Nápravné akce ze služby AIR v plánu Microsoft Defender pro Office 365 Plan 2
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Automatizované šetření a reakce (AIR) v plánu Microsoft Defender pro Office 365 Plan 2 často vede k nápravě akcí, které vyžadují schválení od týmu SecOps (Security Operations).
V některých případech funkce AIR nemá za následek konkrétní nápravné akce. K dalšímu zkoumání a provedení vhodných akcí použijte doprovodné materiály v následující tabulce.
| Kategorie | Hrozba/riziko | Nápravné akce |
|---|---|---|
| Malware | Obnovitelné odstranění e-mailu nebo clusteru Pokud malware obsahuje více než několik souvisejících zpráv, považuje se za škodlivý celý cluster. |
|
| Bezpečné odkazy zjistily škodlivou adresu URL. | Obnovitelné odstranění e-mailu nebo clusteru Adresa URL bloku při kliknutí Zpráva obsahující škodlivou adresu URL se považuje za škodlivou. |
|
| Útok phishing | Obnovitelné odstranění e-mailu nebo clusteru Pokud více než několik souvisejících zpráv obsahuje pokusy o útok phishing, považuje se za útok phishing celý cluster. |
|
| Phishingové e-maily doručené a následně odstraněné automatickým vyprázdněním (ZAP) nula hodin. | Obnovitelné odstranění e-mailu nebo clusteru Pokud chcete zjistit, jestli zap zprávu odebral, přečtěte si téma Jak zjistit, jestli zap zprávu přesunul. |
|
| Uživatelem nahlášený phishingový e-mail | Automatizované šetření aktivované sestavou uživatele | |
| Anomálie objemu (množství e-mailů v poslední době kvůli splnění kritérií překračuje předchozích 7 až 10 dnů). | Žádné konkrétní čekající akce ze služby AIR. Anomálie svazku není jasnou hrozbou. I když velký objem e-mailů může indikovat potenciální problémy, je vyžadováno potvrzení z hlediska škodlivých verdiktů nebo ruční kontroly e-mailových zpráv nebo clusterů. Další informace najdete v tématu Vyhledání doručované podezřelé e-maily. |
|
| Nenašly se žádné hrozby (systém nenašel žádné hrozby na základě souborů, adres URL nebo analýzy verdiktů e-mailového clusteru). | Žádné konkrétní čekající akce ze služby AIR. Hrozby nalezené a odebrané zap po dokončení vyšetřování se neprojeví v číselných výsledcích vyšetřování, ale tyto hrozby se dají zobrazit v Průzkumníku hrozeb. |
|
| User | Uživatel kliknul na škodlivou adresu URL (uživatel navštívil stránku, u které se později zjistilo, že je škodlivá, nebo vynechal stránku s upozorněním na bezpečné odkazy , aby se dostal na škodlivou stránku). | Žádné konkrétní čekající akce ze služby AIR. Adresa URL bloku při kliknutí Pomocí Průzkumníka hrozeb můžete zobrazit data o adresách URL a kliknout na verdikty. Pokud vaše organizace používá Microsoft Defender for Endpoint, zvažte prozkoumání uživatele, abyste zjistili, jestli nedošlo k ohrožení jeho účtu. |
| User | Uživatel odesílající zprávy o malwaru nebo phishingu | Žádné konkrétní čekající akce ze služby AIR. Uživatel může hlásit zprávy o malwaru nebo phishingu nebo někdo může zfalšovat uživatele v rámci útoku. Pomocí Průzkumníka hrozeb můžete zobrazit a zpracovat e-maily obsahující malware nebo phishing. |
| User | K exfiltraci dat je možné použít automatické přeposílání externích e-mailů (přesměrování SMTP, pravidla doručené pošty nebo pravidla toku pošty Exchange(označovaná také jako pravidla přenosu). | Odeberte pravidlo nebo konfiguraci předávání. Pomocí sestavy automaticky odforedovaných zpráv můžete zobrazit konkrétní podrobnosti o přeposlaných e-mailech. |
| User | Email delegování (účet má nastavené delegování). | Odeberte delegování. Pokud vaše organizace používá Defender for Endpoint, zvažte prozkoumání uživatele s oprávněním k delegování. |
| User | Exfiltrace dat (uživatel porušil zásady ochrany před únikem informací v e-mailu nebo sdílení souborů) | Air nemá za následek konkrétní čekající akci. Začínáme s Průzkumníkem aktivit |
| User | Neobvyklé odesílání e-mailů (uživatel nedávno odeslal více e-mailů než během předchozích 7 až 10 dnů) | Žádné konkrétní čekající akce ze služby AIR. Odeslání velkého objemu e-mailů nemusí být nutně škodlivé (například uživatel mohl odeslat e-mail velké skupině příjemců události). Pokud to chcete prozkoumat, použijte přehled noví uživatelé pro přeposílání e-mailů a sestavu odchozích zpráv v Centru pro správu Exchange (EAC). |
Další kroky
- Zobrazení podrobností a výsledků automatizovaného šetření v Microsoft Defender pro Office 365
- Zobrazení čekajících nebo dokončených nápravných akcí po automatizovaném šetření v Microsoft Defender pro Office 365