Actions de correction d’AIR dans Microsoft Defender pour Office 365 Plan 2
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
L’examen et la réponse automatisés (AIR) dans Microsoft Defender pour Office 365 Plan 2 entraînent souvent des actions de correction qui nécessitent l’approbation de votre équipe des opérations de sécurité (SecOps).
Dans certains cas, AIR n’entraîne pas d’actions de correction spécifiques. Pour approfondir l’examen et prendre les mesures appropriées, suivez les instructions du tableau suivant.
| Catégorie | Menace/risque | Actions de correction |
|---|---|---|
| Programme malveillant | E-mail/cluster de suppression réversible. Si plus d’une poignée de messages connexes contiennent des programmes malveillants, l’ensemble du cluster est considéré comme malveillant. |
|
| Une URL malveillante a été détectée par les liens fiables. | E-mail/cluster de suppression réversible. Bloquer l’URL au moment du clic. Le message qui contient une URL malveillante est considéré comme malveillant. |
|
| Hameçonnage | E-mail/cluster de suppression réversible. Si plusieurs messages associés contiennent des tentatives d’hameçonnage, l’ensemble du cluster est considéré comme une tentative d’hameçonnage. |
|
| E-mail d’hameçonnage remis, puis supprimé par vidage automatique zéro heure (ZAP).) | E-mail/cluster de suppression réversible. Pour voir si ZAP a supprimé un message, consultez Comment voir si ZAP a déplacé votre message. |
|
| E-mail de hameçonnage signalé par l’utilisateur | Investigation automatisée déclenchée par le rapport de l’utilisateur | |
| Anomalie de volume (les quantités d’e-mails récentes dépassent les 7 à 10 jours précédents pour les critères de correspondance). | Aucune action spécifique en attente d’AIR. Une anomalie de volume n’est pas une menace claire. Bien qu’un volume élevé d’e-mails puisse indiquer des problèmes potentiels, une confirmation est nécessaire en termes de verdicts malveillants ou d’examen manuel des messages électroniques/clusters. Pour plus d’informations, consultez Rechercher les e-mails suspects qui ont été remis. |
|
| Aucune menace détectée (le système n’a trouvé aucune menace basée sur des fichiers, des URL ou l’analyse des verdicts de cluster de messagerie). | Aucune action spécifique en attente d’AIR. Les menaces détectées et supprimées par ZAP après une enquête terminée ne sont pas reflétées dans les résultats numériques d’une enquête, mais ces menaces sont visibles dans threat Explorer. |
|
| Utilisateur | Un utilisateur a cliqué sur une URL malveillante (un utilisateur a visité une page qui a par la suite été jugée malveillante, ou a contourné une page d’avertissement liens fiables pour accéder à une page malveillante).) | Aucune action spécifique en attente d’AIR. Bloquer l’URL au moment du clic. Utilisez threat Explorer pour afficher les données sur les URL et cliquer sur les verdicts. Si votre organization utilise Microsoft Defender pour point de terminaison, envisagez d’examiner l’utilisateur pour déterminer si son compte est compromis. |
| Utilisateur | L’utilisateur envoie des programmes malveillants/des messages d’hameçonnage | Aucune action spécifique en attente d’AIR. L’utilisateur peut signaler des programmes malveillants/messages d’hameçonnage, ou quelqu’un peut usurper l’utilisateur dans le cadre d’une attaque. Utilisez threat Explorer pour afficher et gérer les e-mails contenant des programmes malveillants ou des hameçonnages. |
| Utilisateur | Le transfert automatique d’e-mails externes (transfert SMTP, règles de boîte de réception ou règles de flux de messagerie Exchange (également appelées règles de transport) peut être utilisé pour l’exfiltration de données. | Supprimez la règle ou la configuration de transfert. Utilisez le rapport des messages envoyés automatiquement pour afficher des détails spécifiques sur les e-mails transférés. |
| Utilisateur | Email délégation (les délégations sont configurées pour un compte). | Supprimer les délégations. Si votre organization utilise Defender pour point de terminaison, envisagez d’examiner l’utilisateur avec l’autorisation de délégation. |
| Utilisateur | Exfiltration de données (un utilisateur a violé les stratégies DLP de messagerie ou de partage de fichiers). | AIR n’entraîne pas d’action en attente spécifique. Prise en main des Explorer d’activité. |
| Utilisateur | Envoi anormal d’e-mails (un utilisateur a récemment envoyé plus d’e-mails qu’au cours des 7 à 10 jours précédents.) | Aucune action spécifique en attente d’AIR. L’envoi d’un grand volume d’e-mails n’est pas nécessairement malveillant (par exemple, l’utilisateur peut avoir envoyé un e-mail à un grand groupe de destinataires pour un événement). Pour investiguer, utilisez l’insight de transfert des e-mails nouveaux utilisateurs et le rapport sur les messages sortants dans le Centre d’administration Exchange (EAC). |
Étapes suivantes
- Afficher les détails et les résultats d’une investigation automatisée dans Microsoft Defender pour Office 365
- Afficher les actions de correction en attente ou terminées à la suite d’une investigation automatisée dans Microsoft Defender pour Office 365