Reparationsåtgärder från AIR i Microsoft Defender för Office 365 plan 2
Tips
Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
Automatiserad undersökning och svar (AIR) i Microsoft Defender för Office 365 plan 2 resulterar ofta i reparationsåtgärder som kräver godkännande från ditt SecOps-team (Security Operations).
I vissa fall resulterar AIR inte i specifika reparationsåtgärder. Om du vill undersöka och vidta lämpliga åtgärder ytterligare använder du vägledningen i följande tabell.
| Kategori | Hot/risk | Reparationsåtgärder |
|---|---|---|
| E-post | Skadlig kod | E-post/kluster för mjuk borttagning. Om mer än en handfull relaterade meddelanden innehåller skadlig kod anses hela klustret vara skadligt. |
| E-post | En skadlig URL upptäcktes av säkra länkar. | E-post/kluster för mjuk borttagning. Blockera URL vid tidpunkten för klick. Meddelandet som innehåller en skadlig URL anses vara skadligt. |
| E-post | Fiske | E-post/kluster för mjuk borttagning. Om fler än en handfull relaterade meddelanden innehåller nätfiskeförsök anses hela klustret vara ett nätfiskeförsök. |
| E-post | Nätfiskemeddelande som levereras och tas sedan bort med automatisk rensning på noll timmar (ZAP).) | E-post/kluster för mjuk borttagning. Information om hur du ser om ZAP har tagit bort ett meddelande finns i Så här ser du om ZAP har flyttat meddelandet. |
| E-post | Användare rapporterade nätfiske-e-post | Automatiserad undersökning som utlöses av användarens rapport |
| E-post | Volymavvikelse (de senaste e-postkvantiteterna överskrider de senaste 7–10 dagarna för matchande kriterier). | Inga specifika väntande åtgärder från AIR. En volymavvikelse är inte ett tydligt hot. Även om en stor mängd e-post kan tyda på potentiella problem krävs bekräftelse när det gäller antingen skadliga omdömen eller en manuell granskning av e-postmeddelanden/kluster. Mer information finns i Hitta misstänkt e-post som har levererats. |
| E-post | Inga hot hittades (systemet hittade inga hot baserat på filer, URL:er eller analys av e-postklusterutslag). | Inga specifika väntande åtgärder från AIR. Hot som hittas och tas bort av ZAP efter en slutförd undersökning återspeglas inte i en undersöknings numeriska resultat, men sådana hot kan visas i Threat Explorer. |
| Användare | En användare klickade på en skadlig URL (en användare besökte en sida som senare visade sig vara skadlig eller förbigick en varningssida för säkra länkar för att komma till en skadlig sida.) | Inga specifika väntande åtgärder från AIR. Blockera URL vid tidpunkten för klick. Använd Threat Explorer för att visa data om URL:er och klicka på omdömen. Om din organisation använder Microsoft Defender för Endpoint kan du undersöka användaren för att avgöra om deras konto har komprometterats. |
| Användare | Användare som skickar meddelanden om skadlig kod/nätfiske | Inga specifika väntande åtgärder från AIR. Användaren kanske rapporterar skadlig kod/nätfiskemeddelanden, eller så kan någon förfalska användaren som en del av en attack. Använd Threat Explorer för att visa och hantera e-post som innehåller skadlig kod eller nätfiske. |
| Användare | Automatisk vidarebefordran av extern e-post (SMTP-vidarebefordring, inkorgsregler eller Exchange-e-postflödesregler (kallas även transportregler) kan användas för dataexfiltrering). | Ta bort vidarebefordringsregeln eller konfigurationen. Använd rapporten Autoforwarded messages för att visa specifik information om vidarebefordrad e-post. |
| Användare | Email delegering (ett konto har delegeringar konfigurerade). | Ta bort delegeringar. Om din organisation använder Defender för Endpoint kan du undersöka användaren med delegeringsbehörighet. |
| Användare | Dataexfiltrering (en användare bröt mot DLP-principer för e-post eller fildelning). | AIR resulterar inte i en specifik väntande åtgärd. Kom igång med Aktivitetsutforskaren. |
| Användare | Avvikande e-postsändning (en användare har nyligen skickat mer e-post än under de senaste 7–10 dagarna.) | Inga specifika väntande åtgärder från AIR. Att skicka en stor mängd e-post är inte nödvändigtvis skadligt (till exempel kan användaren ha skickat e-post till en stor grupp mottagare för en händelse). Om du vill undersöka detta använder du rapporten Nya användare som vidarebefordrar e-postinsikter och utgående meddelanden i administrationscentret för Exchange (EAC). |
Nästa steg
- Visa information och resultat av en automatiserad undersökning i Microsoft Defender för Office 365
- Visa väntande eller slutförda åtgärder efter en automatiserad undersökning i Microsoft Defender för Office 365