Microsoft Defender for Office 365中的修正操作
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
修正操作
Microsoft Defender for Office 365中的威胁防护功能包括某些修正操作。 此类修正操作可能包括:
- 软删除电子邮件或群集
- 阻止 URL(单击时)
- 关闭外部邮件转发
- 关闭委派
在Microsoft Defender for Office 365中,不会自动执行修正操作。 相反,只有在组织的安全运营团队批准后才会执行修正操作。
威胁和修正操作
Microsoft Defender for Office 365包括用于解决各种威胁的修正操作。 自动调查通常会导致一个或多个修正操作进行评审和批准。 在某些情况下,自动调查不会导致特定的修正操作。 若要进一步调查并采取适当的操作,请使用下表中的指导。
类别 | 威胁/风险 | 修正操作 () |
---|---|---|
电子邮件 | 恶意软件 | 软删除电子邮件/群集 如果群集中的少数电子邮件包含恶意软件,则群集被视为恶意邮件。 |
电子邮件 | 恶意 URL (安全链接检测到恶意 URL。) |
软删除电子邮件/群集 阻止 URL (单击时间验证) 包含恶意 URL 的Email被视为恶意 URL。 |
电子邮件 | 网络钓鱼 | 软删除电子邮件/群集 如果群集中的少数电子邮件包含网络钓鱼尝试,则整个群集被视为网络钓鱼尝试。 |
电子邮件 | Zapped 网络钓鱼 (Email 消息已传递,然后 zapped.) |
软删除电子邮件/群集 报表可用于查看已点击的消息。 查看 ZAP 是否移动了消息和常见问题解答。 |
电子邮件 | 用户 报告的 错过的钓鱼电子邮件 | 由用户报告触发的自动调查 |
电子邮件 | 卷异常 (最近的电子邮件数量超过了匹配条件的前 7-10 天。) |
自动调查不会导致特定的挂起操作。 与最近 7-10 天相比,卷异常并不是一个明显的威胁,但这只是最近几天电子邮件量增加的一个迹象。 尽管大量电子邮件可能指示潜在问题,但需要确认恶意判决或手动查看电子邮件/群集。 请参阅 查找已送达的可疑电子邮件。 |
电子邮件 | 未发现威胁 (系统未根据电子邮件群集判决的文件、URL 或分析找到任何威胁。) |
自动调查不会导致特定的挂起操作。 |
用户 | 用户单击了恶意 URL (用户导航到后来发现为恶意的页面,或用户绕过 安全链接警告页 转到恶意页面。) |
自动调查不会导致特定的挂起操作。 阻止 URL(单击时) 使用威胁资源管理器 查看有关 URL 的数据,然后单击判决。 如果你的组织正在使用Microsoft Defender for Endpoint,请考虑调查用户以确定其帐户是否遭到入侵。 |
用户 | 用户正在发送恶意软件/网络钓鱼 | 自动调查不会导致特定的挂起操作。 用户可能正在报告恶意软件/网络钓鱼,或者有人在攻击 过程中欺骗用户 。 使用 威胁资源管理器 查看和处理包含 恶意软件 或 钓鱼的电子邮件。 |
用户 | 电子邮件转发 (配置邮箱转发规则,chch 可用于数据外泄。) |
删除转发规则 使用 “自动转发的邮件”报告 可以查看有关转发电子邮件的特定详细信息。 |
用户 | Email委托规则 (用户帐户设置了委托。) |
删除委派规则 如果组织正在使用Microsoft Defender for Endpoint,请考虑调查获得委派权限的用户。 |
用户 | 数据外泄 (用户违反了电子邮件或文件共享 DLP 策略 |
自动调查不会导致特定的挂起操作。 |
用户 | 异常电子邮件发送 (用户最近发送的电子邮件比前 7-10 天多。) |
自动调查不会导致特定的挂起操作。 发送大量电子邮件本身不是恶意的;用户可能刚刚向一大组收件人发送了一个事件的电子邮件。 若要进行调查,请使用 EAC 中的“新用户转发电子邮件 ” 见解和 EAC 中的“出站邮件”报表 来确定正在发生的事情并采取措施。 |
后续步骤
- 在 Microsoft Defender for Office 365 中查看自动调查的详细信息和结果
- 在 Microsoft Defender for Office 365 中查看自动调查后挂起或已完成的修正操作