Действия по исправлению в Microsoft Defender для Office 365Remediation actions in Microsoft Defender for Office 365

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область примененияApplies to

Действия по исправлениюRemediation actions

Функции защиты от угроз в Microsoft Defender для Office 365 включают определенные действия по исправлению.Threat protection features in Microsoft Defender for Office 365 include certain remediation actions. Такие действия по исправлению могут включать:Such remediation actions can include:

  • Обратимое удаление сообщений электронной почты или кластеровSoft delete email messages or clusters
  • Блокирование URL-адреса (во время щелчка)Block URL (time-of-click)
  • Отключение внешней переадресации почтыTurn off external mail forwarding
  • Отключение делегированияTurn off delegation

В Microsoft Defender для Office 365 действия по исправлению не принимаются автоматически.In Microsoft Defender for Office 365, remediation actions are not taken automatically. Вместо этого действия по исправлению принимаются только после утверждения командой операций безопасности организации.Instead, remediation actions are taken only upon approval by your organization's security operations team.

Действия по устранению угроз и исправлениюThreats and remediation actions

Microsoft Defender для Office 365 включает действия по исправлению последствий для устранения различных угроз.Microsoft Defender for Office 365 includes remediation actions to address various threats. Автоматические расследования часто приводит к одному или несколько действий по исправлению последствий для проверки и утверждения.Automated investigations often result in one or more remediation actions to review and approve. В некоторых случаях автоматическое расследование не приводит к определенным действиям по исправлению.In some cases, an automated investigation does not result in a specific remediation action. Чтобы дополнительно изучить и принять соответствующие меры, используйте руководство в следующей таблице.To further investigate and take appropriate actions, use the guidance in the following table.

CategoryCategory Угроза/рискThreat/risk Действие по исправлению (s)Remediation action(s)
Электронная почтаEmail Вредоносные программыMalware Soft delete email/clusterSoft delete email/cluster

Если несколько сообщений электронной почты в кластере содержат вредоносные программы, кластер считается вредоносным.If more than a handful of email messages in a cluster contain malware, the cluster is considered to be malicious.

Электронная почтаEmail Вредоносный URL-адресMalicious URL
(Вредоносный URL-адрес был обнаружен Сейф ссылками.)(A malicious URL was detected by Safe Links.)
Soft delete email/clusterSoft delete email/cluster
Блокировка URL-адреса (проверка времени щелчка мыши)Block URL (time-of-click verification)

Электронная почта, содержаная вредоносный URL-адрес, считается вредоносной.Email that contains a malicious URL is considered to be malicious.

Электронная почтаEmail ФишингPhish Soft delete email/clusterSoft delete email/cluster

Если несколько сообщений электронной почты в кластере содержат попытки фишинга, весь кластер считается попыткой фишинга.If more than a handful of email messages in a cluster contain phishing attempts, the whole cluster is considered a phishing attempt.

Электронная почтаEmail Запертая фишинговая атакаZapped phish
(Сообщения электронной почты были доставлены, а затем заперт.)(Email messages were delivered and then zapped.)
Soft delete email/clusterSoft delete email/cluster

Отчеты доступны для просмотра запертой сообщений.Reports are available to view zapped messages. См., перемещает ли ZAP сообщение и задаваемые в них задаваемые в качестве задаваемой личные и задаваемSee if ZAP moved a message and FAQs.

Электронная почтаEmail Пропущенная фишинговая почта, о чем сообщил пользовательMissed phish email reported by a user Автоматическое расследование, инициированное отчетом пользователяAutomated investigation triggered by the user's report
Электронная почтаEmail Аномалия томаVolume anomaly
(Последние количества электронной почты превышают предыдущие 7-10 дней для соответствия критериям.)(Recent email quantities exceed the previous 7-10 days for matching criteria.)
Автоматическое расследование не приводит к определенным ожидающих действий.Automated investigation does not result in a specific pending action.

Аномалия громкости не является явной угрозой, а является лишь указанием на более крупные объемы электронной почты в последние дни по сравнению с последними 7-10 днями.Volume anomaly is not a clear threat, but is merely an indication of larger email volumes in recent days compared to the last 7-10 days.

Несмотря на то, что большой объем электронной почты может указывать на возможные проблемы, требуется подтверждение с точки зрения вредоносных вердиктов или ручного анализа сообщений электронной почты/кластеров.Although a high volume of email can indicate potential issues, confirmation is needed in terms of either malicious verdicts or a manual review of email messages/clusters. См. поиск подозрительной электронной почты, которая была доставлена.See Find suspicious email that was delivered.

Электронная почтаEmail Угрозы не найденыNo threats found
(Система не находит угроз, основанных на файлах, URL-адресах или анализе вердиктов кластера электронной почты.)(The system did not find any threats based on files, URLs, or analysis of email cluster verdicts.)
Автоматическое расследование не приводит к определенным ожидающих действий.Automated investigation does not result in a specific pending action.

Угрозы, найденные и заблокируемые после завершения расследования, не отражаются в числовом выводе исследования, но такие угрозы просматриваются в Обозревателе угроз.Threats found and zapped after an investigation is complete are not reflected in an investigation's numerical findings, but such threats are viewable in Threat Explorer.

Пользователь.User Пользователь щелкнул вредоносный URL-адресA user clicked a malicious URL
(Пользователь, перенаехав страницу, которая позже была обнаружена вредоносной, или пользователь обошел страницу предупреждения Сейф ссылки, чтобы добраться до вредоносной страницы.)(A user navigated to a page that was later found to be malicious, or a user bypassed a Safe Links warning page to get to a malicious page.)
Автоматическое расследование не приводит к определенным ожидающих действий.Automated investigation does not result in a specific pending action.

Блокирование URL-адреса (во время щелчка)Block URL (time-of-click)

Используйте Обозреватель угроз, чтобы просматривать данные о URL-адресах и щелкать вердикты.Use Threat Explorer to view data about URLs and click verdicts.

Если ваша организация использует Microsoft Defender для конечнойточки, рассмотрите возможность проверки пользователя, чтобы определить, скомпрометирована ли учетная запись.If your organization is using Microsoft Defender for Endpoint, consider investigating the user to determine if their account is compromised.

Пользователь.User Пользователь отправляет вредоносные программы и фишингA user is sending malware/phish Автоматическое расследование не приводит к определенным ожидающих действий.Automated investigation does not result in a specific pending action.

Пользователь может сообщать о вредоносных программах или фишинге, или кто-то может подменить пользователя в рамках атаки.The user might be reporting malware/phish, or someone could be spoofing the user as part of an attack. Используйте Обозреватель угроз для просмотра и обработки электронной почты, содержащей вредоносные программы или фишинг.Use Threat Explorer to view and handle email containing malware or phish.

Пользователь.User Переадресация почтыEmail forwarding
(Настраиваются правила пересылания почтовых ящиков, которые можно использовать для эксфильтрации данных.)(Mailbox forwarding rules are configured, which could be used for data exfiltration.)
Удаление правила переададкиRemove forwarding rule

Используйте сведения о потоке почты,в том числе отчет об автозапровожденных сообщениях, чтобы просмотреть более подробные сведения о пересылаемой электронной почте. Use mail flow insights, including the Autoforwarded messages report, to view more specific details about forwarded email.

Пользователь.User Правила делегирования электронной почтыEmail delegation rules
(У учетной записи пользователя настроена делегирования.)(A user's account has delegation set up.)
Удаление правила делегированияRemove delegation rule

Если ваша организация использует Microsoft Defender для конечнойточки, рассмотрите вопрос о том, кто получает разрешение на делегирования.If your organization is using Microsoft Defender for Endpoint, consider investigating the user who's getting the delegation permission.

Пользователь.User Кража данныхData exfiltration
(Пользователь нарушил политики DLP электронной почты или общего доступа к файлам(A user violated email or file-sharing DLP policies
Автоматическое расследование не приводит к определенным ожидающих действий.Automated investigation does not result in a specific pending action.

Просмотр отчетов DLP и действие.View DLP reports and take action.

Пользователь.User Аномальная отправка электронной почтыAnomalous email sending
(Недавно пользователь отправил больше электронной почты, чем в течение предыдущих 7-10 дней.)(A user recently sent more email than during the previous 7-10 days.)
Автоматическое расследование не приводит к определенным ожидающих действий.Automated investigation does not result in a specific pending action.

Отправка большого объема электронной почты сама по себе не является вредоносной; пользователь мог просто отправить электронную почту большой группе получателей для события.Sending a large volume of email isn't malicious by itself; the user might just have sent email to a large group of recipients for an event. Чтобы исследовать, используйте сведения о потоке почты,включая отчет о карте потока почты, чтобы определить, что происходит, и принять меры. To investigate, use mail flow insights, including the mail flow map report to determine what's going on and take action.

Дальнейшие действияNext steps