Utbedringshandlinger fra AIR i Microsoft Defender for Office 365 Plan 2
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.
Automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365 Plan 2 resulterer ofte i utbedringshandlinger som krever godkjenning fra sikkerhetsoperasjoner (SecOps)-teamet.
I noen tilfeller resulterer ikke AIR i spesifikke utbedringshandlinger. Hvis du vil undersøke og utføre nødvendige tiltak ytterligere, kan du bruke veiledningen i tabellen nedenfor.
| Kategori | Trussel/risiko | Utbedringshandlinger |
|---|---|---|
| E-post | Skadelig programvare | Myk sletting av e-post/klynge. Hvis mer enn en håndfull relaterte meldinger inneholder skadelig programvare, anses hele klyngen for å være ondsinnet. |
| E-post | En ondsinnet NETTADRESSE ble oppdaget av klarerte koblinger. | Myk sletting av e-post/klynge. Blokker URL-adresse ved klikktidspunkt. Meldingen som inneholder en ondsinnet NETTADRESSE, anses å være skadelig. |
| E-post | Phishing | Myk sletting av e-post/klynge. Hvis flere enn en håndfull relaterte meldinger inneholder phishing-forsøk, anses hele klyngen for å være et phishing-forsøk. |
| E-post | Phishing-e-post levert og deretter fjernet av nulltimers automatisk tømming (ZAP).) | Myk sletting av e-post/klynge. Hvis du vil se om ZAP fjernet en melding, kan du se Hvordan se om ZAP flyttet meldingen. |
| E-post | Bruker rapporterte phishing-e-post | Automatisert undersøkelse utløst av brukerens rapport |
| E-post | Volumavvik (nylige e-postantall overskrider de foregående 7–10 dagene for samsvarende vilkår). | Ingen spesifikke ventende handlinger fra AIR. Et volumavvik er ikke en klar trussel. Selv om et stort antall e-postmeldinger kan indikere potensielle problemer, kreves bekreftelse i form av enten ondsinnede dommer eller en manuell gjennomgang av e-postmeldinger/klynger. Hvis du vil ha mer informasjon, kan du se Finne mistenkelig e-post som ble levert. |
| E-post | Fant ingen trusler (systemet fant ingen trusler basert på filer, nettadresser eller analyse av e-postklyngevurderinger). | Ingen spesifikke ventende handlinger fra AIR. Trusler funnet og fjernet av ZAP etter en fullført undersøkelse gjenspeiles ikke i en undersøkelses numeriske resultater, men slike trusler er synlige i Threat Explorer. |
| Bruker | En bruker klikket på en ondsinnet NETTADRESSE (en bruker besøkte en side som senere ble funnet å være ondsinnet, eller omgått en advarselsside for klarerte koblinger for å komme til en ondsinnet side.) | Ingen spesifikke ventende handlinger fra AIR. Blokker URL-adresse ved klikktidspunkt. Bruk Trusselutforsker til å vise data om nettadresser og klikke dommer. Hvis organisasjonen bruker Microsoft Defender for endepunkt, bør du vurdere å undersøke brukeren for å finne ut om kontoen deres er kompromittert. |
| Bruker | Bruker som sender skadelig programvare/phishing-meldinger | Ingen spesifikke ventende handlinger fra AIR. Brukeren rapporterer kanskje skadelig programvare/phishing-meldinger, eller noen kan forfalsking av brukeren som en del av et angrep. Bruk Trusselutforsker til å vise og håndtere e-post som inneholder skadelig programvare eller phishing. |
| Bruker | Automatisk videresending av ekstern e-post (SMTP-videresending, innboksregler eller regler for Exchange-e-postflyt (også kjent som transportregler) kan brukes til datautdeling). | Fjern videresendingsregelen eller konfigurasjonen. Bruk rapporten for automatisk videresendte meldinger til å vise spesifikke detaljer om videresendt e-post. |
| Bruker | E-postdelegering (en konto har konfigurert delegering). | Fjern delegeringer. Hvis organisasjonen bruker Defender for endepunkt, kan du vurdere å undersøke brukeren med delegeringstillatelsen. |
| Bruker | Dataeksfiltrering (en bruker har brutt DLP-policyer for e-post eller fildeling). | AIR resulterer ikke i en bestemt ventende handling. Kom i gang med Aktivitetsutforsker. |
| Bruker | Avvikende e-postsending (en bruker har nylig sendt mer e-post enn i løpet av de foregående 7–10 dagene.) | Ingen spesifikke ventende handlinger fra AIR. Sending av et stort antall e-postmeldinger er ikke nødvendigvis skadelig (brukeren kan for eksempel ha sendt e-post til en stor gruppe mottakere for en hendelse). Hvis du vil undersøke, kan du bruke nye brukere som videresender e-postinnsikt og utgående meldingsrapport i administrasjonssenteret for Exchange (EAC). |
Neste trinn
- Vis detaljer og resultater for en automatisert undersøkelse i Microsoft Defender for Office 365
- Vis ventende eller fullførte utbedringshandlinger etter en automatisert undersøkelse i Microsoft Defender for Office 365