Azioni di correzione da AIR in Microsoft Defender per Office 365 Piano 2
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
L'analisi automatizzata e la risposta (AIR) in Microsoft Defender per Office 365 piano 2 spesso comportano azioni correttive che richiedono l'approvazione del team delle operazioni di sicurezza (SecOps).
In alcuni casi, AIR non comporta azioni correttive specifiche. Per analizzare e intraprendere le azioni appropriate, usare le indicazioni riportate nella tabella seguente.
| Categoria | Minaccia/rischio | Azioni correttive |
|---|---|---|
| Posta elettronica | Malware | Eliminazione temporanea di posta elettronica/cluster. Se più di una manciata di messaggi correlati contengono malware, l'intero cluster è considerato dannoso. |
| Posta elettronica | Un URL dannoso è stato rilevato da Collegamenti sicuri. | Eliminazione temporanea di posta elettronica/cluster. Blocca URL al momento del clic. Il messaggio che contiene un URL dannoso è considerato dannoso. |
| Posta elettronica | Phishing | Eliminazione temporanea di posta elettronica/cluster. Se più di una manciata di messaggi correlati contengono tentativi di phishing, l'intero cluster viene considerato un tentativo di phishing. |
| Posta elettronica | Posta elettronica di phishing recapitata e quindi rimossa da zero ore di eliminazione automatica (ZAP).) | Eliminazione temporanea di posta elettronica/cluster. Per verificare se ZAP ha rimosso un messaggio, vedere Come verificare se ZAP ha spostato il messaggio. |
| Posta elettronica | Messaggio di posta elettronica di phishing segnalato dall'utente | Indagine automatizzata attivata dal report dell'utente |
| Posta elettronica | Anomalia del volume (le quantità di posta elettronica recenti superano i 7-10 giorni precedenti per i criteri di corrispondenza). | Nessuna azione in sospeso specifica da AIR. Un'anomalia del volume non è una minaccia chiara. Anche se un volume elevato di messaggi di posta elettronica può indicare potenziali problemi, la conferma è necessaria in termini di verdetti dannosi o di revisione manuale di messaggi di posta elettronica/cluster. Per altre informazioni, vedere Trovare un messaggio di posta elettronica sospetto recapitato. |
| Posta elettronica | Nessuna minaccia rilevata (il sistema non ha trovato minacce in base a file, URL o analisi dei verdetti del cluster di posta elettronica). | Nessuna azione in sospeso specifica da AIR. Le minacce rilevate e rimosse da ZAP dopo un'indagine completata non si riflettono nei risultati numerici di un'indagine, ma tali minacce sono visualizzabili in Esplora minacce. |
| Utente | Un utente ha fatto clic su un URL dannoso (un utente ha visitato una pagina che in seguito è stata trovata dannosa o ha ignorato una pagina di avviso Collegamenti sicuri per accedere a una pagina dannosa). | Nessuna azione in sospeso specifica da AIR. Blocca URL al momento del clic. Usare Esplora minacce per visualizzare i dati sugli URL e fare clic su verdetti. Se l'organizzazione usa Microsoft Defender per endpoint, valutare la possibilità di analizzare l'utente per determinare se il proprio account è compromesso. |
| Utente | Utente che invia messaggi di malware/phishing | Nessuna azione in sospeso specifica da AIR. L'utente potrebbe segnalare messaggi di malware/phishing o potrebbe essere uno spoofing dell'utente come parte di un attacco. Usare Esplora minacce per visualizzare e gestire i messaggi di posta elettronica contenenti malware o phishing. |
| Utente | Per l'esfiltrazione dei dati è possibile usare l'inoltro automatico della posta elettronica esterna (inoltro SMTP, regole di posta in arrivo o regole del flusso di posta di Exchange, note anche come regole di trasporto). | Rimuovere la regola o la configurazione di inoltro. Usare il report Messaggi inoltrati automaticamente per visualizzare dettagli specifici sulla posta elettronica inoltrata. |
| Utente | Email delega (è stato creato un conto delle deleghe). | Rimuovere le deleghe. Se l'organizzazione usa Defender per endpoint, valutare la possibilità di analizzare l'utente con l'autorizzazione di delega. |
| Utente | Esfiltrazione dei dati (un utente ha violato i criteri DLP di posta elettronica o condivisione file). | AIR non comporta un'azione in sospeso specifica. Introduzione a Esplora attività. |
| Utente | Invio di messaggi di posta elettronica anomali (un utente ha inviato di recente più messaggi di posta elettronica rispetto ai 7-10 giorni precedenti). | Nessuna azione in sospeso specifica da AIR. L'invio di un volume elevato di messaggi di posta elettronica non è necessariamente dannoso( ad esempio, l'utente potrebbe aver inviato un messaggio di posta elettronica a un gruppo di destinatari di grandi dimensioni per un evento). Per analizzare, usare il report Nuovi utenti che inoltrano informazioni dettagliate sulla posta elettronica e messaggi in uscita nell'interfaccia di amministrazione di Exchange. |
Passaggi successivi
- Visualizzare i dettagli e i risultati di un'indagine automatizzata in Microsoft Defender per Office 365
- Visualizzare le azioni di correzione in sospeso o completate a seguito di un'indagine automatizzata in Microsoft Defender per Office 365