Åtgärdsåtgärder i Microsoft Defender för Office 365

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

Reparationsåtgärder

Skyddsfunktioner i Microsoft Defender för Office 365 omfattar vissa åtgärder. Sådana åtgärder kan omfatta:

  • Mjuk borttagning av e-postmeddelanden och kluster
  • Blockera URL (tid för klickning)
  • Inaktivera vidarebefordran av extern e-post
  • Inaktivera delegering

I Microsoft Defender Office 365 åtgärder vidtas inte åtgärder automatiskt. I stället vidtas åtgärder endast om godkännande har godkänts av organisationens team för säkerhetsåtgärder.

Hot och åtgärder

Microsoft Defender för Office 365 omfattar åtgärdsåtgärder för att hantera olika hot. Automatiserade undersökningar resulterar ofta i en eller flera åtgärder som måste granskas och godkännas. I vissa fall leder inte en automatiserad undersökning till en specifik åtgärd. Om du vill undersöka och vidta lämpliga åtgärder använder du vägledning i följande tabell.

Kategori Hot/risk Åtgärdsåtgärder
E-post Skadlig programvara Mjuk borttagning av e-post/kluster

Om mer än ett litet antal e-postmeddelanden i ett kluster innehåller skadlig programvara anses klustret vara skadligt.

E-post Skadlig URL
(En skadlig URL har upptäckts av Valv Länkar.)
Mjuk borttagning av e-post/kluster
Blockera URL (tid för klickning av verifiering)

E-post som innehåller en skadlig URL anses vara skadlig.

E-post Nätfiske Mjuk borttagning av e-post/kluster

Om fler än ett litet antal e-postmeddelanden i ett kluster innehåller försök till nätfiske är hela klustret ett försök till nätfiske.

E-post Zapped phish
(E-postmeddelanden levererades och sedan zapped.)
Mjuk borttagning av e-post/kluster

Rapporter finns tillgängliga för att visa zapped meddelanden. Se om ZAP har flyttat ett meddelande och vanliga frågor och svar.

E-post Missat e-postmeddelande som rapporterats av en användare Automatiserad undersökning som utlösts av användarens rapport
E-post Volymnormnormy
(Antalet nya e-postmeddelanden överskrider de föregående 7–10 dagarna för matchande villkor.)
Automatisk undersökning leder inte till en viss väntande åtgärd.

Volymnormer är inte ett tydligt hot, utan är bara en indikation på större e-postvolymer under de senaste dagarna jämfört med de senaste 7–10 dagarna.

Även om en stor mängd e-post kan indikera potentiella problem behövs bekräftelse på antingen skadliga omdömen eller en manuell granskning av e-postmeddelanden/kluster. Se Hitta misstänkta e-postmeddelanden som har levererats.

E-post Inga hot hittades
(Systemet hittade inte några hot baserat på filer, URL:er eller analys av e-postkluster.)
Automatisk undersökning leder inte till en viss väntande åtgärd.

Hot som påträffas och zapped efter att en undersökning har slutförts återspeglas inte i en undersöknings numeriska resultat, men sådana hot kan visas i Threat Explorer.

Användare En användare har klickat på en skadlig URL
(En användare navigerade till en sida som senare visades vara skadlig, eller så kringgåde en användare varningssidan Valv-länkar för att komma till en skadlig sida.)
Automatisk undersökning leder inte till en viss väntande åtgärd.

Blockera URL (tid för klickning)

Använd Hotutforskaren för att visa data om URL:er och klicka på beslut.

Om din organisation använder Microsoft Defender för Slutpunkt kan duundersöka användaren för att avgöra om deras konto har komprometterats.

Användare En användare skickar skadlig kod/phish Automatisk undersökning leder inte till en viss väntande åtgärd.

Användaren kan rapportera skadlig kod/phish eller så kan någon kapa användaren som en del av en attack. Använd Hotutforskaren för att visa och hantera e-postmeddelanden som innehåller skadlig programvara eller nätt innehåll.

Användare Vidarebefordran av e-post
(Regler för vidarebefordran av postlådor har konfigurerats, chch kan användas för data exfiltrering.)
Ta bort vidare vidarebefordranregel

Använd insikter om e-postflöde, inklusive rapporten Automatiskameddelanden, om du vill visa mer specifik information om vidarebefordrad e-post.

Användare Regler för e-postdelegering
(En användares konto har angetts.)
Ta bort delegeringsregel

Om din organisation använder Microsoft Defender för Endpoint kandu undersöka användaren som får delegeringsbehörigheten.

Användare Data exfiltrering
(En användare har brutit mot E-post eller DLP-principer för fildelning
Automatisk undersökning leder inte till en viss väntande åtgärd.

Visa DLP-rapporter och vidta åtgärder.

Användare Avvikande e-postavsändande
(En användare skickade nyligen fler e-postmeddelanden än under de föregående 7–10 dagarna.)
Automatisk undersökning leder inte till en viss väntande åtgärd.

Att skicka en stor mängd e-post är inte skadligt för sig. Användaren kanske precis har skickat e-post till en stor grupp mottagare för ett evenemang. Undersök genom att använda insikter om e-postflöde, inklusive rapporten e-postflödeskarta för att avgöra vad som händer och vidta åtgärder.

Nästa steg