使用自動化調查和回應來解決遭入侵的用戶帳戶
提示
您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
適用於 Office 365 的 Microsoft Defender 方案 2 包含強大的自動化調查和回應 (AIR) 功能。 這類功能可為您的安全性作業小組節省許多時間和精力來處理威脅。 本文說明 AIR 功能的其中一個 Facet,即遭入侵的使用者安全性劇本。
遭入侵的使用者安全性劇本可讓貴組織的安全性小組:
- 加速偵測遭入侵的用戶帳戶;
- 當帳戶遭到入侵時,限制缺口的範圍;和
- 更有效率且有效率地回應遭入侵的使用者。
遭入侵的使用者警示
當用戶帳戶遭到入侵時,會發生非典型或異常行為。 例如,網路釣魚和垃圾郵件訊息可能會從受信任的使用者帳戶內部傳送。 適用於 Office 365 的 Defender 可以在 Office 365 內的電子郵件模式和共同作業活動中偵測這類異常狀況。 發生這種情況時,會觸發警示,並開始威脅防護程式。
調查並回應遭入侵的使用者
當用戶帳戶遭到入侵時,會觸發警示。 在某些情況下,該用戶帳戶會遭到封鎖並防止傳送任何進一步的電子郵件訊息,直到貴組織的安全性作業小組解決此問題為止。 在其他情況下,自動化調查會開始,這會導致安全性小組應該採取的建議動作。
重要事項
您必須具有適當的許可權,才能執行下列工作。 請參閱 使用 AIR 功能所需的許可權。
觀看這段短片,瞭解如何使用自動化調查與回應 (AIR) 和遭入侵的使用者警示,在 適用於 Office 365 的 Microsoft Defender 中偵測和回應用戶入侵。
檢視和調查受限制的使用者
您有幾個選項可瀏覽至受限制的使用者清單。 例如,在 Microsoft Defender 入口網站中,您可以移至 Email & 共同作業>檢閱>受限制的使用者。 下列程式描述使用 [警示 ] 儀錶板進行流覽,這是查看可能已觸發的各種警示的好方法。
在 開啟 Microsoft Defender 入口網站https://security.microsoft.com,然後移至 [事件 & 警示>]。 或者,若要直接移至 [警示] 頁面,請使用 https://security.microsoft.com/alerts。
在 [ 警示] 頁面上,依時間週期篩選結果,以及名為User 限制傳送電子郵件的原則。
![Microsoft Defender 入口網站中的 [警示] 頁面已針對受限制的用戶進行篩選](media/m365-sc-alerts-page-with-restricted-user.png)
如果您按下名稱來選取專案,[ 限制傳送電子郵件的使用者 ] 頁面隨即開啟,其中包含要檢閱的其他詳細數據。 在 [管理警示] 按鈕旁,您可以按兩下
[更多選項],然後選取 [檢視受限制的使用者詳細數據] 以移至 [受限制的使用者] 頁面,您可以在其中釋放受限制的使用者。
![Microsoft Defender 入口網站中的 [警示] 頁面已針對受限制的用戶進行篩選](media/m365-sc-alerts-page-with-restricted-user.png#lightbox)
檢視自動化調查的詳細數據
當自動化調查開始時,您可以在 Microsoft Defender 入口網站的控制中心查看其詳細數據和結果。
若要深入瞭解,請 參閱檢視調查的詳細數據。
請記住下列幾點
隨時掌握您的警示。 如您所述,不會偵測到的入侵時間越長,對組織、客戶和合作夥伴造成廣泛影響和成本的可能性就愈大。 早期偵測和及時回應對於降低威脅至關重要,尤其是當用戶的帳戶遭到入侵時。
自動化可協助您的安全性作業小組。 自動化調查和回應功能可以及早偵測到遭入侵的使用者,並讓您的安全性作業小組採取動作來補救威脅。 需要一些協助嗎? 請參閱 檢閱和核准動作。