Nápravné akce v Microsoft Defender pro Office 365
Tip
Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Nápravné akce
Funkce ochrany před hrozbami v Microsoft Defender pro Office 365 zahrnují určité nápravné akce. Tyto nápravné akce můžou zahrnovat:
- Obnovitelné odstranění e-mailových zpráv nebo clusterů
- Adresa URL bloku (čas kliknutí)
- Vypnutí externího přeposílání pošty
- Vypnutí delegování
V Microsoft Defender pro Office 365 se nápravné akce neprovedou automaticky. Nápravné akce se místo toho provedou pouze po schválení týmem pro operace zabezpečení vaší organizace.
Hrozby a nápravné akce
Microsoft Defender pro Office 365 zahrnuje nápravné akce, které řeší různé hrozby. Výsledkem automatizovaného vyšetřování je často jedna nebo více nápravných akcí, které je potřeba zkontrolovat a schválit. V některých případech automatizované šetření nemá za následek konkrétní nápravnou akci. K dalšímu zkoumání a provedení vhodných akcí použijte doprovodné materiály v následující tabulce.
| Kategorie | Hrozba/riziko | Nápravné akce |
|---|---|---|
| Malware | Obnovitelné odstranění e-mailu nebo clusteru Pokud více než několik e-mailových zpráv v clusteru obsahuje malware, považuje se cluster za škodlivý. |
|
| Škodlivá adresa URL ( Bezpečné odkazy zjistily škodlivou adresu URL.) |
Obnovitelné odstranění e-mailu nebo clusteru Adresa URL bloku (ověření doby kliknutí) Email, která obsahuje škodlivou adresu URL, se považuje za škodlivou. |
|
| Phish | Obnovitelné odstranění e-mailu nebo clusteru Pokud více než několik e-mailových zpráv v clusteru obsahuje pokusy o útok phishing, celý cluster se považuje za pokus o útok phishing. |
|
| Zapped phish (Email zprávy byly doručeny a pak se zapnuly.) |
Obnovitelné odstranění e-mailu nebo clusteru Sestavy jsou k dispozici pro zobrazení zapped zpráv. Podívejte se, jestli ZAP přesunul zprávu, a nejčastější dotazy. |
|
| Zmeškaný phish e-mail nahlášený uživatelem | Automatizované šetření aktivované sestavou uživatele | |
| Anomálie svazku (Množství nedávných e-mailů překračuje u odpovídajících kritérií posledních 7 až 10 dnů.) |
Automatizované šetření nemá za následek konkrétní čekající akci. Objemová anomálie není jasnou hrozbou, ale pouze indikací většího objemu e-mailů v posledních dnech v porovnání s posledními 7 až 10 dny. I když velký objem e-mailů může indikovat potenciální problémy, je potřeba potvrdit škodlivé verdikty nebo ruční kontrolu e-mailových zpráv nebo clusterů. Viz Vyhledání doručované podezřelé e-maily. |
|
| Nenašly se žádné hrozby. (Systém nenašel žádné hrozby na základě souborů, adres URL nebo analýzy verdiktů e-mailového clusteru.) |
Automatizované šetření nemá za následek konkrétní čekající akci. Hrozby zjištěné a zavržené po dokončení šetření se neprojeví v číselných zjištěních vyšetřování, ale tyto hrozby se dají zobrazit v Průzkumníku hrozeb. |
|
| User | Uživatel klikl na škodlivou adresu URL (Uživatel přešel na stránku, která se později ukázala jako škodlivá, nebo vynechal stránku upozornění Bezpečný odkaz, aby se dostal na škodlivou stránku.) |
Automatizované šetření nemá za následek konkrétní čekající akci. Adresa URL bloku (čas kliknutí) Pomocí Průzkumníka hrozeb můžete zobrazit data o adresách URL a kliknout na verdikty. Pokud vaše organizace používá Microsoft Defender for Endpoint, zvažte prozkoumání uživatele, abyste zjistili, jestli nedošlo k ohrožení jeho účtu. |
| User | Uživatel odesílá malware nebo phish | Automatizované šetření nemá za následek konkrétní čekající akci. Uživatel může hlásit malware nebo phish nebo ho někdo falšovat v rámci útoku. Pomocí Průzkumníka hrozeb můžete zobrazit a zpracovat e-maily obsahující malware nebo phishing. |
| User | Email přeposílání (Pravidla předávání poštovní schránky jsou nakonfigurovaná, pro exfiltraci dat je možné použít chch.) |
Odebrání pravidla přeposílání Pomocí sestavy automaticky odforedovaných zpráv můžete zobrazit konkrétní podrobnosti o přeposlaných e-mailech. |
| User | pravidla delegování Email (Účet uživatele má nastavené delegování.) |
Odebrání pravidla delegování Pokud vaše organizace používá Microsoft Defender for Endpoint, zvažte prozkoumání uživatele, který získá oprávnění k delegování. |
| User | Exfiltrace dat (Uživatel porušil zásady ochrany před únikem informací v e-mailu nebo sdílení souborů |
Automatizované šetření nemá za následek konkrétní čekající akci. |
| User | Neobvyklé odesílání e-mailů (Uživatel nedávno odeslal více e-mailů než během předchozích 7 až 10 dnů.) |
Automatizované šetření nemá za následek konkrétní čekající akci. Odesílání velkého objemu e-mailů není samo o sobě škodlivé; uživatel možná právě odeslal e-mail velké skupině příjemců události. Pokud to chcete prozkoumat, použijte přehled Noví uživatelé přeposílání e-mailů v EAC a sestavě odchozích zpráv v EAC , abyste zjistili, co se děje, a proveďte akci. |
Další kroky
- Zobrazení podrobností a výsledků automatizovaného šetření v Microsoft Defender pro Office 365
- Zobrazení čekajících nebo dokončených nápravných akcí po automatizovaném šetření v Microsoft Defender pro Office 365