通过自动调查和响应解决遭到入侵的用户帐户

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

Microsoft Defender for Office 365计划 2 包括强大的自动调查和响应 (AIR) 功能。 此类功能可以为安全运营团队节省大量处理威胁的时间和精力。 本文介绍 AIR 功能的一个方面,即泄露的用户安全 playbook。

受攻击的用户安全 playbook 使组织的安全团队能够:

  • 加快检测泄露的用户帐户;
  • 限制帐户泄露时的违规范围;和
  • 更有效、更高效地响应受攻击的用户。

泄露的用户警报

用户帐户遭到入侵时,会发生非典型或异常行为。 例如,网络钓鱼和垃圾邮件可能从受信任的用户帐户内部发送。 Defender for Office 365可以在Office 365内的电子邮件模式和协作活动中检测到此类异常。 发生这种情况时,将触发警报,并开始威胁缓解过程。

调查并响应泄露的用户

用户帐户遭到入侵时,会触发警报。 在某些情况下,在组织的安全运营团队解决问题之前,会阻止该用户帐户发送任何进一步的电子邮件。 在其他情况下,将开始自动调查,这可能会导致安全团队应采取的建议操作。

重要

必须具有适当的权限才能执行以下任务。 请参阅 使用 AIR 功能所需的权限

观看此简短视频,了解如何使用自动调查和响应 (AIR) 和泄露的用户警报来检测和响应Microsoft Defender for Office 365中的用户泄露。

查看和调查受限用户

有几个选项可用于导航到受限用户列表。 例如,在 Microsoft Defender 门户中,可以转到Email &协作>查看>受限用户。 以下过程介绍了使用警报仪表板导航,这是查看可能已触发的各种警报的好方法。

  1. 打开 https://security.microsoft.com Microsoft Defender 门户,转到“事件 & 警报>警报”。 或者,若要直接转到 “警报 ”页,请使用 https://security.microsoft.com/alerts

  2. “警报 ”页上,按时间段和名为 “用户限制无法发送电子邮件”的策略筛选结果。

    Microsoft Defender门户中针对受限用户进行筛选的“警报”页

  3. 如果通过单击名称选择条目,则会打开“ 用户限制无法发送电子邮件 ”页面,其中包含供你查看的其他详细信息。 在 “管理警报 ”按钮旁边,可以单击“ 更多选项 ”,然后选择“ 查看受限用户详细信息 ”,转到 “受限用户 ”页,可在其中 释放受限用户

“用户已限制发送电子邮件”页

查看有关自动调查的详细信息

自动调查开始时,可以在Microsoft Defender门户的操作中心查看其详细信息和结果。

若要了解详细信息,请参阅 查看调查的详细信息

请记住以下几点

  • 随时了解警报。 如你所知,发现泄露的时间越长,对组织、客户和合作伙伴产生广泛影响和成本的可能性就越大。 早期检测和及时响应对于缓解威胁至关重要,尤其是在用户帐户遭到入侵时。

  • 自动化可帮助你的安全运营团队。 自动调查和响应功能可以及早检测受攻击的用户,并使安全运营团队能够采取措施来修正威胁。 需要一些帮助? 请参阅 查看和批准操作

后续步骤