Share via

Actions de correction dans Microsoft Defender pour Office 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Actions de correction

Les fonctionnalités de protection contre les menaces dans Microsoft Defender pour Office 365 incluent certaines actions de correction. Ces actions de correction peuvent inclure :

  • Supprimer (récupération possible) le courrier ou des clusters
  • Bloquer l’URL (heure du clic)
  • Désactiver le transfert de courrier externe
  • Désactiver la délégation

Dans Microsoft Defender pour Office 365, les actions de correction ne sont pas effectuées automatiquement. Au lieu de cela, les actions de correction ne sont effectuées qu’après approbation par l’équipe des opérations de sécurité de votre organization.

Menaces et actions de correction

Microsoft Defender pour Office 365 comprend des actions de correction pour répondre à diverses menaces. Les investigations automatisées entraînent souvent une ou plusieurs actions de correction à examiner et à approuver. Dans certains cas, une investigation automatisée n’entraîne pas d’action de correction spécifique. Pour approfondir l’examen et prendre les mesures appropriées, suivez les instructions du tableau suivant.

Catégorie Menace/risque Action(s) de correction
E-mail Programme malveillant Suppression réversible d’e-mail/cluster

Si plus d’une poignée de messages électroniques dans un cluster contiennent des programmes malveillants, le cluster est considéré comme malveillant.
E-mail URL malveillante
(Une URL malveillante a été détectée par les liens fiables.)		 Suppression réversible d’e-mail/cluster
URL de blocage (vérification de l’heure de clic)

Email qui contient une URL malveillante est considérée comme malveillante.
E-mail Phish Suppression réversible d’e-mail/cluster

Si plus d’une poignée de messages électroniques dans un cluster contiennent des tentatives d’hameçonnage, l’ensemble du cluster est considéré comme une tentative d’hameçonnage.
E-mail Hameçonnage zapé
(Email messages ont été remis, puis zapés.)		 Suppression réversible d’e-mail/cluster

Les rapports sont disponibles pour afficher les messages zapés. Vérifiez si ZAP a déplacé un message et faq.
E-mail E-mail hameçonnage manqué signalé par un utilisateur Investigation automatisée déclenchée par le rapport de l’utilisateur
E-mail Anomalie de volume
(Les quantités d’e-mails récentes dépassent les 7 à 10 jours précédents pour les critères de correspondance.)		 L’examen automatisé n’entraîne pas d’action en attente spécifique.

L’anomalie de volume n’est pas une menace claire, mais elle est simplement une indication de volumes d’e-mails plus importants ces derniers jours par rapport aux 7 à 10 derniers jours.

Bien qu’un volume élevé d’e-mails puisse indiquer des problèmes potentiels, une confirmation est nécessaire en termes de verdicts malveillants ou d’examen manuel des messages électroniques/clusters. Consultez Rechercher les e-mails suspects qui ont été remis.
E-mail Aucune menace détectée
(Le système n’a trouvé aucune menace basée sur les fichiers, les URL ou l’analyse des verdicts de cluster de messagerie.)		 L’examen automatisé n’entraîne pas d’action en attente spécifique.

Les menaces détectées et zapées une fois l’enquête terminée ne sont pas reflétées dans les résultats numériques d’une enquête, mais ces menaces sont visibles dans la Explorer des menaces.
Utilisateur Un utilisateur a cliqué sur une URL malveillante
(Un utilisateur a accédé à une page qui a été détectée par la suite comme étant malveillante, ou un utilisateur a contourné une page d’avertissement liens fiables pour accéder à une page malveillante.)		 L’examen automatisé n’entraîne pas d’action en attente spécifique.

Bloquer l’URL (heure du clic)

Utilisez threat Explorer pour afficher les données sur les URL et cliquer sur les verdicts.

Si votre organization utilise Microsoft Defender pour point de terminaison, envisagez d’examiner l’utilisateur pour déterminer si son compte est compromis.
Utilisateur Un utilisateur envoie un programme malveillant/hameçonnage L’examen automatisé n’entraîne pas d’action en attente spécifique.

L’utilisateur peut signaler un programme malveillant/hameçonnage, ou quelqu’un peut usurper l’utilisateur dans le cadre d’une attaque. Utilisez threat Explorer pour afficher et gérer les e-mails contenant des programmes malveillants ou des hameçonnages.
Utilisateur Transfert de messages électroniques
(Les règles de transfert de boîte aux lettres sont configurées, chch peut être utilisé pour l’exfiltration de données.)		 Supprimer la règle de transfert

Utilisez le rapport des messages envoyés automatiquement pour afficher des détails spécifiques sur les e-mails transférés.
Utilisateur Email règles de délégation
(Les délégations sont configurées pour le compte d’un utilisateur.)		 Supprimer la règle de délégation

Si votre organization utilise Microsoft Defender pour point de terminaison, envisagez d’examiner l’utilisateur qui obtient l’autorisation de délégation.
Utilisateur Data exfiltration
(Un utilisateur a violé les stratégies DLP de messagerie ou de partage de fichiers		 L’examen automatisé n’entraîne pas d’action en attente spécifique.

Prise en main des Explorer d’activité.
Utilisateur Envoi anormal d’e-mails
(Un utilisateur a récemment envoyé plus d’e-mails qu’au cours des 7 à 10 jours précédents.)		 L’examen automatisé n’entraîne pas d’action en attente spécifique.

L’envoi d’un grand volume d’e-mails n’est pas malveillant en soi ; l’utilisateur a peut-être simplement envoyé un e-mail à un grand groupe de destinataires pour un événement. Pour investiguer, utilisez l’insight nouveaux utilisateurs de transfert d’e-mails dans le cae et le rapport de messages sortants dans le CAE pour déterminer ce qui se passe et prendre des mesures.

Prochaines étapes