Действия по исправлению из AIR в Microsoft Defender для Office 365 план 2
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Автоматическое исследование и реагирование (AIR) в Microsoft Defender для Office 365 плане 2 часто приводит к действиям по исправлению, которые требуют утверждения от команды по операциям безопасности (SecOps).
В некоторых случаях AIR не приводит к конкретным действиям по исправлению. Для дальнейшего изучения и принятия соответствующих действий используйте рекомендации, приведенные в следующей таблице.
| Категория | Угроза и риск | Действия по исправлению |
|---|---|---|
| Электронная почта | Вредоносная программа | Обратимое удаление электронной почты или кластера. Если несколько связанных сообщений содержат вредоносные программы, весь кластер считается вредоносным. |
| Электронная почта | Безопасные ссылки обнаружили вредоносный URL-адрес. | Обратимое удаление электронной почты или кластера. Блокировать URL-адрес при щелчке мыши. Сообщение, содержащее вредоносный URL-адрес, считается вредоносным. |
| Электронная почта | Фишинг | Обратимое удаление электронной почты или кластера. Если несколько связанных сообщений содержат попытки фишинга, весь кластер считается попыткой фишинга. |
| Электронная почта | Фишинговое сообщение электронной почты доставлено и удалено с помощью автоматической очистки (ZAP)).) | Обратимое удаление электронной почты или кластера. Чтобы узнать, удалил ли ZAP сообщение, см. статью Как узнать, переместила ли сообщение ZAP. |
| Электронная почта | Пользователь сообщил о фишинге по электронной почте | Автоматическое исследование, активируется отчетом пользователя |
| Электронная почта | Аномалия тома (количество сообщений электронной почты за последние 7–10 дней превышает предыдущие 7–10 дней для соответствия критериям). | Никаких конкретных ожидающих действий от AIR. Аномалия тома не является явной угрозой. Хотя большой объем электронной почты может указывать на потенциальные проблемы, подтверждение требуется с точки зрения либо вредоносных вердиктов, либо проверки сообщений электронной почты или кластеров вручную. Дополнительные сведения см. в разделе Поиск доставленного подозрительного сообщения электронной почты. |
| Электронная почта | Угрозы не найдены (система не обнаружила угроз на основе файлов, URL-адресов или анализа вердиктов кластера электронной почты). | Никаких конкретных ожидающих действий от AIR. Угрозы, обнаруженные и удаленные ZAP после завершения исследования, не отражаются в числовых результатах расследования, но такие угрозы можно увидеть в Обозреватель угроз. |
| Пользователь | Пользователь щелкнул вредоносный URL-адрес (пользователь посетил страницу, которая позже была признана вредоносной, или обошел страницу предупреждения безопасных ссылок , чтобы перейти на вредоносную страницу). | Никаких конкретных ожидающих действий от AIR. Блокировать URL-адрес при щелчке мыши. Используйте Обозреватель угроз, чтобы просмотреть данные о URL-адресах и щелкнуть вердикты. Если ваша организация использует Microsoft Defender для конечной точки, рассмотрите возможность изучения пользователя, чтобы определить, скомпрометирована ли его учетная запись. |
| Пользователь | Пользователь, отправляющий вредоносные или фишинговые сообщения | Никаких конкретных ожидающих действий от AIR. Пользователь может сообщать о вредоносных программах или фишинговых сообщениях, или кто-то может подделыть пользователя в рамках атаки. Используйте Обозреватель угроз для просмотра и обработки электронной почты, содержащей вредоносные программы или фишинг. |
| Пользователь | Для кражи данных можно использовать автоматическую внешнюю переадресацию электронной почты (smtp-пересылка, правила папки "Входящие" или правила потока обработки почты Exchange (также известные как правила транспорта). | Удалите правило или конфигурацию переадресации. Используйте отчет об автоматических сообщениях для просмотра конкретных сведений о переадресованной электронной почте. |
| Пользователь | Email делегирование (для учетной записи настроено делегирование). | Удалите делегирования. Если ваша организация использует Defender для конечной точки, рассмотрите возможность изучения пользователя с разрешением на делегирование. |
| Пользователь | Утечка данных (пользователь нарушил политики защиты от потери данных электронной почты или совместного использования файлов). | AIR не приводит к определенному ожидающему действия. Начало работы с Обозреватель действий. |
| Пользователь | Аномальная отправка электронной почты (пользователь недавно отправил больше сообщений электронной почты, чем в течение предыдущих 7–10 дней).) | Никаких конкретных ожидающих действий от AIR. Отправка большого объема электронной почты не обязательно является вредоносной (например, пользователь может отправить сообщение электронной почты большой группе получателей для события). Для исследования используйте аналитические сведения о новых пользователях, пересылающих электронную почту , и отчет об исходящих сообщениях в Центре администрирования Exchange (EAC). |
Дальнейшие действия
- Просмотр сведений и результатов автоматического исследования в Microsoft Defender для Office 365
- Просмотр ожидающих или завершенных действий по исправлению после автоматического исследования в Microsoft Defender для Office 365