Sdílet prostřednictvím


Nápravné akce v Microsoft Defender pro Office 365

Tip

Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Nápravné akce

Funkce ochrany před hrozbami v Microsoft Defender pro Office 365 zahrnují určité nápravné akce. Tyto nápravné akce můžou zahrnovat:

  • Obnovitelné odstranění e-mailových zpráv nebo clusterů
  • Adresa URL bloku (čas kliknutí)
  • Vypnutí externího přeposílání pošty
  • Vypnutí delegování

V Microsoft Defender pro Office 365 se nápravné akce neprovedou automaticky. Nápravné akce se místo toho provedou pouze po schválení týmem pro operace zabezpečení vaší organizace.

Hrozby a nápravné akce

Microsoft Defender pro Office 365 zahrnuje nápravné akce, které řeší různé hrozby. Výsledkem automatizovaného vyšetřování je často jedna nebo více nápravných akcí, které je potřeba zkontrolovat a schválit. V některých případech automatizované šetření nemá za následek konkrétní nápravnou akci. K dalšímu zkoumání a provedení vhodných akcí použijte doprovodné materiály v následující tabulce.

Kategorie Hrozba/riziko Nápravné akce
E-mail Malware Obnovitelné odstranění e-mailu nebo clusteru

Pokud více než několik e-mailových zpráv v clusteru obsahuje malware, považuje se cluster za škodlivý.

E-mail Škodlivá adresa URL
( Bezpečné odkazy zjistily škodlivou adresu URL.)
Obnovitelné odstranění e-mailu nebo clusteru
Adresa URL bloku (ověření doby kliknutí)

Email, která obsahuje škodlivou adresu URL, se považuje za škodlivou.

E-mail Phish Obnovitelné odstranění e-mailu nebo clusteru

Pokud více než několik e-mailových zpráv v clusteru obsahuje pokusy o útok phishing, celý cluster se považuje za pokus o útok phishing.

E-mail Zapped phish
(Email zprávy byly doručeny a pak se zapnuly.)
Obnovitelné odstranění e-mailu nebo clusteru

Sestavy jsou k dispozici pro zobrazení zapped zpráv. Podívejte se, jestli ZAP přesunul zprávu, a nejčastější dotazy.

E-mail Zmeškaný phish e-mail nahlášený uživatelem Automatizované šetření aktivované sestavou uživatele
E-mail Anomálie svazku
(Množství nedávných e-mailů překračuje u odpovídajících kritérií posledních 7 až 10 dnů.)
Automatizované šetření nemá za následek konkrétní čekající akci.

Objemová anomálie není jasnou hrozbou, ale pouze indikací většího objemu e-mailů v posledních dnech v porovnání s posledními 7 až 10 dny.

I když velký objem e-mailů může indikovat potenciální problémy, je potřeba potvrdit škodlivé verdikty nebo ruční kontrolu e-mailových zpráv nebo clusterů. Viz Vyhledání doručované podezřelé e-maily.

E-mail Nenašly se žádné hrozby.
(Systém nenašel žádné hrozby na základě souborů, adres URL nebo analýzy verdiktů e-mailového clusteru.)
Automatizované šetření nemá za následek konkrétní čekající akci.

Hrozby zjištěné a zavržené po dokončení šetření se neprojeví v číselných zjištěních vyšetřování, ale tyto hrozby se dají zobrazit v Průzkumníku hrozeb.

User Uživatel klikl na škodlivou adresu URL
(Uživatel přešel na stránku, která se později ukázala jako škodlivá, nebo vynechal stránku upozornění Bezpečný odkaz, aby se dostal na škodlivou stránku.)
Automatizované šetření nemá za následek konkrétní čekající akci.

Adresa URL bloku (čas kliknutí)

Pomocí Průzkumníka hrozeb můžete zobrazit data o adresách URL a kliknout na verdikty.

Pokud vaše organizace používá Microsoft Defender for Endpoint, zvažte prozkoumání uživatele, abyste zjistili, jestli nedošlo k ohrožení jeho účtu.

User Uživatel odesílá malware nebo phish Automatizované šetření nemá za následek konkrétní čekající akci.

Uživatel může hlásit malware nebo phish nebo ho někdo falšovat v rámci útoku. Pomocí Průzkumníka hrozeb můžete zobrazit a zpracovat e-maily obsahující malware nebo phishing.

User Email přeposílání
(Pravidla předávání poštovní schránky jsou nakonfigurovaná, pro exfiltraci dat je možné použít chch.)
Odebrání pravidla přeposílání

Pomocí sestavy automaticky odforedovaných zpráv můžete zobrazit konkrétní podrobnosti o přeposlaných e-mailech.

User pravidla delegování Email
(Účet uživatele má nastavené delegování.)
Odebrání pravidla delegování

Pokud vaše organizace používá Microsoft Defender for Endpoint, zvažte prozkoumání uživatele, který získá oprávnění k delegování.

User Exfiltrace dat
(Uživatel porušil zásady ochrany před únikem informací v e-mailu nebo sdílení souborů
Automatizované šetření nemá za následek konkrétní čekající akci.

Začínáme s Průzkumníkem aktivit

User Neobvyklé odesílání e-mailů
(Uživatel nedávno odeslal více e-mailů než během předchozích 7 až 10 dnů.)
Automatizované šetření nemá za následek konkrétní čekající akci.

Odesílání velkého objemu e-mailů není samo o sobě škodlivé; uživatel možná právě odeslal e-mail velké skupině příjemců události. Pokud to chcete prozkoumat, použijte přehled Noví uživatelé přeposílání e-mailů v EAC a sestavě odchozích zpráv v EAC , abyste zjistili, co se děje, a proveďte akci.

Další kroky