Zasady alertów w usłudze Microsoft 365
Zasady alertów i pulpit nawigacyjny alertów w portalu Microsoft Defender umożliwiają tworzenie zasad alertów, a następnie wyświetlanie alertów generowanych podczas wykonywania przez użytkowników działań zgodnych z warunkami zasad alertów. Istnieje kilka domyślnych zasad alertów, które ułatwiają monitorowanie działań, takich jak przypisywanie uprawnień administratora w Exchange Online, ataki złośliwego oprogramowania, kampanie wyłudzania informacji i nietypowe poziomy usuwania plików lub udostępniania zewnętrznego.
Porada
Przejdź do sekcji Domyślne zasady alertów w tym artykule, aby uzyskać listę i opis dostępnych zasad alertów.
Zasady alertów umożliwiają kategoryzowanie alertów wyzwalanych przez zasady, stosowanie zasad do wszystkich użytkowników w organizacji, ustawianie poziomu progowego po wyzwoleniu alertu i podejmowanie decyzji, czy otrzymywać powiadomienia e-mail po wyzwoleniu alertów. Istnieje również strona Alerty , na której można wyświetlać i filtrować alerty, ustawiać stan alertu, aby ułatwić zarządzanie alertami, a następnie odrzucać alerty po rozwiązaniu lub rozwiązaniu podstawowego zdarzenia.
Uwaga
Zasady alertów są dostępne w następujących organizacjach:
- Microsoft 365 Enterprise
- Office 365 Enterprise
- Office 365 E1/F1/G1, E3/F3/G3 lub E5/G5
Funkcje zaawansowane są dostępne tylko w następujących organizacjach:
- Microsoft 365 E5/G5
- Microsoft 365 E1/F1/G1 lub Microsoft 365 E3/F3/G3 plus jedna z następujących subskrypcji dodatków:
- Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2
- Zabezpieczenia platformy Microsoft 365 E5
- Zgodność platformy Microsoft 365 E5
- E5 eDiscovery and Audit add-on
W tym artykule wyróżniono zaawansowane funkcje wymagające Microsoft 365 E5/G5 lub subskrypcji dodatku.
Zasady alertów są dostępne w organizacjach rządowych USA (Office 365 GCC, GCC High i DoD).
Jak działają zasady alertów
Poniżej przedstawiono krótkie omówienie sposobu działania zasad alertów i alertów wyzwalanych, gdy działanie użytkownika lub administratora odpowiada warunkom zasad alertów.
Administrator w organizacji tworzy, konfiguruje i włącza zasady alertów przy użyciu strony Zasady alertów w portalu zgodności lub portalu Microsoft Defender. Zasady alertów można również utworzyć przy użyciu polecenia cmdlet New-ProtectionAlert w programie PowerShell Security & Compliance.
Aby utworzyć zasady alertów, musisz mieć przypisaną rolę Zarządzaj alertami, rolę Konfiguracja organizacji w portalu zgodności lub portalu usługi Defender.
Uwaga
Tworzenie lub aktualizowanie zasad alertów trwa do 24 godzin, zanim zasady będą mogły wyzwalać alerty. Dzieje się tak, ponieważ zasady muszą zostać zsynchronizowane z aparatem wykrywania alertów.
Użytkownik wykonuje działanie zgodne z warunkami zasad alertu. W przypadku ataków złośliwego oprogramowania zainfekowane wiadomości e-mail wysyłane do użytkowników w organizacji wyzwalają alert.
Usługa Microsoft 365 generuje alert wyświetlany na stronie Alerty w portalu Microsoft Defender. Ponadto jeśli powiadomienia e-mail są włączone dla zasad alertów, firma Microsoft wysyła powiadomienie do listy adresatów. Alerty wyświetlane przez administratora lub innych użytkowników na stronie Alerty są określane przez role przypisane do użytkownika. Aby uzyskać więcej informacji, zobacz Uprawnienia RBAC wymagane do wyświetlania alertów.
Administrator zarządza alertami w portalu Microsoft Defender. Zarządzanie alertami polega na przypisaniu stanu alertu w celu ułatwienia śledzenia wszelkich badań i zarządzania nimi.
Ustawienia zasad alertów
Zasady alertów składają się z zestawu reguł i warunków definiujących działanie użytkownika lub administratora, które generuje alert, listę użytkowników, którzy wyzwalają alert, jeśli wykonują działanie, oraz próg określający, ile razy działanie ma wystąpić przed wyzwoleniem alertu. Należy również skategoryzować zasady i przypisać mu poziom ważności. Te dwa ustawienia ułatwiają zarządzanie zasadami alertów (oraz alertami, które są wyzwalane po dopasowaniu warunków zasad), ponieważ można filtrować te ustawienia podczas zarządzania zasadami i wyświetlania alertów w portalu Microsoft Defender. Można na przykład wyświetlać alerty zgodne z warunkami z tej samej kategorii lub wyświetlać alerty o tym samym poziomie ważności.
Aby wyświetlić i utworzyć zasady alertów, w portalu Microsoft Defender w obszarze współpracy Email & wybierz pozycję Zasady & reguły>alertów. Alternatywnie możesz przejść bezpośrednio do https://security.microsoft.com/alertpolicies.
Uwaga
Musisz mieć przypisaną rolę View-Only Zarządzanie alertami, aby wyświetlić zasady alertów w portalu Microsoft Defender. Musisz mieć przypisaną rolę Zarządzaj alertami, aby tworzyć i edytować zasady alertów. Aby uzyskać więcej informacji, zobacz Map Microsoft Defender XDR Uprawnienia kontroli dostępu opartej na rolach (RBAC).
Zasady alertów składają się z następujących ustawień i warunków.
Działanie, które śledzi alert. Tworzysz zasady do śledzenia działania lub w niektórych przypadkach kilka powiązanych działań, takich jak udostępnianie pliku użytkownikowi zewnętrznemu przez udostępnienie go, przypisanie uprawnień dostępu lub utworzenie linku anonimowego. Gdy użytkownik wykonuje działanie zdefiniowane przez zasady, alert jest wyzwalany na podstawie ustawień progu alertu.
Uwaga
Działania, które można śledzić, zależą od planu organizacji Office 365 Enterprise lub Office 365 us government. Ogólnie rzecz biorąc, działania związane z kampaniami złośliwego oprogramowania i atakami wyłudzania informacji wymagają subskrypcji E5/G5 lub subskrypcji E1/F1/G1 lub E3/F3/G3 z subskrypcją dodatku Ochrona usługi Office 365 w usłudze Defender Plan 2.
Warunki działania. W przypadku większości działań można zdefiniować dodatkowe warunki, które muszą zostać spełnione, aby wyzwolić alert. Typowe warunki obejmują adresy IP (dzięki czemu alert jest wyzwalany, gdy użytkownik wykonuje działanie na komputerze z określonym adresem IP lub w zakresie adresów IP), czy alert jest wyzwalany, jeśli określony użytkownik lub użytkownicy wykonują to działanie, oraz czy działanie jest wykonywane na określonej nazwie pliku lub adresie URL. Można również skonfigurować warunek, który wyzwala alert, gdy działanie jest wykonywane przez dowolnego użytkownika w organizacji. Dostępne warunki zależą od wybranego działania.
Tagi użytkowników można również zdefiniować jako warunek zasad alertu. Ta definicja powoduje wyzwolenie alertów przez zasady w celu uwzględnienia kontekstu użytkownika, na który ma to wpływ. Możesz użyć systemowych tagów użytkowników lub niestandardowych tagów użytkowników. Aby uzyskać więcej informacji, zobacz Tagi użytkowników w Ochrona usługi Office 365 w usłudze Microsoft Defender.
Po wyzwoleniu alertu. Można skonfigurować ustawienie określające, jak często działanie może wystąpić przed wyzwoleniem alertu. Dzięki temu można skonfigurować zasady w celu wygenerowania alertu za każdym razem, gdy działanie spełnia warunki zasad, gdy określony próg zostanie przekroczony lub gdy wystąpienie działania, które śledzi alert, staje się nietypowe dla Twojej organizacji.
Jeśli wybierzesz ustawienie na podstawie nietypowego działania, firma Microsoft ustanowi wartość punktu odniesienia, która definiuje normalną częstotliwość dla wybranego działania. Ustalenie tego punktu odniesienia trwa do siedmiu dni, podczas którego alerty nie są generowane. Po ustanowieniu punktu odniesienia alert jest wyzwalany, gdy częstotliwość działania śledzonego przez zasady alertów znacznie przekracza wartość punktu odniesienia. W przypadku działań związanych z inspekcją (takich jak działania dotyczące plików i folderów) można ustanowić punkt odniesienia na podstawie jednego użytkownika lub wszystkich użytkowników w organizacji; W przypadku działań związanych ze złośliwym oprogramowaniem można ustanowić punkt odniesienia w oparciu o pojedynczą rodzinę złośliwego oprogramowania, jednego adresata lub wszystkie komunikaty w organizacji.
Uwaga
Możliwość konfigurowania zasad alertów na podstawie progu lub na podstawie nietypowej aktywności wymaga subskrypcji E5/G5 lub subskrypcji E1/F1/G1 lub E3/F3/G3 z subskrypcją Ochrona usługi Office 365 w usłudze Microsoft Defender P2, Zgodność platformy Microsoft 365 E5lub Subskrypcja dodatku Microsoft 365 eDiscovery and Audit. Organizacje z subskrypcją E1/F1/G1 i E3/F3/G3 mogą tworzyć zasady alertów tylko wtedy, gdy alert jest wyzwalany za każdym razem, gdy występuje działanie.
Kategoria alertu. Aby ułatwić śledzenie alertów generowanych przez zasady i zarządzanie nimi, można przypisać jedną z następujących kategorii do zasad.
- Ochrona przed utratą danych
- Zarządzanie informacjami
- Przepływ poczty
- Uprawnienia
- Zarządzanie zagrożeniami
- Inni
Gdy wystąpi działanie zgodne z warunkami zasad alertów, wygenerowany alert zostanie oznaczony kategorią zdefiniowaną w tym ustawieniu. Umożliwia to śledzenie alertów o tej samej kategorii i zarządzanie nimi na stronie Alerty w portalu Microsoft Defender, ponieważ można sortować i filtrować alerty na podstawie kategorii.
Ważność alertu. Podobnie jak w przypadku kategorii alertów należy przypisać atrybut ważności (Niski, Średni, Wysoki lub Informacyjny) do zasad alertów. Podobnie jak w przypadku kategorii alertów, gdy wystąpi działanie zgodne z warunkami zasad alertu, wygenerowany alert zostanie oznaczony tym samym poziomem ważności ustawionym dla zasad alertów. Ponownie umożliwia to śledzenie alertów o tej samej ważności i zarządzanie nimi na stronie Alerty . Można na przykład filtrować listę alertów, aby były wyświetlane tylko alerty o wysokiej ważności.
Porada
Podczas konfigurowania zasad alertów rozważ przypisanie większej ważności do działań, które mogą powodować poważne negatywne konsekwencje, takie jak wykrywanie złośliwego oprogramowania po dostarczeniu do użytkowników, wyświetlanie poufnych lub niejawnych danych, udostępnianie danych użytkownikom zewnętrznym lub inne działania, które mogą powodować utratę danych lub zagrożenia bezpieczeństwa. Może to pomóc w ustalaniu priorytetów alertów i akcji wykonywanych w celu zbadania i rozwiązania podstawowych przyczyn.
Zautomatyzowane badania. Niektóre alerty wyzwalają zautomatyzowane badania w celu zidentyfikowania potencjalnych zagrożeń i zagrożeń, które wymagają korygowania lub ograniczenia ryzyka. W większości przypadków te alerty są wyzwalane przez wykrywanie złośliwych wiadomości e-mail lub działań, ale w niektórych przypadkach alerty są wyzwalane przez akcje administratora w portalu zabezpieczeń. Aby uzyskać więcej informacji na temat zautomatyzowanych badań, zobacz Zautomatyzowane badanie i reagowanie (AIR) w Ochrona usługi Office 365 w usłudze Microsoft Defender.
Email powiadomień. Zasady można skonfigurować tak, aby powiadomienia e-mail były wysyłane (lub nie wysyłane) do listy użytkowników po wyzwoleniu alertu. Możesz również ustawić dzienny limit powiadomień, aby po osiągnięciu maksymalnej liczby powiadomień nie wysyłano więcej powiadomień dotyczących alertu w tym dniu. Oprócz powiadomień e-mail ty lub inni administratorzy mogą wyświetlać alerty wyzwalane przez zasady na stronie Alerty . Rozważ włączenie powiadomień e-mail dla zasad alertów określonej kategorii lub o wyższym ustawieniu ważności.
Domyślne zasady alertów
Firma Microsoft udostępnia wbudowane zasady alertów, które ułatwiają identyfikowanie zagrożeń związanych z uprawnieniami administratora programu Exchange, złośliwym oprogramowaniem, potencjalnymi zagrożeniami zewnętrznymi i wewnętrznymi oraz zagrożeniami związanymi z ładem informacyjnym. Na stronie Zasady alertów nazwy tych wbudowanych zasad są pogrubione, a typ zasad jest definiowany jako System. Te zasady są domyślnie włączone. Możesz wyłączyć te zasady (lub ponownie włączyć), skonfigurować listę adresatów do wysyłania powiadomień e-mail i ustawić dzienny limit powiadomień. Nie można edytować innych ustawień tych zasad.
Poniższe tabele zawierają listę i opisują dostępne domyślne zasady alertów oraz kategorię, do których są przypisane poszczególne zasady. Kategoria służy do określania alertów, które użytkownik może wyświetlić na stronie Alerty. Aby uzyskać więcej informacji, zobacz Uprawnienia RBAC wymagane do wyświetlania alertów.
Tabele wskazują również plan Office 365 Enterprise i Office 365 us government wymagany dla każdego z nich. Niektóre domyślne zasady alertów są dostępne, jeśli organizacja ma odpowiednią subskrypcję dodatku oprócz subskrypcji E1/F1/G1 lub E3/F3/G3.
Uwaga
Nietypowe działanie monitorowane przez niektóre wbudowane zasady opiera się na tym samym procesie co ustawienie progu alertu, które zostało wcześniej opisane. Firma Microsoft ustanawia wartość punktu odniesienia, która definiuje normalną częstotliwość dla "zwykłych" działań. Alerty są następnie wyzwalane, gdy częstotliwość działań śledzonych przez wbudowane zasady alertów znacznie przekracza wartość punktu odniesienia.
Zasadyalertia
Uwaga
Zasady alertów w tej sekcji są w trakcie wycofywania na podstawie opinii klientów jako wyników fałszywie dodatnich. Aby zachować funkcjonalność tych zasad alertów, można utworzyć niestandardowe zasady alertów z tymi samymi ustawieniami.
| Name (Nazwa) | Opis | Waga | Zautomatyzowane badanie | Subskrypcja |
|---|---|---|---|---|
| Nietypowa ilość zewnętrznego udostępniania plików | Generuje alert, gdy niezwykle duża liczba plików w programie SharePoint lub OneDrive jest udostępniana użytkownikom spoza organizacji. | Średnie | Nie | Subskrypcja dodatku E5/G5 lub Ochrona usługi Office 365 w usłudze Defender Plan 2. |
Zasady alertów przepływu poczty
| Name (Nazwa) | Opis | Waga | Zautomatyzowane badanie | Wymagana subskrypcja |
|---|---|---|---|---|
| Komunikaty zostały opóźnione | Generuje alert, gdy firma Microsoft nie może dostarczać wiadomości e-mail do organizacji lokalnej lub serwera partnerskiego przy użyciu łącznika. W takim przypadku komunikat jest umieszczany w kolejce w Office 365. Ten alert jest wyzwalany, gdy w kolejce znajduje się co najmniej 2000 komunikatów, które znajdują się w kolejce przez ponad godzinę. | High (Wysoki) | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Wykryto burzę odpowiedz wszystkim | Ten alert jest wyzwalany, gdy zostanie wykryta burza odpowiadająca wszystkim, a co najmniej jedna odpowiedź na wątek poczty została zablokowana. Aby uzyskać więcej informacji, zobacz raport Odpowiedz wszystkim na ochronę przed burzą. | High (Wysoki) | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
Zasady alertów uprawnień
| Name (Nazwa) | Opis | Waga | Zautomatyzowane badanie | Wymagana subskrypcja |
|---|---|---|---|---|
| Podniesienie uprawnień administratora programu Exchange | Generuje alert, gdy ktoś ma przypisane uprawnienia administracyjne w organizacji Exchange Online. Na przykład po dodaniu użytkownika do grupy ról Zarządzanie organizacją w Exchange Online. | Niski | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
Zasady alertów zarządzania zagrożeniami
| Name (Nazwa) | Opis | Waga | Zautomatyzowane badanie | Wymagana subskrypcja |
|---|---|---|---|---|
| Wykryto potencjalnie złośliwe kliknięcie adresu URL | Generuje alert, gdy użytkownik chroniony bezpiecznymi linkami w organizacji kliknie złośliwy link. Ten alert jest generowany, gdy użytkownik kliknie link, a to zdarzenie wyzwoli identyfikację zmiany werdyktu adresu URL przez Ochrona usługi Office 365 w usłudze Microsoft Defender. Sprawdza również wszelkie kliknięcia w ciągu ostatnich 48 godzin od czasu zidentyfikowania złośliwego adresu URL i generuje alerty dotyczące kliknięć, które wystąpiły w 48-godzinnym przedziale czasu dla tego złośliwego linku. Ten alert automatycznie wyzwala automatyczne badanie i reagowanie w Ochrona usługi Office 365 w usłudze Defender planie 2. Aby uzyskać więcej informacji na temat zdarzeń wyzwalających ten alert, zobacz Konfigurowanie zasad bezpiecznych łączy. | High (Wysoki) | Tak | Subskrypcja dodatku E5/G5 lub Ochrona usługi Office 365 w usłudze Defender Plan 2. |
| Pozycja Lista zablokowanych zezwalania na dzierżawę została znaleziona jako złośliwa | Generuje alert, gdy firma Microsoft ustali, że przesłanie przez administratora odpowiadające wpisowi zezwalania na liście dozwolonych/zablokowanych dzierżaw jest uznane za złośliwe. To zdarzenie jest wyzwalane natychmiast po przeanalizowaniu przesłania przez firmę Microsoft. Pozycja zezwalania będzie nadal istnieć przez określony czas. Aby uzyskać więcej informacji na temat zdarzeń wyzwalających ten alert, zobacz Zarządzanie listą Zezwalanie/blokowanie dzierżawy. |
Informacyjny | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Użytkownik kliknął do potencjalnie złośliwego adresu URL | Generuje alert, gdy użytkownik chroniony bezpiecznymi linkami w organizacji kliknie złośliwy link. To zdarzenie jest wyzwalane, gdy użytkownik kliknie adres URL (który jest identyfikowany jako złośliwy lub oczekuje na walidację) i zastępuje stronę ostrzeżenia Bezpieczne linki (na podstawie zasad bezpiecznego linku platformy Microsoft 365 dla firm w organizacji), aby przejść do hostowanej strony/zawartości adresu URL. Ten alert automatycznie wyzwala automatyczne badanie i reagowanie w Ochrona usługi Office 365 w usłudze Defender planie 2. Aby uzyskać więcej informacji na temat zdarzeń wyzwalających ten alert, zobacz Konfigurowanie zasad bezpiecznych łączy. | High (Wysoki) | Tak | Subskrypcja dodatku E5/G5 lub Ochrona usługi Office 365 w usłudze Defender Plan 2. |
| Administracja wynik przesyłania został ukończony | Generuje alert po zakończeniu ponownego skanowania przesłanej jednostki przez Administracja Submission. Alert jest wyzwalany za każdym razem, gdy wynik ponownego skanowania jest renderowany z Administracja Przesyłania. Te alerty mają przypominać o przeglądaniu wyników poprzednich przesłanych danych, przesyłaniu komunikatów zgłoszonych przez użytkowników w celu uzyskania najnowszych testów zasad i ponownego skanowania werdyktów oraz określeniu, czy zasady filtrowania w organizacji mają zamierzony wpływ. |
Informacyjny | Nie | E1/F1, E3/F3 lub E5 |
| Administracja wyzwalane ręczne badanie wiadomości e-mail | Generuje alert, gdy administrator wyzwala ręczne badanie wiadomości e-mail z Eksploratora zagrożeń. Aby uzyskać więcej informacji, zobacz Przykład: Administrator zabezpieczeń wyzwala badanie z Eksploratora zagrożeń. Ten alert powiadamia organizację o rozpoczęciu badania. Alert zawiera informacje o tym, kto go wyzwolił, i zawiera link do badania. |
Informacyjny | Tak | dodatek Microsoft 365 Business Premium, Ochrona usługi Office 365 w usłudze Defender plan 1, dodatek E5/G5 lub Ochrona usługi Office 365 w usłudze Defender plan 2. |
| Administracja wyzwolone badanie naruszenia zabezpieczeń użytkownika | Generuje alert, gdy administrator wyzwala ręczne badanie naruszenia zabezpieczeń użytkownika nadawcy lub odbiorcy wiadomości e-mail z Eksploratora zagrożeń. Aby uzyskać więcej informacji, zobacz Przykład: Administrator zabezpieczeń wyzwala badanie z Eksploratora zagrożeń, które pokazuje powiązane ręczne wyzwalanie badania w wiadomości e-mail. Ten alert powiadamia organizację o rozpoczęciu badania naruszenia zabezpieczeń użytkownika. Alert zawiera informacje o tym, kto go wyzwolił, i zawiera link do badania. |
Średnie | Tak | dodatek Microsoft 365 Business Premium, Ochrona usługi Office 365 w usłudze Defender plan 1, dodatek E5/G5 lub Ochrona usługi Office 365 w usłudze Defender plan 2. |
| Tworzenie reguły przekazywania/przekierowania | Generuje alert, gdy ktoś w organizacji utworzy regułę skrzynki odbiorczej dla swojej skrzynki pocztowej, która przekazuje lub przekierowuje wiadomości na inne konto e-mail. Te zasady śledzą tylko reguły skrzynki odbiorczej tworzone przy użyciu programu Outlook w sieci Web (wcześniej znanego jako Outlook Web App) lub Exchange Online programu PowerShell. Aby uzyskać więcej informacji na temat korzystania z reguł skrzynki odbiorczej do przesyłania dalej i przekierowywania wiadomości e-mail w Outlook w sieci Web, zobacz Używanie reguł w Outlook w sieci Web do automatycznego przekazywania wiadomości do innego konta. | Informacyjny | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Rozpoczęto lub wyeksportowano wyszukiwanie zbierania elektronicznych materiałów dowodowych | Generuje alert, gdy ktoś używa narzędzia do wyszukiwania zawartości w portalu Microsoft Purview. Alert jest wyzwalany po wykonaniu następujących działań wyszukiwania zawartości:
Alerty są również wyzwalane, gdy poprzednie działania wyszukiwania zawartości są wykonywane w skojarzeniu ze sprawą zbierania elektronicznych materiałów dowodowych. Aby uzyskać więcej informacji na temat działań wyszukiwania zawartości, zobacz Wyszukiwanie działań zbierania elektronicznych materiałów dowodowych w dzienniku inspekcji. |
Informacyjny | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Email komunikatów zawierających złośliwy plik usunięty po dostarczeniu | Generuje alert, gdy wszystkie komunikaty zawierające złośliwy plik są dostarczane do skrzynek pocztowych w organizacji. Jeśli to zdarzenie wystąpi, firma Microsoft usunie zainfekowane wiadomości z Exchange Online skrzynek pocztowych przy użyciu automatycznego przeczyszczania zerogodzinnego. Te zasady automatycznie wyzwalają automatyczne badanie i reagowanie w Office 365. Aby uzyskać więcej informacji na temat tych nowych zasad, zobacz Zasady alertów. | Informacyjny | Tak | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Email komunikaty zawierające złośliwy adres URL usunięte po dostarczeniu | Generuje alert, gdy wszystkie wiadomości zawierające złośliwy adres URL są dostarczane do skrzynek pocztowych w organizacji. Jeśli to zdarzenie wystąpi, firma Microsoft usunie zainfekowane wiadomości z Exchange Online skrzynek pocztowych przy użyciu automatycznego przeczyszczania zerogodzinnego. Te zasady automatycznie wyzwalają automatyczne badanie i reagowanie w Office 365. Aby uzyskać więcej informacji na temat tych nowych zasad, zobacz Zasady alertów. | Informacyjny | Tak | dodatek Microsoft 365 Business Premium, Ochrona usługi Office 365 w usłudze Defender plan 1, dodatek E5/G5 lub Ochrona usługi Office 365 w usłudze Defender plan 2. |
| Email komunikaty zawierające złośliwe oprogramowanie usunięte po dostarczeniu | Uwaga: te zasady alertów zostały zastąpione przez komunikaty Email zawierające złośliwy plik usunięty po dostarczeniu. Te zasady alertów zostaną ostatecznie usunięte, dlatego zalecamy wyłączenie ich i użycie Email komunikatów zawierających złośliwy plik usunięty po dostarczeniu. Aby uzyskać więcej informacji, zobacz Zasady alertów. | Informacyjny | Tak | Subskrypcja dodatku E5/G5 lub Ochrona usługi Office 365 w usłudze Defender Plan 2. |
| Email wiadomości zawierające adresy URL języka phish usunięte po dostarczeniu | Uwaga: te zasady alertów zostały zastąpione przez Email komunikatów zawierających złośliwy adres URL usunięty po dostarczeniu. Te zasady alertów zostaną ostatecznie usunięte, dlatego zalecamy wyłączenie ich i użycie Email komunikatów zawierających złośliwy adres URL usuniętych po dostarczeniu. Aby uzyskać więcej informacji, zobacz Zasady alertów. | Informacyjny | Tak | dodatek Microsoft 365 Business Premium, Ochrona usługi Office 365 w usłudze Defender plan 1, dodatek E5/G5 lub Ochrona usługi Office 365 w usłudze Defender plan 2. |
| Email komunikatów z kampanii usuniętych po dostarczeniu | Generuje alert, gdy wszystkie wiadomości skojarzone z kampanią są dostarczane do skrzynek pocztowych w organizacji. Jeśli to zdarzenie wystąpi, firma Microsoft usunie zainfekowane wiadomości z Exchange Online skrzynek pocztowych przy użyciu automatycznego przeczyszczania zerogodzinnego. Te zasady automatycznie wyzwalają automatyczne badanie i reagowanie w Office 365. Aby uzyskać więcej informacji na temat tych nowych zasad, zobacz Zasady alertów. | Informacyjny | Tak | dodatek Microsoft 365 Business Premium, Ochrona usługi Office 365 w usłudze Defender plan 1, dodatek E5/G5 lub Ochrona usługi Office 365 w usłudze Defender plan 2. |
| Email komunikaty usunięte po dostarczeniu | Generuje alert, gdy wszystkie złośliwe wiadomości, które nie zawierają złośliwej jednostki (adresu URL lub pliku) lub skojarzone z kampanią, są dostarczane do skrzynek pocztowych w organizacji. Jeśli to zdarzenie wystąpi, firma Microsoft usunie zainfekowane wiadomości z Exchange Online skrzynek pocztowych przy użyciu automatycznego przeczyszczania zerogodzinnego. Te zasady automatycznie wyzwalają automatyczne badanie i reagowanie w Office 365. Aby uzyskać więcej informacji na temat tych nowych zasad, zobacz Zasady alertów. | Informacyjny | Tak | dodatek Microsoft 365 Business Premium, Ochrona usługi Office 365 w usłudze Defender plan 1, dodatek E5/G5 lub Ochrona usługi Office 365 w usłudze Defender plan 2. |
| Email zgłaszane przez użytkownika jako śmieci | Generuje alert, gdy użytkownicy w organizacji zgłaszają komunikaty jako wiadomości-śmieci przy użyciu wbudowanego przycisku Raport w programie Outlook lub dodatku Komunikat raportu. Aby uzyskać więcej informacji na temat dodatków, zobacz Korzystanie z dodatku Komunikat raportu. | Niski | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Email zgłaszane przez użytkownika jako złośliwe oprogramowanie lub phish | Generuje alert, gdy użytkownicy w organizacji zgłaszają komunikaty jako wyłudzanie informacji przy użyciu wbudowanego przycisku Raport w programie Outlook lub dodatków Komunikat raportu lub Wyłudzanie informacji o raportach. Aby uzyskać więcej informacji na temat dodatków, zobacz Korzystanie z dodatku Komunikat raportu. W przypadku klientów Ochrona usługi Office 365 w usłudze Defender plan 2, E5 i G5 ten alert automatycznie wyzwala automatyczne badanie i reagowanie w planie Ochrona usługi Office 365 w usłudze Defender 2. | Niski | Tak | dodatek Microsoft 365 Business Premium, Ochrona usługi Office 365 w usłudze Defender plan 1, dodatek E5/G5 lub Ochrona usługi Office 365 w usłudze Defender plan 2. |
| Email zgłaszane przez użytkownika jako nie-śmieci | Generuje alert, gdy użytkownicy w organizacji zgłaszają komunikaty jako niezłączoną do wbudowanego przycisku Raport w programie Outlook lub dodatku Komunikat raportu. Aby uzyskać więcej informacji na temat dodatków, zobacz Korzystanie z dodatku Komunikat raportu. | Niski | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| przekroczono limit wysyłania Email | Generuje alert, gdy ktoś w organizacji wysłał więcej wiadomości e-mail niż jest to dozwolone przez zasady dotyczące spamu wychodzącego. Zazwyczaj oznacza to, że użytkownik wysyła zbyt dużo wiadomości e-mail lub że konto może zostać naruszone. Jeśli otrzymasz alert wygenerowany przez te zasady alertów, warto sprawdzić, czy konto użytkownika zostało naruszone. | Średnie | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Nie można przekazać dokładnego dopasowania danych | Generuje alert, gdy użytkownik otrzyma następujący błąd podczas przekazywania dokładnego typu informacji poufnych na podstawie dopasowania danych: Nie można przekazać nowych informacji poufnych. Spróbuj ponownie później. | High (Wysoki) | Nie | E5/G5. |
| Formularz zablokowany z powodu potencjalnej próby wyłudzania informacji | Generuje alert, gdy ktoś w organizacji ma ograniczone możliwości udostępniania formularzy i zbierania odpowiedzi przy użyciu Microsoft Forms z powodu wykrytego powtarzającego się zachowania prób wyłudzania informacji. | High (Wysoki) | Nie | E1, E3/F3 lub E5 |
| Formularz oflagowany i potwierdzony jako wyłudzanie informacji | Generuje alert, gdy formularz utworzony w Microsoft Forms z twojej organizacji zostanie zidentyfikowany jako potencjalny wyłudzanie informacji za pośrednictwem usługi Report Abuse i potwierdzony jako wyłudzanie informacji przez firmę Microsoft. | High (Wysoki) | Nie | E1, E3/F3 lub E5 |
| Złośliwe oprogramowanie nie jest zamapowane, ponieważ zap jest wyłączony | Generuje alert, gdy firma Microsoft wykryje dostarczenie wiadomości o złośliwym oprogramowaniu do skrzynki pocztowej, ponieważ Zero-Hour automatyczne przeczyszczanie wiadomości Phish jest wyłączone. | Informacyjny | Nie | Subskrypcja dodatku E5/G5 lub Ochrona usługi Office 365 w usłudze Defender Plan 2. |
| Komunikaty zawierające złośliwą jednostkę nie zostały usunięte po dostarczeniu | Generuje alert, gdy dowolna wiadomość zawierająca złośliwą zawartość (plik, adres URL, kampania, brak jednostki) jest dostarczana do skrzynek pocztowych w organizacji. Jeśli to zdarzenie wystąpi, firma Microsoft próbowała usunąć zainfekowane wiadomości z Exchange Online skrzynek pocztowych przy użyciu automatycznego przeczyszczania zerogodzin, ale wiadomość nie została usunięta z powodu błędu. Zalecane jest dodatkowe badanie. Te zasady automatycznie wyzwalają automatyczne badanie i reagowanie w Office 365. | Średnie | Tak | dodatek Microsoft 365 Business Premium, Ochrona usługi Office 365 w usłudze Defender plan 1, dodatek E5/G5 lub Ochrona usługi Office 365 w usłudze Defender plan 2. |
| Ukończono symulację automatycznego etykietowania programu MIP | Generuje alert po zakończeniudziałania zasad automatycznego etykietowania po stronie usługi w trybie symulacji . | Niski | Nie | E5/G5. |
| Phish dostarczony z powodu zastąpienia ETR1 | Generuje alert, gdy firma Microsoft wykryje regułę transportu programu Exchange (znaną również jako reguła przepływu poczty), która umożliwia dostarczanie wiadomości wyłudzającej informacje o wysokim poziomie zaufania do skrzynki pocztowej. Aby uzyskać więcej informacji na temat reguł transportu programu Exchange (reguł przepływu poczty), zobacz Reguły przepływu poczty (reguły transportu) w Exchange Online. | Informacyjny | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Phish dostarczane z powodu zasad zezwalania na adres IP1 | Generuje alert, gdy firma Microsoft wykryje zasady zezwalania na adres IP, które umożliwiają dostarczanie wiadomości wyłudzającej informacje o wysokim poziomie zaufania do skrzynki pocztowej. Aby uzyskać więcej informacji na temat zasad zezwalania na adres IP (filtrowanie połączeń), zobacz Konfigurowanie domyślnych zasad filtrowania połączeń — Office 365. | Informacyjny | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Phish nie zapped, ponieważ ZAP jest wyłączony1 | Generuje alert, gdy firma Microsoft wykryje dostarczenie wiadomości wyłudzającej informacje o wysokim poziomie zaufania do skrzynki pocztowej, ponieważ Zero-Hour automatyczne przeczyszczanie wiadomości Phish jest wyłączone. | Informacyjny | Nie | Subskrypcja dodatku E5/G5 lub Ochrona usługi Office 365 w usłudze Defender Plan 2. |
| Potencjalna działalność państwa narodowego | Centrum analizy zagrożeń firmy Microsoft wykryło próbę naruszenia zabezpieczeń kont z dzierżawy. | High (Wysoki) | Nie | dodatek Microsoft 365 Business Premium, Ochrona usługi Office 365 w usłudze Defender plan 1, dodatek E5/G5 lub Ochrona usługi Office 365 w usłudze Defender plan 2. |
| Ukończono symulację zasad usługi Purview | Generuje alert powiadamiający administratorów po zakończeniu symulacji dla wszystkich zasad usługi Purview, które obsługują tryb symulacji. | Niski | Nie | E5/G5 |
| Akcja korygowania podjęta przez administratora w przypadku wiadomości e-mail lub adresu URL lub nadawcy |
Uwaga: te zasady alertów zostały zastąpione przez akcję administracyjną przesłaną przez administratora. Te zasady alertów zostaną ostatecznie wycofane, dlatego zalecamy wyłączenie ich i użycie akcji administracyjnej przesłanej przez administratora . Ten alert jest wyzwalany, gdy administrator podejmuje akcję korygowania dla wybranej jednostki |
Informacyjny | Tak | dodatek Microsoft 365 Business Premium, Ochrona usługi Office 365 w usłudze Defender plan 1, dodatek E5/G5 lub Ochrona usługi Office 365 w usłudze Defender plan 2. |
| Usunięto wpis na liście dozwolonych/zablokowanych dzierżaw | Generuje alert, gdy wpis dozwolony na liście dozwolonych/zablokowanych dzierżawy jest poznany przez filtrowanie systemu i usuwanie go. To zdarzenie jest wyzwalane po usunięciu wpisu zezwalania dla domeny, którego dotyczy problem, adresu e-mail, pliku lub adresu URL (jednostki). Nie potrzebujesz już wpisu dozwolonego, którego dotyczy problem. Email komunikaty zawierające jednostki, których dotyczy problem, są dostarczane do skrzynki odbiorczej, jeśli nic innego w komunikacie nie zostanie uznane za nieprawidłowe. Adresy URL i pliki będą dozwolone w momencie kliknięcia. Aby uzyskać więcej informacji na temat zdarzeń wyzwalających ten alert, zobacz Zarządzanie listą Zezwalanie/blokowanie dzierżawy. |
Informacyjny | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Ukończono symulację zasad automatycznego etykietowania przechowywania | Generuje alert po zakończeniu symulacji zasad automatycznego etykietowania przechowywania. | Niski | Nie | E5/G5 |
| Pomyślne dokładne przekazywanie danych | Generuje alert po pomyślnym przekazaniu przez użytkownika dokładnego typu informacji poufnych na podstawie dopasowania danych. | Niski | Nie | E5/G5 |
| Podejrzane działanie łącznika | Generuje alert po wykryciu podejrzanego działania na łączniku przychodzącym w organizacji. Poczta jest zablokowana przy użyciu łącznika ruchu przychodzącego. Administrator otrzymuje powiadomienie e-mail i alert. Ten alert zawiera wskazówki dotyczące sposobu badania, przywracania zmian i odblokowywania łącznika z ograniczeniami. Aby dowiedzieć się, jak reagować na ten alert, zobacz Reagowanie na naruszonym łącznikiem. | High (Wysoki) | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Podejrzane działania w zakresie przesyłania dalej wiadomości e-mail | Generuje alert, gdy ktoś w organizacji automatycznie wysyła wiadomość e-mail na podejrzane konto zewnętrzne. Jest to wczesne ostrzeżenie dotyczące zachowania, które może wskazywać, że konto zostało naruszone, ale nie jest wystarczająco poważne, aby ograniczyć użytkownika. Chociaż jest to rzadkie, alert wygenerowany przez te zasady może być anomalią. Dobrym pomysłem jest sprawdzenie, czy konto użytkownika zostało naruszone. | High (Wysoki) | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Wykryto podejrzane wzorce wysyłania wiadomości e-mail | Generuje alert, gdy ktoś w organizacji wysłał podejrzaną wiadomość e-mail i istnieje ryzyko ograniczenia wysyłania wiadomości e-mail. Jest to wczesne ostrzeżenie dotyczące zachowania, które może wskazywać, że konto zostało naruszone, ale nie jest wystarczająco poważne, aby ograniczyć użytkownika. Chociaż jest to rzadkie, alert wygenerowany przez te zasady może być anomalią. Warto jednak sprawdzić, czy konto użytkownika zostało naruszone. | Średnie | Tak | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Zaobserwowano podejrzane wzorce wysyłania dzierżawy | Generuje alert, gdy w organizacji zaobserwowano podejrzane wzorce wysyłania, co może prowadzić do zablokowania organizacji wysyłania wiadomości e-mail. Zbadaj wszelkie potencjalnie naruszone konta użytkowników i administratorów, nowe łączniki lub otwarte przekaźniki, aby uniknąć przekroczenia progów przez dzierżawę. Aby uzyskać więcej informacji o tym, dlaczego organizacje są blokowane, zobacz Rozwiązywanie problemów z dostarczaniem wiadomości e-mail dla kodu błędu 5.7.7xx w Exchange Online. | High (Wysoki) | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Komunikat usługi Teams zgłoszony przez użytkownika jako zagrożenie bezpieczeństwa | Ten alert jest wyzwalany, gdy użytkownicy zgłaszają komunikat usługi Teams jako zagrożenie bezpieczeństwa. | Niski | Nie | Dodatek E5/G5 lub Ochrona usługi Office 365 w usłudze Defender. |
| Pozycja Zezwalaj na dzierżawę/Lista zablokowanych wkrótce wygaśnie | Generuje alert, gdy wpis dozwolony lub zablokowany w wpisie Lista dozwolonych/zablokowanych dzierżawy ma zostać usunięty. To zdarzenie jest wyzwalane siedem dni przed datą wygaśnięcia, która jest oparta na tym, kiedy wpis został utworzony lub ostatnio zaktualizowany. W przypadku wpisów dozwolonych i wpisów blokowych można przedłużyć datę wygaśnięcia. Aby uzyskać więcej informacji na temat zdarzeń wyzwalających ten alert, zobacz Zarządzanie listą Zezwalanie/blokowanie dzierżawy. |
Informacyjny | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Dzierżawa ograniczona do wysyłania wiadomości e-mail | Generuje alert, gdy większość ruchu poczty e-mail z organizacji jest wykrywana jako podejrzana, a firma Microsoft ograniczyła organizacji możliwość wysyłania wiadomości e-mail. Zbadaj wszelkie potencjalnie naruszone konta użytkowników i administratorów, nowe łączniki lub otwarte przekaźniki, a następnie skontaktuj się z pomoc techniczna firmy Microsoft, aby odblokować organizację. Aby uzyskać więcej informacji o tym, dlaczego organizacje są blokowane, zobacz Rozwiązywanie problemów z dostarczaniem wiadomości e-mail dla kodu błędu 5.7.7xx w Exchange Online. | High (Wysoki) | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Dzierżawa nie może wysyłać nieobsadzone wiadomości e-mail | Generuje alert w przypadku wysyłania zbyt dużej ilości wiadomości e-mail z niezarejestrowanych domen (nazywanych również domenami nieobjętymi aprowizowaniem ). Office 365 zezwala na rozsądną ilość wiadomości e-mail z niezarejestrowanych domen, ale należy skonfigurować każdą domenę używaną do wysyłania wiadomości e-mail jako akceptowaną domenę. Ten alert wskazuje, że wszyscy użytkownicy w organizacji nie mogą już wysyłać wiadomości e-mail. Aby uzyskać więcej informacji o tym, dlaczego organizacje są blokowane, zobacz Rozwiązywanie problemów z dostarczaniem wiadomości e-mail dla kodu błędu 5.7.7xx w Exchange Online. | High (Wysoki) | Nie | E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Użytkownik zażądał wydania komunikatu poddanej kwarantannie | Generuje alert, gdy użytkownik żąda wydania komunikatu poddanego kwarantannie. Aby zażądać wydania komunikatów poddanych kwarantannie, uprawnienie Zezwalaj adresatom na żądanie zwolnienia komunikatu z kwarantanny (PermissionToRequestRelease) jest wymagane w zasadach kwarantanny (na przykład z grupy uprawnień wstępnie ustawionych ograniczony dostęp ). Aby uzyskać więcej informacji, zobacz Zezwalaj adresatom na żądanie zwolnienia komunikatu z uprawnienia kwarantanny. | Informacyjny | Nie | Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Użytkownik nie może wysyłać wiadomości e-mail | Generuje alert, gdy ktoś w organizacji nie może wysyłać poczty wychodzącej. Ten alert zazwyczaj wskazuje konto z naruszonymi zabezpieczeniami, na którym użytkownik znajduje się na stronie Jednostki z ograniczeniami pod adresem https://security.microsoft.com/restrictedentities. Aby uzyskać więcej informacji na temat użytkowników z ograniczeniami, zobacz Usuwanie zablokowanych użytkowników ze strony Jednostki z ograniczeniami. | High (Wysoki) | Tak | Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 lub E5/G5 |
| Użytkownik nie może udostępniać formularzy i zbierać odpowiedzi | Generuje alert, gdy ktoś w organizacji ma ograniczone możliwości udostępniania formularzy i zbierania odpowiedzi przy użyciu Microsoft Forms z powodu wykrytego powtarzającego się zachowania prób wyłudzania informacji. | High (Wysoki) | Nie | E1, E3/F3 lub E5 |
1 Te zasady alertów są częścią funkcji zastępczej dla języka Phish dostarczonego z powodu zastąpienia dzierżawy lub użytkownika oraz phish personifikacji użytkownika dostarczanej do zasad alertów skrzynki odbiorczej/folderu , które zostały usunięte na podstawie opinii użytkowników. Aby uzyskać więcej informacji na temat ochrony przed wyłudzaniem informacji w Office 365, zobacz Zasady ochrony przed wyłudzaniem informacji.
Wyświetlanie alertów
Gdy działanie wykonywane przez użytkowników w organizacji jest zgodne z ustawieniami zasad alertów, alert jest generowany i wyświetlany na stronie Alerty w portalu Microsoft Defender. W zależności od ustawień zasad alertów powiadomienie e-mail jest również wysyłane do listy określonych użytkowników po wyzwoleniu alertu. Dla każdego alertu pulpit nawigacyjny na stronie Alerty zawiera nazwę odpowiednich zasad alertów, ważność i kategorię alertu (zdefiniowaną w zasadach alertów) oraz liczbę wystąpień działania, które spowodowało wygenerowanie alertu. Ta wartość jest oparta na ustawieniu progu zasad alertów. Na pulpicie nawigacyjnym jest również wyświetlany stan każdego alertu. Aby uzyskać więcej informacji na temat używania właściwości stanu do zarządzania alertami, zobacz Zarządzanie alertami.
Aby wyświetlić alerty, w portalu Microsoft Defender wybierz pozycję Zdarzenia & alerty alertów>. Alternatywnie możesz przejść bezpośrednio do https://security.microsoft.com/alerts.
Poniższe filtry umożliwiają wyświetlenie podzestawu wszystkich alertów na stronie Alerty :
- Ważność: pokaż alerty, do których przypisano określoną ważność.
- Stan: pokaż alerty, do których przypisano określony stan. Stan domyślny to Nowy. Ty lub inni administratorzy możesz zmienić wartość stanu.
- Kategorie: pokaż alerty z co najmniej jednej kategorii alertów.
- Źródła usługi/wykrywania: użyj tego filtru, aby wyświetlić alerty wyzwalane przez zasady alertów w określonej usłudze lub źródle wykrywania. Na przykład możesz wyświetlać alerty wyzwalane przez zasady alertów w Ochrona usługi Office 365 w usłudze Microsoft Defender lub Microsoft Defender for Identity.
- Tagi:Pokaż alerty z co najmniej jednego tagu użytkownika.
- Reguła zasad/zasad: pokaż alerty zgodne z ustawieniem co najmniej jednej zasady alertów. Możesz też wyświetlić wszystkie alerty dla wszystkich zasad alertów.
- Typ alertu: pokaż alerty, które zostały wygenerowane na podstawie określonego typu alertu.
- Nazwa produktu: pokaż alerty z określonego produktu zabezpieczającego firmy Microsoft.
- Identyfikator subskrypcji alertu: pokaż alerty, które zostały wygenerowane przez określony identyfikator subskrypcji alertu.
- Jednostki: pokaż alerty skojarzone z określoną jednostką.
- Stan zautomatyzowanego badania: pokaż alerty, które są w określonym stanie zautomatyzowanego badania.
- Obszar roboczy: pokaż alerty skojarzone z określonym obszarem roboczym. Ma to zastosowanie tylko wtedy, gdy masz co najmniej jeden obszar roboczy w organizacji.
- Strumień danych: pokaż alerty skojarzone z określonym strumieniem danych. Możesz na przykład wyświetlić alerty skojarzone ze strumieniami danych usługi Microsoft OneDrive i programu Microsoft Exchange.
Agregacja alertów
Gdy wiele zdarzeń zgodnych z warunkami zasad alertu występuje z krótkim okresem czasu, są one dodawane do istniejącego alertu przez proces nazywany agregacją alertów. Gdy zdarzenie wyzwala alert, alert jest generowany i wyświetlany na stronie Alerty i wysyłane jest powiadomienie. Jeśli to samo zdarzenie występuje w interwale agregacji, platforma Microsoft 365 dodaje szczegóły dotyczące nowego zdarzenia do istniejącego alertu zamiast wyzwalania nowego alertu. Celem agregacji alertów jest zmniejszenie "zmęczenia" alertów i umożliwienie skoncentrowania się na mniejszej liczbie alertów dla tego samego zdarzenia oraz podjęcie akcji.
Długość interwału agregacji zależy od twojej subskrypcji Office 365 lub Platformy Microsoft 365.
| Subskrypcja | Agregacja interwał |
|---|---|
| Office 365 lub Microsoft 365 E5/G5 | 1 minuta |
| Ochrona usługi Office 365 w usłudze Defender plan 2 | 1 minuta |
| Dodatek E5 Compliance lub dodatek odnajdywania i inspekcji E5 | 1 minuta |
| Office 365 lub Microsoft 365 E1/F1/G1 lub E3/F3/G3 | 15 minut |
| Ochrona usługi Office 365 w usłudze Defender plan 1 lub Exchange Online Protection | 15 minut |
Gdy zdarzenia zgodne z tymi samymi zasadami alertu występują w interwale agregacji, szczegóły dotyczące kolejnego zdarzenia są dodawane do oryginalnego alertu. W przypadku wszystkich zdarzeń informacje o zdarzeniach zagregowanych są wyświetlane w polu szczegółów, a liczba wystąpień zdarzenia z interwałem agregacji jest wyświetlana w polu liczba trafień/działań. Więcej informacji o wszystkich wystąpieniach zagregowanych zdarzeń można wyświetlić, wyświetlając listę działań.
Poniższy zrzut ekranu przedstawia alert z czterema zagregowanymi zdarzeniami. Lista działań zawiera informacje o czterech wiadomościach e-mail dotyczących alertu.
Należy pamiętać o następujących kwestiach dotyczących agregacji alertów:
Alerty wyzwalane przez kliknięcie potencjalnie złośliwego adresu URL wykryto, że domyślne zasady alertów nie są agregowane. To zachowanie występuje, ponieważ alerty wyzwalane przez te zasady są unikatowe dla każdego użytkownika i wiadomości e-mail.
W tej chwili właściwość alertu Liczba trafień nie wskazuje liczby zagregowanych zdarzeń dla wszystkich zasad alertów. W przypadku alertów wyzwalanych przez te zasady alertów można wyświetlić zagregowane zdarzenia, klikając pozycję Wyświetl listę komunikatów lub Wyświetl działanie alertu. Pracujemy nad udostępnieniem liczby zagregowanych zdarzeń wymienionych we właściwości alertu Liczba trafień dla wszystkich zasad alertów.
Uprawnienia RBAC wymagane do wyświetlania alertów
Uprawnienia Access Control opartej na rolach (RBAC) przypisane do użytkowników w organizacji określają, które alerty użytkownik może wyświetlić na stronie Alerty. Jak to osiągnąć? Role zarządzania przypisane do użytkowników (na podstawie ich członkostwa w grupach ról w portalu Microsoft Defender) określają kategorie alertów, które użytkownik może zobaczyć na stronie Alerty. Oto kilka przykładów:
- Członkowie grupy ról Zarządzanie rekordami mogą wyświetlać tylko alerty generowane przez zasady alertów, do których przypisano kategorię Ład informacji .
- Członkowie grupy ról Administrator zgodności nie mogą wyświetlać alertów generowanych przez zasady alertów, do których przypisano kategorię Zarządzanie zagrożeniami .
- Członkowie grupy ról menedżera zbierania elektronicznych materiałów dowodowych nie mogą wyświetlać żadnych alertów, ponieważ żadna z przypisanych ról nie zapewnia uprawnień do wyświetlania alertów z dowolnej kategorii alertów.
Ten projekt (oparty na uprawnieniach RBAC) pozwala określić, które alerty mogą być wyświetlane (i zarządzane) przez użytkowników w określonych rolach zadań w organizacji.
W poniższej tabeli wymieniono role, które są wymagane do wyświetlania alertów z sześciu różnych kategorii alertów. Znacznik wyboru wskazuje, że użytkownik, któremu przypisano tę rolę, może wyświetlać alerty z odpowiedniej kategorii alertów wymienionej w wierszu tytułu.
Aby zobaczyć, do której kategorii są przypisane domyślne zasady alertów, zobacz tabele w temacie Domyślne zasady alertów.
Porada
Aby uzyskać informacje o uprawnieniach w Microsoft Defender XDR ujednoliconej kontroli dostępu opartej na rolach (RBAC), zobacz Zasady alertów w portalu Microsoft Defender.
| Rola | Informacja rządzenie |
Utrata danych profilaktyka |
Poczta płynąć |
Uprawnienia | Groźba zarządzanie |
Inni |
|---|---|---|---|---|---|---|
| Administrator zgodności | ✔ | ✔ | ✔ | ✔ | ||
| Zarządzanie zgodnością DLP | ✔ | |||||
| Information Protection Administracja | ✔ | |||||
| analityk Information Protection | ✔ | |||||
| badacz Information Protection | ✔ | |||||
| Zarządzanie alertami | ✔ | |||||
| Konfiguracja organizacji | ✔ | |||||
| Zarządzanie prywatnością | ||||||
| Kwarantanna | ||||||
| Zarządzanie rekordami | ✔ | |||||
| Zarządzanie przechowywaniem | ✔ | |||||
| Zarządzanie rolami | ✔ | |||||
| Administrator zabezpieczeń | ✔ | ✔ | ✔ | ✔ | ||
| Czytelnik zabezpieczeń | ✔ | ✔ | ✔ | ✔ | ||
| Higiena transportu | ||||||
| zarządzanie zgodnością View-Only DLP | ✔ | |||||
| konfiguracja View-Only | ||||||
| View-Only zarządzać alertami | ✔ | |||||
| adresaci View-Only | ✔ | |||||
| zarządzanie rekordami View-Only | ✔ | |||||
| zarządzanie przechowywaniem View-Only | ✔ |
Porada
Aby wyświetlić role przypisane do każdej z domyślnych grup ról, uruchom następujące polecenia w programie PowerShell security & Compliance:
$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,("-"*25); Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
Role przypisane do grupy ról można również wyświetlić w portalu Microsoft Defender. Przejdź do strony Uprawnienia i wybierz grupę ról. Przypisane role są wyświetlane na stronie wysuwanej.
Zarządzaj alertami
Po wygenerowaniu i wyświetleniu alertów na stronie Alerty w portalu Microsoft Defender można je sklasyfikować, zbadać i rozwiązać. Te same uprawnienia RBAC , które dają użytkownikom dostęp do alertów, również dają im możliwość zarządzania alertami.
Poniżej przedstawiono niektóre zadania, które można wykonać w celu zarządzania alertami.
Przypisz stan do alertów: do alertów można przypisać jeden z następujących stanów: Nowy (wartość domyślna), W toku lub Rozwiązano. Następnie możesz filtrować to ustawienie, aby wyświetlić alerty z tym samym ustawieniem stanu. To ustawienie stanu może pomóc w śledzeniu procesu zarządzania alertami.
Przypisywanie alertu do użytkownika: możesz przypisać alert do użytkownika w organizacji. Ta akcja może pomóc w zapewnieniu, że alert zostanie przejrzany i rozwiązany przez odpowiednią osobę.
Klasyfikowanie alertów: klasyfikację można przypisać do alertu. Klasyfikacje służą do kategoryzowania alertów na podstawie typu działania, które wyzwoliło alert. Można na przykład sklasyfikować alert jako prawdziwie dodatni lub informacyjny.
Wyświetl szczegóły alertu: możesz wybrać alert, aby wyświetlić stronę wysuwaną ze szczegółami dotyczącymi alertu. Szczegółowe informacje zależą od odpowiednich zasad alertów, ale zazwyczaj zawierają następujące informacje:
- Nazwa rzeczywistej operacji, która wyzwoliła alert, na przykład polecenie cmdlet lub operacja dziennika inspekcji.
- Opis działania, które wyzwoliło alert.
- Użytkownik (lub lista użytkowników), który wyzwolił alert. Jest ona uwzględniana tylko w przypadku zasad alertów skonfigurowanych do śledzenia pojedynczego użytkownika lub pojedynczego działania.
- Liczba wykonanych działań śledzonych przez alert. Ta liczba może nie odpowiadać rzeczywistej liczbie powiązanych alertów wymienionych na stronie Alerty, ponieważ mogło zostać wyzwolonych więcej alertów.
- Link do listy działań, która zawiera element dla każdego wykonanego działania, które wyzwoliło alert. Każdy wpis na tej liście określa, kiedy wystąpiło działanie, nazwę rzeczywistej operacji (na przykład "FileDeleted"), użytkownika, który wykonał działanie, obiektu (takiego jak plik, przypadek zbierania elektronicznych materiałów dowodowych lub skrzynki pocztowej), na których wykonano działanie, oraz adresu IP komputera użytkownika. W przypadku alertów związanych ze złośliwym oprogramowaniem jest to link do listy komunikatów.
- Nazwa (i link) odpowiednich zasad alertów.
- Zdarzenie, w którym alert jest agregowane.
Dostosuj alert: możesz ustawić właściwości, warunki i akcje, aby ukryć lub rozwiązać alert.