Действия по исправлению в Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Действия по исправлению

Функции защиты от угроз в Microsoft Defender для Office 365 включают определенные действия по исправлению. Такие действия по исправлению могут включать:

  • Обратимое удаление сообщений электронной почты или кластеров
  • Блокирование URL-адреса (во время щелчка)
  • Отключение внешней переадресации почты
  • Отключение делегирования

В Microsoft Defender для Office 365 действия по исправлению не выполняются автоматически. Вместо этого действия по исправлению выполняются только после утверждения группой по обеспечению безопасности вашей организации.

Угрозы и действия по исправлению

Microsoft Defender для Office 365 включает действия по исправлению для устранения различных угроз. Автоматизированные исследования часто приводят к одному или нескольким действиям по исправлению для проверки и утверждения. В некоторых случаях автоматическое исследование не приводит к определенному действию по исправлению. Для дальнейшего изучения и принятия соответствующих действий используйте рекомендации, приведенные в следующей таблице.

Категория Угроза и риск Действия по исправлению
Email Вредоносная программа Обратимое удаление электронной почты или кластера

Если несколько сообщений электронной почты в кластере содержат вредоносные программы, кластер считается вредоносным.
Email Вредоносный URL-адрес
(Безопасные ссылки обнаружили вредоносный URL-адрес.)		 Обратимое удаление электронной почты или кластера
URL-адрес блокировки (проверка времени щелчка)

Email, содержащий вредоносный URL-адрес, считается вредоносным.
Email Фишинг Обратимое удаление электронной почты или кластера

Если несколько сообщений электронной почты в кластере содержат попытки фишинга, весь кластер считается попыткой фишинга.
Email Забитый фишинг
(Email сообщения были доставлены и затем забиты.)		 Обратимое удаление электронной почты или кластера

Для просмотра сообщений доступны отчеты. Узнайте, переместил ли ZAP сообщение и часто задаваемые вопросы.
Email Пропущенный фишинговый адрес электронной почты , о чем сообщил пользователь Автоматическое исследование, активируется отчетом пользователя
Email Аномалия тома
(Последние количества сообщений электронной почты превышают предыдущие 7–10 дней для соответствия критериям.)		 Автоматическое исследование не приводит к определенному ожидающему действия.

Аномалия томов не является явной угрозой, но является лишь признаком больших объемов электронной почты в последние дни по сравнению с последними 7–10 днями.

Хотя большой объем электронной почты может указывать на потенциальные проблемы, требуется подтверждение с точки зрения либо вредоносных вердиктов, либо проверки сообщений электронной почты или кластеров вручную. См . раздел Поиск подозрительного сообщения электронной почты, которое было доставлено.
Email Угрозы не найдены
(Система не обнаружила никаких угроз на основе файлов, URL-адресов или анализа вердиктов кластера электронной почты.)		 Автоматическое исследование не приводит к определенному ожидающему действия.

Угрозы, обнаруженные и обнаруженные после завершения расследования, не отражаются в числовых выводах расследования, но такие угрозы можно увидеть в Обозреватель угроз.
Пользователь Пользователь щелкнул вредоносный URL-адрес
(Пользователь переходил на страницу, которая позже была признана вредоносной, или пользователь обошел страницу предупреждения о безопасных ссылках , чтобы перейти на вредоносную страницу.)		 Автоматическое исследование не приводит к определенному ожидающему действия.

Блокирование URL-адреса (в момент щелчка)

Используйте Обозреватель угроз, чтобы просмотреть данные о URL-адресах и щелкнуть вердикты.

Если ваша организация использует Microsoft Defender для конечной точки, рассмотрите возможность изучения пользователя, чтобы определить, скомпрометирована ли его учетная запись.
Пользователь Пользователь отправляет вредоносные программы или фишинговые программы Автоматическое исследование не приводит к определенному ожидающему действия.

Пользователь может сообщать о вредоносных программах или фишинговых программах, или кто-то может подделыть пользователя в рамках атаки. Используйте Обозреватель угроз для просмотра и обработки электронной почты, содержащей вредоносные программы или фишинг.
Пользователь Переадресация почты
(Правила переадресации почтовых ящиков настроены, chch можно использовать для кражи данных.)		 Удаление правила переадресации

Используйте отчет об автоматических сообщениях для просмотра конкретных сведений о переадресованной электронной почте.
Пользователь правила делегирования Email
(Для учетной записи пользователя настроено делегирование.)		 Удаление правила делегирования

Если ваша организация использует Microsoft Defender для конечной точки, рассмотрите возможность изучения пользователя, который получает разрешение на делегирование.
Пользователь Кража данных
(Пользователь нарушил политики защиты от потери данных электронной почты или общего доступа к файлам.		 Автоматическое исследование не приводит к определенному ожидающему действия.

Начало работы с Обозреватель действий.
Пользователь Аномальная отправка электронной почты
(Пользователь недавно отправил больше сообщений электронной почты, чем за предыдущие 7–10 дней.)		 Автоматическое исследование не приводит к определенному ожидающему действия.

Отправка большого объема электронной почты сама по себе не является вредоносной; пользователь может просто отправить сообщение электронной почты большой группе получателей для события. Чтобы исследовать, используйте аналитические сведения о новых пользователях, переадресовывая электронную почту в отчете EAC и исходящем сообщении в Центре администрирования Майкрософт , чтобы определить, что происходит, и принять меры.

Дальнейшие действия