Korrekturmaßnahmen von AIR in Microsoft Defender for Office 365 Plan 2
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Automatisierte Untersuchung und Reaktion (AIR) in Microsoft Defender for Office 365 Plan 2 führt häufig zu Korrekturaktionen, die eine Genehmigung durch Ihr Sicherheitsbetriebsteam (SecOps) erfordern.
In einigen Fällen führt AIR nicht zu bestimmten Wartungsaktionen. Verwenden Sie die Anleitung in der folgenden Tabelle, um weitere Untersuchungen durchzuführen und entsprechende Maßnahmen zu ergreifen.
Kategorie | Bedrohung/Risiko | Wartungsaktionen |
---|---|---|
Schadsoftware | Vorläufiges Löschen von E-Mails/Clustern. Wenn mehr als eine Handvoll zugehöriger Nachrichten Schadsoftware enthalten, wird der gesamte Cluster als böswillig betrachtet. |
|
Eine schädliche URL wurde von Sicheren Links erkannt. | Vorläufiges Löschen von E-Mails/Clustern. Url zum Zeitpunkt des Klickens blockieren. Die Nachricht, die eine schädliche URL enthält, gilt als böswillig. |
|
Phishing | Vorläufiges Löschen von E-Mails/Clustern. Wenn mehr als eine Handvoll verwandter Nachrichten Phishingversuche enthalten, wird der gesamte Cluster als Phishingversuch betrachtet. |
|
Phishing-E-Mails, die übermittelt und dann durch automatische Löschung der Null-Stunde (ZAP) entfernt werden.) | Vorläufiges Löschen von E-Mails/Clustern. Informationen dazu, ob ZAP eine Nachricht entfernt hat, finden Sie unter How to see how to see how to see if ZAP moved your message. |
|
Vom Benutzer gemeldete Phishing-E-Mail | Automatisierte Untersuchung, die durch den Bericht des Benutzers ausgelöst wird | |
Volumenanomalie (die letzten E-Mail-Mengen überschreiten die letzten 7-10 Tage für die Vergleichskriterien). | Keine spezifischen ausstehenden Aktionen von AIR. Eine Volumeanomalie ist keine eindeutige Bedrohung. Obwohl eine große Anzahl von E-Mails auf potenzielle Probleme hinweisen kann, ist eine Bestätigung entweder in Bezug auf böswillige Urteile oder eine manuelle Überprüfung von E-Mail-Nachrichten/-Clustern erforderlich. Weitere Informationen finden Sie unter Suchen verdächtiger E-Mails, die übermittelt wurden. |
|
Keine Bedrohungen gefunden (das System hat keine Bedrohungen basierend auf Dateien, URLs oder analyse von E-Mail-Clusterbewertungen gefunden). | Keine spezifischen ausstehenden Aktionen von AIR. Bedrohungen, die von ZAP nach abschluss einer abgeschlossenen Untersuchung gefunden und entfernt wurden, spiegeln sich nicht in den numerischen Ergebnissen einer Untersuchung wider, aber solche Bedrohungen sind in Threat Explorer sichtbar. |
|
Benutzer | Ein Benutzer hat auf eine schädliche URL geklickt (ein Benutzer hat eine Seite besucht, die später als bösartig eingestuft wurde, oder eine Warnseite für sichere Links umgangen, um zu einer schädlichen Seite zu gelangen).) | Keine spezifischen ausstehenden Aktionen von AIR. Url zum Zeitpunkt des Klickens blockieren. Verwenden Sie Threat Explorer, um Daten zu URLs anzuzeigen und auf Bewertungen zu klicken. Wenn Ihr organization Microsoft Defender for Endpoint verwendet, sollten Sie den Benutzer untersuchen, um festzustellen, ob sein Konto kompromittiert ist. |
Benutzer | Benutzer, der Schadsoftware-/Phishing-Nachrichten sendet | Keine spezifischen ausstehenden Aktionen von AIR. Der Benutzer meldet möglicherweise Malware-/Phishing-Nachrichten, oder jemand spooft den Benutzer im Rahmen eines Angriffs. Verwenden Sie Threat Explorer, um E-Mails anzuzeigen und zu verarbeiten, die Schadsoftware oder Phishing enthalten. |
Benutzer | Die automatische externe E-Mail-Weiterleitung (SMTP-Weiterleitung, Posteingangsregeln oder Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) können für die Datenexfiltration verwendet werden. | Entfernen Sie die Weiterleitungsregel oder -konfiguration. Verwenden Sie den Bericht automatisch weitergeleitete Nachrichten , um bestimmte Details zu weitergeleiteten E-Mails anzuzeigen. |
Benutzer | Email Delegierung (für ein Konto sind Delegierungen eingerichtet). | Delegierungen entfernen. Wenn Ihr organization Defender für Endpunkt verwendet, sollten Sie den Benutzer mit der Delegierungsberechtigung untersuchen. |
Benutzer | Datenexfiltration (ein Benutzer hat gegen E-Mail- oder Dateifreigabe-DLP-Richtlinien verstoßen). | AIR führt nicht zu einer bestimmten ausstehenden Aktion. Erste Schritte mit Activity Explorer. |
Benutzer | Anormales Senden von E-Mails (ein Benutzer hat kürzlich mehr E-Mails gesendet als in den vorherigen 7-10 Tagen).) | Keine spezifischen ausstehenden Aktionen von AIR. Das Senden einer großen E-Mail-Menge ist nicht unbedingt bösartig (z. B. kann der Benutzer E-Mails an eine große Gruppe von Empfängern für ein Ereignis gesendet haben). Verwenden Sie zur Untersuchung den Bericht Neue Benutzer, die E-Mail-Erkenntnisse weiterleiten und ausgehende Nachrichten im Exchange Admin Center (EAC) weiterleiten. |
Nächste Schritte
- Anzeigen von Details und Ergebnissen einer automatisierten Untersuchung in Microsoft Defender for Office 365
- Anzeigen ausstehender oder abgeschlossener Wartungsaktionen nach einer automatisierten Untersuchung in Microsoft Defender for Office 365