Abordar contas de usuário comprometidas com investigação e resposta automatizadas

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Microsoft Defender para Office 365 Plano 2 inclui recursos avançados de investigação e resposta automatizada (AIR). Essas funcionalidades podem salvar a equipe de operações de segurança muito tempo e esforço para lidar com ameaças. Este artigo descreve uma das facetas das funcionalidades air, a cartilha de segurança do usuário comprometida.

A cartilha de segurança do usuário comprometida permite que a equipe de segurança da sua organização:

• Acelerar a detecção de contas de usuário comprometidas;
• Limite o escopo de uma violação quando uma conta é comprometida; E
• Responda aos usuários comprometidos de forma mais eficaz e eficiente.

Alertas de usuário comprometidos

Quando uma conta de usuário é comprometida, ocorrem comportamentos atípicos ou anômalos. Por exemplo, mensagens de phishing e spam podem ser enviadas internamente de uma conta de usuário confiável. Defender para Office 365 pode detectar essas anomalias em padrões de email e atividade de colaboração em Office 365. Quando isso acontece, os alertas são disparados e o processo de mitigação de ameaças começa.

Investigar e responder a um usuário comprometido

Quando uma conta de usuário é comprometida, os alertas são disparados. E, em alguns casos, essa conta de usuário está bloqueada e impedida de enviar mais mensagens de email até que o problema seja resolvido pela equipe de operações de segurança da sua organização. Em outros casos, uma investigação automatizada começa, o que pode resultar em ações recomendadas que sua equipe de segurança deve tomar.

• Exibir e investigar usuários restritos

• Exibir detalhes sobre investigações automatizadas

Importante

Você deve ter permissões apropriadas para executar as tarefas a seguir. Consulte Permissões necessárias para usar recursos air.

Assista a este pequeno vídeo para saber como você pode detectar e responder ao comprometimento do usuário em Microsoft Defender para Office 365 usando a Air (Investigação e Resposta Automatizada) e alertas de usuário comprometidos.

Exibir e investigar usuários restritos

Você tem algumas opções para navegar até uma lista de usuários restritos. Por exemplo, no portal Microsoft Defender, você pode ir para Email & colaboração>Examinar>Usuários Restritos. O procedimento a seguir descreve a navegação usando o dashboard alertas, que é uma boa maneira de ver vários tipos de alertas que podem ter sido disparados.

1. Abra o portal do Microsoft Defender em https://security.microsoft.com e acesse Alertas de alertas de & incidentes>. Ou, para ir diretamente para a página Alertas , use https://security.microsoft.com/alerts.

2. Na página Alertas , filtre os resultados por período e a política chamada Usuário restringiu o envio de email.

   

3. Se você selecionar a entrada clicando no nome, um usuário restrito ao envio de página de email será aberto com detalhes adicionais para você examinar. Ao lado do botão Gerenciar alerta , clique em Mais opções e selecione Exibir detalhes restritos do usuário para acessar a página Usuários restritos , onde você pode liberar o usuário restrito.

Exibir detalhes sobre investigações automatizadas

Quando uma investigação automatizada for iniciada, você poderá ver seus detalhes e resultados no Centro de Ações no portal do Microsoft Defender.

Para saber mais, confira Exibir detalhes de uma investigação.

Lembre-se dos seguintes pontos

• Fique atento aos alertas. Como você sabe, quanto mais tempo um compromisso não for detectado, maior será o potencial de impacto e custo generalizados para sua organização, clientes e parceiros. A detecção precoce e a resposta oportuna são fundamentais para mitigar ameaças e, especialmente, quando a conta de um usuário é comprometida.

• A automação auxilia sua equipe de operações de segurança. Os recursos automatizados de investigação e resposta podem detectar um usuário comprometido no início e permitir que sua equipe de operações de segurança tome medidas para corrigir a ameaça. Precisa de ajuda com isso? Consulte Revisar e aprovar ações.

Próximas etapas

• Examine as permissões necessárias para usar recursos do AIR

• Localizar e investigar emails mal-intencionados em Office 365

• Saiba mais sobre o AIR no Microsoft Defender para Ponto de Extremidade

• Visite o Roteiro do Microsoft 365 para ver o que será lançado em breve