分享方式:


使用自動化調查和回應來解決遭入侵的用戶帳戶

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

適用於 Office 365 的 Microsoft Defender 方案 2 包含強大的自動化調查和回應 (AIR) 功能。 這類功能可為您的安全性作業小組節省許多時間和精力來處理威脅。 本文說明 AIR 功能的其中一個 Facet,即遭入侵的使用者安全性劇本。

遭入侵的使用者安全性劇本可讓貴組織的安全性小組:

  • 加速偵測遭入侵的用戶帳戶;
  • 當帳戶遭到入侵時,限制缺口的範圍;和
  • 更有效率且有效率地回應遭入侵的使用者。

遭入侵的使用者警示

當用戶帳戶遭到入侵時,會發生非典型或異常行為。 例如,網路釣魚和垃圾郵件訊息可能會從受信任的使用者帳戶內部傳送。 適用於 Office 365 的 Defender 可以在 Office 365 內的電子郵件模式和共同作業活動中偵測這類異常狀況。 發生這種情況時,會觸發警示,並開始威脅防護程式。

調查並回應遭入侵的使用者

當用戶帳戶遭到入侵時,會觸發警示。 在某些情況下,該用戶帳戶會遭到封鎖並防止傳送任何進一步的電子郵件訊息,直到貴組織的安全性作業小組解決此問題為止。 在其他情況下,自動化調查會開始,這會導致安全性小組應該採取的建議動作。

重要事項

您必須具有適當的許可權,才能執行下列工作。 請參閱 使用 AIR 功能所需的許可權

觀看這段短片,瞭解如何使用自動化調查與回應 (AIR) 和遭入侵的使用者警示,在 適用於 Office 365 的 Microsoft Defender 中偵測和回應用戶入侵。

檢視和調查受限制的使用者

您有幾個選項可瀏覽至受限制的使用者清單。 例如,在 Microsoft Defender 入口網站中,您可以移至 Email & 共同作業>檢閱>受限制的使用者。 下列程式描述使用 [警示 ] 儀錶板進行流覽,這是查看可能已觸發的各種警示的好方法。

  1. 在 開啟 Microsoft Defender 入口網站https://security.microsoft.com,然後移至 [事件 & 警示>]。 或者,若要直接移至 [警示] 頁面,請使用 https://security.microsoft.com/alerts

  2. 在 [ 警示] 頁面上,依時間週期篩選結果,以及名為User 限制傳送電子郵件的原則

    Microsoft Defender 入口網站中的 [警示] 頁面已針對受限制的用戶進行篩選

  3. 如果您按下名稱來選取專案,[ 限制傳送電子郵件的使用者 ] 頁面隨即開啟,其中包含要檢閱的其他詳細數據。 在 [管理警示] 按鈕旁,您可以按兩下 [更多選項],然後選取 [檢視受限制的使用者詳細數據] 以移至 [受限制的使用者] 頁面,您可以在其中釋放受限制的使用者

限制使用者傳送電子郵件頁面

檢視自動化調查的詳細數據

當自動化調查開始時,您可以在 Microsoft Defender 入口網站的控制中心查看其詳細數據和結果。

若要深入瞭解,請 參閱檢視調查的詳細數據

請記住下列幾點

  • 隨時掌握您的警示。 如您所述,不會偵測到的入侵時間越長,對組織、客戶和合作夥伴造成廣泛影響和成本的可能性就愈大。 早期偵測和及時回應對於降低威脅至關重要,尤其是當用戶的帳戶遭到入侵時。

  • 自動化可協助您的安全性作業小組。 自動化調查和回應功能可以及早偵測到遭入侵的使用者,並讓您的安全性作業小組採取動作來補救威脅。 需要一些協助嗎? 請參閱 檢閱和核准動作

後續步驟