Ações de remediação no Microsoft Defender para Office 365
Dica
Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Ações de correção
As funcionalidades de proteção contra ameaças no Microsoft Defender para Office 365 incluem determinadas ações de remediação. Tais ações de remediação podem incluir:
- Exclusão reversível de mensagens de emails ou clusters
- Bloquear URL (hora do clique)
- Desativar o encaminhamento de emails externo
- Desativar a delegação
No Microsoft Defender para Office 365, as ações de remediação não são executadas automaticamente. Em vez disso, as ações de remediação são tomadas apenas após aprovação pela equipa de operações de segurança da sua organização.
Ameaças e ações de remediação
Microsoft Defender para Office 365 inclui ações de remediação para lidar com várias ameaças. As investigações automatizadas resultam frequentemente numa ou mais ações de remediação para rever e aprovar. Em alguns casos, uma investigação automatizada não resulta numa ação de remediação específica. Para investigar e tomar as ações adequadas, utilize a documentação de orientação na tabela seguinte.
| Categoria | Ameaça/risco | Ações de remediação |
|---|---|---|
| Malware | Eliminar e-mail/cluster de eliminação recuperável Se mais de um punhado de mensagens de e-mail num cluster contiverem software maligno, o cluster é considerado malicioso. |
|
| URL malicioso (Foi detetado um URL malicioso pelas Ligações Seguras.) |
Eliminar e-mail/cluster de eliminação recuperável BLOQUEAR URL (verificação de tempo de clique) Email que contém um URL malicioso é considerado malicioso. |
|
| Phish | Eliminar e-mail/cluster de eliminação recuperável Se mais do que um punhado de mensagens de e-mail num cluster contiverem tentativas de phishing, todo o cluster será considerado uma tentativa de phishing. |
|
| Phish zapped (Email mensagens foram entregues e, em seguida, zapped.) |
Eliminar e-mail/cluster de eliminação recuperável Os relatórios estão disponíveis para ver mensagens zapped. Veja se o ZAP moveu uma mensagem e as FAQs. |
|
| E-mail de phish perdido comunicado por um utilizador | Investigação automatizada acionada pelo relatório do utilizador | |
| Anomalia de volume (As quantidades de e-mail recentes excedem os 7 a 10 dias anteriores para critérios correspondentes.) |
A investigação automatizada não resulta numa ação pendente específica. A anomalia de volume não é uma ameaça clara, mas é apenas uma indicação de volumes de e-mail maiores nos últimos dias em comparação com os últimos 7 a 10 dias. Embora um elevado volume de e-mails possa indicar potenciais problemas, é necessária confirmação em termos de veredictos maliciosos ou de uma revisão manual de mensagens de e-mail/clusters. Consulte Localizar e-mail suspeito que foi entregue. |
|
| Nenhuma ameaça encontrada (O sistema não encontrou ameaças com base em ficheiros, URLs ou análise de veredictos do cluster de e-mail.) |
A investigação automatizada não resulta numa ação pendente específica. As ameaças encontradas e efetuadas após a conclusão de uma investigação não se refletem nas conclusões numéricas de uma investigação, mas essas ameaças são visíveis no Explorer de Ameaças. |
|
| Usuário | Um utilizador clicou num URL malicioso (Um utilizador navegou para uma página que mais tarde foi considerada maliciosa ou um utilizador ignorou uma página de aviso de Ligações Seguras para aceder a uma página maliciosa.) |
A investigação automatizada não resulta numa ação pendente específica. Bloquear URL (hora do clique) Utilize a Explorer de Ameaças para ver dados sobre URLs e clicar em veredictos. Se a sua organização estiver a utilizar Microsoft Defender para Ponto de Extremidade, considere investigar o utilizador para determinar se a conta está comprometida. |
| Usuário | Um utilizador está a enviar software maligno/phish | A investigação automatizada não resulta numa ação pendente específica. O utilizador pode estar a comunicar software maligno/phish ou alguém pode estar a falsificar o utilizador como parte de um ataque. Utilize o Explorer de Ameaças para ver e processar e-mails que contenham software maligno ou phishing. |
| Usuário | Encaminhamento de e-mail (As regras de reencaminhamento de caixas de correio estão configuradas, o chch pode ser utilizado para a transferência de dados não autorizada.) |
Remover regra de reencaminhamento Utilize o relatório Mensagens desforwarded automaticamente para ver detalhes específicos sobre o e-mail reencaminhado. |
| Usuário | regras de delegação de Email (A conta de um utilizador tem delegações configuradas.) |
Remover regra de delegação Se a sua organização estiver a utilizar Microsoft Defender para Ponto de Extremidade, considere investigar o utilizador que está a obter a permissão de delegação. |
| Usuário | Exfiltração dos dados (Um utilizador violou o e-mail ou as políticas DLP de partilha de ficheiros |
A investigação automatizada não resulta numa ação pendente específica. |
| Usuário | Envio anómalo de e-mails (Um utilizador enviou recentemente mais e-mails do que nos 7 a 10 dias anteriores.) |
A investigação automatizada não resulta numa ação pendente específica. Enviar um grande volume de e-mails não é malicioso por si só; O utilizador pode ter simplesmente enviado um e-mail para um grande grupo de destinatários para um evento. Para investigar, utilize os Novos utilizadores que reencaminham informações de e-mail no relatório de mensagens EAC e Saída no EAC para determinar o que se passa e tomar medidas. |
Próximas etapas
- Ver detalhes e resultados de uma investigação automatizada no Microsoft Defender para Office 365
- Ver ações de remediação pendentes ou concluídas após uma investigação automatizada no Microsoft Defender para Office 365