Microsoft Defender for Office 365计划 2 中 AIR 的修正操作
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
Microsoft Defender for Office 365计划 2 中的自动调查和响应 (AIR) 通常会导致修正操作,这些操作需要 SecOps) 团队 (批准。
在某些情况下,AIR 不会导致特定的修正操作。 若要进一步调查并采取适当的操作,请使用下表中的指导。
| 类别 | 威胁/风险 | 修正操作 |
|---|---|---|
| 电子邮件 | 恶意软件 | 软删除电子邮件/群集。 如果多个相关邮件包含恶意软件,则整个群集被视为恶意群集。 |
| 电子邮件 | 安全链接检测到恶意 URL。 | 软删除电子邮件/群集。 单击时阻止 URL。 包含恶意 URL 的邮件被视为恶意的。 |
| 电子邮件 | 网络钓鱼 | 软删除电子邮件/群集。 如果多个相关邮件包含网络钓鱼尝试,则整个群集被视为网络钓鱼尝试。 |
| 电子邮件 | 网络钓鱼电子邮件 通过零小时自动清除 (ZAP) .) | 软删除电子邮件/群集。 若要查看 ZAP 是否删除了邮件,请参阅 如何查看 ZAP 是否移动了邮件。 |
| 电子邮件 | 用户报告的钓鱼电子邮件 | 由用户报告触发的自动调查 |
| 电子邮件 | 对于匹配条件) , (最近的电子邮件数量超过前 7-10 天。 | 没有来自 AIR 的特定挂起操作。 卷异常不是明显的威胁。 尽管大量电子邮件可能指示潜在问题,但需要确认恶意判决或手动查看电子邮件/群集。 有关详细信息,请参阅 查找已送达的可疑电子邮件。 |
| 电子邮件 | 未发现威胁 (系统未发现基于) 电子邮件群集判决的文件、URL 或分析的威胁。 | 没有来自 AIR 的特定挂起操作。 ZAP 在完成调查后发现和删除的威胁不会反映在调查的数字结果中,但此类威胁可在威胁资源管理器中查看。 |
| 用户 | 用户单击了恶意 URL (用户访问了后来发现为恶意的页面,或绕过安全 链接警告页 来访问恶意页面。) | 没有来自 AIR 的特定挂起操作。 单击时阻止 URL。 使用威胁资源管理器 查看有关 URL 的数据,然后单击判决。 如果你的组织正在使用Microsoft Defender for Endpoint,请考虑调查用户以确定其帐户是否遭到入侵。 |
| 用户 | 发送恶意软件/钓鱼邮件的用户 | 没有来自 AIR 的特定挂起操作。 用户可能报告恶意软件/网络钓鱼邮件,或者有人在攻击 过程中欺骗用户 。 使用 威胁资源管理器 查看和处理包含 恶意软件 或 钓鱼的电子邮件。 |
| 用户 | 自动外部电子邮件转发 (SMTP 转发、收件箱规则或 Exchange 邮件流规则 (也称为传输规则) 可用于数据外泄) 。 | 删除转发规则或配置。 使用 “自动转发的邮件”报告 可以查看有关转发电子邮件的特定详细信息。 |
| 用户 | Email委托 (帐户设置了) 。 | 删除委托。 如果组织正在使用 Defender for Endpoint,请考虑调查具有委派权限 的用户 。 |
| 用户 | 数据外泄 (用户违反了电子邮件或文件共享 DLP 策略) 。 | AIR 不会导致特定的挂起操作。 活动资源管理器入门。 |
| 用户 | 发送异常电子邮件 (用户最近发送的电子邮件比前 7-10 天多。) | 没有来自 AIR 的特定挂起操作。 发送大量电子邮件不一定是恶意 (例如,用户可能已将电子邮件发送给一大组事件) 收件人。 若要进行调查,请使用 Exchange 管理中心中的 新用户转发电子邮件见解 和 出站邮件报告 (EAC) 。 |
后续步骤
- 在 Microsoft Defender for Office 365 中查看自动调查的详细信息和结果
- 在 Microsoft Defender for Office 365 中查看自动调查后挂起或已完成的修正操作