Akcje korygowania z air w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
Zautomatyzowane badanie i reagowanie (AIR) w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2 często skutkuje akcjami korygowania, które wymagają zatwierdzenia przez zespół operacji zabezpieczeń (SecOps).
W niektórych przypadkach funkcja AIR nie powoduje konkretnych akcji korygowania. Aby dokładniej zbadać i podjąć odpowiednie działania, skorzystaj ze wskazówek przedstawionych w poniższej tabeli.
| Kategoria | Zagrożenie/ryzyko | Działania naprawcze |
|---|---|---|
| Poczta e-mail | Złośliwe oprogramowanie | Usuwanie nietrwałe poczty e-mail/klastra. Jeśli więcej niż kilka powiązanych komunikatów zawiera złośliwe oprogramowanie, cały klaster jest uważany za złośliwy. |
| Poczta e-mail | Złośliwy adres URL został wykryty przez bezpieczne linki. | Usuwanie nietrwałe poczty e-mail/klastra. Zablokuj adres URL w momencie kliknięcia. Komunikat zawierający złośliwy adres URL jest uważany za złośliwy. |
| Poczta e-mail | Wyłudzanie informacji | Usuwanie nietrwałe poczty e-mail/klastra. Jeśli więcej niż kilka powiązanych komunikatów zawiera próby wyłudzania informacji, cały klaster jest uważany za próbę wyłudzania informacji. |
| Poczta e-mail | Wiadomość e-mail wyłudzająca informacje została dostarczona, a następnie usunięta przez automatyczne przeczyszczanie o wartości zero godzin (ZAP)). | Usuwanie nietrwałe poczty e-mail/klastra. Aby sprawdzić, czy zap usunął komunikat, zobacz Jak sprawdzić, czy zap przeniósł komunikat. |
| Poczta e-mail | Wiadomość e-mail wyłudzająca informacje zgłoszona | Automatyczne badanie wyzwolone przez raport użytkownika |
| Poczta e-mail | Anomalia woluminu (ostatnie ilości wiadomości e-mail przekraczają poprzednie 7–10 dni w celu spełnienia kryteriów dopasowania). | Brak konkretnych oczekujących akcji z air. Anomalia woluminu nie jest wyraźnym zagrożeniem. Chociaż duża liczba wiadomości e-mail może wskazywać na potencjalne problemy, potwierdzenie jest wymagane w odniesieniu do złośliwych werdyktów lub ręcznego przeglądu wiadomości e-mail/klastrów. Aby uzyskać więcej informacji, zobacz Znajdowanie podejrzanej wiadomości e-mail, która została dostarczona. |
| Poczta e-mail | Nie znaleziono zagrożeń (system nie znalazł żadnych zagrożeń na podstawie plików, adresów URL lub analizy werdyktów klastra poczty e-mail). | Brak konkretnych oczekujących akcji z air. Zagrożenia wykryte i usunięte przez zap po zakończeniu badania nie są odzwierciedlane w wynikach liczbowych badania, ale takie zagrożenia są widoczne w Eksploratorze zagrożeń. |
| Użytkownik | Użytkownik kliknął złośliwy adres URL (użytkownik odwiedził stronę, która później została uznana za złośliwą, lub pominął stronę ostrzeżenia Bezpieczne linki , aby przejść do złośliwej strony). | Brak konkretnych oczekujących akcji z air. Zablokuj adres URL w momencie kliknięcia. Użyj Eksploratora zagrożeń, aby wyświetlić dane dotyczące adresów URL i kliknąć werdykty. Jeśli Twoja organizacja używa Ochrona punktu końcowego w usłudze Microsoft Defender, rozważ zbadanie użytkownika, aby ustalić, czy jego konto zostało naruszone. |
| Użytkownik | Użytkownik wysyłający złośliwe oprogramowanie/wiadomości wyłudzające informacje | Brak konkretnych oczekujących akcji z air. Użytkownik może zgłaszać złośliwe oprogramowanie/wiadomości wyłudzające informacje lub ktoś może podszywać się pod użytkownika w ramach ataku. Użyj Eksploratora zagrożeń , aby wyświetlać i obsługiwać wiadomości e-mail zawierające złośliwe oprogramowanie lub wyłudzanie informacji. |
| Użytkownik | Automatyczne przekazywanie zewnętrznych wiadomości e-mail (przekazywanie SMTP, reguły skrzynki odbiorczej lub reguły przepływu poczty programu Exchange (nazywane również regułami transportu) może służyć do eksfiltracji danych. | Usuń regułę przekazywania lub konfigurację. Raport Autoforwarded messages umożliwia wyświetlenie szczegółowych informacji o przesłanej dalej wiadomości e-mail. |
| Użytkownik | Email delegowania (konto ma skonfigurowane delegowania). | Usuń delegowania. Jeśli Twoja organizacja korzysta z usługi Defender for Endpoint, rozważ zbadanie użytkownika z uprawnieniami delegowania. |
| Użytkownik | Eksfiltracja danych (użytkownik naruszył zasady DLP dotyczące poczty e-mail lub udostępniania plików). | Funkcja AIR nie powoduje określonej oczekującej akcji. Wprowadzenie do Eksploratora działań. |
| Użytkownik | Nietypowe wysyłanie wiadomości e-mail (użytkownik wysłał ostatnio więcej wiadomości e-mail niż w ciągu ostatnich 7–10 dni). | Brak konkretnych oczekujących akcji z air. Wysyłanie dużej ilości wiadomości e-mail niekoniecznie jest złośliwe (na przykład użytkownik mógł wysłać wiadomość e-mail do dużej grupy adresatów zdarzenia). Aby zbadać ten problem, użyj raportu New users forwarding email insight and Outbound message report in the Exchange admin center (EAC) ( Nowi użytkownicy przekazujący szczegółowe informacje o wiadomościach e-mail i komunikatów wychodzących ) w centrum administracyjnym programu Exchange (EAC). |
Następne kroki
- Wyświetlanie szczegółów i wyników zautomatyzowanego badania w Ochrona usługi Office 365 w usłudze Microsoft Defender
- Wyświetlanie oczekujących lub zakończonych akcji korygowania po zautomatyzowanym badaniu w Ochrona usługi Office 365 w usłudze Microsoft Defender