Herstelacties van AIR in Microsoft Defender voor Office 365 Plan 2
Tip
Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
Geautomatiseerd onderzoek en respons (AIR) in Microsoft Defender voor Office 365 Plan 2 resulteert vaak in herstelacties waarvoor goedkeuring van uw SecOps-team (Security Operations) is vereist.
In sommige gevallen resulteert AIR niet in specifieke herstelacties. Gebruik de richtlijnen in de volgende tabel om de juiste acties verder te onderzoeken en te ondernemen.
| Categorie | Bedreiging/risico | Herstelacties |
|---|---|---|
| Malware | E-mail/cluster voorlopig verwijderen. Als meer dan een handvol gerelateerde berichten malware bevatten, wordt het hele cluster beschouwd als schadelijk. |
|
| Er is een schadelijke URL gedetecteerd door Veilige koppelingen. | E-mail/cluster voorlopig verwijderen. Blokkeer DE URL op het moment van klikken. Het bericht dat een schadelijke URL bevat, wordt beschouwd als schadelijk. |
|
| Phishing | E-mail/cluster voorlopig verwijderen. Als meer dan een handvol gerelateerde berichten phishingpogingen bevatten, wordt het hele cluster beschouwd als een phishingpoging. |
|
| Phishing-e-mail bezorgd en vervolgens verwijderd door zero-hour auto purge (ZAP).) | E-mail/cluster voorlopig verwijderen. Als u wilt zien of ZAP een bericht heeft verwijderd, raadpleegt u Controleren of ZAP uw bericht heeft verplaatst. |
|
| Door gebruiker gerapporteerde phishing-e-mail | Geautomatiseerd onderzoek geactiveerd door het rapport van de gebruiker | |
| Volumeafwijking (recente e-mailhoeveelheden overschrijden de vorige 7-10 dagen voor overeenkomende criteria). | Geen specifieke acties die in behandeling zijn van AIR. Een volumeafwijking is geen duidelijke bedreiging. Hoewel een grote hoeveelheid e-mail kan duiden op potentiële problemen, is bevestiging vereist in termen van kwaadaardige uitspraken of een handmatige beoordeling van e-mailberichten/clusters. Zie Verdachte e-mail zoeken die is bezorgd voor meer informatie. |
|
| Er zijn geen bedreigingen gevonden (het systeem heeft geen bedreigingen gevonden op basis van bestanden, URL's of analyse van e-mailclusterbeoordelingen). | Geen specifieke acties die in behandeling zijn van AIR. Bedreigingen die door ZAP zijn gevonden en verwijderd na een voltooid onderzoek, worden niet weergegeven in de numerieke resultaten van een onderzoek, maar dergelijke bedreigingen zijn zichtbaar in Threat Explorer. |
|
| Gebruiker | Een gebruiker heeft op een schadelijke URL geklikt (een gebruiker heeft een pagina bezocht die later schadelijk bleek te zijn, of een waarschuwingspagina voor veilige koppelingen om naar een schadelijke pagina te gaan.) | Geen specifieke acties die in behandeling zijn van AIR. Blokkeer DE URL op het moment van klikken. Gebruik Bedreigingsverkenner om gegevens over URL's weer te geven en op uitspraken te klikken. Als uw organisatie Microsoft Defender voor Eindpunt gebruikt, kunt u overwegen de gebruiker te onderzoeken om te bepalen of hun account is gecompromitteerd. |
| Gebruiker | Gebruiker die malware-/phishingberichten verzendt | Geen specifieke acties die in behandeling zijn van AIR. De gebruiker rapporteert mogelijk malware-/phishingberichten of iemand kan de gebruiker spoofen als onderdeel van een aanval. Gebruik Bedreigingsverkenner om e-mail met malware of phishing weer te geven en te verwerken. |
| Gebruiker | Automatisch doorsturen van externe e-mail (SMTP-doorsturen, regels voor Postvak IN of Regels voor Exchange-e-mailstroom (ook wel transportregels genoemd) kunnen worden gebruikt voor gegevensexfiltratie. | Verwijder de doorstuurregel of configuratie. Gebruik het rapport Automatisch verzonden berichten om specifieke details over doorgestuurde e-mail weer te geven. |
| Gebruiker | Email delegatie (voor een account zijn delegaties ingesteld). | Verwijder delegaties. Als uw organisatie Defender voor Eindpunt gebruikt, kunt u overwegen om de gebruiker met de delegatiemachtiging te onderzoeken . |
| Gebruiker | Gegevensexfiltratie (een gebruiker heeft het DLP-beleid voor e-mail of bestandsdeling geschonden). | AIR resulteert niet in een specifieke actie die in behandeling is. Aan de slag met Activity Explorer. |
| Gebruiker | Afwijkende e-mail die wordt verzonden (een gebruiker heeft onlangs meer e-mail verzonden dan in de afgelopen 7-10 dagen.) | Geen specifieke acties die in behandeling zijn van AIR. Het verzenden van een grote hoeveelheid e-mail is niet noodzakelijkerwijs schadelijk (de gebruiker kan bijvoorbeeld e-mail hebben verzonden naar een grote groep geadresseerden voor een gebeurtenis). Als u dit wilt onderzoeken, gebruikt u het rapport Nieuwe gebruikers die e-mail doorsturen en het rapport Uitgaand bericht in het Exchange-beheercentrum (EAC). |
Volgende stappen
- Details en resultaten van een geautomatiseerd onderzoek weergeven in Microsoft Defender voor Office 365
- In behandeling of voltooide herstelacties weergeven na een geautomatiseerd onderzoek in Microsoft Defender voor Office 365