Hantera komprometterade användarkonton med automatiserad undersökning och svar

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Microsoft Defender för Office 365 Plan 2 innehåller kraftfulla funktioner för automatiserad undersökning och svar (AIR). Sådana funktioner kan spara mycket tid och arbete åt ditt säkerhetsteam för att hantera hot. Den här artikeln beskriver en av aspekter av AIR-funktionerna, den komprometterade spelboken för användarsäkerhet.

Den komprometterade spelboken för användarsäkerhet gör det möjligt för organisationens säkerhetsteam att:

• Påskynda identifieringen av komprometterade användarkonton.
• Begränsa omfattningen av ett intrång när ett konto komprometteras. Och
• Svara på komprometterade användare mer effektivt och effektivt.

Komprometterade användaraviseringar

När ett användarkonto komprometteras uppstår atypiska eller avvikande beteenden. Till exempel kan nätfiske- och skräppostmeddelanden skickas internt från ett betrott användarkonto. Defender för Office 365 kan identifiera sådana avvikelser i e-postmönster och samarbetsaktivitet inom Office 365. När detta inträffar utlöses aviseringar och hotreduceringsprocessen påbörjas.

Undersöka och svara på en komprometterad användare

När ett användarkonto komprometteras utlöses aviseringar. Och i vissa fall blockeras användarkontot och hindras från att skicka ytterligare e-postmeddelanden tills problemet har lösts av organisationens säkerhetsteam. I andra fall påbörjas en automatiserad undersökning som kan resultera i rekommenderade åtgärder som ditt säkerhetsteam bör vidta.

• Visa och undersöka begränsade användare

• Visa information om automatiserade undersökningar

Viktigt

Du måste ha rätt behörighet för att utföra följande uppgifter. Se Nödvändiga behörigheter för att använda AIR-funktioner.

Titta på den här korta videon om du vill lära dig hur du kan identifiera och reagera på användaromkompromisser i Microsoft Defender för Office 365 med hjälp av automatiska undersöknings- och svarsaviseringar (AIR) och komprometterade användaraviseringar.

Visa och undersöka begränsade användare

Du har några alternativ för att navigera till en lista över begränsade användare. I Microsoft Defender-portalen kan du till exempel gå till Email & samarbete>Granska>begränsade användare. I följande procedur beskrivs navigering med instrumentpanelen Aviseringar , vilket är ett bra sätt att se olika typer av aviseringar som kan ha utlösts.

1. Öppna Microsoft Defender-portalen på https://security.microsoft.com och gå till Aviseringar för incidenter & aviseringar>. Om du vill gå direkt till sidan Aviseringar använder du https://security.microsoft.com/alerts.

2. På sidan Aviseringar filtrerar du resultaten efter tidsperiod och principen med namnet Användare begränsas från att skicka e-post.

   

3. Om du väljer posten genom att klicka på namnet öppnas en användare som är begränsad från att skicka e-post med ytterligare information som du kan granska. Bredvid knappen Hantera avisering kan du klicka på Fler alternativ och sedan välja Visa begränsad användarinformation för att gå till sidan Begränsade användare , där du kan släppa den begränsade användaren.

Visa information om automatiserade undersökningar

När en automatiserad undersökning har påbörjats kan du se dess information och resultat i Åtgärdscenter i Microsoft Defender-portalen.

Mer information finns i Visa information om en undersökning.

Tänk på följande

• Håll koll på dina aviseringar. Ju längre en kompromiss inte upptäcks, desto större är risken för omfattande påverkan och kostnader för din organisation, kunder och partner. Tidig identifiering och snabb respons är viktiga för att minimera hot, och särskilt när en användares konto komprometteras.

• Automation hjälper ditt säkerhetsteam. Automatiserade undersöknings- och svarsfunktioner kan identifiera en komprometterad användare tidigt och göra det möjligt för ditt säkerhetsåtgärdsteam att vidta åtgärder för att åtgärda hotet. Behöver du hjälp med det här? Se Granska och godkänna åtgärder.

Nästa steg

• Granska de behörigheter som krävs för att använda AIR-funktioner

• Hitta och undersöka skadlig e-post i Office 365

• Läs mer om AIR i Microsoft Defender för Endpoint

• Besök Microsoft 365-översikten för att se vad som kommer snart och lanseras