Lösa användar konton med automatisk undersökning och svarAddress compromised user accounts with automated investigation and response

Viktigt

Välkommen till Microsoft Defender för Office 365, det nya namnet för Office 365 Advanced Threat Protection.Welcome to Microsoft Defender for Office 365, the new name for Office 365 Advanced Threat Protection. Läs mer om detta och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

Office 365 Avancerat skydds plan 2 inkluderar kraftfulla automatiserade undersökningar och svar (Air).Office 365 Advanced Threat Protection Plan 2 includes powerful automated investigation and response (AIR) capabilities. Sådana funktioner kan spara din säkerhets åtgärds grupp mycket tid och ansträngning för att hantera hot.Such capabilities can save your security operations team a lot of time and effort dealing with threats. Microsoft fortsätter att förbättra säkerhets funktionerna.Microsoft continues to improve security capabilities. De senaste lösningarna har förbättrats för att omfatta Playbook (för närvarande för hands version).Recently, AIR capabilities were enhanced to include a compromised user security playbook (currently in preview). Läs den här artikeln om du vill ha mer information om säkerhets Playbook.Read this article to learn more about the compromised user security playbook. Och se hur det går fortare att upptäcka och reagera på användarens kompromisser och begränsa omfattningen av intrång till Office 365 ATP .And see the blog post Speed up time to detect and respond to user compromise and limit breach scope with Office 365 ATP for additional details.

Automatiserad undersökning av en användare med kompromiss

Användarens säkerhets Playbook gör att organisationens säkerhets team kan:The compromised user security playbook enables your organization's security team to:

  • Snabb identifiering av obehöriga användar konton;Speed up detection of compromised user accounts;

  • Begränsa omfattningen av en överträdelse när ett konto äventyras; ochLimit the scope of a breach when an account is compromised; and

  • Reagera på äventyrade användare effektivt och effektivt.Respond to compromised users more effectively and efficiently.

Obehöriga användar aviseringarCompromised user alerts

När ett användar konto är skadat uppstår atypical eller avvikande beteende.When a user account is compromised, atypical or anomalous behaviors occur. Till exempel kan nätfiske och skräp post skickas internt från ett betrott användar konto.For example, phishing and spam messages might be sent internally from a trusted user account. Office 365 Avancerat skydd kan upptäcka sådana avvikelser i e-postmönster och samarbets aktivitet i Office 365.Office 365 Advanced Threat Protection can detect such anomalies in email patterns and collaboration activity within Office 365. När detta inträffar utlöses notifieringar och hotets minsknings processen påbörjas.When this happens, alerts are triggered, and the threat mitigation process begins.

Här är en avisering som utlöstes på grund av misstänkt e-post:For example, here's an alert that was triggered because of suspicious email sending:

Avisering utlöses på grund av misstänkt e-post

Här är ett exempel på en avisering som utlöstes när en användares skickade gräns nåddes:And here's an example of an alert that was triggered when a sending limit was reached for a user:

Avisering utlöst för att skicka gräns har uppnåtts

Undersöka och svara på en användare med kompromissInvestigate and respond to a compromised user

När ett användar konto är skadat utlöses notifieringarna.When a user account is compromised, alerts are triggered. I vissa fall blockeras användar kontot och förhindras från att skicka fler e-postmeddelanden förrän problemet löses av organisationens säkerhets åtgärds team.And in some cases, that user account is blocked and prevented from sending any further email messages until the issue is resolved by your organization's security operations team. I andra fall börjar en automatisk undersökning som kan resultera i rekommenderade åtgärder som din säkerhets grupp bör vidta.In other cases, an automated investigation begins which can result in recommended actions that your security team should take.

Viktigt

Du måste ha nödvändig behörighet för att utföra följande uppgifter.You must have appropriate permissions to perform the following tasks. Se vilka behörigheter som krävs för att använda Air-funktioner.See Required permissions to use AIR capabilities.

Visa och undersöka begränsade användareView and investigate restricted users

Det finns några olika alternativ för att gå till en lista över begränsade användare.You have a few options for navigating to a list of restricted users. I säkerhets & Compliance Center kan du till exempel gå till Threat Management > Granska > begränsade användare.For example, in the Security & Compliance Center, you can go to Threat management > Review > Restricted Users. I följande procedur beskrivs navigering med instrument panelen aviseringar , som är ett bra sätt att se olika typer av aviseringar som kan ha utlösts.The following procedure describes navigation using the Alerts dashboard, which is a good way to see various kinds of alerts that might have been triggered.

  1. Gå till https://protection.office.com och logga in.Go to https://protection.office.com and sign in.

  2. Välj instrument panel för aviseringari navigerings fönstret > Dashboard.In the navigation pane, choose Alerts > Dashboard.

  3. I widgeten andra varningar väljer du begränsade användare.In the Other alerts widget, choose Restricted Users.

    Widgeten andra varningar

    Listan med begränsade användare öppnas.This opens the list of restricted users.
    Begränsade användare i Office 365

  4. Välj ett användar konto i listan för att visa information och vidta åtgärder, till exempel att släppa den begränsade användaren.Select a user account in the list to view details and take action, such as releasing the restricted user.

Visa information om automatiserade utredningarView details about automated investigations

När en automatiserad undersökning har påbörjats kan du se dess information och resultaten i säkerhets & Compliance Center.When an automated investigation has begun, you can see its details and results in the Security & Compliance Center. Gå till Threat Management > utredningaroch välj sedan en undersökning för att visa dess uppgifter.Go to Threat management > Investigations, and then select an investigation to view its details.

Mer information finns i Visa information om en undersökning.To learn more, see View details of an investigation.

Tänk på följande sakerKeep the following points in mind

  • Håll koll på dina aviseringar.Stay on top of your alerts. Som du vet är det längre en kompromiss som försvinner, desto större potential och kostnad för din organisation, kunder och partners.As you know, the longer a compromise goes undetected, the larger the potential for widespread impact and cost to your organization, customers, and partners. Tidiga identifieringar och svars tiden är kritiska för att minska risken för hot, särskilt när en användares konto äventyras.Early detection and timely response are critical to mitigate threats, and especially when a user's account is compromised.

  • Automatisering hjälper, men ersätter inte, din säkerhets åtgärd.Automation assists, but does not replace, your security operations team. Automatiserade undersökningar och svars funktioner kan upptäcka en användare som är utsatt för tidigt, men din säkerhets åtgärd är antagligen tvungen att delta och göra vissa undersökningar och ny hjälp.Automated investigation and response capabilities can detect a compromised user early on, but your security operations team will likely need to engage and do some investigation and remediation. Behöver du hjälp med det här?Need some help with this? Se Granska och godkänna åtgärder.See Review and approve actions.

  • Använd inte en misstänkt inloggnings avisering som indikator.Don't rely on a suspicious login alert as your only indicator. Det kan hända att det inte går att utlösa en varning om misstänkt inloggning när ett användar konto är skadat.When a user account is compromised, it might or might not trigger a suspicious login alert. Ibland är det en serie aktiviteter som inträffar efter att ett konto har blivit utsatt för en avisering.Sometimes it's the series of activities that occur after an account is compromised that triggers an alert. Vill du veta mer om aviseringar?Want to know more about alerts? Se aviserings principer.See Alert policies.

Nästa stegNext steps