通过自动调查和响应解决遭到入侵的用户帐户

• 适用于:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

Microsoft Defender for Office 365计划 2 包括强大的自动调查和响应 (AIR) 功能。 此类功能可以为安全运营团队节省大量处理威胁的时间和精力。 本文介绍 AIR 功能的一个方面，即泄露的用户安全 playbook。

受攻击的用户安全 playbook 使组织的安全团队能够：

• 加快检测泄露的用户帐户;
• 限制帐户泄露时的违规范围;和
• 更有效、更高效地响应受攻击的用户。

泄露的用户警报

用户帐户遭到入侵时，会发生非典型或异常行为。 例如，网络钓鱼和垃圾邮件可能从受信任的用户帐户内部发送。 Defender for Office 365可以在Office 365内的电子邮件模式和协作活动中检测到此类异常。 发生这种情况时，将触发警报，并开始威胁缓解过程。

调查并响应泄露的用户

用户帐户遭到入侵时，会触发警报。 在某些情况下，在组织的安全运营团队解决问题之前，会阻止该用户帐户发送任何进一步的电子邮件。 在其他情况下，将开始自动调查，这可能会导致安全团队应采取的建议操作。

• 查看和调查受限用户

• 查看有关自动调查的详细信息

重要

必须具有适当的权限才能执行以下任务。 有关详细信息，请参阅 使用 AIR 功能所需的权限。

观看此简短视频，了解如何使用自动调查和响应 (AIR) 和泄露的用户警报来检测和响应Microsoft Defender for Office 365中的用户泄露。

查看和调查受限用户

有几个选项可用于导航到受限用户列表。 例如，在 Microsoft Defender 门户中，可以转到Email &协作>查看>受限用户。 以下过程介绍了使用警报仪表板导航，这是查看可能已触发的各种警报的好方法。

1. 打开 https://security.microsoft.com Microsoft Defender 门户，转到“事件 & 警报>警报”。 或者，若要直接转到 “警报 ”页，请使用 https://security.microsoft.com/alerts。

2. 在 “警报 ”页上，按时间段和名为 “用户限制无法发送电子邮件”的策略筛选结果。

   

3. 如果通过单击名称选择条目，则会打开“ 用户限制无法发送电子邮件 ”页面，其中包含供你查看的其他详细信息。 在 “管理警报 ”按钮旁边，可以单击“ 更多选项 ”，然后选择“ 查看受限用户详细信息 ”，转到 “受限用户 ”页，可在其中 释放受限用户。

查看有关自动调查的详细信息

自动调查开始时，可以在Microsoft Defender门户的操作中心查看其详细信息和结果。

若要了解详细信息，请参阅 查看调查的详细信息。

请记住以下几点

• 随时了解警报。 如你所知，发现泄露的时间越长，对组织、客户和合作伙伴产生广泛影响和成本的可能性就越大。 早期检测和及时响应对于缓解威胁至关重要，尤其是在用户帐户遭到入侵时。

• 自动化可帮助你的安全运营团队。 自动调查和响应功能可以及早检测受攻击的用户，并使安全运营团队能够采取措施来修正威胁。 需要一些帮助？ 请参阅 查看和批准操作。

后续步骤

• 查看使用 AIR 功能所需的权限

• 在 Office 365 中查找和调查恶意电子邮件

• 了解Microsoft Defender for Endpoint中的 AIR

• 访问 Microsoft 365 路线图，了解即将推出的内容