分享方式:

適用於 Office 365 的 Microsoft Defender 中的補救動作

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

補救動作

適用於 Office 365 的 Microsoft Defender 中的威脅防護功能包含特定的補救動作。 這類補救動作可能包括:

  • 虛刪除電子郵件訊息或群集
  • 封鎖 URL (點擊時)
  • 關閉外部郵件轉寄
  • 關閉委派

在 適用於 Office 365 的 Microsoft Defender 中,不會自動採取補救動作。 相反地,補救動作只會在組織的安全性作業小組核准時採取。

威脅和補救動作

適用於 Office 365 的 Microsoft Defender 包含解決各種威脅的補救動作。 自動化調查通常會導致一或多個補救動作來檢閱和核准。 在某些情況下,自動化調查不會導致特定的補救動作。 若要進一步調查並採取適當的動作,請使用下表中的指引。

類別 威脅/風險 () 的補救動作
電子郵件 惡意程式碼 虛刪除電子郵件/叢集

如果叢集中有多個電子郵件訊息包含惡意代碼,叢集就會被視為惡意。
電子郵件 惡意 URL
(Safe Links.) 偵測到惡意 URL		 虛刪除電子郵件/叢集
封鎖 URL (點選驗證)

包含惡意 URL 的 Email 視為惡意。
電子郵件 網路釣魚 虛刪除電子郵件/叢集

如果叢集中有多個電子郵件訊息包含網路釣魚嘗試,則整個叢集會被視為網路釣魚嘗試。
電子郵件 Zapped 網路釣魚
(Email 訊息已傳遞,然後 zapped.) 		虛刪除電子郵件/叢集

報表可用來檢視已壓縮的訊息。 查看 ZAP 是否已移動訊息和常見問題
電子郵件 用戶 回報 的遺漏網路釣魚電子郵件 用戶報告所觸發的自動化調查
電子郵件 磁碟區異常
(相符 criteria 的最近電子郵件數量超過前 7-10 天。) 		自動化調查不會導致特定的擱置動作。

磁碟區異常不是明顯的威脅,但只是表示相較於過去 7-10 天,最近幾天的電子郵件數量較大。

雖然大量的電子郵件可能表示潛在的問題,但需要確認惡意決策或手動檢閱電子郵件訊息/叢集。 請參閱 尋找已傳遞的可疑電子郵件
電子郵件 找不到威脅
(系統根據檔案、URL 或電子郵件叢集決策分析找不到任何威脅。) 		自動化調查不會導致特定的擱置動作。

在調查完成後找到並 攻擊 的威脅不會反映在調查的數值結果中,但這類威脅 可在威脅總管中檢視。
使用者 用戶按兩下惡意URL
(用戶流覽至稍後發現為惡意的頁面,或使用者略過 安全連結警告頁面 以取得惡意頁面。) 		自動化調查不會導致特定的擱置動作。

封鎖 URL (點按時)

使用威脅總管來 檢視 URL 的相關數據,然後按兩下決策

如果您的組織使用 適用於端點的 Microsoft Defender,請考慮調查使用者,以判斷其帳戶是否遭到入侵。
使用者 使用者正在傳送惡意代碼/網路釣魚 自動化調查不會導致特定的擱置動作。

使用者可能回報惡意代碼/網路釣魚,或有人在攻擊過程中 詐騙使用者 。 使用 威脅總管 來檢視和處理包含 惡意代碼網路釣魚的電子郵件。
使用者 電子郵件轉寄
(信箱轉寄規則已設定,chch 可用於數據外流。) 		拿掉轉送規則

使用 自動轉寄郵件報表 來檢視轉寄電子郵件的特定詳細數據。
使用者 Email 委派規則
(使用者的帳戶已設定委派。) 		拿掉委派規則

如果您的組織使用 適用於端點的 Microsoft Defender,請考慮調查取得委派許可權的使用者
使用者 資料外流
(使用者違反電子郵件或檔案共用 DLP 原則		 自動化調查不會導致特定的擱置動作。

開始使用活動總管
使用者 傳送異常電子郵件
(使用者最近傳送的電子郵件數超過過去 7-10 天。) 		自動化調查不會導致特定的擱置動作。

傳送大量電子郵件本身並不是惡意的;使用者可能剛傳送電子郵件給大型群組的收件者進行事件。 若要調查,請使用 EAC中EAC輸出訊息報告中 的新用戶轉寄電子郵件深入解析,以判斷發生什麼事並採取動作。

後續步驟