Adress komprometterade användarkonton med automatisk undersökning och svar

Gäller för

Microsoft Defender för Office 365 abonnemang 2 innehåller kraftfulla funktioner för automatisk undersökning och svar (AIR). Med sådana funktioner kan ditt säkerhetsteam spara mycket tid och arbete på att hantera hot. Microsoft fortsätter att förbättra säkerhetsfunktionerna. Nyligen har AIR-funktionerna förbättrats med en säkerhetsspelbok för användare som komprometterats (för närvarande i förhandsversionen). Läs den här artikeln om du vill veta mer om den komprometterade säkerhetsspelboken för användare. Mer information finns i blogginlägget Snabba på tiden för att upptäcka och svara på användarnas intrång och begränsa intrångsomfånget med Microsoft Defender Office 365 mer information.

Automatisk undersökning för en komprometterad användare.

Den komprometterade säkerhetsspelboken för användare gör det möjligt för organisationens säkerhetsteam att:

  • Snabbare identifiering av komprometterade användarkonton.
  • Begränsa omfattningen av ett intrång när ett konto har komprometterats. och
  • Svara komprometterade användare mer effektivt och effektivare.

Komprometterade användaraviseringar

När ett användarkonto har komprometterats uppstår ett fel som är atypiskt eller onormalt. Till exempel kan nätfiske och skräppost skickas internt från ett betrott användarkonto. Defender för Office 365 kan upptäcka sådana problem i e-postmönster och samarbetsaktivitet inom Office 365. I så fall inträffar aviseringar och åtgärder som innebär hot börjar.

Här är till exempel ett meddelande som utlöstes på grund av misstänkt e-postmeddelande:

Avisering som utlösts på grund av att ett misstänkt e-postmeddelande har skickats.

Och här är ett exempel på en varning som utlöstes när en avsändargräns nåddes för en användare:

Avisering som utlöstes genom att sändningsgränsen har nåtts.

Undersöka och svara på en komprometterad användare

När ett användarkonto har komprometterats utlöses aviseringar. Och i vissa fall blockeras och hindras användarkontot från att skicka ytterligare e-postmeddelanden tills problemet har lösts av organisationens team för säkerhetsåtgärder. I andra fall påbörjas en automatiserad undersökning som kan leda till rekommenderade åtgärder som din säkerhetsgrupp ska vidta.

Viktigt

Du måste ha tillräcklig behörighet för att utföra följande uppgifter. Se Behörigheter som krävs för att använda AIR-funktioner.

Visa och undersöka begränsade användare

Du har några alternativ för att navigera till en lista med begränsade användare. I portalen för e Microsoft 365 Defender kan du till exempel gå till Skicka e& postsamarbete > Granska begränsade > användare. I följande procedur beskrivs navigering med instrumentpanelen Aviseringar, som är ett bra sätt att se olika typer av aviseringar som kan ha utlösts.

  1. Öppna Microsoft 365 Defender och gå https://security.microsoft.com till Incidenter och & aviseringar > . Du kan också använda om du vill gå direkt till sidan https://security.microsoft.com/alerts Aviseringar.

  2. På sidan Aviseringar filtrerar du resultaten efter tidsperiod och principen med namnet Användare begränsad från att skicka e-post.

    Sidan Aviseringar i den Microsoft 365 Defender filtrerats för begränsade användare.

  3. Om du markerar posten genom att klicka på namnet öppnas en användare som inte kan skicka e-post med ytterligare information som du kan granska. Bredvid knappen Hantera aviseringar kan du klicka på ikonen  Fler alternativ. Fler alternativ och välj sedan Visa begränsad användarinformation för att gå till sidan Begränsade användare där du kan släppa den begränsade användaren.

    Användaren begränsad från att skicka e-post sida från Aviseringscenter.

Visa information om automatiserade undersökningar

När en automatiserad undersökning har påbörjats kan du se dess information och resultat i Säkerhets- & efterlevnadscenter. Gå till Undersökning av > hothantering och välj sedan en undersökning för att visa dess detaljer.

Mer information finns i Visa information om en undersökning.

Tänk på följande

  • Håll dig borta från dina aviseringar. Som du vet kommer en kompromiss att bli oupptäckta ju längre bort, desto större möjlighet till negativt påverkan och kostnad för organisationen, kunder och partner. Tidiga identifieringar och snabba svar är avgörande för att minska hot, och särskilt när en användares konto har komprometterats.

  • Automationen hjälper till, men ersätter inte, ditt säkerhetsteam. Automatiska undersöknings- och svarsfunktioner kan upptäcka en komprometterad användare tidigt, men din säkerhetsgrupp måste troligtvis engagera sig och undersöka och åtgärda det. Behöver du hjälp med det här? Se Granska och godkänna åtgärder.

  • Förlita dig inte på en avisering om misstänkt inloggning, bara din . När ett användarkonto har komprometterats kan det hända att det utlöser en avisering om misstänkt inloggning. Ibland är det en serie aktiviteter som inträffar när ett konto har komprometterats som utlöser en avisering. Vill du veta mer om aviseringar? Se Aviseringsprinciper.

Nästa steg