Udostępnij za pośrednictwem

Akcje korygowania w Ochrona usługi Office 365 w usłudze Microsoft Defender

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Działania naprawcze

Funkcje ochrony przed zagrożeniami w Ochrona usługi Office 365 w usłudze Microsoft Defender obejmują pewne akcje korygowania. Takie akcje korygowania mogą obejmować:

  • Usuwanie nietrwałe wiadomości e-mail lub klastrów
  • Blokuj adres URL (czas kliknięcia)
  • Wyłączanie przekazywania poczty zewnętrznej
  • Wyłączanie delegowania

W Ochrona usługi Office 365 w usłudze Microsoft Defender akcje korygowania nie są wykonywane automatycznie. Zamiast tego akcje korygowania są wykonywane tylko po zatwierdzeniu przez zespół ds. operacji zabezpieczeń w organizacji.

Zagrożenia i akcje korygowania

Ochrona usługi Office 365 w usłudze Microsoft Defender obejmuje akcje korygowania w celu rozwiązania różnych zagrożeń. Zautomatyzowane badania często powodują co najmniej jedną akcję korygowania w celu przejrzenia i zatwierdzenia. W niektórych przypadkach zautomatyzowane badanie nie powoduje określonej akcji korygowania. Aby dokładniej zbadać i podjąć odpowiednie działania, skorzystaj ze wskazówek przedstawionych w poniższej tabeli.

Kategoria Zagrożenie/ryzyko Akcje korygowania
Poczta e-mail Złośliwego oprogramowania Usuwanie nietrwałe poczty e-mail/klastra

Jeśli więcej niż kilka wiadomości e-mail w klastrze zawiera złośliwe oprogramowanie, klaster jest uważany za złośliwy.
Poczta e-mail Złośliwy adres URL
(Bezpieczne linki wykryły złośliwy adres URL).		 Usuwanie nietrwałe poczty e-mail/klastra
Zablokuj adres URL (weryfikacja czasu kliknięcia)

Email zawierający złośliwy adres URL jest uważany za złośliwy.
Poczta e-mail Phish Usuwanie nietrwałe poczty e-mail/klastra

Jeśli więcej niż kilka wiadomości e-mail w klastrze zawiera próby wyłudzania informacji, cały klaster jest uważany za próbę wyłudzania informacji.
Poczta e-mail Zapped phish
(Email komunikaty zostały dostarczone, a następnie zamapowane).		 Usuwanie nietrwałe poczty e-mail/klastra

Raporty są dostępne do wyświetlania zamapowanych komunikatów. Sprawdź, czy zap przeniósł komunikat i często zadawane pytania.
Poczta e-mail Nieodebrana wiadomość e-mail zgłoszona przez użytkownika Automatyczne badanie wyzwolone przez raport użytkownika
Poczta e-mail Anomalia woluminu
(Ostatnie ilości wiadomości e-mail przekraczają poprzednie 7–10 dni w celu dopasowania kryteriów).		 Zautomatyzowane badanie nie powoduje określonej oczekującej akcji.

Anomalia woluminu nie jest wyraźnym zagrożeniem, ale jest jedynie wskazaniem większych woluminów wiadomości e-mail w ostatnich dniach w porównaniu z ostatnimi 7–10 dniami.

Chociaż duża liczba wiadomości e-mail może wskazywać na potencjalne problemy, potwierdzenie jest wymagane w kontekście złośliwych werdyktów lub ręcznego przeglądu wiadomości e-mail/klastrów. Zobacz Znajdowanie podejrzanej wiadomości e-mail, która została dostarczona.
Poczta e-mail Nie znaleziono zagrożeń
(System nie znalazł żadnych zagrożeń na podstawie plików, adresów URL ani analizy werdyktów klastra poczty e-mail).		 Zautomatyzowane badanie nie powoduje określonej oczekującej akcji.

Zagrożenia znalezione i zamapowane po zakończeniu badania nie są odzwierciedlane w wynikach liczbowych badania, ale takie zagrożenia są widoczne w Eksploratorze zagrożeń.
Użytkownik Użytkownik kliknął złośliwy adres URL
(Użytkownik przeszedł do strony, która później została uznana za złośliwą lub użytkownik pominął stronę ostrzeżenia Bezpieczne linki , aby przejść do złośliwej strony).		 Zautomatyzowane badanie nie powoduje określonej oczekującej akcji.

Blokuj adres URL (czas kliknięcia)

Użyj Eksploratora zagrożeń, aby wyświetlić dane dotyczące adresów URL i kliknąć werdykty.

Jeśli Twoja organizacja używa Ochrona punktu końcowego w usłudze Microsoft Defender, rozważ zbadanie użytkownika, aby ustalić, czy jego konto zostało naruszone.
Użytkownik Użytkownik wysyła złośliwe oprogramowanie/phish Zautomatyzowane badanie nie powoduje określonej oczekującej akcji.

Użytkownik może zgłaszać złośliwe oprogramowanie/phish lub ktoś może podszywać się pod użytkownika w ramach ataku. Użyj Eksploratora zagrożeń , aby wyświetlać i obsługiwać wiadomości e-mail zawierające złośliwe oprogramowanie lub wyłudzanie informacji.
Użytkownik przekazywanie Email
(Skonfigurowano reguły przekazywania skrzynek pocztowych, chch może służyć do eksfiltracji danych).		 Usuwanie reguły przekazywania

Raport Autoforwarded messages umożliwia wyświetlenie szczegółowych informacji o przesłanej dalej wiadomości e-mail.
Użytkownik reguły delegowania Email
(Konto użytkownika ma skonfigurowane delegowania).		 Usuwanie reguły delegowania

Jeśli Twoja organizacja używa Ochrona punktu końcowego w usłudze Microsoft Defender, rozważ zbadanie użytkownika, który otrzymuje uprawnienie do delegowania.
Użytkownik Eksfiltracja danych
(Użytkownik naruszył zasady DLP dotyczące poczty e-mail lub udostępniania plików		 Zautomatyzowane badanie nie powoduje określonej oczekującej akcji.

Wprowadzenie do Eksploratora działań.
Użytkownik Nietypowe wysyłanie wiadomości e-mail
(Użytkownik wysłał ostatnio więcej wiadomości e-mail niż w ciągu ostatnich 7–10 dni).		 Zautomatyzowane badanie nie powoduje określonej oczekującej akcji.

Wysyłanie dużej ilości wiadomości e-mail samo w sobie nie jest złośliwe; użytkownik mógł po prostu wysłać wiadomość e-mail do dużej grupy adresatów zdarzenia. Aby zbadać ten problem, użyj usługi New users forwarding email insight in the EAC and Outbound message report in the EAC (Nowi użytkownicy przekazujący szczegółowe informacje e-mail w raporcie EAC i komunikatów wychodzących w eac), aby określić, co się dzieje i podjąć działania.

Następne kroki