Åtgärdsåtgärder i Microsoft Defender för Office 365
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.
Reparationsåtgärder
Hotskyddsfunktioner i Microsoft Defender för Office 365 omfattar vissa åtgärder. Sådana åtgärder kan vara:
- Mjuk borttagning av e-postmeddelanden eller kluster
- Blockera URL (klicktid)
- Inaktivera vidarebefordran av extern e-post
- Inaktivera delegering
I Microsoft Defender för Office 365 vidtas inte reparationsåtgärder automatiskt. I stället vidtas reparationsåtgärder endast efter godkännande av organisationens säkerhetsåtgärdsteam.
Hot och åtgärder
Microsoft Defender för Office 365 innehåller åtgärder för att åtgärda olika hot. Automatiserade undersökningar resulterar ofta i en eller flera åtgärder för granskning och godkännande. I vissa fall resulterar en automatiserad undersökning inte i någon specifik åtgärd. Om du vill undersöka och vidta lämpliga åtgärder ytterligare använder du vägledningen i följande tabell.
| Kategori | Hot/risk | Reparationsåtgärder |
|---|---|---|
| E-post | Malware | E-post/kluster för mjuk borttagning Om mer än en handfull e-postmeddelanden i ett kluster innehåller skadlig kod anses klustret vara skadligt. |
| E-post | Skadlig URL (En skadlig URL upptäcktes av säkra länkar.) |
E-post/kluster för mjuk borttagning Blockera URL (verifiering vid tidpunkten för klick) Email som innehåller en skadlig URL anses vara skadlig. |
| E-post | Phish | E-post/kluster för mjuk borttagning Om fler än en handfull e-postmeddelanden i ett kluster innehåller nätfiskeförsök betraktas hela klustret som ett nätfiskeförsök. |
| E-post | Zapped phish (Email meddelanden levererades och sedan zapped.) |
E-post/kluster för mjuk borttagning Rapporter är tillgängliga för att visa zapped-meddelanden. Se om ZAP har flyttat ett meddelande och vanliga frågor och svar. |
| E-post | Missat nätfiskemeddelande som rapporterats av en användare | Automatiserad undersökning som utlöses av användarens rapport |
| E-post | Volymavvikelse (De senaste e-postkvantiteterna överskrider de senaste 7–10 dagarna för matchande kriterier.) |
Automatiserad undersökning resulterar inte i en specifik väntande åtgärd. Volymavvikelse är inte ett tydligt hot, utan är bara en indikation på större e-postvolymer under de senaste dagarna jämfört med de senaste 7–10 dagarna. Även om en stor mängd e-post kan tyda på potentiella problem behövs bekräftelse när det gäller antingen skadliga omdömen eller en manuell granskning av e-postmeddelanden/kluster. Se Hitta misstänkt e-post som levererades. |
| E-post | Inga hot hittades (Systemet hittade inga hot baserat på filer, URL:er eller analys av e-postklusterutslag.) |
Automatiserad undersökning resulterar inte i en specifik väntande åtgärd. Hot som hittas och läggs till när en undersökning har slutförts återspeglas inte i en undersöknings numeriska resultat, men sådana hot kan visas i Threat Explorer. |
| Användare | En användare klickade på en skadlig URL (En användare navigerade till en sida som senare visade sig vara skadlig, eller så har en användare kringgåt en varningssida för säkra länkar för att komma till en skadlig sida.) |
Automatiserad undersökning resulterar inte i en specifik väntande åtgärd. Blockera URL (klicktid) Använd Threat Explorer för att visa data om URL:er och klicka på omdömen. Om din organisation använder Microsoft Defender för Endpoint kan du undersöka användaren för att avgöra om deras konto har komprometterats. |
| Användare | En användare skickar skadlig kod/nätfiske | Automatiserad undersökning resulterar inte i en specifik väntande åtgärd. Användaren kanske rapporterar skadlig kod/nätfiske, eller så kan någon förfalska användaren som en del av en attack. Använd Threat Explorer för att visa och hantera e-post som innehåller skadlig kod eller nätfiske. |
| Användare | Vidarebefordran av e-post (Regler för vidarebefordran av postlådor har konfigurerats, chch kan användas för dataexfiltrering.) |
Ta bort vidarebefordringsregel Använd rapporten Autoforwarded messages för att visa specifik information om vidarebefordrad e-post. |
| Användare | Email delegeringsregler (En användares konto har delegeringar konfigurerade.) |
Ta bort delegeringsregel Om din organisation använder Microsoft Defender för Endpoint kan du undersöka den användare som får delegeringsbehörigheten. |
| Användare | Dataexfiltrering (En användare bröt mot DLP-principer för e-post eller fildelning |
Automatiserad undersökning resulterar inte i en specifik väntande åtgärd. |
| Användare | Avvikande e-postsändning (En användare har nyligen skickat mer e-post än under de senaste 7–10 dagarna.) |
Automatiserad undersökning resulterar inte i en specifik väntande åtgärd. Att skicka en stor mängd e-post är inte skadligt av sig självt. användaren kanske bara har skickat e-post till en stor grupp mottagare för en händelse. Om du vill undersöka detta använder du insikten om nya användares vidarebefordran av e-post i EAC - och utgående meddelanderapporten i EAC för att avgöra vad som händer och vidta åtgärder. |
Nästa steg
- Visa information och resultat av en automatiserad undersökning i Microsoft Defender för Office 365
- Visa väntande eller slutförda åtgärder efter en automatiserad undersökning i Microsoft Defender för Office 365
Relaterade artiklar
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för