適用於 Office 365 的 Microsoft Defender 方案 2 中的 AIR 補救動作
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 在 Microsoft Defender 入口網站試用中樞使用 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
適用於 Office 365 的 Microsoft Defender 方案 (2 中 AIR) 的自動化調查和回應,通常會導致需要安全性作業 (SecOps) 小組核准的補救動作。
在某些情況下,AIR 不會產生特定的補救動作。 若要進一步調查並採取適當的動作,請使用下表中的指引。
| 類別 | 威脅/風險 | 補救動作 |
|---|---|---|
| 電子郵件 | 惡意程式碼 | 虛刪除電子郵件/叢集。 如果有多個相關訊息包含惡意代碼,整個叢集就會被視為惡意。 |
| 電子郵件 | 安全連結偵測到惡意 URL。 | 虛刪除電子郵件/叢集。 按兩下時封鎖URL。 包含惡意 URL 的訊息會被視為惡意訊息。 |
| 電子郵件 | 網路釣魚 | 虛刪除電子郵件/叢集。 如果有多個相關訊息包含網路釣魚嘗試,則整個叢集會被視為網路釣魚嘗試。 |
| 電子郵件 | 以零時差自動清除方式傳遞並移除網路釣魚電子郵件 , (ZAP) .) | 虛刪除電子郵件/叢集。 若要查看 ZAP 是否已移除訊息,請參閱 如何查看 ZAP 是否已移動您的訊息。 |
| 電子郵件 | 用戶回報網路釣魚電子郵件 | 用戶報告所觸發的自動化調查 |
| 電子郵件 | 相符準則) ,最近電子郵件數量 (量異常超過前 7-10 天。 | 沒有來自 AIR 的特定擱置動作。 磁碟區異常不是明顯的威脅。 雖然大量的電子郵件可能表示潛在的問題,但就惡意決策或電子郵件訊息/叢集的手動檢閱而言,還是需要確認。 如需詳細資訊,請 參閱尋找已傳遞的可疑電子郵件。 |
| 電子郵件 | 在系統 (找不到任何威脅,根據檔案、URL 或電子郵件叢集決策分析) 。 | 沒有來自 AIR 的特定擱置動作。 ZAP 在完成調查後找到並 移除 的威脅不會反映在調查的數值結果中,但這類威脅可在威脅總管中 檢視。 |
| 使用者 | 用戶單擊惡意 URL (用戶流覽了一個稍後發現為惡意的頁面,或略過 [安全連結] 警告頁面 以取得惡意頁面。) | 沒有來自 AIR 的特定擱置動作。 按兩下時封鎖URL。 使用威脅總管來 檢視 URL 的相關數據,然後按兩下決策。 如果您的組織使用 適用於端點的 Microsoft Defender,請考慮調查使用者,以判斷其帳戶是否遭到入侵。 |
| 使用者 | 傳送惡意代碼/網路釣魚訊息的使用者 | 沒有來自 AIR 的特定擱置動作。 使用者可能回報惡意代碼/網路釣魚訊息,或有人在攻擊過程中 詐騙使用者 。 使用 威脅總管 來檢視和處理包含 惡意代碼 或 網路釣魚的電子郵件。 |
| 使用者 | 自動外部電子郵件轉寄 (SMTP 轉寄、收件匣規則或 Exchange 郵件流程規則 (也稱為傳輸規則) 可用於數據外流) 。 | 拿掉轉送規則或組態。 使用 自動轉寄郵件報表 來檢視轉寄電子郵件的特定詳細數據。 |
| 使用者 | Email 委派 (帳戶已設定委派) 。 | 拿掉委派。 如果您的組織使用 適用於端點的Defender,請考慮以委派許可權 調查使用者 。 |
| 使用者 | 使用者違反電子郵件或檔案共用 DLP 原則) (數據外流。 | AIR 不會導致特定的擱置動作。 開始使用活動總管。 |
| 使用者 | 傳送異常電子郵件 (使用者最近傳送的電子郵件數超過過去 7-10 天。) | 沒有來自 AIR 的特定擱置動作。 傳送大量電子郵件不一定是惡意 (例如,使用者可能已將電子郵件傳送至大型收件者群組,以取得事件) 。 若要調查,請使用 Exchange 系統管理中心內的新 用戶轉寄電子郵件深入解析 和 輸出訊息報告 , (EAC) 。 |
後續步驟
- 在 適用於 Office 365 的 Microsoft Defender 中檢視自動化調查的詳細數據和結果
- 在 適用於 Office 365 的 Microsoft Defender 中進行自動化調查之後,檢視擱置或已完成的補救動作