Rozwiązywanie problemów z kontami użytkowników, których zabezpieczenia zostały naruszone, za pomocą zautomatyzowanego badania i odpowiedzi

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2 obejmuje zaawansowane możliwości zautomatyzowanego badania i reagowania (AIR). Takie możliwości mogą zaoszczędzić zespołowi ds. operacji zabezpieczeń dużo czasu i wysiłku w radzeniu sobie z zagrożeniami. W tym artykule opisano jeden z aspektów funkcji AIR— podręcznik zabezpieczeń naruszeń zabezpieczeń użytkownika.

Podręcznik zabezpieczeń użytkownika z naruszeniem zabezpieczeń umożliwia zespołowi ds. zabezpieczeń organizacji:

• Przyspiesz wykrywanie kont użytkowników, których bezpieczeństwo zostało naruszone;
• Ogranicz zakres naruszenia zabezpieczeń w przypadku naruszenia zabezpieczeń konta; i
• Efektywniej i wydajniej reagować na naruszenia zabezpieczeń użytkowników.

Alerty użytkowników, których zabezpieczenia zostały naruszone

Gdy konto użytkownika zostanie naruszone, wystąpią nietypowe lub nietypowe zachowania. Na przykład wiadomości wyłudzające informacje i spam mogą być wysyłane wewnętrznie z zaufanego konta użytkownika. Ochrona usługi Office 365 w usłudze Defender może wykrywać takie anomalie we wzorcach poczty e-mail i działaniach współpracy w Office 365. W takim przypadku alerty są wyzwalane i rozpoczyna się proces ograniczania zagrożeń.

Badanie użytkownika z naruszeniem zabezpieczeń i reagowanie na nie

Gdy konto użytkownika zostanie naruszone, alerty są wyzwalane. W niektórych przypadkach to konto użytkownika jest blokowane i nie może wysyłać dalszych wiadomości e-mail, dopóki problem nie zostanie rozwiązany przez zespół ds. operacji zabezpieczeń w organizacji. W innych przypadkach rozpoczyna się zautomatyzowane badanie, które może skutkować zalecanymi akcjami, które powinien podjąć zespół ds. zabezpieczeń.

• Wyświetlanie i badanie użytkowników z ograniczeniami

• Wyświetlanie szczegółów dotyczących zautomatyzowanych dochodzeń

Ważna

Musisz mieć odpowiednie uprawnienia do wykonywania następujących zadań. Zobacz Wymagane uprawnienia do korzystania z funkcji AIR.

Obejrzyj ten krótki film wideo, aby dowiedzieć się, jak wykrywać naruszenia bezpieczeństwa użytkowników i reagować na nie w Ochrona usługi Office 365 w usłudze Microsoft Defender przy użyciu zautomatyzowanego badania i reagowania (AIR) oraz alertów użytkowników, których bezpieczeństwo zostało naruszone.

Wyświetlanie i badanie użytkowników z ograniczeniami

Istnieje kilka opcji przechodzenia do listy użytkowników z ograniczeniami. Na przykład w portalu Microsoft Defender możesz przejść do obszaru Email & współpracy>Przejrzyj>użytkowników z ograniczeniami. Poniższa procedura opisuje nawigację przy użyciu pulpitu nawigacyjnego Alerty , który jest dobrym sposobem wyświetlenia różnych rodzajów alertów, które mogły zostać wyzwolone.

1. Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com i przejdź do pozycji Zdarzenia & alerty alertów>. Aby przejść bezpośrednio do strony Alerty , użyj polecenia https://security.microsoft.com/alerts.

2. Na stronie Alerty przefiltruj wyniki według okresu i zasad o nazwie Użytkownik z ograniczeniami wysyłania wiadomości e-mail.

   

3. Jeśli wybierzesz wpis, klikając nazwę, zostanie otwarta strona z ograniczeniami wysyłania wiadomości e-mail z dodatkowymi szczegółami do przejrzenia. Obok przycisku Zarządzaj alertem możesz kliknąć pozycję Więcej opcji , a następnie wybrać pozycję Wyświetl ograniczone szczegóły użytkownika , aby przejść do strony Użytkownicy z ograniczeniami , na której można zwolnić użytkownika z ograniczeniami.

Wyświetlanie szczegółów dotyczących zautomatyzowanych dochodzeń

Po rozpoczęciu zautomatyzowanego badania możesz zobaczyć jego szczegóły i wyniki w centrum akcji w portalu Microsoft Defender.

Aby dowiedzieć się więcej, zobacz Wyświetlanie szczegółów badania.

Należy pamiętać o następujących kwestiach

• Bądź na bieżąco z alertami. Jak wiesz, tym dłuższy kompromis jest niewykrywany, tym większy jest potencjał powszechnego wpływu i kosztów na organizację, klientów i partnerów. Wczesne wykrywanie i terminowe reagowanie mają kluczowe znaczenie dla ograniczenia zagrożeń, a zwłaszcza w przypadku naruszenia zabezpieczeń konta użytkownika.

• Automatyzacja pomaga zespołowi ds. operacji zabezpieczeń. Funkcje zautomatyzowanego badania i reagowania mogą wcześnie wykrywać naruszonego użytkownika i umożliwić zespołowi ds. operacji zabezpieczeń podjęcie działań w celu skorygowania zagrożenia. Potrzebujesz pomocy w tym zakresie? Zobacz Przeglądanie i zatwierdzanie akcji.

Następne kroki

• Przejrzyj wymagane uprawnienia do korzystania z funkcji AIR

• Znajdowanie i badanie złośliwych wiadomości e-mail w Office 365

• Dowiedz się więcej o środowisku AIR w Ochrona punktu końcowego w usłudze Microsoft Defender

• Odwiedź stronę planów platformy Microsoft 365, aby zobaczyć, co będzie wkrótce i co się stanie