Řešení ohrožených uživatelských účtů pomocí automatizovaného vyšetřování a reakce

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Microsoft Defender pro Office 365 Plán 2 zahrnuje výkonné funkce automatizovaného vyšetřování a reakce (AIR). Tyto funkce můžou vašemu týmu pro operace zabezpečení ušetřit spoustu času a úsilí při řešení hrozeb. Tento článek popisuje jednu z omezujících vlastností funkcí AIR, playbook zabezpečení ohrožených uživatelů.

Playbook zabezpečení ohrožených uživatelů umožňuje bezpečnostnímu týmu vaší organizace:

• Zrychlit detekci ohrožených uživatelských účtů;
• Omezení rozsahu porušení zabezpečení při ohrožení zabezpečení účtu; A
• Reagujte na ohrožené uživatele efektivněji a efektivněji.

Upozornění na ohrožení zabezpečení uživatelů

Když dojde k ohrožení zabezpečení uživatelského účtu, dojde k atypickému nebo neobvyklému chování. Například phishingové a spamové zprávy se můžou posílat interně z důvěryhodného uživatelského účtu. Defender pro Office 365 může detekovat takové anomálie v e-mailových vzorcích a aktivitách spolupráce v rámci Office 365. Když k tomu dojde, aktivují se výstrahy a zahájí se proces zmírnění hrozeb.

Šetření a reakce na ohroženého uživatele

Když dojde k ohrožení zabezpečení uživatelského účtu, aktivují se výstrahy. A v některých případech je tento uživatelský účet zablokovaný a brání odesílání dalších e-mailových zpráv, dokud se problém nevyřeší provozním týmem zabezpečení vaší organizace. V ostatních případech začne automatizované šetření, které může vést k doporučeným akcím, které by měl váš bezpečnostní tým provést.

• Zobrazení a zkoumání uživatelů s omezeným přístupem

• Zobrazení podrobností o automatizovaných šetřeních

Důležité

K provedení následujících úloh musíte mít příslušná oprávnění. Viz Požadovaná oprávnění k používání funkcí AIR.

V tomto krátkém videu se dozvíte, jak můžete detekovat ohrožení zabezpečení uživatelů v Microsoft Defender pro Office 365 a reagovat na ně pomocí automatizovaných šetření a reakcí (AIR) a upozornění na ohrožení zabezpečení uživatelů.

Zobrazení a zkoumání uživatelů s omezeným přístupem

Máte několik možností, jak přejít na seznam uživatelů s omezeným přístupem. Například na portálu Microsoft Defender můžete přejít na Email & spolupráci>Zkontrolovat>omezené uživatele. Následující postup popisuje navigaci pomocí řídicího panelu Výstrahy , což je dobrý způsob, jak zobrazit různé druhy výstrah, které se mohly aktivovat.

1. Otevřete portál Microsoft Defender na adrese https://security.microsoft.com a přejděte na Incidenty & výstrahy>Výstrahy. Pokud chcete přejít přímo na stránku Upozornění , použijte příkaz https://security.microsoft.com/alerts.

2. Na stránce Výstrahy vyfiltrujte výsledky podle časového období a zásady s názvem Uživatel s omezeným odesíláním e-mailů.

   

3. Pokud položku vyberete kliknutím na jméno, otevře se stránka Uživatel s omezeným odesíláním e-mailů s dalšími podrobnostmi, které můžete zkontrolovat. Vedle tlačítka Spravovat upozornění můžete kliknout na Další možnosti a pak vybrat Zobrazit podrobnosti o uživateli s omezeným přístupem a přejít na stránku Uživatelé s omezeným přístupem, kde můžete uživatele s omezeným přístupem uvolnit.

Zobrazení podrobností o automatizovaných šetřeních

Po zahájení automatizovaného vyšetřování uvidíte jeho podrobnosti a výsledky v Centru akcí na portálu Microsoft Defender.

Další informace najdete v tématu Zobrazení podrobností o šetření.

Mějte na paměti následující body

• Mějte přehled o svých upozorněních. Jak víte, čím déle bude kompromis nezjištěný, tím větší je potenciál rozsáhlého dopadu a nákladů na vaši organizaci, zákazníky a partnery. Včasné zjišťování a včasná reakce jsou zásadní pro zmírnění hrozeb, a to zejména v případě ohrožení uživatelského účtu.

• Automatizace pomáhá vašemu týmu pro operace zabezpečení. Funkce automatizovaného vyšetřování a reakce můžou odhalit ohroženého uživatele v rané fázi a umožnit vašemu týmu pro operace zabezpečení podniknout kroky k nápravě hrozby. Potřebujete s tím pomoct? Viz Kontrola a schválení akcí.

Další kroky

• Kontrola požadovaných oprávnění k používání funkcí AIR

• Vyhledání a prošetření škodlivých e-mailů v Office 365

• Informace o funkci AIR v Microsoft Defender for Endpoint

• Navštivte přehled Microsoftu 365, kde zjistíte, co připravujeme a zavádíme.