AIR-toimintojen korjaustoimet Microsoft Defender for Office 365 suunnitelmassa 2
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Microsoft Defender for Office 365 palvelupaketti 2:n automatisoitu tutkinta ja reagointi johtavat usein korjaustoimiin, jotka edellyttävät hyväksyntää turvallisuustoimintatiimiltäsi (SecOps).
Joissakin tapauksissa AIR ei aiheuta erityisiä korjaustoimia. Jos haluat tutkia asiaa tarkemmin ja ryhtyä asianmukaisiin toimiin, käytä seuraavan taulukon ohjeita.
| Luokka | Uhka/riski | Korjaustoimet |
|---|---|---|
| Sähköposti | Haittaohjelma | Poista sähköpostiviesti tai klusteri pehmeästi. Jos useampi kuin kourallinen aiheeseen liittyviä viestejä sisältää haittaohjelmia, koko klusteria pidetään pahantahtoisena. |
| Sähköposti | Turvalliset linkit havaitsivat haitallisen URL-osoitteen. | Poista sähköpostiviesti tai klusteri pehmeästi. Estä URL-osoite napsautushetkellä. Viestiä, joka sisältää haitallisen URL-osoitteen, pidetään pahantahtoisena. |
| Sähköposti | Tietojenkalastelu | Poista sähköpostiviesti tai klusteri pehmeästi. Jos useampi kuin muutama toisiinsa liittyvä viesti sisältää tietojenkalasteluyrityksiä, koko klusteria pidetään tietojenkalasteluyrityksenä. |
| Sähköposti | Tietojenkalastelusähköposti, joka toimitettiin ja poistettiin nolla tunnin automaattisella puhdistuksella (ZAP).) | Poista sähköpostiviesti tai klusteri pehmeästi. Jos haluat nähdä, poistiko ZAP viestin, katso , siirsikö ZAP viestisi. |
| Sähköposti | Käyttäjä on ilmoittanut tietojenkalastelusähköpostiviestistä | Käyttäjän raportin käynnistämä automatisoitu tutkimus |
| Sähköposti | Volyymipoikkeama (viimeisimmät sähköpostimäärät ylittävät 7-10 päivää täyttävien ehtojen osalta). | AIR ei ole esittänyt mitään erityisiä odottavia toimia. Volyymipoikkeama ei ole selvä uhka. Vaikka suuri määrä sähköpostiviestejä voi olla merkkinä mahdollisista ongelmista, tarvitaan vahvistus joko haitallisten tuomioiden tai sähköpostiviestien/klustereiden manuaalisen tarkistuksen osalta. Lisätietoja on kohdassa Etsi epäilyttävät sähköpostiviestit, jotka toimitettiin. |
| Sähköposti | Uhkia ei löytynyt (järjestelmä ei löytänyt uhkia tiedostojen, URL-osoitteiden tai sähköpostiklusterin tuomioiden analyysin perusteella). | AIR ei ole esittänyt mitään erityisiä odottavia toimia. ZAP:n löytämät ja poistamat uhat valmiin tutkimuksen jälkeen eivät näy tutkimuksen numeerisissa tuloksissa, mutta tällaiset uhat ovat tarkasteltavissa Threat Explorerissa. |
| Käyttäjä | Käyttäjä napsautti haitallista URL-osoitetta (käyttäjä kävi sivulla, joka myöhemmin todettiin haitalliseksi, tai ohitti Turvalliset linkit -varoitussivun päästäkseen haitalliselle sivulle.) | AIR ei ole esittänyt mitään erityisiä odottavia toimia. Estä URL-osoite napsautushetkellä. Threat Explorerin avulla voit tarkastella URL-osoitteita koskevia tietoja ja napsauttaa tuomioita. Jos organisaatiosi käyttää Microsoft Defender for Endpoint, harkitse käyttäjän tutkimista sen selvittämiseksi, onko hänen tilinsä vaarantunut. |
| Käyttäjä | Käyttäjä lähettää haittaohjelmia/tietojenkalasteluviestejä | AIR ei ole esittänyt mitään erityisiä odottavia toimia. Käyttäjä saattaa ilmoittaa haittaohjelma-/tietojenkalasteluviesteistä tai joku saattaa huijata käyttäjää osana hyökkäystä. Threat Explorerin avulla voit tarkastella ja käsitellä haittaohjelmia tai tietojenkalastelua sisältäviä sähköpostiviestejä. |
| Käyttäjä | Automaattisen ulkoisen sähköpostin edelleenlähetystä (SMTP-edelleenlähetystä, Saapuneet-kansion sääntöjä tai Exchange-postinkulun sääntöjä (kutsutaan myös siirtosäännöiksi) voidaan käyttää tietojen suodatusta varten. | Poista edelleenlähetyssääntö tai -määritys. Automaattisesti jaetut viestit -raportin avulla voit tarkastella välitettyjen sähköpostiviestien tiettyjä tietoja. |
| Käyttäjä | Sähköpostin delegointi (tilille on määritetty delegointeja). | Poista delegoinnit. Jos organisaatiosi käyttää Defender for Endpointia, harkitse sen käyttäjän tutkimista , jolla on delegointioikeus. |
| Käyttäjä | Tietojen suodatus (käyttäjä on rikkonut sähköpostin tai tiedostojen jakamisen DLP-käytäntöjä). | AIR ei johda tiettyyn odottavaan toimintoon. Toimintojen hallinnan käytön aloittaminen. |
| Käyttäjä | Poikkeava sähköpostin lähettäminen (käyttäjä on äskettäin lähettänyt enemmän sähköpostia kuin edellisten 7-10 päivän aikana.) | AIR ei ole esittänyt mitään erityisiä odottavia toimia. Suuren sähköpostimäärän lähettäminen ei välttämättä ole haitallista (käyttäjä on esimerkiksi saattanut lähettää sähköpostiviestin suurelle määrälle tapahtuman vastaanottajia). Jos haluat tutkia asiaa, käytä Uusia käyttäjiä, jotka siirtävät edelleen merkityksellisiä sähköpostiviestejä ja lähtevien viestien raporttia Exchangen hallintakeskuksessa (EAC). |
Seuraavat vaiheet
- Microsoft Defender for Office 365 automatisoidun tutkimuksen tietojen ja tulosten tarkasteleminen
- Tarkastele odottavia tai valmiita korjaustoimintoja Microsoft Defender for Office 365