Azioni di correzione in Microsoft Defender per Office 365

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Azioni correttive

Le funzionalità di protezione dalle minacce in Microsoft Defender per Office 365 includono alcune azioni correttive. Tali azioni correttive possono includere:

  • Eliminazione temporanea di messaggi di posta elettronica o cluster
  • Blocco di URL (al momento del clic)
  • Disattivazione dell'inoltro della posta elettronica esterna
  • Disattivazione delega

In Microsoft Defender per Office 365 le azioni di correzione non vengono eseguite automaticamente. Le azioni di correzione vengono invece eseguite solo dopo l'approvazione da parte del team delle operazioni di sicurezza dell'organizzazione.

Minacce e azioni correttive

Microsoft Defender per Office 365 include azioni di correzione per affrontare varie minacce. Le indagini automatizzate spesso comportano una o più azioni correttive da rivedere e approvare. In alcuni casi, un'indagine automatizzata non comporta un'azione di correzione specifica. Per analizzare e intraprendere le azioni appropriate, usare le indicazioni riportate nella tabella seguente.

Categoria Minaccia/rischio Azioni correttive
Posta elettronica Malware Eliminazione temporanea di posta elettronica/cluster

Se più di una manciata di messaggi di posta elettronica in un cluster contengono malware, il cluster è considerato dannoso.
Posta elettronica URL dannoso
(Un URL dannoso è stato rilevato da Collegamenti sicuri).		 Eliminazione temporanea di posta elettronica/cluster
URL di blocco (verifica del tempo di clic)

Email che contiene un URL dannoso è considerato dannoso.
Posta elettronica Phish Eliminazione temporanea di posta elettronica/cluster

Se più di una manciata di messaggi di posta elettronica in un cluster contengono tentativi di phishing, l'intero cluster viene considerato un tentativo di phishing.
Posta elettronica Phish zapped
(Email messaggi sono stati recapitati e quindi zapped.		 Eliminazione temporanea di posta elettronica/cluster

I report sono disponibili per visualizzare i messaggi zapped. Verificare se ZAP ha spostato un messaggio e domande frequenti.
Posta elettronica Messaggio di posta elettronica phish mancato segnalato da un utente Indagine automatizzata attivata dal report dell'utente
Posta elettronica Anomalia del volume
Le quantità di posta elettronica recenti superano i 7-10 giorni precedenti per i criteri di corrispondenza.		 L'indagine automatizzata non comporta un'azione in sospeso specifica.

L'anomalia del volume non è una minaccia chiara, ma è semplicemente un'indicazione di volumi di posta elettronica più grandi negli ultimi giorni rispetto agli ultimi 7-10 giorni.

Anche se un volume elevato di messaggi di posta elettronica può indicare potenziali problemi, la conferma è necessaria in termini di verdetti dannosi o di revisione manuale di messaggi di posta elettronica/cluster. Vedere Trovare un messaggio di posta elettronica sospetto recapitato.
Posta elettronica Nessuna minaccia trovata
Il sistema non ha trovato alcuna minaccia in base a file, URL o analisi dei verdetti del cluster di posta elettronica.		 L'indagine automatizzata non comporta un'azione in sospeso specifica.

Le minacce rilevate e zapped dopo il completamento di un'indagine non si riflettono nei risultati numerici di un'indagine, ma tali minacce sono visualizzabili in Esplora minacce.
Utente Un utente ha fatto clic su un URL dannoso
(Un utente si è avvicinato a una pagina che è stata successivamente trovata dannosa o un utente ha ignorato una pagina di avviso Collegamenti sicuri per accedere a una pagina dannosa.		 L'indagine automatizzata non comporta un'azione in sospeso specifica.

Blocco di URL (al momento del clic)

Usare Esplora minacce per visualizzare i dati sugli URL e fare clic su verdetti.

Se l'organizzazione usa Microsoft Defender per endpoint, valutare la possibilità di analizzare l'utente per determinare se il proprio account è compromesso.
Utente Un utente invia malware/phishing L'indagine automatizzata non comporta un'azione in sospeso specifica.

L'utente potrebbe segnalare malware/phishing o qualcuno potrebbe falsifidare l'utente come parte di un attacco. Usare Esplora minacce per visualizzare e gestire i messaggi di posta elettronica contenenti malware o phishing.
Utente Inoltro della posta elettronica
Le regole di inoltro delle cassette postali sono configurate e chch può essere usato per l'esfiltrazione dei dati.		 Rimuovere la regola di inoltro

Usare il report Messaggi inoltrati automaticamente per visualizzare dettagli specifici sulla posta elettronica inoltrata.
Utente Email regole di delega
(L'account di un utente ha impostato le deleghe).		 Rimuovere la regola di delega

Se l'organizzazione usa Microsoft Defender per endpoint, valutare la possibilità di analizzare l'utente che ottiene l'autorizzazione di delega.
Utente Esfiltrazione di dati
(Un utente ha violato i criteri DLP di posta elettronica o condivisione file		 L'indagine automatizzata non comporta un'azione in sospeso specifica.

Introduzione a Esplora attività.
Utente Invio di messaggi di posta elettronica anomali
Un utente ha inviato di recente più messaggi di posta elettronica rispetto ai 7-10 giorni precedenti.		 L'indagine automatizzata non comporta un'azione in sospeso specifica.

L'invio di un volume elevato di messaggi di posta elettronica non è dannoso da solo; L'utente potrebbe aver semplicemente inviato un messaggio di posta elettronica a un gruppo di destinatari di grandi dimensioni per un evento. Per analizzare, usare i nuovi utenti che inoltrano informazioni dettagliate sulla posta elettronica nel report EAC e dei messaggi in uscita nell'interfaccia di amministrazione di Exchange per determinare cosa sta succedendo e intervenire.

Passaggi successivi