Ações de correção no Microsoft Defender para Office 365
Dica
Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.
Ações de correção
Os recursos de proteção contra ameaças no Microsoft Defender para Office 365 incluem determinadas ações de correção. Essas ações de correção podem incluir:
- Exclusão reversível de mensagens de emails ou clusters
- Bloquear URL (hora do clique)
- Desativar o encaminhamento de emails externo
- Desativar a delegação
Em Microsoft Defender para Office 365, as ações de correção não são tomadas automaticamente. Em vez disso, as ações de correção são tomadas somente após a aprovação da equipe de operações de segurança da sua organização.
Ameaças e ações de correção
Microsoft Defender para Office 365 inclui ações de correção para lidar com várias ameaças. Investigações automatizadas geralmente resultam em uma ou mais ações de correção para revisar e aprovar. Em alguns casos, uma investigação automatizada não resulta em uma ação de correção específica. Para investigar e tomar as medidas apropriadas, use as diretrizes na tabela a seguir.
| Categoria | Ameaça/risco | Ações de correção |
|---|---|---|
| Malware | Excluir email/cluster de exclusão suave Se mais de um punhado de mensagens de email em um cluster contiverem malware, o cluster será considerado mal-intencionado. |
|
| URL mal-intencionada (Uma URL mal-intencionada foi detectada por Links Seguros.) |
Excluir email/cluster de exclusão suave Bloquear URL (verificação de hora de clique) Email que contém uma URL mal-intencionada é considerada mal-intencionada. |
|
| Phish | Excluir email/cluster de exclusão suave Se mais de um punhado de mensagens de email em um cluster contiverem tentativas de phishing, todo o cluster será considerado uma tentativa de phishing. |
|
| Phish zapped (Email mensagens foram entregues e, em seguida, zapped.) |
Excluir email/cluster de exclusão suave Os relatórios estão disponíveis para exibir mensagens zapped. Veja se o ZAP moveu uma mensagem e perguntas frequentes. |
|
| Email de phish perdido relatado por um usuário | Investigação automatizada disparada pelo relatório do usuário | |
| Anomalia de volume (As quantidades de email recentes excedem os 7 a 10 dias anteriores para critérios correspondentes.) |
A investigação automatizada não resulta em uma ação pendente específica. A anomalia de volume não é uma ameaça clara, mas é apenas uma indicação de volumes de email maiores nos últimos dias em comparação com os últimos 7 a 10 dias. Embora um alto volume de email possa indicar possíveis problemas, a confirmação é necessária em termos de veredictos mal-intencionados ou uma revisão manual de mensagens/clusters de email. Consulte Localizar email suspeito que foi entregue. |
|
| Nenhuma ameaça encontrada (O sistema não encontrou ameaças com base em arquivos, URLs ou análise de veredictos de cluster de email.) |
A investigação automatizada não resulta em uma ação pendente específica. As ameaças encontradas e encerradas após a conclusão de uma investigação não se refletem nas conclusões numéricas de uma investigação, mas tais ameaças são ím vistas em Explorer de Ameaças. |
|
| Usuário | Um usuário clicou em uma URL mal-intencionada (Um usuário navegou até uma página que mais tarde foi considerada mal-intencionada ou um usuário ignorou uma página de aviso de Links Seguros para chegar a uma página mal-intencionada.) |
A investigação automatizada não resulta em uma ação pendente específica. Bloquear URL (hora do clique) Use o Explorer de Ameaças para exibir dados sobre URLs e clicar em veredictos. Se sua organização estiver usando Microsoft Defender para Ponto de Extremidade, considere investigar o usuário para determinar se sua conta está comprometida. |
| Usuário | Um usuário está enviando malware/phish | A investigação automatizada não resulta em uma ação pendente específica. O usuário pode estar relatando malware/phish ou alguém pode estar falsificando o usuário como parte de um ataque. Use o Explorer de Ameaças para exibir e manipular emails que contêm malware ou phishing. |
| Usuário | Encaminhamento de e-mail (As regras de encaminhamento da caixa de correio estão configuradas, o chch pode ser usado para exfiltração de dados.) |
Remover regra de encaminhamento Use o relatório De mensagens automaticamente enviadas para exibir detalhes específicos sobre o email encaminhado. |
| Usuário | Email regras de delegação (A conta de um usuário tem delegações configuradas.) |
Remover regra de delegação Se sua organização estiver usando Microsoft Defender para Ponto de Extremidade, considere investigar o usuário que está recebendo a permissão de delegação. |
| Usuário | Exfiltração dos dados (Um usuário violou políticas DLP de compartilhamento de arquivos ou email |
A investigação automatizada não resulta em uma ação pendente específica. |
| Usuário | Envio de email anômômal (Um usuário enviou recentemente mais email do que durante os últimos 7 a 10 dias.) |
A investigação automatizada não resulta em uma ação pendente específica. Enviar um grande volume de email não é mal-intencionado por si só; o usuário pode ter enviado email para um grande grupo de destinatários para um evento. Para investigar, use os novos usuários que encaminham informações de email no relatório de mensagens de saída e EAC no EAC para determinar o que está acontecendo e tomar medidas. |
Próximas etapas
- Exibir detalhes e resultados de uma investigação automatizada no Microsoft Defender para Office 365
- Exibir ações de correção pendentes ou concluídas após uma investigação automatizada no Microsoft Defender para Office 365
Artigos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de