Řešení ohrožených uživatelských účtů pomocí automatizovaného šetření a odpovědi

Platí pro

Microsoft Defender pro Office 365 Plán 2 zahrnuje výkonné možnosti automatizovaného vyšetřování a reakce (AIR). Díky těmto možnostem může váš provozní tým zabezpečení ušetřit spoustu času a úsilí při řešení hrozeb. Microsoft nadále vylepšuje možnosti zabezpečení. Nedávno byly funkce AIR vylepšeny tak, aby zahrnovaly ohrožený playbook zabezpečení uživatelů (aktuálně ve verzi Preview). Další informace o ohrožené playbooku zabezpečení uživatelů najdete v tomto článku. A podívejte se na blogový příspěvek Zrychlení času pro detekci ohrožení zabezpečení uživatelů a reagování na ně a omezení rozsahu porušení zabezpečení pomocí Microsoft Defender pro Office 365 pro další podrobnosti.

Automatizované šetření pro ohrožené uživatele.

Ohrožený playbook zabezpečení uživatelů umožňuje bezpečnostnímu týmu vaší organizace:

  • Urychlete detekci ohrožených uživatelských účtů;
  • Omezte rozsah porušení zabezpečení při ohrožení účtu. A
  • Efektivnější a efektivnější reakce na ohrožené uživatele

Ohrožená upozornění uživatelů

Když dojde k ohrožení uživatelského účtu, dojde k neobvyklému nebo neobvyklému chování. Například z důvěryhodného uživatelského účtu se můžou interně odesílat phishingové a spamové zprávy. Defender pro Office 365 tyto anomálie v e-mailových vzorech a aktivitách spolupráce v rámci Office 365. V takovém případě se aktivují výstrahy a zahájí se proces zmírnění hrozeb.

Tady je například upozornění, které se aktivovalo kvůli podezřelému odesílání e-mailů:

Výstraha se aktivovala kvůli podezřelému odesílání e-mailů.

Tady je příklad upozornění, které se aktivovalo při dosažení limitu odesílání pro uživatele:

Výstraha aktivovaná odesláním dosažení limitu.

Zkoumání a reakce na ohrožené uživatele

Když dojde k ohrožení zabezpečení uživatelského účtu, aktivují se upozornění. A v některých případech se tento uživatelský účet zablokuje a nebude moct odesílat další e-mailové zprávy, dokud tento problém nevyřeší provozní tým vaší organizace. V jiných případech začíná automatizované šetření, které může vést k doporučeným akcím, které by měl váš bezpečnostní tým provést.

Důležité

Abyste mohli provádět následující úlohy, musíte mít příslušná oprávnění. Viz Požadovaná oprávnění k používání funkcí AIR.

V tomto krátkém videu se dozvíte, jak detekovat ohrožení zabezpečení uživatelů a reagovat na ně v Microsoft Defender pro Office 365 pomocí automatizovaného vyšetřování a reakce (AIR) a ohrožených upozornění uživatelů.

Zobrazení a zkoumání omezených uživatelů

Máte několik možností pro přechod na seznam omezených uživatelů. Například na portálu Microsoft 365 Defender můžete přejít na E-mail & spolupráci > Zkontrolovat > uživatele s omezeným přístupem. Následující postup popisuje navigaci pomocí řídicího panelu Výstrahy , což je dobrý způsob, jak zobrazit různé druhy výstrah, které se mohly aktivovat.

  1. Otevřete portál https://security.microsoft.com Microsoft 365 Defender a přejděte na Incidenty & výstrahy>. Pokud chcete přejít přímo na stránku Výstrahy , použijte příkaz https://security.microsoft.com/alerts.

  2. Na stránce Výstrahy vyfiltrujte výsledky podle časového období a zásady s názvem Uživatel omezili odesílání e-mailů.

    Stránka Upozornění na portálu Microsoft 365 Defender vyfiltrovaná pro uživatele s omezeným přístupem

  3. Pokud tuto položku vyberete kliknutím na jméno, otevře se stránka Uživatel s omezeným odesíláním e-mailu s dalšími podrobnostmi, které můžete zkontrolovat. Vedle tlačítka Spravovat upozornění můžete kliknout na ikonu Další možnosti. Další možnosti a pak výběrem možnosti Zobrazit podrobnosti o omezeném uživateli přejděte na stránku Uživatelé s omezeným přístupem , kde můžete uživatele s omezeným přístupem uvolnit.

Uživateli se omezilo odesílání e-mailové stránky.

Zobrazení podrobností o automatizovaném vyšetřování

Po zahájení automatizovaného šetření se jeho podrobnosti a výsledky zobrazí v Centru zabezpečení & dodržování předpisů. Přejděte do části Vyšetřování správy > hrozeb a výběrem šetření zobrazte jeho podrobnosti.

Další informace najdete v tématu Zobrazení podrobností o šetření.

Mějte na paměti následující body:

  • Mějte přehled o svých upozorněních. Jak víte, čím delší je nepozorovanější kompromis, tím větší je potenciál pro rozsáhlý dopad a náklady pro vaši organizaci, zákazníky a partnery. Včasné zjišťování a včasná reakce jsou zásadní pro zmírnění hrozeb, a to zejména v případě ohrožení účtu uživatele.

  • Automatizace pomáhá, ale nenahrazuje váš provozní tým zabezpečení. Funkce automatizovaného vyšetřování a reakce můžou detekovat napadeného uživatele v rané fázi, ale váš provozní tým zabezpečení se pravděpodobně bude muset zapojit a provést určité šetření a nápravu. Potřebujete s tím pomoct? Viz Kontrola a schválení akcí.

  • Jako jediný indikátor nespoléhejte na podezřelé upozornění na přihlášení. Když dojde k ohrožení zabezpečení uživatelského účtu, může nebo nemusí aktivovat podezřelé upozornění na přihlášení. Někdy se jedná o řadu aktivit, ke kterým dochází po ohrožení zabezpečení účtu, který aktivuje výstrahu. Chcete se o upozorněních dozvědět více? Viz zásady upozornění.

Další kroky