Microsoft Defender for Office 365中的修正操作

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

修正操作

Microsoft Defender for Office 365中的威胁防护功能包括某些修正操作。 此类修正操作可能包括:

  • 软删除电子邮件或群集
  • 阻止 URL(单击时)
  • 关闭外部邮件转发
  • 关闭委派

在Microsoft Defender for Office 365中,不会自动执行修正操作。 相反,只有在组织的安全运营团队批准后才会执行修正操作。

威胁和修正操作

Microsoft Defender for Office 365包括用于解决各种威胁的修正操作。 自动调查通常会导致一个或多个修正操作进行评审和批准。 在某些情况下,自动调查不会导致特定的修正操作。 若要进一步调查并采取适当的操作,请使用下表中的指导。

类别 威胁/风险 修正操作 ()
电子邮件 恶意软件 软删除电子邮件/群集

如果群集中的少数电子邮件包含恶意软件,则群集被视为恶意邮件。

电子邮件 恶意 URL
(安全链接检测到恶意 URL。)
软删除电子邮件/群集
阻止 URL (单击时间验证)

包含恶意 URL 的Email被视为恶意 URL。

电子邮件 网络钓鱼 软删除电子邮件/群集

如果群集中的少数电子邮件包含网络钓鱼尝试,则整个群集被视为网络钓鱼尝试。

电子邮件 Zapped 网络钓鱼
(Email 消息已传递,然后 zapped.)
软删除电子邮件/群集

报表可用于查看已点击的消息。 查看 ZAP 是否移动了消息和常见问题解答

电子邮件 用户 报告的 错过的钓鱼电子邮件 由用户报告触发的自动调查
电子邮件 卷异常
(最近的电子邮件数量超过了匹配条件的前 7-10 天。)
自动调查不会导致特定的挂起操作。

与最近 7-10 天相比,卷异常并不是一个明显的威胁,但这只是最近几天电子邮件量增加的一个迹象。

尽管大量电子邮件可能指示潜在问题,但需要确认恶意判决或手动查看电子邮件/群集。 请参阅 查找已送达的可疑电子邮件

电子邮件 未发现威胁
(系统未根据电子邮件群集判决的文件、URL 或分析找到任何威胁。)
自动调查不会导致特定的挂起操作。

调查完成后发现和 攻击 的威胁不会反映在调查的数字结果中,但此类威胁可在 威胁资源管理器中查看。

用户 用户单击了恶意 URL
(用户导航到后来发现为恶意的页面,或用户绕过 安全链接警告页 转到恶意页面。)
自动调查不会导致特定的挂起操作。

阻止 URL(单击时)

使用威胁资源管理器 查看有关 URL 的数据,然后单击判决

如果你的组织正在使用Microsoft Defender for Endpoint,请考虑调查用户以确定其帐户是否遭到入侵。

用户 用户正在发送恶意软件/网络钓鱼 自动调查不会导致特定的挂起操作。

用户可能正在报告恶意软件/网络钓鱼,或者有人在攻击 过程中欺骗用户 。 使用 威胁资源管理器 查看和处理包含 恶意软件钓鱼的电子邮件

用户 电子邮件转发
(配置邮箱转发规则,chch 可用于数据外泄。)
删除转发规则

使用 “自动转发的邮件”报告 可以查看有关转发电子邮件的特定详细信息。

用户 Email委托规则
(用户帐户设置了委托。)
删除委派规则

如果组织正在使用Microsoft Defender for Endpoint,请考虑调查获得委派权限的用户

用户 数据外泄
(用户违反了电子邮件或文件共享 DLP 策略
自动调查不会导致特定的挂起操作。

活动资源管理器入门

用户 异常电子邮件发送
(用户最近发送的电子邮件比前 7-10 天多。)
自动调查不会导致特定的挂起操作。

发送大量电子邮件本身不是恶意的;用户可能刚刚向一大组收件人发送了一个事件的电子邮件。 若要进行调查,请使用 EAC 中的“新用户转发电子邮件见解和 EAC 中的“出站邮件”报表 来确定正在发生的事情并采取措施。

后续步骤