Устранение скомпрометированных учетных записей пользователей с помощью автоматического исследования и реагирования

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Microsoft Defender для Office 365 план 2 включает в себя мощные возможности автоматического исследования и реагирования (AIR). Такие возможности могут сэкономить вашей команде по обеспечению безопасности много времени и усилий для борьбы с угрозами. В этой статье описывается один из аспектов возможностей AIR, скомпрометированный сборник схем безопасности пользователей.

Сборник схем безопасности скомпрометированных пользователей позволяет команде безопасности вашей организации:

• Ускорение обнаружения скомпрометированных учетных записей пользователей;
• Ограничить область нарушения при компрометации учетной записи; и
• Более эффективно и эффективно реагируйте на скомпрометированных пользователей.

Скомпрометированные оповещения пользователей

При компрометации учетной записи пользователя происходит нетипичное или аномальное поведение. Например, фишинговые и нежелательные сообщения могут отправляться внутренне из доверенной учетной записи пользователя. Defender для Office 365 могут обнаруживать такие аномалии в шаблонах электронной почты и действиях совместной работы в Office 365. В этом случае активируются оповещения и начинается процесс устранения угроз.

Исследование скомпрометированного пользователя и реагирование на него

При компрометации учетной записи пользователя активируются оповещения. В некоторых случаях эта учетная запись пользователя блокируется и не может отправлять дальнейшие сообщения электронной почты до тех пор, пока проблема не будет устранена командой по обеспечению безопасности вашей организации. В других случаях начинается автоматическое исследование, которое может привести к рекомендуемым действиям, которые должна предпринять ваша команда безопасности.

• Просмотр и исследование ограниченных пользователей

• Просмотр сведений об автоматизированных исследованиях

Важно!

Для выполнения следующих задач необходимо иметь соответствующие разрешения. См. раздел Необходимые разрешения для использования возможностей AIR.

Просмотрите это короткое видео, чтобы узнать, как обнаруживать компрометацию пользователей и реагировать на них в Microsoft Defender для Office 365 с помощью автоматизированного исследования и реагирования (AIR) и скомпрометированных оповещений пользователей.

Просмотр и исследование ограниченных пользователей

У вас есть несколько вариантов перехода к списку ограниченных пользователей. Например, на портале Microsoft Defender можно перейти к Email & совместной работы>Проверка>ограниченных пользователей. В следующей процедуре описывается навигация с помощью панели мониторинга оповещений . Это хороший способ просмотра различных типов оповещений, которые могли быть активированы.

1. Откройте портал Microsoft Defender по адресу https://security.microsoft.com и перейдите в раздел Инциденты & оповещения>оповещения. Или, чтобы перейти непосредственно на страницу Оповещений , используйте https://security.microsoft.com/alerts.

2. На странице Оповещения отфильтруйте результаты по периоду времени и политике с именем Пользователь не может отправлять сообщения электронной почты.

   

3. Если выбрать запись, щелкнув имя, откроется страница Пользователь, ограниченный для отправки электронной почты , с дополнительными сведениями для просмотра. Рядом с кнопкой Управление оповещением можно щелкнуть Дополнительные параметры , а затем выбрать Просмотреть сведения о пользователе с ограниченным доступом, чтобы перейти на страницу Ограниченные пользователи , где можно освободить ограниченного пользователя.

Просмотр сведений об автоматизированных исследованиях

После начала автоматического исследования его сведения и результаты можно просмотреть в центре уведомлений на портале Microsoft Defender.

Дополнительные сведения см. в статье Просмотр сведений о расследовании.

Помните о следующих моментах.

• Следите за оповещениями. Как известно, чем дольше компромисс остается незамеченным, тем больше потенциал для широкого влияния и затрат на вашу организацию, клиентов и партнеров. Раннее обнаружение и своевременное реагирование имеют решающее значение для устранения угроз, особенно при компрометации учетной записи пользователя.

• Автоматизация помогает команде по обеспечению безопасности. Автоматизированные возможности исследования и реагирования могут обнаружить скомпрометированного пользователя на ранних этапах и позволить вашей команде по операциям безопасности принять меры для устранения угрозы. Нужна помощь в этом? См . раздел Проверка и утверждение действий.

Дальнейшие действия

• Просмотрите необходимые разрешения для использования возможностей AIR.

• Поиск и исследование вредоносных сообщений электронной почты в Office 365

• Сведения о AIR в Microsoft Defender для конечной точки

• Посетите план развития Microsoft 365, чтобы узнать, что будет в ближайшее время и что будет развернуто