使用自動化調查和回應來解決遭入侵的用戶帳戶

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

適用於 Office 365 的 Microsoft Defender 方案 2 包含強大的自動化調查和回應 (AIR) 功能。 這類功能可為您的安全性作業小組節省許多時間和精力來處理威脅。 本文說明 AIR 功能的其中一個 Facet，即遭入侵的使用者安全性劇本。

遭入侵的使用者安全性劇本可讓貴組織的安全性小組：

• 加速偵測遭入侵的用戶帳戶;
• 當帳戶遭到入侵時，限制缺口的範圍;和
• 更有效率且有效率地回應遭入侵的使用者。

遭入侵的使用者警示

當用戶帳戶遭到入侵時，會發生非典型或異常行為。 例如，網路釣魚和垃圾郵件訊息可能會從受信任的使用者帳戶內部傳送。 適用於 Office 365 的 Defender 可以在 Office 365 內的電子郵件模式和共同作業活動中偵測這類異常狀況。 發生這種情況時，會觸發警示，並開始威脅防護程式。

調查並回應遭入侵的使用者

當用戶帳戶遭到入侵時，會觸發警示。 在某些情況下，該用戶帳戶會遭到封鎖並防止傳送任何進一步的電子郵件訊息，直到貴組織的安全性作業小組解決此問題為止。 在其他情況下，自動化調查會開始，這會導致安全性小組應該採取的建議動作。

• 檢視和調查受限制的使用者

• 檢視自動化調查的詳細數據

重要事項

您必須具有適當的許可權，才能執行下列工作。 請參閱 使用 AIR 功能所需的許可權。

觀看這段短片，瞭解如何使用自動化調查與回應 (AIR) 和遭入侵的使用者警示，在 適用於 Office 365 的 Microsoft Defender 中偵測和回應用戶入侵。

檢視和調查受限制的使用者

您有幾個選項可瀏覽至受限制的使用者清單。 例如，在 Microsoft Defender 入口網站中，您可以移至 Email & 共同作業>檢閱>受限制的使用者。 下列程式描述使用 [警示 ] 儀錶板進行流覽，這是查看可能已觸發的各種警示的好方法。

1. 開啟 Microsoft Defender 入口網站，https://security.microsoft.com然後移至 [事件 & 警示>]。 或者，若要直接移至 [警示] 頁面，請使用 https://security.microsoft.com/alerts。

2. 在 [ 警示] 頁面上，依時間週期篩選結果，以及名為User 限制傳送電子郵件的原則。

   

3. 如果您按下名稱來選取專案，[ 限制傳送電子郵件的使用者 ] 頁面隨即開啟，其中包含要檢閱的其他詳細數據。 在 [管理警示] 按鈕旁，您可以按兩下 [更多選項]，然後選取 [檢視受限制的使用者詳細數據] 以移至 [受限制的使用者] 頁面，您可以在其中釋放受限制的使用者。

檢視自動化調查的詳細數據

當自動化調查開始時，您可以在 Microsoft Defender 入口網站的控制中心查看其詳細數據和結果。

若要深入瞭解，請 參閱檢視調查的詳細數據。

請記住下列幾點

• 隨時掌握您的警示。 如您所述，不會偵測到的入侵時間越長，對組織、客戶和合作夥伴造成廣泛影響和成本的可能性就愈大。 早期偵測和及時回應對於降低威脅至關重要，尤其是當用戶的帳戶遭到入侵時。

• 自動化可協助您的安全性作業小組。 自動化調查和回應功能可以及早偵測到遭入侵的使用者，並讓您的安全性作業小組採取動作來補救威脅。 需要一些協助嗎？ 請參閱 檢閱和核准動作。

後續步驟

• 檢閱使用 AIR 功能所需的許可權

• 尋找並調查 Office 365 中的惡意電子郵件

• 瞭解 適用於端點的 Microsoft Defender 中的 AIR

• 造訪 Microsoft 365 藍圖，查看即將推出的功能