Utbedringshandlinger i Microsoft Defender for Office 365
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.
Utbedringshandlinger
Trusselbeskyttelsesfunksjoner i Microsoft Defender for Office 365 omfatter visse utbedringshandlinger. Slike utbedringshandlinger kan omfatte:
- Slett e-postmeldinger eller klynger mykt
- Blokker URL-adresse (tidsavbrudd)
- Deaktivere videresending av ekstern e-post
- Deaktiver delegering
I Microsoft Defender for Office 365 utføres ikke utbedringshandlinger automatisk. I stedet utføres utbedringshandlinger bare ved godkjenning av organisasjonens sikkerhetsoperasjonsteam.
Trusler og utbedringshandlinger
Microsoft Defender for Office 365 inkluderer utbedringstiltak for å håndtere ulike trusler. Automatiserte undersøkelser resulterer ofte i én eller flere utbedringshandlinger for gjennomgang og godkjenning. I noen tilfeller resulterer ikke en automatisert undersøkelse i en bestemt utbedringshandling. Hvis du vil undersøke og utføre nødvendige tiltak ytterligere, kan du bruke veiledningen i tabellen nedenfor.
Kategori | Trussel/risiko | Utbedringshandling(er) |
---|---|---|
E-post | Skadelig programvare | Myk sletting av e-post/klynge Hvis mer enn en håndfull e-postmeldinger i en klynge inneholder skadelig programvare, anses klyngen for å være ondsinnet. |
E-post | Ondsinnet URL-adresse (En ondsinnet URL-adresse ble oppdaget av klarerte koblinger.) |
Myk sletting av e-post/klynge Blokker URL-adresse (tidsbekreftelse) E-post som inneholder en ondsinnet nettadresse anses å være skadelig. |
E-post | Phish | Myk sletting av e-post/klynge Hvis mer enn en håndfull e-postmeldinger i en klynge inneholder phishing-forsøk, regnes hele klyngen som et phishing-forsøk. |
E-post | Zapped phish (E-postmeldinger ble levert og deretter zapped.) |
Myk sletting av e-post/klynge Rapporter er tilgjengelige for visning av zapped-meldinger. Se om ZAP flyttet en melding og vanlige spørsmål. |
E-post | Savnet phish-e-post rapportert av en bruker | Automatisert undersøkelse utløst av brukerens rapport |
E-post | Volumavvik (Nylige e-postantall overskrider de foregående 7–10 dagene for samsvarende vilkår.) |
Automatisert undersøkelse resulterer ikke i en bestemt ventende handling. Volumavvik er ikke en klar trussel, men er bare en indikasjon på større e-postvolumer de siste dagene sammenlignet med de siste 7–10 dagene. Selv om et stort antall e-postmeldinger kan indikere potensielle problemer, er bekreftelse nødvendig når det gjelder enten ondsinnede dommer eller en manuell gjennomgang av e-postmeldinger/klynger. Se Finne mistenkelig e-post som ble levert. |
E-post | Finner ingen trusler (Systemet fant ingen trusler basert på filer, nettadresser eller analyse av e-postklyngevurderinger.) |
Automatisert undersøkelse resulterer ikke i en bestemt ventende handling. Trusler funnet og zapped etter at en undersøkelse er fullført gjenspeiles ikke i en undersøkelses numeriske funn, men slike trusler er synlige i Threat Explorer. |
Bruker | En bruker klikket på en ondsinnet nettadresse (En bruker navigerte til en side som senere ble funnet å være skadelig, eller en bruker omgikk en advarselsside for klarerte koblinger for å komme til en ondsinnet side.) |
Automatisert undersøkelse resulterer ikke i en bestemt ventende handling. Blokker URL-adresse (tidsavbrudd) Bruk Trusselutforsker til å vise data om nettadresser og klikke dommer. Hvis organisasjonen bruker Microsoft Defender for endepunkt, bør du vurdere å undersøke brukeren for å finne ut om kontoen deres er kompromittert. |
Bruker | En bruker sender skadelig programvare/phish | Automatisert undersøkelse resulterer ikke i en bestemt ventende handling. Brukeren rapporterer kanskje skadelig programvare/phish, eller noen kan forfalske brukeren som en del av et angrep. Bruk Trusselutforsker til å vise og håndtere e-post som inneholder skadelig programvare eller phishing. |
Bruker | Videresending av e-post (Regler for videresending av postboks er konfigurert, chch kan brukes for dataeksfiltrering.) |
Fjern videresendingsregel Bruk rapporten for automatisk videresendte meldinger til å vise spesifikke detaljer om videresendt e-post. |
Bruker | Regler for e-postdelegering (En brukerkonto har konfigurert delegeringer.) |
Fjern delegeringsregel Hvis organisasjonen bruker Microsoft Defender for endepunkt, kan du vurdere å undersøke brukeren som får delegeringstillatelsen. |
Bruker | Dataeksfiltrering (En bruker har brutt DLP-policyer for e-post eller fildeling |
Automatisert undersøkelse resulterer ikke i en bestemt ventende handling. |
Bruker | Avvikende e-post sending (En bruker har nylig sendt mer e-post enn i løpet av de foregående 7–10 dagene.) |
Automatisert undersøkelse resulterer ikke i en bestemt ventende handling. Sending av et stort volum av e-post er ikke skadelig for seg selv. brukeren kan ha sendt e-post til en stor gruppe mottakere for en hendelse. Hvis du vil undersøke, kan du bruke nye brukere som videresender e-postinnsikt i EAC - og utgående meldingsrapporten i EAC for å finne ut hva som skjer og iverksette tiltak. |
Neste trinn
- Vis detaljer og resultater for en automatisert undersøkelse i Microsoft Defender for Office 365
- Vis ventende eller fullførte utbedringshandlinger etter en automatisert undersøkelse i Microsoft Defender for Office 365