Rozwiązywanie problemów z kontami użytkowników, których zabezpieczenia zostały naruszone, za pomocą zautomatyzowanego badania i odpowiedzi
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2 obejmuje zaawansowane możliwości zautomatyzowanego badania i reagowania (AIR). Takie możliwości mogą zaoszczędzić zespołowi ds. operacji zabezpieczeń dużo czasu i wysiłku w radzeniu sobie z zagrożeniami. W tym artykule opisano jeden z aspektów funkcji AIR— podręcznik zabezpieczeń naruszeń zabezpieczeń użytkownika.
Podręcznik zabezpieczeń użytkownika z naruszeniem zabezpieczeń umożliwia zespołowi ds. zabezpieczeń organizacji:
- Przyspiesz wykrywanie kont użytkowników, których bezpieczeństwo zostało naruszone;
- Ogranicz zakres naruszenia zabezpieczeń w przypadku naruszenia zabezpieczeń konta; i
- Efektywniej i wydajniej reagować na naruszenia zabezpieczeń użytkowników.
Alerty użytkowników, których zabezpieczenia zostały naruszone
Gdy konto użytkownika zostanie naruszone, wystąpią nietypowe lub nietypowe zachowania. Na przykład wiadomości wyłudzające informacje i spam mogą być wysyłane wewnętrznie z zaufanego konta użytkownika. Ochrona usługi Office 365 w usłudze Defender może wykrywać takie anomalie we wzorcach poczty e-mail i działaniach współpracy w Office 365. W takim przypadku alerty są wyzwalane i rozpoczyna się proces ograniczania zagrożeń.
Badanie użytkownika z naruszeniem zabezpieczeń i reagowanie na nie
Gdy konto użytkownika zostanie naruszone, alerty są wyzwalane. W niektórych przypadkach to konto użytkownika jest blokowane i nie może wysyłać dalszych wiadomości e-mail, dopóki problem nie zostanie rozwiązany przez zespół ds. operacji zabezpieczeń w organizacji. W innych przypadkach rozpoczyna się zautomatyzowane badanie, które może skutkować zalecanymi akcjami, które powinien podjąć zespół ds. zabezpieczeń.
Ważna
Musisz mieć odpowiednie uprawnienia do wykonywania następujących zadań. Zobacz Wymagane uprawnienia do korzystania z funkcji AIR.
Obejrzyj ten krótki film wideo, aby dowiedzieć się, jak wykrywać naruszenia bezpieczeństwa użytkowników i reagować na nie w Ochrona usługi Office 365 w usłudze Microsoft Defender przy użyciu zautomatyzowanego badania i reagowania (AIR) oraz alertów użytkowników, których bezpieczeństwo zostało naruszone.
Wyświetlanie i badanie użytkowników z ograniczeniami
Istnieje kilka opcji przechodzenia do listy użytkowników z ograniczeniami. Na przykład w portalu Microsoft Defender możesz przejść do obszaru Email & współpracy>Przejrzyj>użytkowników z ograniczeniami. Poniższa procedura opisuje nawigację przy użyciu pulpitu nawigacyjnego Alerty , który jest dobrym sposobem wyświetlenia różnych rodzajów alertów, które mogły zostać wyzwolone.
Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com i przejdź do pozycji Zdarzenia & alerty alertów>. Aby przejść bezpośrednio do strony Alerty , użyj polecenia https://security.microsoft.com/alerts.
Na stronie Alerty przefiltruj wyniki według okresu i zasad o nazwie Użytkownik z ograniczeniami wysyłania wiadomości e-mail.
Jeśli wybierzesz wpis, klikając nazwę, zostanie otwarta strona z ograniczeniami wysyłania wiadomości e-mail z dodatkowymi szczegółami do przejrzenia. Obok przycisku Zarządzaj alertem możesz kliknąć pozycję Więcej opcji , a następnie wybrać pozycję Wyświetl ograniczone szczegóły użytkownika , aby przejść do strony Użytkownicy z ograniczeniami , na której można zwolnić użytkownika z ograniczeniami.
Wyświetlanie szczegółów dotyczących zautomatyzowanych dochodzeń
Po rozpoczęciu zautomatyzowanego badania możesz zobaczyć jego szczegóły i wyniki w centrum akcji w portalu Microsoft Defender.
Aby dowiedzieć się więcej, zobacz Wyświetlanie szczegółów badania.
Należy pamiętać o następujących kwestiach
Bądź na bieżąco z alertami. Jak wiesz, tym dłuższy kompromis jest niewykrywany, tym większy jest potencjał powszechnego wpływu i kosztów na organizację, klientów i partnerów. Wczesne wykrywanie i terminowe reagowanie mają kluczowe znaczenie dla ograniczenia zagrożeń, a zwłaszcza w przypadku naruszenia zabezpieczeń konta użytkownika.
Automatyzacja pomaga zespołowi ds. operacji zabezpieczeń. Funkcje zautomatyzowanego badania i reagowania mogą wcześnie wykrywać naruszonego użytkownika i umożliwić zespołowi ds. operacji zabezpieczeń podjęcie działań w celu skorygowania zagrożenia. Potrzebujesz pomocy w tym zakresie? Zobacz Przeglądanie i zatwierdzanie akcji.