Azioni di correzione in Microsoft Defender per Office 365

Nota

Vuoi provare Microsoft 365 Defender? Altre informazioni su come valutare e pilotare Microsoft 365 Defender.

Si applica a

Azioni correttive

Le funzionalità di protezione dalle minacce in Microsoft Defender per Office 365 includono determinate azioni di correzione. Tali azioni di correzione possono includere:

  • Eliminazione temporanea di messaggi di posta elettronica o cluster
  • Blocco di URL (al momento del clic)
  • Disattivazione dell'inoltro della posta elettronica esterna
  • Disattivazione delega

In Microsoft Defender per Office 365, le azioni di correzione non vengono eseguite automaticamente. Al contrario, le azioni di correzione vengono eseguite solo dopo l'approvazione da parte del team delle operazioni di sicurezza dell'organizzazione.

Minacce e azioni correttive

Microsoft Defender per Office 365 include azioni di correzione per affrontare varie minacce. Le indagini automatizzate spesso comportano una o più azioni di correzione da rivedere e approvare. In alcuni casi, un'indagine automatizzata non comporta un'azione di correzione specifica. Per analizzare ulteriormente ed eseguire le azioni appropriate, utilizzare le indicazioni riportate nella tabella seguente.

Categoria Minaccia/rischio Azioni di correzione
Posta elettronica Malware Eliminazione recidiva della posta elettronica/cluster

Se più di una manciata di messaggi di posta elettronica in un cluster contengono malware, il cluster è considerato dannoso.

Posta elettronica URL dannoso
Un URL dannoso è stato rilevato Cassaforte collegamenti.
Eliminazione recidiva della posta elettronica/cluster
URL di blocco (verifica del momento del clic)

La posta elettronica che contiene un URL dannoso è considerata dannosa.

Posta elettronica Phishing Eliminazione recidiva della posta elettronica/cluster

Se più di una serie di messaggi di posta elettronica in un cluster contengono tentativi di phishing, l'intero cluster viene considerato un tentativo di phishing.

Posta elettronica Phish zapped
I messaggi di posta elettronica sono stati recapitati e quindi zapped.
Eliminazione recidiva della posta elettronica/cluster

I report sono disponibili per visualizzare i messaggi zapped. Vedere se ZAP ha spostato un messaggio e domande frequenti.

Posta elettronica Messaggio di posta elettronica di phish perso segnalato da un utente Indagine automatizzata attivata dal report dell'utente
Posta elettronica Anomalia del volume
Le quantità di posta elettronica recenti superano i 7-10 giorni precedenti per i criteri di corrispondenza.
L'indagine automatizzata non comporta un'azione in sospeso specifica.

L'anomalia del volume non è una minaccia chiara, ma è semplicemente un'indicazione di volumi di posta elettronica più elevati negli ultimi giorni rispetto agli ultimi 7-10 giorni.

Anche se un volume elevato di posta elettronica può indicare potenziali problemi, è necessaria una conferma in termini di verdetti dannosi o di una revisione manuale dei messaggi di posta elettronica/cluster. Vedi Trovare messaggi di posta elettronica sospetti recapitati.

Posta elettronica Nessuna minaccia trovata
Il sistema non ha trovato minacce basate su file, URL o analisi dei verdetti del cluster di posta elettronica.
L'indagine automatizzata non comporta un'azione in sospeso specifica.

Le minacce trovate e zapped al termine di un'indagine non si riflettono nei risultati numerici di un'indagine, ma tali minacce sono visualizzabili in Esplora minacce.

Utente Un utente ha fatto clic su un URL dannoso
Un utente si è connesso a una pagina che in seguito è stata trovata dannosa o un utente ha ignorato una pagina di avviso dei collegamenti di Cassaforte per accedere a una pagina dannosa.
L'indagine automatizzata non comporta un'azione in sospeso specifica.

Blocco di URL (al momento del clic)

Usa Esplora minacce per visualizzare i dati sugli URL e fare clic su verdetti.

Se l'organizzazione usa Microsoft Defender for Endpoint, valuta la possibilità di analizzare l'utente per determinare se il suo account è compromesso.

Utente Un utente invia malware/phish L'indagine automatizzata non comporta un'azione in sospeso specifica.

L'utente potrebbe segnalare malware/phish o qualcuno potrebbe eseguire lo spoofing dell'utente come parte di un attacco. Usa Esplora minacce per visualizzare e gestire i messaggi di posta elettronica contenenti malware o virus.

Utente Inoltro della posta elettronica
Le regole di inoltro delle cassette postali sono configurate, è possibile utilizzare chch per l'esfiltrazione dei dati.
Rimuovere la regola di inoltro

Usare le informazioni dettagliate sul flusso di posta, incluso il report Messaggi inoltrati automaticamente, per visualizzare dettagli più specifici sulla posta elettronica inoltrata.

Utente Regole di delega della posta elettronica
L'account di un utente dispone di deleghe impostate.
Rimuovere la regola di delega

Se l'organizzazione usa Microsoft Defender for Endpoint, valuta la possibilità di analizzare l'utente che riceve l'autorizzazione di delega.

Utente Esfiltrazione di dati
(Un utente ha violato i criteri DLP per la condivisione di file o di posta elettronica
L'indagine automatizzata non comporta un'azione in sospeso specifica.

Visualizzare i report DLP ed eseguire un'azione.

Utente Invio anomalo della posta elettronica
Un utente ha inviato di recente più messaggi di posta elettronica rispetto ai 7-10 giorni precedenti.
L'indagine automatizzata non comporta un'azione in sospeso specifica.

L'invio di un volume elevato di posta elettronica non è dannoso da solo. l'utente potrebbe aver semplicemente inviato un messaggio di posta elettronica a un gruppo di destinatari di grandi dimensioni per un evento. Per analizzare, usare informazioni dettagliate sul flusso di posta, incluso il report mappa del flusso di posta per determinare cosa sta succedendo ed eseguire un'azione.

Passaggi successivi