Ações de remediação no Microsoft Defender para Office 365
Sugestão
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Ações de remediação
As funcionalidades de proteção contra ameaças no Microsoft Defender para Office 365 incluem determinadas ações de remediação. Tais ações de remediação podem incluir:
- Eliminar mensagens de e-mail ou clusters de forma recuperável
- URL de Bloco (tempo de clique)
- Desativar o reencaminhamento de correio externo
- Desativar delegação
No Microsoft Defender para Office 365, as ações de remediação não são executadas automaticamente. Em vez disso, as ações de remediação são tomadas apenas após aprovação pela equipa de operações de segurança da sua organização.
Ameaças e ações de remediação
Microsoft Defender para Office 365 inclui ações de remediação para lidar com várias ameaças. As investigações automatizadas resultam frequentemente numa ou mais ações de remediação para rever e aprovar. Em alguns casos, uma investigação automatizada não resulta numa ação de remediação específica. Para investigar e tomar as ações adequadas, utilize a documentação de orientação na tabela seguinte.
Categoria | Ameaça/risco | Ações de remediação |
---|---|---|
Software Maligno | Eliminar e-mail/cluster de eliminação recuperável Se mais de um punhado de mensagens de e-mail num cluster contiverem software maligno, o cluster é considerado malicioso. |
|
URL malicioso (Foi detetado um URL malicioso pelas Ligações Seguras.) |
Eliminar e-mail/cluster de eliminação recuperável BLOQUEAR URL (verificação de tempo de clique) Email que contém um URL malicioso é considerado malicioso. |
|
Phish | Eliminar e-mail/cluster de eliminação recuperável Se mais do que um punhado de mensagens de e-mail num cluster contiverem tentativas de phishing, todo o cluster será considerado uma tentativa de phishing. |
|
Phish zapped (Email mensagens foram entregues e, em seguida, zapped.) |
Eliminar e-mail/cluster de eliminação recuperável Os relatórios estão disponíveis para ver mensagens zapped. Veja se o ZAP moveu uma mensagem e as FAQs. |
|
E-mail de phish perdido comunicado por um utilizador | Investigação automatizada acionada pelo relatório do utilizador | |
Anomalia de volume (As quantidades de e-mail recentes excedem os 7 a 10 dias anteriores para critérios correspondentes.) |
A investigação automatizada não resulta numa ação pendente específica. A anomalia de volume não é uma ameaça clara, mas é apenas uma indicação de volumes de e-mail maiores nos últimos dias em comparação com os últimos 7 a 10 dias. Embora um elevado volume de e-mails possa indicar potenciais problemas, é necessária confirmação em termos de veredictos maliciosos ou de uma revisão manual de mensagens de e-mail/clusters. Consulte Localizar e-mail suspeito que foi entregue. |
|
Não foram encontradas ameaças (O sistema não encontrou ameaças com base em ficheiros, URLs ou análise de veredictos do cluster de e-mail.) |
A investigação automatizada não resulta numa ação pendente específica. As ameaças encontradas e efetuadas após a conclusão de uma investigação não se refletem nas conclusões numéricas de uma investigação, mas essas ameaças são visíveis no Explorador de Ameaças. |
|
Utilizador | Um utilizador clicou num URL malicioso (Um utilizador navegou para uma página que mais tarde foi considerada maliciosa ou um utilizador ignorou uma página de aviso de Ligações Seguras para aceder a uma página maliciosa.) |
A investigação automatizada não resulta numa ação pendente específica. URL de Bloco (tempo de clique) Utilize o Explorador de Ameaças para ver dados sobre URLs e clicar em veredictos. Se a sua organização estiver a utilizar Microsoft Defender para Endpoint, considere investigar o utilizador para determinar se a conta está comprometida. |
Utilizador | Um utilizador está a enviar software maligno/phish | A investigação automatizada não resulta numa ação pendente específica. O utilizador pode estar a comunicar software maligno/phish ou alguém pode estar a falsificar o utilizador como parte de um ataque. Utilize o Explorador de Ameaças para ver e processar e-mails que contenham software maligno ou phishing. |
Utilizador | reencaminhamento de Email (As regras de reencaminhamento de caixas de correio estão configuradas, o chch pode ser utilizado para a transferência de dados não autorizada.) |
Remover regra de reencaminhamento Utilize o relatório Mensagens desforwarded automaticamente para ver detalhes específicos sobre o e-mail reencaminhado. |
Utilizador | regras de delegação de Email (A conta de um utilizador tem delegações configuradas.) |
Remover regra de delegação Se a sua organização estiver a utilizar Microsoft Defender para Endpoint, considere investigar o utilizador que está a obter a permissão de delegação. |
Utilizador | Transferência de dados não autorizada (Um utilizador violou o e-mail ou as políticas DLP de partilha de ficheiros |
A investigação automatizada não resulta numa ação pendente específica. |
Utilizador | Envio anómalo de e-mails (Um utilizador enviou recentemente mais e-mails do que nos 7 a 10 dias anteriores.) |
A investigação automatizada não resulta numa ação pendente específica. Enviar um grande volume de e-mails não é malicioso por si só; O utilizador pode ter simplesmente enviado um e-mail para um grande grupo de destinatários para um evento. Para investigar, utilize os Novos utilizadores que reencaminham informações de e-mail no relatório de mensagens EAC e Saída no EAC para determinar o que se passa e tomar medidas. |
Passos seguintes
- Ver detalhes e resultados de uma investigação automatizada no Microsoft Defender para Office 365
- Ver ações de remediação pendentes ou concluídas após uma investigação automatizada no Microsoft Defender para Office 365