Adressere kompromitterte brukerkontoer med automatisert undersøkelse og svar
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.
Microsoft Defender for Office 365 Plan 2 inkluderer kraftige funksjoner for automatisert undersøkelse og respons (AIR). Slike funksjoner kan spare sikkerhetsoperasjonsteamet mye tid og krefter på å håndtere trusler. Denne artikkelen beskriver en av fasettene til AIR-funksjonene, den kompromitterte strategiplanen for brukersikkerhet.
Den kompromitterte strategiplanen for brukersikkerhet gjør det mulig for organisasjonens sikkerhetsteam å:
- Gjenkjenning av kompromitterte brukerkontoer raskere.
- Begrens omfanget av et brudd når en konto er kompromittert. og
- Svar på kompromitterte brukere mer effektivt og effektivt.
Utsatte brukervarsler
Når en brukerkonto er kompromittert, oppstår atypiske eller uregelmessige virkemåter. Phishing- og søppelpostmeldinger kan for eksempel sendes internt fra en klarert brukerkonto. Defender for Office 365 kan oppdage slike avvik i e-postmønstre og samarbeidsaktivitet i Office 365. Når dette skjer, utløses varsler, og trusselreduksjonsprosessen starter.
Undersøke og svare på en kompromittert bruker
Når en brukerkonto er kompromittert, utløses varsler. Og i noen tilfeller blokkeres og hindres brukerkontoen i å sende ytterligere e-postmeldinger til problemet er løst av organisasjonens sikkerhetsoperasjonsteam. I andre tilfeller begynner en automatisert undersøkelse som kan resultere i anbefalte handlinger som sikkerhetsteamet bør utføre.
Viktig
Du må ha riktige tillatelser til å utføre følgende oppgaver. Hvis du vil ha mer informasjon, kan du se Nødvendige tillatelser for å bruke AIR-funksjoner.
Se denne korte videoen for å lære hvordan du kan oppdage og svare på brukerkompromisser i Microsoft Defender for Office 365 ved hjelp av automatisert undersøkelse og respons (AIR) og kompromitterte brukervarsler.
Vise og undersøke begrensede brukere
Du har noen alternativer for å navigere til en liste over begrensede brukere. I Microsoft Defender-portalen kan du for eksempel gå til E-post & samarbeid>Se gjennom>begrensede brukere. Følgende fremgangsmåte beskriver navigasjon ved hjelp av instrumentbordet for varsler , som er en god måte å se ulike typer varsler på som kan ha blitt utløst.
Åpne Microsoft Defender-portalen på https://security.microsoft.com og gå til Hendelser & varsler>varsler. Hvis du vil gå direkte til Varsler-siden , kan du bruke https://security.microsoft.com/alerts.
Filtrer resultatene etter tidsperiode på Varsler-siden , og policyen kalt Bruker begrenset fra å sende e-post.
Hvis du velger oppføringen ved å klikke på navnet, åpnes en bruker som er begrenset fra å sende e-postsiden , med flere detaljer som du kan se gjennom. Ved siden av Behandle varsel-knappen kan du klikke
Flere alternativer og deretter velge Vis begrensede brukerdetaljer for å gå til siden Begrensede brukere , der du kan frigi den begrensede brukeren.
Vis detaljer om automatiserte undersøkelser
Når en automatisert undersøkelse har begynt, kan du se detaljene og resultatene i handlingssenteret i Microsoft Defender-portalen.
Hvis du vil ha mer informasjon, kan du se Vis detaljer om en undersøkelse.
Husk følgende punkter
Hold oversikten over varslene dine. Som du vet, jo lenger et kompromiss ikke oppdages, jo større er potensialet for omfattende innvirkning og kostnader for organisasjonen, kunder og partnere. Tidlig gjenkjenning og rettidig respons er avgjørende for å redusere trusler, og spesielt når en brukers konto er kompromittert.
Automatisering hjelper sikkerhetsoperasjonsteamet. Automatiserte undersøkelses- og responsfunksjoner kan oppdage en kompromittert bruker tidlig og gjøre det mulig for sikkerhetsoperasjonsteamet å iverksette tiltak for å utbedre trusselen. Trenger du hjelp med dette? Se Se gjennom og godkjenn handlinger.