Reparationsåtgärder i Microsoft Defender för Office 365

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 Abonnemang 2 kostnadsfritt? Använd den 90 dagar långa utvärderingsversionen av Defender för Office 365 på utvärderingshubben för Microsoft Defender-portalen. Lär dig mer om vem som kan registrera dig och testa villkoren i Prova Microsoft Defender för Office 365.

Reparationsåtgärder

Hotskyddsfunktioner i Microsoft Defender för Office 365 omfattar vissa reparationsåtgärder. Sådana åtgärder kan vara:

• Mjuk borttagning av e-postmeddelanden eller kluster
• Blockera URL (klicktid)
• Inaktivera vidarebefordran av extern e-post
• Inaktivera delegering

I Microsoft Defender för Office 365 vidtas inte åtgärder automatiskt. I stället vidtas reparationsåtgärder endast efter godkännande av organisationens säkerhetsåtgärdsteam.

Hot och åtgärder

Microsoft Defender för Office 365 innehåller åtgärder för att åtgärda olika hot. Automatiserade undersökningar resulterar ofta i en eller flera åtgärder för granskning och godkännande. I vissa fall resulterar en automatiserad undersökning inte i någon specifik åtgärd. Om du vill undersöka och vidta lämpliga åtgärder ytterligare använder du vägledningen i följande tabell.

Kategori	Hot/risk	Reparationsåtgärder
E-post	Skadlig kod	E-post/kluster för mjuk borttagning Om mer än en handfull e-postmeddelanden i ett kluster innehåller skadlig kod anses klustret vara skadligt.
E-post	Skadlig URL (En skadlig URL upptäcktes av säkra länkar.)	E-post/kluster för mjuk borttagning Blockera URL (verifiering vid tidpunkten för klick) E-post som innehåller en skadlig URL anses vara skadlig.
E-post	Nätfiske	E-post/kluster för mjuk borttagning Om fler än en handfull e-postmeddelanden i ett kluster innehåller nätfiskeförsök betraktas hela klustret som ett nätfiskeförsök.
E-post	Zapped phish (E-postmeddelanden levererades och sedan zapped.)	E-post/kluster för mjuk borttagning Rapporter är tillgängliga för att visa zapped-meddelanden. Se om ZAP har flyttat ett meddelande och vanliga frågor och svar.
E-post	Missat nätfiskemeddelande som rapporterats av en användare	Automatiserad undersökning som utlöses av användarens rapport
E-post	Volymavvikelse (De senaste e-postkvantiteterna överskrider de senaste 7–10 dagarna för matchande kriterier.)	Automatiserad undersökning resulterar inte i en specifik väntande åtgärd. Volymavvikelse är inte ett tydligt hot, utan är bara en indikation på större e-postvolymer under de senaste dagarna jämfört med de senaste 7–10 dagarna. Även om en stor mängd e-post kan tyda på potentiella problem behövs bekräftelse när det gäller antingen skadliga omdömen eller en manuell granskning av e-postmeddelanden/kluster. Se Hitta misstänkt e-post som levererades.
E-post	Inga hot hittades (Systemet hittade inga hot baserat på filer, URL:er eller analys av e-postklusterutslag.)	Automatiserad undersökning resulterar inte i en specifik väntande åtgärd. Hot som hittas och läggs till när en undersökning har slutförts återspeglas inte i en undersöknings numeriska resultat, men sådana hot kan visas i Threat Explorer.
Användare	En användare klickade på en skadlig URL (En användare navigerade till en sida som senare visade sig vara skadlig, eller så har en användare kringgåt en varningssida för säkra länkar för att komma till en skadlig sida.)	Automatiserad undersökning resulterar inte i en specifik väntande åtgärd. Blockera URL (klicktid) Använd Threat Explorer för att visa data om URL:er och klicka på omdömen. Om din organisation använder Microsoft Defender för Endpoint bör du överväga att undersöka användaren för att avgöra om deras konto har komprometterats.
Användare	En användare skickar skadlig kod/nätfiske	Automatiserad undersökning resulterar inte i en specifik väntande åtgärd. Användaren kanske rapporterar skadlig kod/nätfiske, eller så kan någon förfalska användaren som en del av en attack. Använd Threat Explorer för att visa och hantera e-post som innehåller skadlig kod eller nätfiske.
Användare	Vidarebefordran av e-post (Regler för vidarebefordran av postlådor har konfigurerats, chch kan användas för dataexfiltrering.)	Ta bort vidarebefordringsregel Använd rapporten Autoforwarded messages för att visa specifik information om vidarebefordrad e-post.
Användare	Regler för e-postdelegering (En användares konto har delegeringar konfigurerade.)	Ta bort delegeringsregel Om din organisation använder Microsoft Defender för Endpoint kan du undersöka den användare som får delegeringsbehörigheten.
Användare	Dataexfiltrering (En användare bröt mot DLP-principer för e-post eller fildelning	Automatiserad undersökning resulterar inte i en specifik väntande åtgärd. Kom igång med Aktivitetsutforskaren.
Användare	Avvikande e-postsändning (En användare har nyligen skickat mer e-post än under de senaste 7–10 dagarna.)	Automatiserad undersökning resulterar inte i en specifik väntande åtgärd. Att skicka en stor mängd e-post är inte skadligt av sig självt. användaren kanske bara har skickat e-post till en stor grupp mottagare för en händelse. Om du vill undersöka detta använder du insikten om nya användares vidarebefordran av e-post i EAC - och utgående meddelanderapporten i EAC för att avgöra vad som händer och vidta åtgärder.

Nästa steg

• Visa information och resultat av en automatiserad undersökning i Microsoft Defender för Office 365
• Visa väntande eller slutförda åtgärder efter en automatiserad undersökning i Microsoft Defender för Office 365

Relaterade artiklar

• Läs mer om automatiserad undersökning i Microsoft Defender för Endpoint
• Lär dig mer om funktioner i Microsoft Defender XDR