Aviseringsprinciper i Microsoft 365
Du kan använda aviseringsprinciper och aviseringsinstrumentpanelen i Microsoft Defender-portalen för att skapa aviseringsprinciper och sedan visa de aviseringar som genereras när användare utför aktiviteter som matchar villkoren för en aviseringsprincip. Det finns flera standardprinciper för aviseringar som hjälper dig att övervaka aktiviteter, till exempel att tilldela administratörsprivilegier i Exchange Online, attacker mot skadlig kod, nätfiskekampanjer och ovanliga nivåer av filborttagningar eller extern delning.
Tips
Gå till avsnittet Standardaviseringsprinciper i den här artikeln för en lista och beskrivning av tillgängliga aviseringsprinciper.
Med aviseringsprinciper kan du kategorisera de aviseringar som utlöses av en princip, tillämpa principen på alla användare i organisationen, ange en tröskelvärdesnivå för när en avisering utlöses och bestämma om e-postaviseringar ska tas emot när aviseringar utlöses. Det finns också en sida med aviseringar där du kan visa och filtrera aviseringar, ange en aviseringsstatus som hjälper dig att hantera aviseringar och sedan stänga aviseringar när du har adresserat eller löst den underliggande incidenten.
Obs!
Aviseringsprinciper är tillgängliga i följande organisationer:
- Microsoft 365 Enterprise
- Office 365 Enterprise
- Office 365 U.S. Government E1/F1/G1, E3/F3/G3 eller E5/G5
Avancerade funktioner är endast tillgängliga i följande organisationer:
- Microsoft 365 E5/G5
- Microsoft 365 E1/F1/G1 eller Microsoft 365 E3/F3/G3 plus någon av följande tilläggsprenumerationer:
- Microsoft Defender för Office 365 abonnemang 2
- Microsoft 365 E5 Security
- Microsoft 365 E5 Compliance
- E5 eDiscovery och granskningstillägg
Avancerade funktioner som kräver Microsoft 365 E5/G5 eller en tilläggsprenumeration är markerade i den här artikeln.
Aviseringsprinciper är tillgängliga i amerikanska myndighetsorganisationer (Office 365 GCC, GCC High och DoD).
Så här fungerar aviseringsprinciper
Här är en snabb översikt över hur aviseringsprinciper fungerar och de aviseringar som utlöses när användar- eller administratörsaktiviteten matchar villkoren för en aviseringsprincip.
En administratör i din organisation skapar, konfigurerar och aktiverar en aviseringsprincip med hjälp av sidan Aviseringsprinciper i efterlevnadsportalen eller Microsoft Defender-portalen. Du kan också skapa aviseringsprinciper med hjälp av cmdleten New-ProtectionAlert i Security & Compliance PowerShell.
Om du vill skapa aviseringsprinciper måste du tilldelas rollen Hantera aviseringar eller rollen Organisationskonfiguration i efterlevnadsportalen eller Defender-portalen.
Obs!
Det tar upp till 24 timmar efter att en aviseringsprincip har skapats eller uppdaterats innan aviseringar kan utlösas av principen. Det beror på att principen måste synkroniseras med aviseringsidentifieringsmotorn.
En användare utför en aktivitet som matchar villkoren för en aviseringsprincip. Vid attacker mot skadlig kod utlöser infekterade e-postmeddelanden som skickas till användare i din organisation en avisering.
Microsoft 365 genererar en avisering som visas på sidan Aviseringar i Microsoft Defender-portalen. Om e-postaviseringar är aktiverade för aviseringsprincipen skickar Microsoft ett meddelande till en lista över mottagare. De aviseringar som en administratör eller andra användare kan se på sidan Aviseringar bestäms av de roller som tilldelats användaren. Mer information finns i RBAC-behörigheter som krävs för att visa aviseringar.
En administratör hanterar aviseringar i Microsoft Defender-portalen. Hantering av aviseringar består av att tilldela en aviseringsstatus för att spåra och hantera eventuella undersökningar.
Principinställningar för aviseringar
En aviseringsprincip består av en uppsättning regler och villkor som definierar den användar- eller administratörsaktivitet som genererar en avisering, en lista över användare som utlöser aviseringen om de utför aktiviteten och ett tröskelvärde som definierar hur många gånger aktiviteten måste ske innan en avisering utlöses. Du kategoriserar också principen och tilldelar den en allvarlighetsgrad. De här två inställningarna hjälper dig att hantera aviseringsprinciper (och de aviseringar som utlöses när principvillkoren matchas) eftersom du kan filtrera på de här inställningarna när du hanterar principer och visar aviseringar i Microsoft Defender-portalen. Du kan till exempel visa aviseringar som matchar villkoren från samma kategori eller visa aviseringar med samma allvarlighetsgrad.
Om du vill visa och skapa aviseringsprinciper går du till Microsoft Defender portalen och väljer Principer & regler>Aviseringsprincip under Email & samarbete. Du kan också gå direkt till https://security.microsoft.com/alertpolicies.
Obs!
Du måste tilldelas rollen View-Only Hantera aviseringar för att visa aviseringsprinciper i Microsoft Defender-portalen. Du måste tilldelas rollen Hantera aviseringar för att skapa och redigera aviseringsprinciper. Mer information finns i Mappa Microsoft Defender XDR behörigheter för enhetlig rollbaserad åtkomstkontroll (RBAC).
En aviseringsprincip består av följande inställningar och villkor.
Aktivitet som aviseringen spårar. Du skapar en princip för att spåra en aktivitet eller i vissa fall några relaterade aktiviteter, till exempel att dela en fil med en extern användare genom att dela den, tilldela åtkomstbehörigheter eller skapa en anonym länk. När en användare utför den aktivitet som definieras av principen utlöses en avisering baserat på inställningarna för tröskelvärdet för aviseringar.
Obs!
Vilka aktiviteter du kan spåra beror på organisationens Office 365 Enterprise eller Office 365 us government-plan. I allmänhet kräver aktiviteter som rör kampanjer för skadlig kod och nätfiskeattacker en E5/G5-prenumeration eller en E1/F1/G1- eller E3/F3/G3-prenumeration med en tilläggsprenumeration på Defender för Office 365 Plan 2.
Aktivitetsvillkor. För de flesta aktiviteter kan du definiera ytterligare villkor som måste uppfyllas för att utlösa en avisering. Vanliga villkor är IP-adresser (så att en avisering utlöses när användaren utför aktiviteten på en dator med en specifik IP-adress eller inom ett IP-adressintervall), om en avisering utlöses om en specifik användare eller användare utför den aktiviteten och om aktiviteten utförs på ett specifikt filnamn eller en specifik URL. Du kan också konfigurera ett villkor som utlöser en avisering när aktiviteten utförs av alla användare i din organisation. De tillgängliga villkoren är beroende av den valda aktiviteten.
Du kan också definiera användartaggar som ett villkor för en aviseringsprincip. Den här definitionen resulterar i de aviseringar som utlöses av principen för att inkludera kontexten för den berörda användaren. Du kan använda systemanvändartaggar eller anpassade användartaggar. Mer information finns i Användartaggar i Microsoft Defender för Office 365.
När aviseringen utlöses. Du kan konfigurera en inställning som definierar hur ofta en aktivitet kan inträffa innan en avisering utlöses. På så sätt kan du konfigurera en princip för att generera en avisering varje gång en aktivitet matchar principvillkoren, när ett visst tröskelvärde överskrids eller när förekomsten av aktiviteten som aviseringen spårar blir ovanlig för din organisation.
Om du väljer inställningen baserat på ovanlig aktivitet upprättar Microsoft ett baslinjevärde som definierar den normala frekvensen för den valda aktiviteten. Det tar upp till sju dagar att upprätta den här baslinjen, under vilken aviseringar inte genereras. När baslinjen har upprättats utlöses en avisering när frekvensen för aktiviteten som spåras av aviseringsprincipen avsevärt överskrider baslinjevärdet. För granskningsrelaterade aktiviteter (till exempel fil- och mappaktiviteter) kan du upprätta en baslinje baserat på en enskild användare eller baserat på alla användare i din organisation. För aktiviteter relaterade till skadlig kod kan du upprätta en baslinje baserat på en enda familj av skadlig kod, en enda mottagare eller alla meddelanden i din organisation.
Obs!
Möjligheten att konfigurera aviseringsprinciper baserat på ett tröskelvärde eller baserat på ovanlig aktivitet kräver en E5/G5-prenumeration eller en E1/F1/G1- eller E3/F3/G3-prenumeration med en Microsoft Defender för Office 365 P2-, Microsoft 365 E5 Compliance- eller Microsoft 365 eDiscovery- och granskningsprenumeration. Organisationer med en E1/F1/G1- och E3/F3/G3-prenumeration kan bara skapa aviseringsprinciper där en avisering utlöses varje gång en aktivitet inträffar.
Aviseringskategori. Om du vill ha hjälp med att spåra och hantera aviseringar som genereras av en princip kan du tilldela en av följande kategorier till en princip.
- Dataförlustskydd
- Informationsstyrning
- E-postflöde
- Behörigheter
- Hothantering
- Andra
När en aktivitet inträffar som matchar villkoren för aviseringsprincipen märks den genererade aviseringen med den kategori som definieras i den här inställningen. På så sätt kan du spåra och hantera aviseringar som har samma kategoriinställning på sidan Aviseringar i Microsoft Defender-portalen eftersom du kan sortera och filtrera aviseringar baserat på kategori.
Allvarlighetsgrad för aviseringar. På samma sätt som i aviseringskategorin tilldelar du ett allvarlighetsattribut (låg, medel, hög eller information) till aviseringsprinciper. Precis som aviseringskategorin, när en aktivitet inträffar som matchar villkoren för aviseringsprincipen, taggas aviseringen som genereras med samma allvarlighetsgrad som har angetts för aviseringsprincipen. På så sätt kan du spåra och hantera aviseringar som har samma allvarlighetsgrad på sidan Aviseringar . Du kan till exempel filtrera listan över aviseringar så att endast aviseringar med hög allvarlighetsgrad visas.
Tips
När du konfigurerar en aviseringsprincip bör du överväga att tilldela en högre allvarlighetsgrad till aktiviteter som kan leda till allvarliga negativa konsekvenser, till exempel identifiering av skadlig kod efter leverans till användare, visning av känsliga eller klassificerade data, delning av data med externa användare eller andra aktiviteter som kan leda till dataförlust eller säkerhetshot. Detta kan hjälpa dig att prioritera aviseringar och de åtgärder du vidtar för att undersöka och lösa de underliggande orsakerna.
Automatiserade undersökningar. Vissa aviseringar utlöser automatiserade undersökningar för att identifiera potentiella hot och risker som behöver åtgärdas eller åtgärdas. I de flesta fall utlöses dessa aviseringar av identifiering av skadliga e-postmeddelanden eller aktiviteter, men i vissa fall utlöses av administratörsåtgärder i säkerhetsportalen. Mer information om automatiserade undersökningar finns i Automatiserad undersökning och svar (AIR) i Microsoft Defender för Office 365.
Email meddelanden. Du kan konfigurera principen så att e-postaviseringar skickas (eller inte skickas) till en lista över användare när en avisering utlöses. Du kan också ange en daglig aviseringsgräns så att inga fler meddelanden skickas för aviseringen under den dagen när det maximala antalet meddelanden har nåtts. Förutom e-postaviseringar kan du eller andra administratörer visa de aviseringar som utlöses av en princip på sidan Aviseringar . Överväg att aktivera e-postaviseringar för aviseringsprinciper för en viss kategori eller som har en högre allvarlighetsgrad.
Standardprinciper för aviseringar
Microsoft tillhandahåller inbyggda varningsprinciper som hjälper dig att identifiera missbruk av Exchange-administratörsbehörigheter, aktivitet om skadlig kod, potentiella externa och interna hot och informationsstyrningsrisker. På sidan Aviseringsprinciper är namnen på dessa inbyggda principer i fetstil och principtypen definieras som System. Dessa principer är aktiverade som standard. Du kan inaktivera dessa principer (eller aktivera igen), konfigurera en lista över mottagare som du vill skicka e-postaviseringar till och ange en daglig aviseringsgräns. De andra inställningarna för dessa principer kan inte redigeras.
Följande tabeller listar och beskriver tillgängliga standardaviseringsprinciper och den kategori som varje princip tilldelas till. Kategorin används för att avgöra vilka aviseringar en användare kan visa på sidan Aviseringar. Mer information finns i RBAC-behörigheter som krävs för att visa aviseringar.
Tabellerna visar också den Office 365 Enterprise och Office 365 us government-plan som krävs för var och en. Vissa standardaviseringsprinciper är tillgängliga om din organisation har rätt tilläggsprenumeration utöver en E1/F1/G1- eller E3/F3/G3-prenumeration.
Obs!
Den ovanliga aktivitet som övervakas av några av de inbyggda principerna baseras på samma process som inställningen för aviseringströskeln som beskrevs tidigare. Microsoft upprättar ett baslinjevärde som definierar normal frekvens för "vanlig" aktivitet. Aviseringar utlöses sedan när frekvensen för aktiviteter som spåras av den inbyggda aviseringsprincipen kraftigt överskrider baslinjevärdet.
Aviseringsprinciper för informationsstyrning
Obs!
Aviseringsprinciperna i det här avsnittet håller på att bli inaktuella baserat på kundfeedback som falska positiva identifieringar. Om du vill behålla funktionerna i dessa aviseringsprinciper kan du skapa anpassade aviseringsprinciper med samma inställningar.
| Namn | Beskrivning | Allvarlighetsgrad | Automatiserad undersökning | Prenumeration |
|---|---|---|---|---|
| Ovanlig volym av extern fildelning | Genererar en avisering när ett ovanligt stort antal filer i SharePoint eller OneDrive delas med användare utanför organisationen. | Medel | Nej | E5/G5- eller Defender för Office 365 abonnemang 2-tilläggsprenumeration. |
Aviseringsprinciper för e-postflöde
| Namn | Beskrivning | Allvarlighetsgrad | Automatiserad undersökning | Obligatorisk prenumeration |
|---|---|---|---|---|
| Meddelanden har försenats | Genererar en avisering när Microsoft inte kan leverera e-postmeddelanden till din lokala organisation eller en partnerserver med hjälp av en anslutningsapp. När detta inträffar köas meddelandet i Office 365. Den här aviseringen utlöses när det finns 2 000 meddelanden eller fler som har köats i mer än en timme. | Högsta | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Reply-all storm har identifierats | Den här aviseringen utlöses när en reply-all-storm identifieras och minst ett svar till e-posttråden blockerades. Mer information finns i stormskyddsrapporten Svara alla. | Högsta | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
Aviseringsprinciper för behörigheter
| Namn | Beskrivning | Allvarlighetsgrad | Automatiserad undersökning | Obligatorisk prenumeration |
|---|---|---|---|---|
| Utökade Exchange-administratörsprivilegier | Genererar en avisering när någon tilldelas administrativa behörigheter i din Exchange Online organisation. Till exempel när en användare läggs till i rollgruppen Organisationshantering i Exchange Online. | Låg | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
Aviseringsprinciper för hothantering
| Namn | Beskrivning | Allvarlighetsgrad | Automatiserad undersökning | Obligatorisk prenumeration |
|---|---|---|---|---|
| Ett potentiellt skadligt URL-klick upptäcktes | Genererar en avisering när en användare som skyddas av säkra länkar i din organisation klickar på en skadlig länk. Den här aviseringen genereras när en användare klickar på en länk och den här händelsen utlöser en URL-bedömningsändringsidentifiering av Microsoft Defender för Office 365. Den söker också efter eventuella klick under de senaste 48 timmarna från den tidpunkt då den skadliga URL-domen identifieras och genererar aviseringar för de klick som inträffade under 48-timmars tidsramen för den skadliga länken. Den här aviseringen utlöser automatiskt automatisk undersökning och svar i Defender för Office 365 plan 2. Mer information om händelser som utlöser den här aviseringen finns i Konfigurera principer för säkra länkar. | Högsta | Ja | E5/G5- eller Defender för Office 365 abonnemang 2-tilläggsprenumeration. |
| En post i listan över tillåtna klientorganisationer har påträffats vara skadlig | Genererar en avisering när Microsoft fastställer att administratörsinsändningen som motsvarar en tillåten post i listan Tillåt/blockera klientorganisation visar sig vara skadlig. Den här händelsen utlöses så snart överföringen analyseras av Microsoft. Den tillåtna posten kommer att fortsätta att finnas under den angivna varaktigheten. Mer information om händelser som utlöser den här aviseringen finns i Hantera listan Tillåt/blockera klientorganisation. |
Informativ | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| En användare klickade vidare till en potentiellt skadlig URL | Genererar en avisering när en användare som skyddas av säkra länkar i din organisation klickar på en skadlig länk. Den här händelsen utlöses när användaren klickar på en URL (som identifieras som skadlig eller väntar på validering) och åsidosätter varningssidan Säkra länkar (baserat på organisationens princip för säkra länkar i Microsoft 365 för företag) för att fortsätta till url:ens värdbaserade sida/innehåll. Den här aviseringen utlöser automatiskt automatisk undersökning och svar i Defender för Office 365 plan 2. Mer information om händelser som utlöser den här aviseringen finns i Konfigurera principer för säkra länkar. | Högsta | Ja | E5/G5- eller Defender för Office 365 abonnemang 2-tilläggsprenumeration. |
| Admin sändningsresultatet har slutförts | Genererar en avisering när en Admin Sändning slutför genomsökningen av den skickade entiteten. En avisering utlöses varje gång ett genomsökningsresultat renderas från en Admin Sändning. De här aviseringarna är avsedda att påminna dig om att granska resultatet av tidigare inskickade meddelanden, skicka användarrapporterade meddelanden för att få den senaste principkontrollen och genomsöka omdömen igen och hjälpa dig att avgöra om filtreringsprinciperna i din organisation har den avsedda effekten. |
Informativ | Nej | E1/F1, E3/F3 eller E5 |
| Admin utlöste manuell undersökning av e-post | Genererar en avisering när en administratör utlöser en manuell undersökning av ett e-postmeddelande från Threat Explorer. Mer information finns i Exempel: En säkerhetsadministratör utlöser en undersökning från Threat Explorer. Den här aviseringen meddelar din organisation att undersökningen har startats. Aviseringen innehåller information om vem som utlöste den och innehåller en länk till undersökningen. |
Informativ | Ja | Microsoft 365 Business Premium, Defender för Office 365 tilläggsplan 1, E5/G5 eller Defender för Office 365 abonnemang 2. |
| Admin utlöst undersökning av användarkompromisser | Genererar en avisering när en administratör utlöser en manuell undersökning av användarens komprometterande av antingen en e-postavsändare eller mottagare från Threat Explorer. Mer information finns i Exempel: En säkerhetsadministratör utlöser en undersökning från Threat Explorer, som visar den relaterade manuella utlösaren av en undersökning av ett e-postmeddelande. Den här aviseringen meddelar din organisation att undersökningen av användarkompromissen har startats. Aviseringen innehåller information om vem som utlöste den och innehåller en länk till undersökningen. |
Medel | Ja | Microsoft 365 Business Premium, Defender för Office 365 tilläggsplan 1, E5/G5 eller Defender för Office 365 abonnemang 2. |
| Skapa regel för vidarebefordran / omdirigering | Genererar en avisering när någon i din organisation skapar en inkorgsregel för sin postlåda som vidarebefordrar eller omdirigerar meddelanden till ett annat e-postkonto. Den här principen spårar endast inkorgsregler som skapas med hjälp av Outlook på webben (kallades tidigare Outlook Web App) eller Exchange Online PowerShell. Mer information om hur du använder inkorgsregler för att vidarebefordra och omdirigera e-post i Outlook på webben finns i Använda regler i Outlook på webben för att automatiskt vidarebefordra meddelanden till ett annat konto. | Informativ | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| eDiscovery-sökningen har startats eller exporterats | Genererar en avisering när någon använder verktyget Innehållssökning i Microsoft Purview-portalen. En avisering utlöses när följande innehållssökningsaktiviteter utförs:
Aviseringar utlöses också när tidigare innehållssökningsaktiviteter utförs i samband med ett eDiscovery-ärende. Mer information om innehållssökningsaktiviteter finns i Sök efter eDiscovery-aktiviteter i granskningsloggen. |
Informativ | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| E-postmeddelanden som innehåller en skadlig fil har tagits bort efter leverans | Genererar en avisering när meddelanden som innehåller en skadlig fil levereras till postlådor i din organisation. Om den här händelsen inträffar tar Microsoft bort de infekterade meddelandena från Exchange Online postlådor med automatisk rensning på nolltimmes. Den här principen utlöser automatiskt automatiserad undersökning och svar i Office 365. Mer information om den här nya principen finns i Aviseringsprinciper. | Informativ | Ja | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| E-postmeddelanden som innehåller en skadlig webbadress har tagits bort efter leverans | Genererar en avisering när meddelanden som innehåller en skadlig URL levereras till postlådor i din organisation. Om den här händelsen inträffar tar Microsoft bort de infekterade meddelandena från Exchange Online postlådor med automatisk rensning på nolltimmes. Den här principen utlöser automatiskt automatiserad undersökning och svar i Office 365. Mer information om den här nya principen finns i Aviseringsprinciper. | Informativ | Ja | Microsoft 365 Business Premium, Defender för Office 365 tilläggsplan 1, E5/G5 eller Defender för Office 365 abonnemang 2. |
| E-postmeddelanden som innehåller skadlig kod har tagits bort efter leverans | Obs! Den här aviseringsprincipen ersattes av Email meddelanden som innehåller skadlig fil som tagits bort efter leverans. Den här aviseringsprincipen försvinner så småningom, så vi rekommenderar att du inaktiverar den och använder Email meddelanden som innehåller skadlig fil som tas bort efter leveransen i stället. Mer information finns i Aviseringsprinciper. | Informativ | Ja | E5/G5- eller Defender för Office 365 abonnemang 2-tilläggsprenumeration. |
| E-postmeddelanden med nätfiske togs bort efter leverans | Obs! Den här aviseringsprincipen ersattes av Email meddelanden som innehåller skadlig URL som tagits bort efter leverans. Den här aviseringsprincipen försvinner så småningom, så vi rekommenderar att du inaktiverar den och använder Email meddelanden som innehåller skadlig URL som tas bort efter leveransen i stället. Mer information finns i Aviseringsprinciper. | Informativ | Ja | Microsoft 365 Business Premium, Defender för Office 365 tilläggsplan 1, E5/G5 eller Defender för Office 365 abonnemang 2. |
| Email meddelanden från en kampanj som tagits bort efter leverans | Genererar en avisering när alla meddelanden som är associerade med en kampanj levereras till postlådor i din organisation. Om den här händelsen inträffar tar Microsoft bort de infekterade meddelandena från Exchange Online postlådor med automatisk rensning på nolltimmes. Den här principen utlöser automatiskt automatiserad undersökning och svar i Office 365. Mer information om den här nya principen finns i Aviseringsprinciper. | Informativ | Ja | Microsoft 365 Business Premium, Defender för Office 365 tilläggsplan 1, E5/G5 eller Defender för Office 365 abonnemang 2. |
| E-postmeddelanden som tagits bort efter leverans | Genererar en avisering när skadliga meddelanden som inte innehåller en skadlig entitet (URL eller fil) eller som är associerade med en kampanj levereras till postlådor i din organisation. Om den här händelsen inträffar tar Microsoft bort de infekterade meddelandena från Exchange Online postlådor med automatisk rensning på nolltimmes. Den här principen utlöser automatiskt automatiserad undersökning och svar i Office 365. Mer information om den här nya principen finns i Aviseringsprinciper. | Informativ | Ja | Microsoft 365 Business Premium, Defender för Office 365 tilläggsplan 1, E5/G5 eller Defender för Office 365 abonnemang 2. |
| Email rapporteras av användaren som skräppost | Genererar en avisering när användare i organisationen rapporterar meddelanden som skräppost med hjälp av den inbyggda rapportknappen i Outlook eller rapportmeddelandetillägget. Mer information om tilläggen finns i Använda tillägget Rapportmeddelande. | Låg | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| E-postmeddelande rapporterat av användare som skadlig programvara eller nätfiske | Genererar en avisering när användare i din organisation rapporterar meddelanden som nätfiske med hjälp av den inbyggda rapportknappen i Outlook, rapportmeddelandet eller rapport-nätfisketilläggen. Mer information om tilläggen finns i Använda tillägget Rapportmeddelande. För Defender för Office 365 Plan 2-, E5- och G5-kunder utlöser den här aviseringen automatiskt automatiserad undersökning och svar i Defender för Office 365 plan 2. | Låg | Ja | Microsoft 365 Business Premium, Defender för Office 365 tilläggsplan 1, E5/G5 eller Defender för Office 365 abonnemang 2. |
| Email rapporteras av användaren som inte skräppost | Genererar en avisering när användare i organisationen rapporterar meddelanden som inte skräpar upp den inbyggda rapportknappen i Outlook eller rapportmeddelandetillägget. Mer information om tilläggen finns i Använda tillägget Rapportmeddelande. | Låg | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Email sändningsgränsen har överskridits | Genererar en avisering när någon i din organisation har skickat mer e-post än vad som tillåts av principen för utgående skräppost. Detta är vanligtvis en indikation på att användaren skickar för mycket e-post eller att kontot kan ha komprometterats. Om du får en avisering som genereras av den här aviseringsprincipen är det en bra idé att kontrollera om användarkontot har komprometterats. | Medel | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Den exakta datamatchningsuppladdningen misslyckades | Genererar en avisering när en användare får följande fel när en exakt datamatchningsbaserad typ av känslig information laddas upp: Ny känslig information kunde inte laddas upp. Försök igen senare. | Högsta | Nej | E5/G5. |
| Formulär blockerat på grund av potentiellt nätfiskeförsök | Genererar en avisering när någon i organisationen är begränsad från att dela formulär och samla in svar med hjälp av Microsoft Forms på grund av upprepade nätfiskeförsök. | Högsta | Nej | E1, E3/F3 eller E5 |
| Formulär flaggat och bekräftat som nätfiske | Genererar en avisering när ett formulär som skapats i Microsoft Forms inifrån din organisation identifieras som potentiell nätfiske via rapportmissbruk och bekräftas som nätfiske av Microsoft. | Högsta | Nej | E1, E3/F3 eller E5 |
| Skadlig kod är inte zapped eftersom ZAP är inaktiverat | Genererar en avisering när Microsoft identifierar leverans av ett meddelande om skadlig kod till en postlåda eftersom Zero-Hour Automatisk rensning för nätfiskemeddelanden är inaktiverat. | Informativ | Nej | E5/G5- eller Defender för Office 365 abonnemang 2-tilläggsprenumeration. |
| Meddelanden som innehåller en skadlig entitet tas inte bort efter leverans | Genererar en avisering när ett meddelande som innehåller skadligt innehåll (fil, URL, kampanj, ingen entitet) levereras till postlådor i din organisation. Om den här händelsen inträffar försökte Microsoft ta bort de infekterade meddelandena från Exchange Online postlådor med automatisk rensning på nolltimmes, men meddelandet togs inte bort på grund av ett fel. Ytterligare undersökning rekommenderas. Den här principen utlöser automatiskt automatiserad undersökning och svar i Office 365. | Medel | Ja | Microsoft 365 Business Premium, Defender för Office 365 tilläggsplan 1, E5/G5 eller Defender för Office 365 abonnemang 2. |
| MIP AutoLabel-simuleringen har slutförts | Genererar en avisering när enprincip för automatisk etikettering på tjänstsidan i simuleringsläge har slutförts. | Låg | Nej | E5/G5. |
| Nätfiske levereras på grund av en åsidosättning av ETR1 | Genererar en avisering när Microsoft identifierar en Exchange-transportregel (även kallad en e-postflödesregel) som tillåter leverans av ett nätfiskemeddelande med hög konfidens till en postlåda. Mer information om Exchange Transport Rules (e-postflödesregler) finns i Regler för e-postflöde (transportregler) i Exchange Online. | Informativ | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Nätfiske levereras på grund av en princip för tillåtna IP-adresser1 | Genererar en avisering när Microsoft identifierar en IP-tillåten princip som tillåter leverans av ett nätfiskemeddelande med hög konfidens till en postlåda. Mer information om principen för tillåtna IP-adresser (anslutningsfiltrering) finns i Konfigurera standardprincipen för anslutningsfilter – Office 365. | Informativ | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Nätfiske är inte zapped eftersom ZAP är inaktiverat1 | Genererar en avisering när Microsoft identifierar leverans av ett nätfiskemeddelande med hög konfidens till en postlåda eftersom Zero-Hour Automatisk rensning för nätfiskemeddelanden är inaktiverat. | Informativ | Nej | E5/G5- eller Defender för Office 365 abonnemang 2-tilläggsprenumeration. |
| Potentiell nationalstatsaktivitet | Microsoft Threat Intelligence Center upptäckte ett försök att kompromettera konton från din klientorganisation. | Högsta | Nej | Microsoft 365 Business Premium, Defender för Office 365 tilläggsplan 1, E5/G5 eller Defender för Office 365 abonnemang 2. |
| Purview-principsimuleringen har slutförts | Genererar en avisering för att meddela administratörer när simuleringen är klar för alla Purview-principer som stöder simuleringsläge. | Låg | Nej | E5/G5 |
| Åtgärd som administratören vidtar för e-post, URL eller avsändare |
Obs! Den här aviseringsprincipen ersattes av en administrativ åtgärd som skickats av en administratör. Den här aviseringsprincipen försvinner så småningom, så vi rekommenderar att du inaktiverar den och använder administrativa åtgärder som skickas av en administratör i stället. Den här aviseringen utlöses när en administratör vidtar åtgärdsåtgärder för den valda entiteten |
Informativ | Ja | Microsoft 365 Business Premium, Defender för Office 365 tilläggsplan 1, E5/G5 eller Defender för Office 365 abonnemang 2. |
| En post har tagits bort i listan Tillåt/blockera klientorganisation | Genererar en avisering när en tillåten post i listan Tillåt/blockera för klientorganisation lärs från genom att filtrera systemet och tas bort. Den här händelsen utlöses när den tillåtna posten för den berörda domänen eller e-postadressen, filen eller URL:en (entiteten) tas bort. Du behöver inte längre den berörda tillåtna posten. Email meddelanden som innehåller de berörda entiteterna levereras till inkorgen om inget annat i meddelandet bedöms vara dåligt. URL:er och filer tillåts vid tidpunkten för klick. Mer information om händelser som utlöser den här aviseringen finns i Hantera listan Tillåt/blockera klientorganisation. |
Informativ | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Principsimuleringen för automatisk etikettering av kvarhållning har slutförts | Genererar en avisering när en principsimulering för automatisk etikettering av kvarhållning har slutförts. | Låg | Nej | E5/G5 |
| Lyckad exakt datamatchningsuppladdning | Genererar en avisering när en användare har laddat upp en exakt datamatchningsbaserad typ av känslig information. | Låg | Nej | E5/G5 |
| Misstänkt anslutningsaktivitet | Genererar en avisering när en misstänkt aktivitet identifieras på en inkommande anslutningsapp i din organisation. E-post blockeras från att använda den inkommande anslutningsappen. Administratören får ett e-postmeddelande och en avisering. Den här aviseringen ger vägledning om hur du undersöker, återställer ändringar och avblockera en begränsad anslutningsapp. Information om hur du svarar på den här aviseringen finns i Svara på en komprometterad anslutningsapp. | Högsta | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Misstänkt vidarebefordran av e-post | Genererar en avisering när någon i din organisation har autoforwarded e-post till ett misstänkt externt konto. Det här är en tidig varning för beteende som kan tyda på att kontot är komprometterat, men inte tillräckligt allvarligt för att begränsa användaren. Även om det är ovanligt kan en avisering som genereras av den här principen vara en avvikelse. Det är en bra idé att kontrollera om användarkontot har komprometterats. | Högsta | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Misstänkta e-postsändningsmönster har identifierats | Genererar en avisering när någon i din organisation har skickat misstänkt e-post och riskerar att begränsas från att skicka e-post. Det här är en tidig varning för beteende som kan tyda på att kontot är komprometterat, men inte tillräckligt allvarligt för att begränsa användaren. Även om det är ovanligt kan en avisering som genereras av den här principen vara en avvikelse. Det är dock en bra idé att kontrollera om användarkontot har komprometterats. | Medel | Ja | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Misstänkta klientorganisationssändningsmönster har observerats | Genererar en avisering när misstänkta sändningsmönster har observerats i din organisation, vilket kan leda till att din organisation blockeras från att skicka e-post. Undersök eventuella potentiellt komprometterade användar- och administratörskonton, nya anslutningsappar eller öppna reläer för att undvika att klientorganisationen överskrider tröskelvärdet. Mer information om varför organisationer blockeras finns i Åtgärda problem med e-postleverans för felkod 5.7.7xx i Exchange Online. | Högsta | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Teams-meddelande rapporterat av användaren som säkerhetsrisk | Den här aviseringen utlöses när användare rapporterar ett Teams-meddelande som en säkerhetsrisk. | Låg | Nej | E5/G5 eller Defender för Office 365 tillägg. |
| Posten Tillåt/blockera lista för klientorganisation håller på att upphöra att gälla | Genererar en avisering när en tillåten post eller blockpost i posten Tillåt/blockera lista för klientorganisation håller på att tas bort. Den här händelsen utlöses sju dagar före förfallodatumet, vilket baseras på när posten skapades eller senast uppdaterades. För både tillåtna poster och blockposter kan du förlänga förfallodatumet. Mer information om händelser som utlöser den här aviseringen finns i Hantera listan Tillåt/blockera klientorganisation. |
Informativ | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Klientorganisationen är begränsad från att skicka e-post | Genererar en avisering när det mesta av e-posttrafiken från din organisation identifieras som misstänkt och Microsoft har begränsat din organisation från att skicka e-post. Undersök eventuella potentiellt komprometterade användar- och administratörskonton, nya anslutningsappar eller öppna reläer och kontakta sedan Microsoft Support för att avblockera din organisation. Mer information om varför organisationer blockeras finns i Åtgärda problem med e-postleverans för felkod 5.7.7xx i Exchange Online. | Högsta | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Klientorganisationen är begränsad från att skicka oetablerade e-postmeddelanden | Genererar en avisering när för mycket e-post skickas från oregistrerade domäner (kallas även oetablerade domäner). Office 365 tillåter en rimlig mängd e-post från oregistrerade domäner, men du bör konfigurera alla domäner som du använder för att skicka e-post som en godkänd domän. Den här aviseringen anger att alla användare i organisationen inte längre kan skicka e-post. Mer information om varför organisationer blockeras finns i Åtgärda problem med e-postleverans för felkod 5.7.7xx i Exchange Online. | Högsta | Nej | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Användaren begärde att ett meddelande i karantän skulle släppas | Genererar en avisering när en användare begär lansering för ett meddelande i karantän. Om du vill begära att meddelanden i karantän ska släppas krävs behörigheten Tillåt mottagare att begära att ett meddelande släpps från karantänbehörigheten (PermissionToRequestRelease) i karantänprincipen (till exempel från gruppen Förinställda behörigheter för begränsad åtkomst ). Mer information finns i Tillåt mottagare att begära att ett meddelande släpps från karantänbehörigheten. | Informativ | Nej | Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Användare som inte kan skicka e-post | Genererar en avisering när någon i din organisation är begränsad från att skicka utgående e-post. Den här aviseringen anger vanligtvis ett komprometterat konto där användaren visas på sidan Begränsade entiteter på https://security.microsoft.com/restrictedentities. Mer information om begränsade användare finns i Ta bort blockerade användare från sidan Begränsade entiteter. | Högsta | Ja | Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Användare som är begränsade från att dela formulär och samla in svar | Genererar en avisering när någon i organisationen är begränsad från att dela formulär och samla in svar med hjälp av Microsoft Forms på grund av upprepade nätfiskeförsök. | Högsta | Nej | E1, E3/F3 eller E5 |
1 Den här aviseringsprincipen är en del av ersättningsfunktionen för den nätfiske som levereras på grund av åsidosättning av klientorganisation eller användare och nätfiske som levereras till inkorgs-/mappaviseringsprinciper som har tagits bort baserat på användarfeedback. Mer information om skydd mot nätfiske i Office 365 finns i Principer för skydd mot nätfiske.
Visa aviseringar
När en aktivitet som utförs av användare i organisationen matchar inställningarna för en aviseringsprincip genereras en avisering och visas på sidan Aviseringar i Microsoft Defender-portalen. Beroende på inställningarna för en aviseringsprincip skickas även ett e-postmeddelande till en lista över angivna användare när en avisering utlöses. För varje avisering visar instrumentpanelen på sidan Aviseringar namnet på motsvarande aviseringsprincip, allvarlighetsgrad och kategori för aviseringen (definierad i aviseringsprincipen) och antalet gånger en aktivitet har inträffat som resulterade i att aviseringen genererades. Det här värdet baseras på tröskelvärdesinställningen för aviseringsprincipen. Instrumentpanelen visar också status för varje avisering. Mer information om hur du använder statusegenskapen för att hantera aviseringar finns i Hantera aviseringar.
Om du vill visa aviseringar går du till Microsoft Defender-portalen och väljer Incidenter & aviseringar>Aviseringar. Du kan också gå direkt till https://security.microsoft.com/alerts.
Du kan använda följande filter för att visa en delmängd av alla aviseringar på sidan Aviseringar :
- Allvarlighetsgrad: Visa aviseringar som har tilldelats en viss allvarlighetsgrad.
- Status: Visa aviseringar som har tilldelats en viss status. Standardstatusen är Ny. Du eller andra administratörer kan ändra statusvärdet.
- Kategorier: Visa aviseringar från en eller flera aviseringskategorier.
- Tjänst-/identifieringskällor: Använd det här filtret för att visa aviseringar som utlöses av aviseringsprinciper i en specifik tjänst eller identifieringskälla. Du kan till exempel visa aviseringar som utlöses av aviseringsprinciper i Microsoft Defender för Office 365 eller Microsoft Defender for Identity.
- Taggar:Visa aviseringar från en eller flera användartaggar.
- Princip/principregel: Visa aviseringar som matchar inställningen för en eller flera aviseringsprinciper. Eller så kan du visa alla aviseringar för alla aviseringsprinciper.
- Aviseringstyp: Visa aviseringar som har genererats baserat på en viss aviseringstyp.
- Produktnamn: Visa aviseringar från en specifik Microsoft-säkerhetsprodukt.
- Aviseringsprenumerations-ID: Visa aviseringar som har genererats av ett specifikt aviseringsprenumerations-ID.
- Entiteter: Visa aviseringar som är associerade med en specifik entitet.
- Automatiserat undersökningstillstånd: Visa aviseringar som är i ett specifikt automatiserat undersökningstillstånd.
- Arbetsyta: Visa aviseringar som är associerade med en specifik arbetsyta. Detta gäller endast om du har en eller flera arbetsytor i din organisation.
- Dataström: Visa aviseringar som är associerade med en specifik dataström. Du kan till exempel visa aviseringar som är associerade med Microsoft OneDrive- och Microsoft Exchange-dataströmmar.
Aviseringsaggregering
När flera händelser som matchar villkoren för en aviseringsprincip inträffar med en kort tidsperiod läggs de till i en befintlig avisering av en process som kallas aviseringsaggregering. När en händelse utlöser en avisering genereras aviseringen och visas på sidan Aviseringar och ett meddelande skickas. Om samma händelse inträffar inom aggregeringsintervallet lägger Microsoft 365 till information om den nya händelsen i den befintliga aviseringen i stället för att utlösa en ny avisering. Målet med aviseringsaggregering är att minska aviseringens "trötthet" och låta dig fokusera och vidta åtgärder på färre aviseringar för samma händelse.
Längden på aggregeringsintervallet beror på din Office 365- eller Microsoft 365-prenumeration.
| Prenumeration | Aggregering intervall |
|---|---|
| Office 365 eller Microsoft 365 E5/G5 | 1 minut |
| Microsoft Defender för Office 365 abonnemang 2 | 1 minut |
| E5-tillägg för efterlevnad eller E5-tillägg för identifiering och granskning | 1 minut |
| Office 365 eller Microsoft 365 E1/F1/G1 eller E3/F3/G3 | 15 minuter |
| Defender för Office 365 abonnemang 1 eller Exchange Online Protection | 15 minuter |
När händelser som matchar samma aviseringsprincip inträffar inom aggregeringsintervallet läggs information om den efterföljande händelsen till i den ursprungliga aviseringen. För alla händelser visas information om aggregerade händelser i informationsfältet och antalet gånger som en händelse inträffade med aggregeringsintervallet visas i fältet aktivitet/antal träffar. Du kan visa mer information om alla aggregerade händelseinstanser genom att visa aktivitetslistan.
Följande skärmbild visar en avisering med fyra aggregerade händelser. Aktivitetslistan innehåller information om de fyra e-postmeddelanden som är relevanta för aviseringen.
Tänk på följande om aviseringsaggregering:
Aviseringar som utlöses av en potentiellt skadlig URL-klickning upptäcktesstandardaviseringsprincipen inte aggregeras. Det här beteendet beror på att aviseringar som utlöses av den här principen är unika för varje användare och e-postmeddelande.
För närvarande anger inte aviseringsegenskapen Antal träffar antalet aggregerade händelser för alla aviseringsprinciper. För aviseringar som utlöses av dessa aviseringsprinciper kan du visa aggregerade händelser genom att klicka på Visa meddelandelista eller Visa aktivitet i aviseringen. Vi arbetar med att göra antalet aggregerade händelser som anges i aviseringsegenskapen Antal träffar tillgängliga för alla aviseringsprinciper.
RBAC-behörigheter som krävs för att visa aviseringar
Rollbaserade Access Control-behörigheter (RBAC) som tilldelats användare i din organisation avgör vilka aviseringar en användare kan se på sidan Aviseringar. Hur åstadkoms detta? De hanteringsroller som tilldelats användare (baserat på deras medlemskap i rollgrupper i Microsoft Defender-portalen) avgör vilka aviseringskategorier en användare kan se på sidan Aviseringar. Här är några exempel:
- Medlemmar i rollgruppen Hantering av arkivhandlingar kan bara visa aviseringar som genereras av aviseringsprinciper som har tilldelats kategorin Informationsstyrning .
- Medlemmar i rollgruppen Efterlevnadsadministratör kan inte visa aviseringar som genereras av aviseringsprinciper som har tilldelats kategorin Hothantering .
- Medlemmar i rollgruppen eDiscovery Manager kan inte visa några aviseringar eftersom ingen av de tilldelade rollerna ger behörighet att visa aviseringar från någon aviseringskategori.
Med den här designen (baserat på RBAC-behörigheter) kan du avgöra vilka aviseringar som kan visas (och hanteras) av användare i specifika jobbroller i din organisation.
I följande tabell visas de roller som krävs för att visa aviseringar från de sex olika aviseringskategorierna. En bockmarkering anger att en användare som har tilldelats rollen kan visa aviseringar från motsvarande aviseringskategori som anges på rubrikraden.
Om du vill se vilken kategori en standardaviseringsprincip har tilldelats kan du läsa tabellerna i Standardaviseringsprinciper.
Tips
Information om behörigheter i Microsoft Defender XDR enhetlig rollbaserad åtkomstkontroll (RBAC) finns i Aviseringsprinciper i Microsoft Defender-portalen.
| Roll | Information styrelseskick |
Dataförlust förebyggande |
E-post rinna |
Behörigheter | Hot ledning |
Andra |
|---|---|---|---|---|---|---|
| Efterlevnadsadministratör | ✔ | ✔ | ✔ | ✔ | ||
| DLP-efterlevnadshantering | ✔ | |||||
| Information Protection-administratör | ✔ | |||||
| Information Protection-analytiker | ✔ | |||||
| Information Protection-undersökare | ✔ | |||||
| Hantera aviseringar | ✔ | |||||
| Organisationskonfiguration | ✔ | |||||
| Sekretesshantering | ||||||
| Karantän | ||||||
| Hantering av arkivhandlingar | ✔ | |||||
| Kvarhållningshantering | ✔ | |||||
| Rollhantering | ✔ | |||||
| Säkerhetsadministratör | ✔ | ✔ | ✔ | ✔ | ||
| Säkerhetsläsare | ✔ | ✔ | ✔ | ✔ | ||
| Transporthygien | ||||||
| View-Only DLP-efterlevnadshantering | ✔ | |||||
| View-Only konfiguration | ||||||
| View-Only Hantera aviseringar | ✔ | |||||
| View-Only mottagare | ✔ | |||||
| View-Only posthantering | ✔ | |||||
| View-Only kvarhållningshantering | ✔ |
Tips
Om du vill visa de roller som har tilldelats till var och en av standardrollgrupperna kör du följande kommandon i Security & Compliance PowerShell:
$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,("-"*25); Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
Du kan också visa de roller som tilldelats till en rollgrupp i Microsoft Defender-portalen. Gå till sidan Behörigheter och välj en rollgrupp. De tilldelade rollerna visas på den utfällbara sidan.
Hantera varningar
När aviseringar har genererats och visas på sidan Aviseringar i Microsoft Defender-portalen kan du sortera, undersöka och lösa dem. Samma RBAC-behörigheter som ger användarna åtkomst till aviseringar ger dem också möjlighet att hantera aviseringar.
Här följer några uppgifter som du kan utföra för att hantera aviseringar.
Tilldela en status till aviseringar: Du kan tilldela någon av följande statusar till aviseringar: Ny (standardvärdet), Pågår eller Löst. Sedan kan du filtrera på den här inställningen för att visa aviseringar med samma statusinställning. Den här statusinställningen kan hjälpa dig att spåra processen för att hantera aviseringar.
Tilldela en avisering till en användare: Du kan tilldela en avisering till en användare i din organisation. Den här åtgärden kan hjälpa till att säkerställa att aviseringen granskas och löses av lämplig person.
Klassificera aviseringar: Du kan tilldela en klassificering till en avisering. Klassificeringar används för att kategorisera aviseringar baserat på vilken typ av aktivitet som utlöste aviseringen. Du kan till exempel klassificera en avisering som Sann positiv eller Informationsbaserad.
Visa aviseringsinformation: Du kan välja en avisering för att visa en utfälld sida med information om aviseringen. Den detaljerade informationen beror på motsvarande aviseringsprincip, men den innehåller vanligtvis följande information:
- Namnet på den faktiska åtgärd som utlöste aviseringen, till exempel en cmdlet eller en granskningsloggåtgärd.
- En beskrivning av aktiviteten som utlöste aviseringen.
- Den användare (eller lista över användare) som utlöste aviseringen. Detta ingår endast för aviseringsprinciper som har konfigurerats för att spåra en enskild användare eller en enda aktivitet.
- Antalet gånger som aktiviteten som spårades av aviseringen utfördes. Det här numret kanske inte matchar det faktiska antalet relaterade aviseringar som anges på sidan Aviseringar eftersom fler aviseringar kan ha utlösts.
- En länk till en aktivitetslista som innehåller ett objekt för varje aktivitet som utfördes som utlöste aviseringen. Varje post i den här listan identifierar när aktiviteten inträffade, namnet på den faktiska åtgärden (till exempel "FileDeleted"), användaren som utförde aktiviteten, objektet (till exempel en fil, ett eDiscovery-ärende eller en postlåda) som aktiviteten utfördes på och IP-adressen för användarens dator. För aviseringar om skadlig kod länkar detta till en meddelandelista.
- Namnet (och länken) för motsvarande aviseringsprincip.
- Incidenten där aviseringen aggregeras.
Justera en avisering: Du kan ange egenskaper, villkor och åtgärder för att dölja eller lösa en avisering.