Udostępnij za pośrednictwem


Rozwiązywanie problemów z kontami użytkowników, których zabezpieczenia zostały naruszone, za pomocą zautomatyzowanego badania i odpowiedzi

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2 obejmuje zaawansowane możliwości zautomatyzowanego badania i reagowania (AIR). Takie możliwości mogą zaoszczędzić zespołowi ds. operacji zabezpieczeń dużo czasu i wysiłku w radzeniu sobie z zagrożeniami. W tym artykule opisano jeden z aspektów funkcji AIR— podręcznik zabezpieczeń naruszeń zabezpieczeń użytkownika.

Podręcznik zabezpieczeń użytkownika z naruszeniem zabezpieczeń umożliwia zespołowi ds. zabezpieczeń organizacji:

  • Przyspiesz wykrywanie kont użytkowników, których bezpieczeństwo zostało naruszone;
  • Ogranicz zakres naruszenia zabezpieczeń w przypadku naruszenia zabezpieczeń konta; i
  • Efektywniej i wydajniej reagować na naruszenia zabezpieczeń użytkowników.

Alerty użytkowników, których zabezpieczenia zostały naruszone

Gdy konto użytkownika zostanie naruszone, wystąpią nietypowe lub nietypowe zachowania. Na przykład wiadomości wyłudzające informacje i spam mogą być wysyłane wewnętrznie z zaufanego konta użytkownika. Ochrona usługi Office 365 w usłudze Defender może wykrywać takie anomalie we wzorcach poczty e-mail i działaniach współpracy w Office 365. W takim przypadku alerty są wyzwalane i rozpoczyna się proces ograniczania zagrożeń.

Badanie użytkownika z naruszeniem zabezpieczeń i reagowanie na nie

Gdy konto użytkownika zostanie naruszone, alerty są wyzwalane. W niektórych przypadkach to konto użytkownika jest blokowane i nie może wysyłać dalszych wiadomości e-mail, dopóki problem nie zostanie rozwiązany przez zespół ds. operacji zabezpieczeń w organizacji. W innych przypadkach rozpoczyna się zautomatyzowane badanie, które może skutkować zalecanymi akcjami, które powinien podjąć zespół ds. zabezpieczeń.

Ważna

Musisz mieć odpowiednie uprawnienia do wykonywania następujących zadań. Zobacz Wymagane uprawnienia do korzystania z funkcji AIR.

Obejrzyj ten krótki film wideo, aby dowiedzieć się, jak wykrywać naruszenia bezpieczeństwa użytkowników i reagować na nie w Ochrona usługi Office 365 w usłudze Microsoft Defender przy użyciu zautomatyzowanego badania i reagowania (AIR) oraz alertów użytkowników, których bezpieczeństwo zostało naruszone.

Wyświetlanie i badanie użytkowników z ograniczeniami

Istnieje kilka opcji przechodzenia do listy użytkowników z ograniczeniami. Na przykład w portalu Microsoft Defender możesz przejść do obszaru Email & współpracy>Przejrzyj>użytkowników z ograniczeniami. Poniższa procedura opisuje nawigację przy użyciu pulpitu nawigacyjnego Alerty , który jest dobrym sposobem wyświetlenia różnych rodzajów alertów, które mogły zostać wyzwolone.

  1. Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com i przejdź do pozycji Zdarzenia & alerty alertów>. Aby przejść bezpośrednio do strony Alerty , użyj polecenia https://security.microsoft.com/alerts.

  2. Na stronie Alerty przefiltruj wyniki według okresu i zasad o nazwie Użytkownik z ograniczeniami wysyłania wiadomości e-mail.

    Strona Alerty w portalu Microsoft Defender filtrowana pod kątem użytkowników z ograniczeniami

  3. Jeśli wybierzesz wpis, klikając nazwę, zostanie otwarta strona z ograniczeniami wysyłania wiadomości e-mail z dodatkowymi szczegółami do przejrzenia. Obok przycisku Zarządzaj alertem możesz kliknąć pozycję Więcej opcji , a następnie wybrać pozycję Wyświetl ograniczone szczegóły użytkownika , aby przejść do strony Użytkownicy z ograniczeniami , na której można zwolnić użytkownika z ograniczeniami.

Użytkownik nie może wysyłać wiadomości e-mail

Wyświetlanie szczegółów dotyczących zautomatyzowanych dochodzeń

Po rozpoczęciu zautomatyzowanego badania możesz zobaczyć jego szczegóły i wyniki w centrum akcji w portalu Microsoft Defender.

Aby dowiedzieć się więcej, zobacz Wyświetlanie szczegółów badania.

Należy pamiętać o następujących kwestiach

  • Bądź na bieżąco z alertami. Jak wiesz, tym dłuższy kompromis jest niewykrywany, tym większy jest potencjał powszechnego wpływu i kosztów na organizację, klientów i partnerów. Wczesne wykrywanie i terminowe reagowanie mają kluczowe znaczenie dla ograniczenia zagrożeń, a zwłaszcza w przypadku naruszenia zabezpieczeń konta użytkownika.

  • Automatyzacja pomaga zespołowi ds. operacji zabezpieczeń. Funkcje zautomatyzowanego badania i reagowania mogą wcześnie wykrywać naruszonego użytkownika i umożliwić zespołowi ds. operacji zabezpieczeń podjęcie działań w celu skorygowania zagrożenia. Potrzebujesz pomocy w tym zakresie? Zobacz Przeglądanie i zatwierdzanie akcji.

Następne kroki