適用於 Office 365 的 Microsoft Defender 中的補救動作
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
補救動作
適用於 Office 365 的 Microsoft Defender 中的威脅防護功能包括特定的補救動作。 這類補救動作可能包括:
- 虛刪除電子郵件訊息或群集
- 封鎖 URL (點擊時)
- 關閉外部郵件轉寄
- 關閉委派
在 適用於 Office 365 的 Microsoft Defender 中,不會自動採取補救動作。 相反地,補救動作只會在組織的安全性作業小組核准時採取。
威脅和補救動作
適用於 Office 365 的 Microsoft Defender 包含解決各種威脅的補救動作。 自動化調查通常會導致一或多個補救動作來檢閱和核准。 在某些情況下,自動化調查不會導致特定的補救動作。 若要進一步調查並採取適當的動作,請使用下表中的指引。
類別 | 威脅/風險 | () 的補救動作 |
---|---|---|
電子郵件 | 惡意程式碼 | 虛刪除電子郵件/叢集 如果叢集中有多個電子郵件訊息包含惡意代碼,叢集就會被視為惡意。 |
電子郵件 | 惡意 URL (Safe Links.) 偵測到惡意 URL |
虛刪除電子郵件/叢集 封鎖 URL (點選驗證) 包含惡意 URL 的 Email 視為惡意。 |
電子郵件 | 網路釣魚 | 虛刪除電子郵件/叢集 如果叢集中有多個電子郵件訊息包含網路釣魚嘗試,則整個叢集會被視為網路釣魚嘗試。 |
電子郵件 | Zapped 網路釣魚 (傳遞 Email 訊息,然後傳送 zapped.) |
虛刪除電子郵件/叢集 報表可用來檢視已壓縮的訊息。 查看 ZAP 是否已移動訊息和常見問題。 |
電子郵件 | 用戶 回報 的遺漏網路釣魚電子郵件 | 用戶報告所觸發的自動化調查 |
電子郵件 | 磁碟區異常 (相符 criteria 的最近電子郵件數量超過前 7-10 天。) |
自動化調查不會導致特定的擱置動作。 磁碟區異常不是明顯的威脅,但只是表示相較於過去 7-10 天,最近幾天的電子郵件數量較大。 雖然大量的電子郵件可能表示潛在的問題,但需要確認惡意決策或手動檢閱電子郵件訊息/叢集。 請參閱 尋找已傳遞的可疑電子郵件。 |
電子郵件 | 找不到威脅 (系統根據檔案、URL 或電子郵件叢集決策分析找不到任何威脅。) |
自動化調查不會導致特定的擱置動作。 |
使用者 | 用戶按兩下惡意URL (用戶流覽至稍後發現為惡意的頁面,或使用者略過 安全連結警告頁面 以取得惡意頁面。) |
自動化調查不會導致特定的擱置動作。 封鎖 URL (點按時) 使用威脅總管來 檢視 URL 的相關數據,然後按兩下決策。 如果您的組織使用 適用於端點的 Microsoft Defender,請考慮調查使用者,以判斷其帳戶是否遭到入侵。 |
使用者 | 使用者正在傳送惡意代碼/網路釣魚 | 自動化調查不會導致特定的擱置動作。 使用者可能回報惡意代碼/網路釣魚,或有人在攻擊過程中 詐騙使用者 。 使用 威脅總管 來檢視和處理包含 惡意代碼 或 網路釣魚的電子郵件。 |
使用者 | 電子郵件轉寄 (信箱轉寄規則已設定,chch 可用於數據外流。) |
拿掉轉送規則 使用 自動轉寄郵件報表 來檢視轉寄電子郵件的特定詳細數據。 |
使用者 | Email 委派規則 (使用者的帳戶已設定委派。) |
拿掉委派規則 如果您的組織使用 適用於端點的 Microsoft Defender,請考慮調查取得委派許可權的使用者。 |
使用者 | 資料外流 (使用者違反電子郵件或檔案共用 DLP 原則 |
自動化調查不會導致特定的擱置動作。 |
使用者 | 傳送異常電子郵件 (使用者最近傳送的電子郵件數超過過去 7-10 天。) |
自動化調查不會導致特定的擱置動作。 傳送大量電子郵件本身並不是惡意的;使用者可能剛傳送電子郵件給大型群組的收件者進行事件。 若要調查,請使用 EAC中EAC 和 輸出訊息報告中 的新用戶轉寄電子郵件深入解析,以判斷發生什麼事並採取動作。 |
後續步驟
- 在 適用於 Office 365 的 Microsoft Defender 中檢視自動化調查的詳細數據和結果
- 在 適用於 Office 365 的 Microsoft Defender 中進行自動化調查之後,檢視擱置或已完成的補救動作