Freigeben über


Korrekturmaßnahmen von AIR in Microsoft Defender for Office 365 Plan 2

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Automatisierte Untersuchung und Reaktion (AIR) in Microsoft Defender for Office 365 Plan 2 führt häufig zu Korrekturaktionen, die eine Genehmigung durch Ihr Sicherheitsbetriebsteam (SecOps) erfordern.

In einigen Fällen führt AIR nicht zu bestimmten Wartungsaktionen. Verwenden Sie die Anleitung in der folgenden Tabelle, um weitere Untersuchungen durchzuführen und entsprechende Maßnahmen zu ergreifen.

Kategorie Bedrohung/Risiko Wartungsaktionen
E-Mail Schadsoftware Vorläufiges Löschen von E-Mails/Clustern.

Wenn mehr als eine Handvoll zugehöriger Nachrichten Schadsoftware enthalten, wird der gesamte Cluster als böswillig betrachtet.
E-Mail Eine schädliche URL wurde von Sicheren Links erkannt. Vorläufiges Löschen von E-Mails/Clustern.

Url zum Zeitpunkt des Klickens blockieren.

Die Nachricht, die eine schädliche URL enthält, gilt als böswillig.
E-Mail Phishing Vorläufiges Löschen von E-Mails/Clustern.

Wenn mehr als eine Handvoll verwandter Nachrichten Phishingversuche enthalten, wird der gesamte Cluster als Phishingversuch betrachtet.
E-Mail Phishing-E-Mails, die übermittelt und dann durch automatische Löschung der Null-Stunde (ZAP) entfernt werden.) Vorläufiges Löschen von E-Mails/Clustern.

Informationen dazu, ob ZAP eine Nachricht entfernt hat, finden Sie unter How to see how to see how to see if ZAP moved your message.
E-Mail Vom Benutzer gemeldete Phishing-E-Mail Automatisierte Untersuchung, die durch den Bericht des Benutzers ausgelöst wird
E-Mail Volumenanomalie (die letzten E-Mail-Mengen überschreiten die letzten 7-10 Tage für die Vergleichskriterien). Keine spezifischen ausstehenden Aktionen von AIR.

Eine Volumeanomalie ist keine eindeutige Bedrohung. Obwohl eine große Anzahl von E-Mails auf potenzielle Probleme hinweisen kann, ist eine Bestätigung entweder in Bezug auf böswillige Urteile oder eine manuelle Überprüfung von E-Mail-Nachrichten/-Clustern erforderlich. Weitere Informationen finden Sie unter Suchen verdächtiger E-Mails, die übermittelt wurden.
E-Mail Keine Bedrohungen gefunden (das System hat keine Bedrohungen basierend auf Dateien, URLs oder analyse von E-Mail-Clusterbewertungen gefunden). Keine spezifischen ausstehenden Aktionen von AIR.

Bedrohungen, die von ZAP nach abschluss einer abgeschlossenen Untersuchung gefunden und entfernt wurden, spiegeln sich nicht in den numerischen Ergebnissen einer Untersuchung wider, aber solche Bedrohungen sind in Threat Explorer sichtbar.
Benutzer Ein Benutzer hat auf eine schädliche URL geklickt (ein Benutzer hat eine Seite besucht, die später als bösartig eingestuft wurde, oder eine Warnseite für sichere Links umgangen, um zu einer schädlichen Seite zu gelangen).) Keine spezifischen ausstehenden Aktionen von AIR.

Url zum Zeitpunkt des Klickens blockieren.

Verwenden Sie Threat Explorer, um Daten zu URLs anzuzeigen und auf Bewertungen zu klicken.

Wenn Ihr organization Microsoft Defender for Endpoint verwendet, sollten Sie den Benutzer untersuchen, um festzustellen, ob sein Konto kompromittiert ist.
Benutzer Benutzer, der Schadsoftware-/Phishing-Nachrichten sendet Keine spezifischen ausstehenden Aktionen von AIR.

Der Benutzer meldet möglicherweise Malware-/Phishing-Nachrichten, oder jemand spooft den Benutzer im Rahmen eines Angriffs. Verwenden Sie Threat Explorer, um E-Mails anzuzeigen und zu verarbeiten, die Schadsoftware oder Phishing enthalten.
Benutzer Die automatische externe E-Mail-Weiterleitung (SMTP-Weiterleitung, Posteingangsregeln oder Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) können für die Datenexfiltration verwendet werden. Entfernen Sie die Weiterleitungsregel oder -konfiguration.

Verwenden Sie den Bericht automatisch weitergeleitete Nachrichten , um bestimmte Details zu weitergeleiteten E-Mails anzuzeigen.
Benutzer Email Delegierung (für ein Konto sind Delegierungen eingerichtet). Delegierungen entfernen.

Wenn Ihr organization Defender für Endpunkt verwendet, sollten Sie den Benutzer mit der Delegierungsberechtigung untersuchen.
Benutzer Datenexfiltration (ein Benutzer hat gegen E-Mail- oder Dateifreigabe-DLP-Richtlinien verstoßen). AIR führt nicht zu einer bestimmten ausstehenden Aktion.

Erste Schritte mit Activity Explorer.
Benutzer Anormales Senden von E-Mails (ein Benutzer hat kürzlich mehr E-Mails gesendet als in den vorherigen 7-10 Tagen).) Keine spezifischen ausstehenden Aktionen von AIR.

Das Senden einer großen E-Mail-Menge ist nicht unbedingt bösartig (z. B. kann der Benutzer E-Mails an eine große Gruppe von Empfängern für ein Ereignis gesendet haben). Verwenden Sie zur Untersuchung den Bericht Neue Benutzer, die E-Mail-Erkenntnisse weiterleiten und ausgehende Nachrichten im Exchange Admin Center (EAC) weiterleiten.

Nächste Schritte