Åtgärdsåtgärder i Microsoft Defender för Office 365
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för
Reparationsåtgärder
Skyddsfunktioner i Microsoft Defender för Office 365 omfattar vissa åtgärder. Sådana åtgärder kan omfatta:
- Mjuk borttagning av e-postmeddelanden och kluster
- Blockera URL (tid för klickning)
- Inaktivera vidarebefordran av extern e-post
- Inaktivera delegering
I Microsoft Defender Office 365 åtgärder vidtas inte åtgärder automatiskt. I stället vidtas åtgärder endast om godkännande har godkänts av organisationens team för säkerhetsåtgärder.
Hot och åtgärder
Microsoft Defender för Office 365 omfattar åtgärdsåtgärder för att hantera olika hot. Automatiserade undersökningar resulterar ofta i en eller flera åtgärder som måste granskas och godkännas. I vissa fall leder inte en automatiserad undersökning till en specifik åtgärd. Om du vill undersöka och vidta lämpliga åtgärder använder du vägledning i följande tabell.
| Kategori | Hot/risk | Åtgärdsåtgärder |
|---|---|---|
| E-post | Skadlig programvara | Mjuk borttagning av e-post/kluster Om mer än ett litet antal e-postmeddelanden i ett kluster innehåller skadlig programvara anses klustret vara skadligt. |
| E-post | Skadlig URL (En skadlig URL har upptäckts av Valv Länkar.) |
Mjuk borttagning av e-post/kluster Blockera URL (tid för klickning av verifiering) E-post som innehåller en skadlig URL anses vara skadlig. |
| E-post | Nätfiske | Mjuk borttagning av e-post/kluster Om fler än ett litet antal e-postmeddelanden i ett kluster innehåller försök till nätfiske är hela klustret ett försök till nätfiske. |
| E-post | Zapped phish (E-postmeddelanden levererades och sedan zapped.) |
Mjuk borttagning av e-post/kluster Rapporter finns tillgängliga för att visa zapped meddelanden. Se om ZAP har flyttat ett meddelande och vanliga frågor och svar. |
| E-post | Missat e-postmeddelande som rapporterats av en användare | Automatiserad undersökning som utlösts av användarens rapport |
| E-post | Volymnormnormy (Antalet nya e-postmeddelanden överskrider de föregående 7–10 dagarna för matchande villkor.) |
Automatisk undersökning leder inte till en viss väntande åtgärd. Volymnormer är inte ett tydligt hot, utan är bara en indikation på större e-postvolymer under de senaste dagarna jämfört med de senaste 7–10 dagarna. Även om en stor mängd e-post kan indikera potentiella problem behövs bekräftelse på antingen skadliga omdömen eller en manuell granskning av e-postmeddelanden/kluster. Se Hitta misstänkta e-postmeddelanden som har levererats. |
| E-post | Inga hot hittades (Systemet hittade inte några hot baserat på filer, URL:er eller analys av e-postkluster.) |
Automatisk undersökning leder inte till en viss väntande åtgärd. Hot som påträffas och zapped efter att en undersökning har slutförts återspeglas inte i en undersöknings numeriska resultat, men sådana hot kan visas i Threat Explorer. |
| Användare | En användare har klickat på en skadlig URL (En användare navigerade till en sida som senare visades vara skadlig, eller så kringgåde en användare varningssidan Valv-länkar för att komma till en skadlig sida.) |
Automatisk undersökning leder inte till en viss väntande åtgärd. Blockera URL (tid för klickning) Använd Hotutforskaren för att visa data om URL:er och klicka på beslut. Om din organisation använder Microsoft Defender för Slutpunkt kan duundersöka användaren för att avgöra om deras konto har komprometterats. |
| Användare | En användare skickar skadlig kod/phish | Automatisk undersökning leder inte till en viss väntande åtgärd. Användaren kan rapportera skadlig kod/phish eller så kan någon kapa användaren som en del av en attack. Använd Hotutforskaren för att visa och hantera e-postmeddelanden som innehåller skadlig programvara eller nätt innehåll. |
| Användare | Vidarebefordran av e-post (Regler för vidarebefordran av postlådor har konfigurerats, chch kan användas för data exfiltrering.) |
Ta bort vidare vidarebefordranregel Använd insikter om e-postflöde, inklusive rapporten Automatiskameddelanden, om du vill visa mer specifik information om vidarebefordrad e-post. |
| Användare | Regler för e-postdelegering (En användares konto har angetts.) |
Ta bort delegeringsregel Om din organisation använder Microsoft Defender för Endpoint kandu undersöka användaren som får delegeringsbehörigheten. |
| Användare | Data exfiltrering (En användare har brutit mot E-post eller DLP-principer för fildelning |
Automatisk undersökning leder inte till en viss väntande åtgärd. |
| Användare | Avvikande e-postavsändande (En användare skickade nyligen fler e-postmeddelanden än under de föregående 7–10 dagarna.) |
Automatisk undersökning leder inte till en viss väntande åtgärd. Att skicka en stor mängd e-post är inte skadligt för sig. Användaren kanske precis har skickat e-post till en stor grupp mottagare för ett evenemang. Undersök genom att använda insikter om e-postflöde, inklusive rapporten e-postflödeskarta för att avgöra vad som händer och vidta åtgärder. |
Nästa steg
- Visa information och resultat av en automatiserad undersökning i Microsoft Defender för Office 365
- Visa väntande eller slutförda åtgärdsåtgärder efter en automatiserad undersökning i Microsoft Defender för Office 365