Действия по исправлению в Microsoft Defender для Office 365
Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Действия по исправлению
Функции защиты от угроз в Microsoft Defender для Office 365 включают определенные действия по исправлению. Такие действия по исправлению могут включать:
- Обратимое удаление сообщений электронной почты или кластеров
- Блокирование URL-адреса (во время щелчка)
- Отключение внешней переадресации почты
- Отключение делегирования
В Microsoft Defender для Office 365 действия по исправлению не выполняются автоматически. Вместо этого действия по исправлению выполняются только после утверждения группой по обеспечению безопасности вашей организации.
Угрозы и действия по исправлению
Microsoft Defender для Office 365 включает действия по исправлению для устранения различных угроз. Автоматизированные исследования часто приводят к одному или нескольким действиям по исправлению для проверки и утверждения. В некоторых случаях автоматическое исследование не приводит к определенному действию по исправлению. Для дальнейшего изучения и принятия соответствующих действий используйте рекомендации, приведенные в следующей таблице.
| Категория | Угроза и риск | Действия по исправлению |
|---|---|---|
| Электронная почта | Вредоносная программа | Обратимое удаление электронной почты или кластера Если несколько сообщений электронной почты в кластере содержат вредоносные программы, кластер считается вредоносным. |
| Электронная почта | Вредоносный URL-адрес (Безопасные ссылки обнаружили вредоносный URL-адрес.) |
Обратимое удаление электронной почты или кластера URL-адрес блокировки (проверка времени щелчка) Email, содержащий вредоносный URL-адрес, считается вредоносным. |
| Электронная почта | Фишинг | Обратимое удаление электронной почты или кластера Если несколько сообщений электронной почты в кластере содержат попытки фишинга, весь кластер считается попыткой фишинга. |
| Электронная почта | Забитый фишинг (Email сообщения были доставлены и затем забиты.) |
Обратимое удаление электронной почты или кластера Для просмотра сообщений доступны отчеты. Узнайте, переместил ли ZAP сообщение и часто задаваемые вопросы. |
| Электронная почта | Пропущенный фишинговый адрес электронной почты , о чем сообщил пользователь | Автоматическое исследование, активируется отчетом пользователя |
| Электронная почта | Аномалия тома (Последние количества сообщений электронной почты превышают предыдущие 7–10 дней для соответствия критериям.) |
Автоматическое исследование не приводит к определенному ожидающему действия. Аномалия томов не является явной угрозой, но является лишь признаком больших объемов электронной почты в последние дни по сравнению с последними 7–10 днями. Хотя большой объем электронной почты может указывать на потенциальные проблемы, требуется подтверждение с точки зрения либо вредоносных вердиктов, либо проверки сообщений электронной почты или кластеров вручную. См . раздел Поиск подозрительного сообщения электронной почты, которое было доставлено. |
| Электронная почта | Угрозы не найдены (Система не обнаружила никаких угроз на основе файлов, URL-адресов или анализа вердиктов кластера электронной почты.) |
Автоматическое исследование не приводит к определенному ожидающему действия. Угрозы, обнаруженные и обнаруженные после завершения расследования, не отражаются в числовых выводах расследования, но такие угрозы можно увидеть в Обозреватель угроз. |
| Пользователь | Пользователь щелкнул вредоносный URL-адрес (Пользователь переходил на страницу, которая позже была признана вредоносной, или пользователь обошел страницу предупреждения о безопасных ссылках , чтобы перейти на вредоносную страницу.) |
Автоматическое исследование не приводит к определенному ожидающему действия. Блокирование URL-адреса (в момент щелчка) Используйте Обозреватель угроз, чтобы просмотреть данные о URL-адресах и щелкнуть вердикты. Если ваша организация использует Microsoft Defender для конечной точки, рассмотрите возможность изучения пользователя, чтобы определить, скомпрометирована ли его учетная запись. |
| Пользователь | Пользователь отправляет вредоносные программы или фишинговые программы | Автоматическое исследование не приводит к определенному ожидающему действия. Пользователь может сообщать о вредоносных программах или фишинговых программах, или кто-то может подделыть пользователя в рамках атаки. Используйте Обозреватель угроз для просмотра и обработки электронной почты, содержащей вредоносные программы или фишинг. |
| Пользователь | Переадресация почты (Правила переадресации почтовых ящиков настроены, chch можно использовать для кражи данных.) |
Удаление правила переадресации Используйте отчет об автоматических сообщениях для просмотра конкретных сведений о переадресованной электронной почте. |
| Пользователь | правила делегирования Email (Для учетной записи пользователя настроено делегирование.) |
Удаление правила делегирования Если ваша организация использует Microsoft Defender для конечной точки, рассмотрите возможность изучения пользователя, который получает разрешение на делегирование. |
| Пользователь | Кража данных (Пользователь нарушил политики защиты от потери данных электронной почты или общего доступа к файлам. |
Автоматическое исследование не приводит к определенному ожидающему действия. |
| Пользователь | Аномальная отправка электронной почты (Пользователь недавно отправил больше сообщений электронной почты, чем за предыдущие 7–10 дней.) |
Автоматическое исследование не приводит к определенному ожидающему действия. Отправка большого объема электронной почты сама по себе не является вредоносной; пользователь может просто отправить сообщение электронной почты большой группе получателей для события. Чтобы исследовать, используйте аналитические сведения о новых пользователях, переадресовывая электронную почту в отчете EAC и исходящем сообщении в Центре администрирования Майкрософт , чтобы определить, что происходит, и принять меры. |
Дальнейшие действия
- Просмотр сведений и результатов автоматического исследования в Microsoft Defender для Office 365
- Просмотр ожидающих или завершенных действий по исправлению после автоматического исследования в Microsoft Defender для Office 365