag hatékony automatizált vizsgálati és reagálási (AIR) képességeket tartalmaz. Az ilyen képességek sok időt és energiát takaríthatnak meg a biztonsági üzemeltetési csapat számára a fenyegetések kezelése során. Ez a cikk az AIR képességeinek egyik aspektusát, a feltört felhasználói biztonsági forgatókönyvet ismerteti.

A feltört felhasználói biztonsági forgatókönyv lehetővé teszi a szervezet biztonsági csapatának a következőket:

• A feltört felhasználói fiókok észlelésének felgyorsítása;
• A biztonsági incidens hatókörének korlátozása egy fiók feltörésekor; és
• Hatékonyabban és hatékonyabban reagálhat a sérült felhasználókra.

Feltört felhasználói riasztások

Ha egy felhasználói fiók biztonsága sérül, atipikus vagy rendellenes viselkedés lép fel. Előfordulhat például, hogy az adathalász és levélszemét üzeneteket belsőleg egy megbízható felhasználói fiókból küldik. Office 365-höz készült Defender észlelni tudja az ilyen rendellenességeket az e-mail-mintákban és a Office 365 belüli együttműködési tevékenységekben. Ebben az esetben riasztások aktiválódnak, és megkezdődik a fenyegetéscsökkentési folyamat.

Sérült felhasználó kivizsgálása és megválaszolása

Ha egy felhasználói fiók biztonsága sérül, riasztások aktiválódnak. Bizonyos esetekben az adott felhasználói fiók le van tiltva, és nem küldhet további e-maileket, amíg a szervezet biztonsági üzemeltetési csapata meg nem oldja a problémát. Más esetekben megkezdődik egy automatizált vizsgálat, amely a biztonsági csapat által javasolt műveleteket eredményezheti.

• Korlátozott felhasználók megtekintése és kivizsgálása

• Az automatizált vizsgálat részleteinek megtekintése

Fontos

A következő feladatok végrehajtásához megfelelő engedélyekkel kell rendelkeznie. Lásd: Az AIR-képességek használatához szükséges engedélyek.

Ebből a rövid videóból megtudhatja, hogyan észlelheti és válaszolhatja meg a felhasználók sérülését a Office 365-höz készült Microsoft Defender automatikus vizsgálat és válasz (AIR) és a feltört felhasználói riasztások használatával.

Korlátozott felhasználók megtekintése és kivizsgálása

A korlátozott felhasználók listájára navigálhat néhány lehetőséggel. A Microsoft Defender portálon például megnyithatja Email & együttműködés> korlátozottfelhasználóinakáttekintését>. Az alábbi eljárás a Riasztások irányítópulton történő navigálást ismerteti, amely jó módszer az esetleg aktivált riasztások megtekintésére.

1. Nyissa meg a Microsoft Defender portált a címenhttps://security.microsoft.com, és lépjen az Incidensek & riasztások riasztások> elemre. Vagy ha közvetlenül a Riasztások lapra szeretne lépni, használja a parancsot https://security.microsoft.com/alerts.

2. A Riasztások lapon szűrje az eredményeket időszak szerint, és a Felhasználó korlátozta az e-mailek küldését.

   

3. Ha a névre kattintva választja ki a bejegyzést, megnyílik egy Felhasználó, aki nem küldött e-mailt , további részletekkel, amelyeket áttekinthet. A Riasztás kezelése gomb mellett kattintson a További beállítások elemre, majd válassza a Korlátozott felhasználói adatok megtekintése lehetőséget a Korlátozott felhasználók lapra való ugráshoz, ahol felszabadíthatja a korlátozott felhasználót.

Az automatizált vizsgálat részleteinek megtekintése

Amikor egy automatizált vizsgálat elkezdődött, a részleteket és az eredményeket a műveletközpontban tekintheti meg a Microsoft Defender portálon.

További információ: Vizsgálat részleteinek megtekintése.

Tartsa szem előtt az alábbi szempontokat

• Tartsa naprakészen a riasztásokat. Mint tudja, minél hosszabb ideig tart a kompromisszum észrevétlenül, annál nagyobb a szervezetre, az ügyfelekre és a partnerekre gyakorolt széles körű hatás és költségek lehetősége. A korai észlelés és az időben történő reagálás kritikus fontosságú a fenyegetések mérséklése szempontjából, különösen akkor, ha a felhasználói fiók biztonsága sérül.

• Az Automation segít a biztonsági üzemeltetési csapatnak. Az automatizált vizsgálati és reagálási képességek képesek korán észlelni egy feltört felhasználót, és lehetővé teszik a biztonsági üzemeltetési csapatnak, hogy lépéseket tegyenek a fenyegetés elhárításához. Segítségre van szüksége ezzel kapcsolatban? Lásd: Műveletek áttekintése és jóváhagyása.

Következő lépések

• Tekintse át az AIR-képességek használatához szükséges engedélyeket

• Rosszindulatú e-mailek keresése és kivizsgálása Office 365

• Tudnivalók az AIR-ről a Végponthoz készült Microsoft Defender

• Látogasson el a Microsoft 365 fejlesztési ütemtervére, és tekintse meg, mi várható hamarosan, és hogyan jelenik meg