Adress komprometterade användarkonton med automatisk undersökning och svar
Gäller för
- Exchange Online Protection
- Microsoft Defender för Office 365 Abonnemang 1 och Abonnemang 2
- Microsoft 365 Defender
Microsoft Defender för Office 365 abonnemang 2 innehåller kraftfulla funktioner för automatisk undersökning och svar (AIR). Med sådana funktioner kan ditt säkerhetsteam spara mycket tid och arbete på att hantera hot. Microsoft fortsätter att förbättra säkerhetsfunktionerna. Nyligen har AIR-funktionerna förbättrats med en säkerhetsspelbok för användare som komprometterats (för närvarande i förhandsversionen). Läs den här artikeln om du vill veta mer om den komprometterade säkerhetsspelboken för användare. Mer information finns i blogginlägget Snabba på tiden för att upptäcka och svara på användarnas intrång och begränsa intrångsomfånget med Microsoft Defender Office 365 mer information.

Den komprometterade säkerhetsspelboken för användare gör det möjligt för organisationens säkerhetsteam att:
- Snabbare identifiering av komprometterade användarkonton.
- Begränsa omfattningen av ett intrång när ett konto har komprometterats. och
- Svara komprometterade användare mer effektivt och effektivare.
Komprometterade användaraviseringar
När ett användarkonto har komprometterats uppstår ett fel som är atypiskt eller onormalt. Till exempel kan nätfiske och skräppost skickas internt från ett betrott användarkonto. Defender för Office 365 kan upptäcka sådana problem i e-postmönster och samarbetsaktivitet inom Office 365. I så fall inträffar aviseringar och åtgärder som innebär hot börjar.
Här är till exempel ett meddelande som utlöstes på grund av misstänkt e-postmeddelande:

Och här är ett exempel på en varning som utlöstes när en avsändargräns nåddes för en användare:

Undersöka och svara på en komprometterad användare
När ett användarkonto har komprometterats utlöses aviseringar. Och i vissa fall blockeras och hindras användarkontot från att skicka ytterligare e-postmeddelanden tills problemet har lösts av organisationens team för säkerhetsåtgärder. I andra fall påbörjas en automatiserad undersökning som kan leda till rekommenderade åtgärder som din säkerhetsgrupp ska vidta.
Viktigt
Du måste ha tillräcklig behörighet för att utföra följande uppgifter. Se Behörigheter som krävs för att använda AIR-funktioner.
Visa och undersöka begränsade användare
Du har några alternativ för att navigera till en lista med begränsade användare. I portalen för e Microsoft 365 Defender kan du till exempel gå till Skicka e& postsamarbete > Granska begränsade > användare. I följande procedur beskrivs navigering med instrumentpanelen Aviseringar, som är ett bra sätt att se olika typer av aviseringar som kan ha utlösts.
Öppna Microsoft 365 Defender och gå https://security.microsoft.com till Incidenter och & aviseringar > . Du kan också använda om du vill gå direkt till sidan https://security.microsoft.com/alerts Aviseringar.
På sidan Aviseringar filtrerar du resultaten efter tidsperiod och principen med namnet Användare begränsad från att skicka e-post.

Om du markerar posten genom att klicka på namnet öppnas en användare som inte kan skicka e-post med ytterligare information som du kan granska. Bredvid knappen Hantera aviseringar kan du klicka på ikonen
Fler alternativ och välj sedan Visa begränsad användarinformation för att gå till sidan Begränsade användare där du kan släppa den begränsade användaren.
Visa information om automatiserade undersökningar
När en automatiserad undersökning har påbörjats kan du se dess information och resultat i Säkerhets- & efterlevnadscenter. Gå till Undersökning av > hothantering och välj sedan en undersökning för att visa dess detaljer.
Mer information finns i Visa information om en undersökning.
Tänk på följande
Håll dig borta från dina aviseringar. Som du vet kommer en kompromiss att bli oupptäckta ju längre bort, desto större möjlighet till negativt påverkan och kostnad för organisationen, kunder och partner. Tidiga identifieringar och snabba svar är avgörande för att minska hot, och särskilt när en användares konto har komprometterats.
Automationen hjälper till, men ersätter inte, ditt säkerhetsteam. Automatiska undersöknings- och svarsfunktioner kan upptäcka en komprometterad användare tidigt, men din säkerhetsgrupp måste troligtvis engagera sig och undersöka och åtgärda det. Behöver du hjälp med det här? Se Granska och godkänna åtgärder.
Förlita dig inte på en avisering om misstänkt inloggning, bara din . När ett användarkonto har komprometterats kan det hända att det utlöser en avisering om misstänkt inloggning. Ibland är det en serie aktiviteter som inträffar när ett konto har komprometterats som utlöser en avisering. Vill du veta mer om aviseringar? Se Aviseringsprinciper.