Del via


Utbedringshandlinger i Microsoft Defender for Office 365

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

Utbedringshandlinger

Trusselbeskyttelsesfunksjoner i Microsoft Defender for Office 365 omfatter visse utbedringshandlinger. Slike utbedringshandlinger kan omfatte:

  • Slett e-postmeldinger eller klynger mykt
  • Blokker URL-adresse (tidsavbrudd)
  • Deaktivere videresending av ekstern e-post
  • Deaktiver delegering

I Microsoft Defender for Office 365 utføres ikke utbedringshandlinger automatisk. I stedet utføres utbedringshandlinger bare ved godkjenning av organisasjonens sikkerhetsoperasjonsteam.

Trusler og utbedringshandlinger

Microsoft Defender for Office 365 inkluderer utbedringstiltak for å håndtere ulike trusler. Automatiserte undersøkelser resulterer ofte i én eller flere utbedringshandlinger for gjennomgang og godkjenning. I noen tilfeller resulterer ikke en automatisert undersøkelse i en bestemt utbedringshandling. Hvis du vil undersøke og utføre nødvendige tiltak ytterligere, kan du bruke veiledningen i tabellen nedenfor.

Kategori Trussel/risiko Utbedringshandling(er)
E-post Skadelig programvare Myk sletting av e-post/klynge

Hvis mer enn en håndfull e-postmeldinger i en klynge inneholder skadelig programvare, anses klyngen for å være ondsinnet.

E-post Ondsinnet URL-adresse
(En ondsinnet URL-adresse ble oppdaget av klarerte koblinger.)
Myk sletting av e-post/klynge
Blokker URL-adresse (tidsbekreftelse)

E-post som inneholder en ondsinnet nettadresse anses å være skadelig.

E-post Phish Myk sletting av e-post/klynge

Hvis mer enn en håndfull e-postmeldinger i en klynge inneholder phishing-forsøk, regnes hele klyngen som et phishing-forsøk.

E-post Zapped phish
(E-postmeldinger ble levert og deretter zapped.)
Myk sletting av e-post/klynge

Rapporter er tilgjengelige for visning av zapped-meldinger. Se om ZAP flyttet en melding og vanlige spørsmål.

E-post Savnet phish-e-post rapportert av en bruker Automatisert undersøkelse utløst av brukerens rapport
E-post Volumavvik
(Nylige e-postantall overskrider de foregående 7–10 dagene for samsvarende vilkår.)
Automatisert undersøkelse resulterer ikke i en bestemt ventende handling.

Volumavvik er ikke en klar trussel, men er bare en indikasjon på større e-postvolumer de siste dagene sammenlignet med de siste 7–10 dagene.

Selv om et stort antall e-postmeldinger kan indikere potensielle problemer, er bekreftelse nødvendig når det gjelder enten ondsinnede dommer eller en manuell gjennomgang av e-postmeldinger/klynger. Se Finne mistenkelig e-post som ble levert.

E-post Finner ingen trusler
(Systemet fant ingen trusler basert på filer, nettadresser eller analyse av e-postklyngevurderinger.)
Automatisert undersøkelse resulterer ikke i en bestemt ventende handling.

Trusler funnet og zapped etter at en undersøkelse er fullført gjenspeiles ikke i en undersøkelses numeriske funn, men slike trusler er synlige i Threat Explorer.

Bruker En bruker klikket på en ondsinnet nettadresse
(En bruker navigerte til en side som senere ble funnet å være skadelig, eller en bruker omgikk en advarselsside for klarerte koblinger for å komme til en ondsinnet side.)
Automatisert undersøkelse resulterer ikke i en bestemt ventende handling.

Blokker URL-adresse (tidsavbrudd)

Bruk Trusselutforsker til å vise data om nettadresser og klikke dommer.

Hvis organisasjonen bruker Microsoft Defender for endepunkt, bør du vurdere å undersøke brukeren for å finne ut om kontoen deres er kompromittert.

Bruker En bruker sender skadelig programvare/phish Automatisert undersøkelse resulterer ikke i en bestemt ventende handling.

Brukeren rapporterer kanskje skadelig programvare/phish, eller noen kan forfalske brukeren som en del av et angrep. Bruk Trusselutforsker til å vise og håndtere e-post som inneholder skadelig programvare eller phishing.

Bruker Videresending av e-post
(Regler for videresending av postboks er konfigurert, chch kan brukes for dataeksfiltrering.)
Fjern videresendingsregel

Bruk rapporten for automatisk videresendte meldinger til å vise spesifikke detaljer om videresendt e-post.

Bruker Regler for e-postdelegering
(En brukerkonto har konfigurert delegeringer.)
Fjern delegeringsregel

Hvis organisasjonen bruker Microsoft Defender for endepunkt, kan du vurdere å undersøke brukeren som får delegeringstillatelsen.

Bruker Dataeksfiltrering
(En bruker har brutt DLP-policyer for e-post eller fildeling
Automatisert undersøkelse resulterer ikke i en bestemt ventende handling.

Kom i gang med Aktivitetsutforsker.

Bruker Avvikende e-post sending
(En bruker har nylig sendt mer e-post enn i løpet av de foregående 7–10 dagene.)
Automatisert undersøkelse resulterer ikke i en bestemt ventende handling.

Sending av et stort volum av e-post er ikke skadelig for seg selv. brukeren kan ha sendt e-post til en stor gruppe mottakere for en hendelse. Hvis du vil undersøke, kan du bruke nye brukere som videresender e-postinnsikt i EAC - og utgående meldingsrapporten i EAC for å finne ut hva som skjer og iverksette tiltak.

Neste trinn