Ações de remediação no Microsoft Defender para Office 365

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Ações de remediação

As funcionalidades de proteção contra ameaças no Microsoft Defender para Office 365 incluem determinadas ações de remediação. Tais ações de remediação podem incluir:

  • Eliminar mensagens de e-mail ou clusters de forma recuperável
  • URL de Bloco (tempo de clique)
  • Desativar o reencaminhamento de correio externo
  • Desativar delegação

No Microsoft Defender para Office 365, as ações de remediação não são executadas automaticamente. Em vez disso, as ações de remediação são tomadas apenas após aprovação pela equipa de operações de segurança da sua organização.

Ameaças e ações de remediação

Microsoft Defender para Office 365 inclui ações de remediação para lidar com várias ameaças. As investigações automatizadas resultam frequentemente numa ou mais ações de remediação para rever e aprovar. Em alguns casos, uma investigação automatizada não resulta numa ação de remediação específica. Para investigar e tomar as ações adequadas, utilize a documentação de orientação na tabela seguinte.

Categoria Ameaça/risco Ações de remediação
E-mail Software Maligno Eliminar e-mail/cluster de eliminação recuperável

Se mais de um punhado de mensagens de e-mail num cluster contiverem software maligno, o cluster é considerado malicioso.
E-mail URL malicioso
(Foi detetado um URL malicioso pelas Ligações Seguras.)		 Eliminar e-mail/cluster de eliminação recuperável
BLOQUEAR URL (verificação de tempo de clique)

Email que contém um URL malicioso é considerado malicioso.
E-mail Phish Eliminar e-mail/cluster de eliminação recuperável

Se mais do que um punhado de mensagens de e-mail num cluster contiverem tentativas de phishing, todo o cluster será considerado uma tentativa de phishing.
E-mail Phish zapped
(Email mensagens foram entregues e, em seguida, zapped.)		 Eliminar e-mail/cluster de eliminação recuperável

Os relatórios estão disponíveis para ver mensagens zapped. Veja se o ZAP moveu uma mensagem e as FAQs.
E-mail E-mail de phish perdido comunicado por um utilizador Investigação automatizada acionada pelo relatório do utilizador
E-mail Anomalia de volume
(As quantidades de e-mail recentes excedem os 7 a 10 dias anteriores para critérios correspondentes.)		 A investigação automatizada não resulta numa ação pendente específica.

A anomalia de volume não é uma ameaça clara, mas é apenas uma indicação de volumes de e-mail maiores nos últimos dias em comparação com os últimos 7 a 10 dias.

Embora um elevado volume de e-mails possa indicar potenciais problemas, é necessária confirmação em termos de veredictos maliciosos ou de uma revisão manual de mensagens de e-mail/clusters. Consulte Localizar e-mail suspeito que foi entregue.
E-mail Não foram encontradas ameaças
(O sistema não encontrou ameaças com base em ficheiros, URLs ou análise de veredictos do cluster de e-mail.)		 A investigação automatizada não resulta numa ação pendente específica.

As ameaças encontradas e efetuadas após a conclusão de uma investigação não se refletem nas conclusões numéricas de uma investigação, mas essas ameaças são visíveis no Explorador de Ameaças.
Utilizador Um utilizador clicou num URL malicioso
(Um utilizador navegou para uma página que mais tarde foi considerada maliciosa ou um utilizador ignorou uma página de aviso de Ligações Seguras para aceder a uma página maliciosa.)		 A investigação automatizada não resulta numa ação pendente específica.

URL de Bloco (tempo de clique)

Utilize o Explorador de Ameaças para ver dados sobre URLs e clicar em veredictos.

Se a sua organização estiver a utilizar Microsoft Defender para Endpoint, considere investigar o utilizador para determinar se a conta está comprometida.
Utilizador Um utilizador está a enviar software maligno/phish A investigação automatizada não resulta numa ação pendente específica.

O utilizador pode estar a comunicar software maligno/phish ou alguém pode estar a falsificar o utilizador como parte de um ataque. Utilize o Explorador de Ameaças para ver e processar e-mails que contenham software maligno ou phishing.
Utilizador reencaminhamento de Email
(As regras de reencaminhamento de caixas de correio estão configuradas, o chch pode ser utilizado para a transferência de dados não autorizada.)		 Remover regra de reencaminhamento

Utilize o relatório Mensagens desforwarded automaticamente para ver detalhes específicos sobre o e-mail reencaminhado.
Utilizador regras de delegação de Email
(A conta de um utilizador tem delegações configuradas.)		 Remover regra de delegação

Se a sua organização estiver a utilizar Microsoft Defender para Endpoint, considere investigar o utilizador que está a obter a permissão de delegação.
Utilizador Transferência de dados não autorizada
(Um utilizador violou o e-mail ou as políticas DLP de partilha de ficheiros		 A investigação automatizada não resulta numa ação pendente específica.

Introdução ao Explorador de Atividades.
Utilizador Envio anómalo de e-mails
(Um utilizador enviou recentemente mais e-mails do que nos 7 a 10 dias anteriores.)		 A investigação automatizada não resulta numa ação pendente específica.

Enviar um grande volume de e-mails não é malicioso por si só; O utilizador pode ter simplesmente enviado um e-mail para um grande grupo de destinatários para um evento. Para investigar, utilize os Novos utilizadores que reencaminham informações de e-mail no relatório de mensagens EAC e Saída no EAC para determinar o que se passa e tomar medidas.

Passos seguintes