Megosztás a következőn keresztül:

Automatizált szervizelés az automatizált vizsgálatban és reagálásban (AIR)

Alapértelmezés szerint az automatikus vizsgálat és reagálás (AIR) által azonosított szervizelési műveletekhez Office 365-höz készült Microsoft Defender 2. csomagban biztonsági műveleti (SecOps) csapatoknak kell jóváhagyást adni. További információ az AIR-ről: Automatizált vizsgálat és reagálás (AIR) Office 365-höz készült Microsoft Defender 2. csomagban

A rendszergazdák mostantól kijelölhetnek bizonyos műveleteket is az automatikus szervizeléshez. A kártékonyként azonosított üzenetek automatikus szervizelése az AIR-vizsgálatok során a következő előnyökkel jár:

  • Növeli az ügyfélvédelmet a további fenyegetések elhárításának felgyorsításával.
  • Időt takarít meg a SecOps-csapatok számára a jóváhagyás szükségességének csökkentésével.

A cikk további része ismerteti, hogyan konfigurálhatja az automatikus szervizelést az AIR-ben, és hogyan azonosíthatja az automatikusan szervizelt üzeneteket.

Automatikus szervizelés konfigurálása

Az AIR létrehoz egy fürtöt egy észlelt kártékony fájl vagy URL körül, majd az automatizált vizsgálat ellenőrzi az üzenetek helyét a fürtön belül. Ha az üzenetek postaládákban vannak, az AIR szervizelési műveletet hajt végre.

Miután kiválasztotta a fürttípusokat az automatikus szervizeléshez, a kiválasztott szervizelési művelet secOps-jóváhagyás nélkül megy végbe.

Tipp

Az AIR által létrehozott fürtök, amelyek nem szervizelnek automatikusan, továbbra is Függőben műveletként jelennek meg, mint ma.

A 10 000-nél nagyobb üzeneteket tartalmazó fürtök nem szervizelnek automatikusan, és függőben lévő műveletként jelennek meg felülvizsgálatra.

Az alábbi lépésekkel válassza ki az automatikusan szervizelendő fürttípusokat:

A Microsoft Defender portálon https://security.microsoft.comlépjen a Beállítások>Email & együttműködés>MDO automatizálási beállítások területre.

Az Automation beállításainak lapján az alábbi beállítások érhetők el:

  • Üzenetfürtök szakasz: Az automatikusan szervizelt üzenetfürtök típusait határozza meg. Válasszon egyet vagy többet az alábbi lehetőségek közül:

  • Hasonló fájlok: Amikor az automatizált vizsgálat felismer egy rosszindulatú fájlt, létrehoz egy fürtöt a rosszindulatú fájl körül. A fürt a fájlt tartalmazó összes üzenetet a fürtbe csoportosítja. Ha ezt a beállítást választja, a szervezet automatikus szervizelést biztosít ezeknek a kártékony fájlfürtöknek.

  • Hasonló URL-címek: Amikor az automatizált vizsgálat felismer egy rosszindulatú URL-címet, létrehoz egy fürtöt a rosszindulatú URL-cím körül. A fürt az URL-címet tartalmazó összes üzenetet a fürtbe csoportosítja. Ha ezt a beállítást választja, a szervezet automatikus szervizelést biztosít ezeknek a kártékony URL-fürtöknek.

    Tipp

    Kövesse az ütemtervet, hogy értesüljön arról, mikor érhetők el további üzenetfürtök az automatikus szervizeléshez.

  • Szervizelési művelet szakasza: Az Üzenetfürtök szakaszban megadott üzenetfürttípusokon végrehajtandó műveletet adja meg.

    Jelenleg a Helyreállítható törlés az egyetlen elérhető művelet. A helyreállítható módon törölt üzenetekről további információt a Helyreállítható elemek mappa a Exchange Online-ben című témakörben talál.

    Fontos

    A helyreállítható módon törölt üzenetek helyreállításának lehetősége az egyes postaládákban lévő helyreállítható módon törölt üzenetek adatmegőrzési szabályzatától függ. Ellenőrizze az e-mailek megőrzésére vonatkozó jogi kötelezettséget, beleértve a kártékonyként megjelölt üzeneteket is. A helyreállítható módon törölt üzenetek megőrzéséről további információt a Véglegesen törölt elemek megőrzésének módosítása Exchange Online postaládában Exchange Online című témakörben talál.

Ha végzett az Automation beállításainak lapján, válassza a Mentés lehetőséget.

Képernyőkép a kártékony entitásfürtök konfigurációjának automatikus szervizeléséről a Defender portálon a Beállítások \> Email & együttműködés \> MDO automatizálási beállítások területen.

Automatikusan szervizelt üzenetek áttekintése

Az alábbi alszakasz bemutatja, hogyan használható a Defender portál az automatizált javítási műveletek áttekintésére.

Az automatikus szervizelés eredménye a Műveletközpontban

A műveletközpontban https://security.microsoft.com/action-center/a automatikusan szervizelt fürtök megjelennek az Előzmények lapon. Az Automation értékkel rendelkező Döntés alapján szűrővel automatikusan szervizelt fürtöket ad vissza.

A Műveletközpontról további információt a Műveletközpont című témakörben talál.

Képernyőkép a Műveletközpont Előzmények lapjának automatikusan szervizelt fürtöiről az Automation döntése és a Művelet forrásértéke Automatikus e-mail művelet által szűrt fürtökkel.

Az automatizált szervizelés vizsgálatokat eredményez

Egy AIR-vizsgálatban az automatikusan szervizelt fürtök a vizsgálat Függőben lévő műveletelőzmények lapján jelennek meg az Automationáltal kezelt értékkel.

További információ az AIR vizsgálati eredményeiről: Az automatizált vizsgálat és reagálás (AIR) részletei és eredményei Office 365-höz készült Microsoft Defender 2. csomagban.

Képernyőkép egy vizsgálat Függőben lévő műveletek előzményei lapjával, automatikusan szervizelt fürtökkel az Automation által kezelt értékkel.

Automatikus szervizelési eredmények a Threat Explorerben

A Threat Explorerben (Explorer) az automatikusan szervizelt üzenetek további műveleti értéke Automatizált szervizelés:automated.

A Threat Explorerrel kapcsolatos további információkért lásd: About Threat Explorer and Real-time detections in Office 365-höz készült Microsoft Defender (A Threat Explorer és a valós idejű észlelések Office 365-höz készült Microsoft Defender).

Képernyőkép a Fenyegetéskezelőről, amely automatikus szervizeléssel törölt üzeneteket jelenít meg a postaládából (az Automatikus szervizelés további műveletérték alapján szűrve).

Automatizált szervizelési eredmények a speciális veszélyforrás-keresésben

A Speciális veszélyforrás-keresésben az automatikusan szervizelt üzenetek az alábbi tulajdonságértékekkel együtt szerepelnek a EmailPostDeliveryEvents táblázatban:

  • ActionType egyenlő automatizált szervizelés
  • ActionTrigger egyenlő az Automationnel.

További információ a speciális veszélyforrás-keresésről: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel Microsoft Defender.

Képernyőkép a postaládákból automatikus szervizeléssel eltávolított üzenetek speciális kereséséről (EmailPostDeliveryEvents tábla, ahol az ActionType értéke Automatizált szervizelés, az ActionTrigger értéke Pedig Automation.)

Üzenetek automatikus szervizelési műveleteinek visszaállítása

Megjegyzés:

Az üzenetek helyreállításának lehetősége attól függ, hogy a Defenderben továbbra is elérhetők-e az adatok, és hogy a helyreállíthatóan törölt üzenetekhez milyen postaláda-megőrzési beállítások érhetők el. További információért olvassa el az alábbi témaköröket:

Az alábbi módszerek állnak rendelkezésre az automatikus szervizelési műveletek visszaállításához és az üzenetek postaládákba való visszaállításához:

  • Műveletet hajthat végre az üzeneten a Veszélyforrás-felderítőben vagy a Speciális veszélyforrás-keresésben. További információ a Művelet végrehajtása varázslóról: A Művelet végrehajtása varázsló.

  • Az Áthelyezés a Beérkezett üzenetek mappába vagy >az Áthelyezés a levélszemétbe művelet a Műveletközpont Előzmény lapján, a fürttulajdonság részleteit tartalmazó úszó panelen, az alábbi képernyőképen látható módon:

    Képernyőkép egy automatikusan szervizelt e-mail-fürt részletes úszó paneljéről, amelyen az elérhető Áthelyezés a Beérkezett üzenetek mappába művelet látható az automatikus szervizelési művelet visszavonásához és az üzenetek postaládákba való visszaállításához.

Lásd még