Risolvere gli account utente compromessi con analisi e risposta automatizzate

• Si applica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Microsoft Defender per Office 365 Piano 2 include potenti funzionalità di analisi e risposta automatizzate (AIR). Tali funzionalità possono risparmiare molto tempo e impegno al team addetto alle operazioni di sicurezza per gestire le minacce. Questo articolo descrive uno dei facet delle funzionalità AIR, il playbook di sicurezza utente compromesso.

Il playbook di sicurezza degli utenti compromesso consente al team di sicurezza dell'organizzazione di:

• Velocizzare il rilevamento degli account utente compromessi;
• Limitare l'ambito di una violazione quando un account viene compromesso; E
• Rispondere agli utenti compromessi in modo più efficace ed efficiente.

Avvisi utente compromessi

Quando un account utente viene compromesso, si verificano comportamenti atipici o anomali. Ad esempio, i messaggi di phishing e posta indesiderata potrebbero essere inviati internamente da un account utente attendibile. Defender per Office 365 è in grado di rilevare tali anomalie nei modelli di posta elettronica e nelle attività di collaborazione all'interno di Office 365. In questo caso, vengono attivati avvisi e viene avviato il processo di mitigazione delle minacce.

Analizzare e rispondere a un utente compromesso

Quando un account utente viene compromesso, vengono attivati avvisi. In alcuni casi, l'account utente viene bloccato e non può inviare altri messaggi di posta elettronica fino a quando il problema non viene risolto dal team delle operazioni di sicurezza dell'organizzazione. In altri casi, inizia un'indagine automatizzata che può comportare azioni consigliate che il team di sicurezza deve intraprendere.

• Visualizzare e analizzare gli utenti con restrizioni

• Visualizzare i dettagli sulle indagini automatizzate

Importante

Per eseguire le attività seguenti, è necessario disporre delle autorizzazioni appropriate. Vedere Autorizzazioni necessarie per l'uso delle funzionalità AIR.

Guardare questo breve video per informazioni su come rilevare e rispondere alla compromissione degli utenti in Microsoft Defender per Office 365 usando l'indagine e la risposta automatizzate (AIR) e gli avvisi degli utenti compromessi.

Visualizzare e analizzare gli utenti con restrizioni

Sono disponibili alcune opzioni per passare a un elenco di utenti con restrizioni. Ad esempio, nel portale di Microsoft Defender è possibile passare a Email & collaborazione>Rivedi>utenti con restrizioni. La procedura seguente descrive la navigazione tramite il dashboard Avvisi , che è un buon modo per visualizzare vari tipi di avvisi che potrebbero essere stati attivati.

1. Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com e passare a Eventi imprevisti & avvisi>avvisi. In alternativa, per passare direttamente alla pagina Avvisi , usare https://security.microsoft.com/alerts.

2. Nella pagina Avvisi filtrare i risultati in base al periodo di tempo e ai criteri denominati Utente che non possono inviare messaggi di posta elettronica.

   

3. Se si seleziona la voce facendo clic sul nome, verrà visualizzata una pagina Utente a cui è stato impedito l'invio di messaggi di posta elettronica con altri dettagli da esaminare. Accanto al pulsante Gestisci avviso è possibile fare clic su Altre opzioni e quindi selezionare Visualizza dettagli utente con restrizioni per passare alla pagina Utenti con restrizioni , in cui è possibile rilasciare l'utente con restrizioni.

Visualizzare i dettagli sulle indagini automatizzate

Quando è iniziata un'indagine automatizzata, è possibile visualizzarne i dettagli e i risultati nel Centro notifiche nel portale di Microsoft Defender.

Per altre informazioni, vedere Visualizzare i dettagli di un'indagine.

Tenere presenti i punti seguenti

• Rimanere aggiornati sugli avvisi. Come si sa, più a lungo un compromesso non viene rilevato, maggiore è il potenziale di impatto e costi diffusi per l'organizzazione, i clienti e i partner. Il rilevamento rapido e la risposta tempestiva sono fondamentali per attenuare le minacce e soprattutto quando l'account di un utente viene compromesso.

• Automazione assiste il team delle operazioni di sicurezza. Le funzionalità di analisi e risposta automatizzate possono rilevare un utente compromesso in anticipo e consentire al team delle operazioni di sicurezza di intervenire per correggere la minaccia. Serve aiuto per questo? Vedere Esaminare e approvare le azioni.

Passaggi successivi

• Esaminare le autorizzazioni necessarie per usare le funzionalità AIR

• Trovare e analizzare i messaggi di posta elettronica dannosi in Office 365

• Informazioni su AIR in Microsoft Defender per endpoint

• Visitare la roadmap di Microsoft 365 per vedere cosa sarà presto disponibile e come verrà implementato