Afhjælpningshandlinger fra AIR i Microsoft Defender for Office 365 Plan 2
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender for Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
Automatiseret undersøgelse og svar (AIR) i Microsoft Defender for Office 365 Plan 2 resulterer ofte i afhjælpningshandlinger, der kræver godkendelse fra dit secOps-team (Security Operations).
I nogle tilfælde resulterer AIR ikke i specifikke afhjælpningshandlinger. Hvis du vil undersøge og udføre relevante handlinger yderligere, skal du bruge vejledningen i følgende tabel.
Kategori | Trussel/risiko | Afhjælpningshandlinger |
---|---|---|
Malware | Blød sletning af mail/klynge. Hvis mere end en håndfuld relaterede meddelelser indeholder malware, anses hele klyngen for at være ondsindet. |
|
Der blev fundet en skadelig URL-adresse af Sikre links. | Blød sletning af mail/klynge. Bloker URL-adresse ved klik. Den meddelelse, der indeholder en skadelig URL-adresse, anses for at være skadelig. |
|
Phishing | Blød sletning af mail/klynge. Hvis mere end en håndfuld relaterede meddelelser indeholder phishingforsøg, anses hele klyngen for at være et phishingforsøg. |
|
Phishing-mail leveres og fjernes derefter automatisk med nul timer (ZAP)). | Blød sletning af mail/klynge. Hvis du vil se, om ZAP har fjernet en meddelelse, skal du se Sådan ser du, om ZAP har flyttet din meddelelse. |
|
Brugerrapporteret phishing-mail | Automatiseret undersøgelse udløst af brugerens rapport | |
Uregelmæssigheder i mængden (de seneste mailmængder overskrider de forrige 7-10 dage for at matche kriterier). | Ingen specifikke ventende handlinger fra AIR. En uregelmæssighed i mængden er ikke en klar trussel. Selvom en stor mængde mail kan indikere potentielle problemer, kræves der bekræftelse med hensyn til enten ondsindede domme eller en manuel gennemgang af mails/klynger. Du kan finde flere oplysninger under Find mistænkelige mails, der blev leveret. |
|
Der blev ikke fundet nogen trusler (systemet fandt ingen trusler baseret på filer, URL-adresser eller analyse af domme fra mailklynge). | Ingen specifikke ventende handlinger fra AIR. Trusler, der blev fundet og fjernet af ZAP efter en afsluttet undersøgelse, afspejles ikke i en undersøgelses numeriske resultater, men sådanne trusler kan ses i Threat Explorer. |
|
Bruger | En bruger har klikket på en skadelig URL-adresse (en bruger har besøgt en side, der senere blev fundet skadelig, eller omgået en advarselsside for Sikre links for at få adgang til en skadelig side). | Ingen specifikke ventende handlinger fra AIR. Bloker URL-adresse ved klik. Brug Threat Explorer til at få vist data om URL-adresser, og klik på domme. Hvis din organisation bruger Microsoft Defender for Endpoint, kan du overveje at undersøge brugeren for at finde ud af, om vedkommendes konto er kompromitteret. |
Bruger | Bruger, der sender malware/phishing-meddelelser | Ingen specifikke ventende handlinger fra AIR. Brugeren rapporterer muligvis malware/phishing-meddelelser, eller nogen kan spoofe brugeren som en del af et angreb. Brug Threat Explorer til at få vist og håndtere mail, der indeholder malware eller phishing. |
Bruger | Automatisk ekstern videresendelse af mail (SMTP-videresendelse, indbakkeregler eller Exchange-regler for mailflow (også kendt som transportregler) kan bruges til dataudfyldning. | Fjern reglen eller konfigurationen for videresendelse. Brug rapporten Automatisk videresendte meddelelser til at få vist specifikke oplysninger om videresendte mails. |
Bruger | Maildelegering (der er konfigureret delegationer for en konto). | Fjern delegationer. Hvis din organisation bruger Defender for Endpoint, kan du overveje at undersøge brugeren med delegeringstilladelsen. |
Bruger | Dataudfiltrering (en bruger har overtrådt DLP-politikker for mail eller fildeling). | AIR resulterer ikke i en bestemt ventende handling. Kom i gang med Activity Explorer. |
Bruger | Unormal mailafsendelse (en bruger har for nylig sendt flere mails end i løbet af de forrige 7-10 dage). | Ingen specifikke ventende handlinger fra AIR. Det er ikke nødvendigvis skadeligt at sende en stor mængde mail (brugeren kan f.eks. have sendt en mail til en stor gruppe modtagere til en hændelse). Hvis du vil undersøge det, skal du bruge rapporten Nye brugere, der videresender mailindsigt og udgående meddelelse i Exchange Administration (EAC). |
Næste trin
- Få vist detaljer og resultater af en automatisk undersøgelse i Microsoft Defender for Office 365
- Vis ventende eller fuldførte afhjælpningshandlinger efter en automatiseret undersøgelse i Microsoft Defender for Office 365