Az AIR szervizelési műveletei Office 365-höz készült Microsoft Defender 2. csomagban
Tipp
Tudta, hogy ingyenesen kipróbálhatja Office 365-höz készült Microsoft Defender 2. csomag funkcióit? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
A Office 365-höz készült Microsoft Defender 2. csomagjában az automatizált vizsgálat és reagálás (AIR) gyakran olyan javítási műveleteket eredményez, amelyekhez a biztonsági üzemeltetési (SecOps) csapat jóváhagyása szükséges.
Bizonyos esetekben az AIR nem eredményez konkrét szervizelési műveleteket. A további vizsgálathoz és a megfelelő műveletek elvégzéséhez használja az alábbi táblázatban található útmutatást.
| Kategória | Fenyegetés/kockázat | Szervizelési műveletek |
|---|---|---|
| Kártevő szoftverek | E-mail/fürt helyreállítható törlése. Ha egy maroknyi kapcsolódó üzenet kártevőt tartalmaz, a rendszer a teljes fürtöt rosszindulatúnak tekinti. |
|
| A biztonságos hivatkozások rosszindulatú URL-címet észleltek. | E-mail/fürt helyreállítható törlése. Url-cím blokkolása kattintáskor. A kártékony URL-címet tartalmazó üzenet rosszindulatúnak minősül. |
|
| Adathalászat | E-mail/fürt helyreállítható törlése. Ha több mint egy maroknyi kapcsolódó üzenet adathalász kísérleteket tartalmaz, a teljes fürt adathalász kísérletnek minősül. |
|
| Adathalász e-mail kézbesítve, majd nulla órás automatikus végleges törléssel (ZAP)) eltávolítva.) | E-mail/fürt helyreállítható törlése. Annak megtekintéséhez, hogy a ZAP eltávolított-e egy üzenetet, olvassa el a Hogyan állapítható meg, hogy a ZAP áthelyezte-e az üzenetet. |
|
| Felhasználó által jelentett adathalász e-mail | A felhasználó jelentése által aktivált automatizált vizsgálat | |
| Mennyiségi anomália (a legutóbbi e-mail-mennyiségek az egyező feltételeknek való megfeleléshez meghaladják az előző 7–10 napot). | Nincs konkrét függőben lévő művelet az AIR-től. A mennyiségi anomália nem egyértelmű fenyegetés. Bár a nagy mennyiségű e-mail potenciális problémákat jelezhet, megerősítésre van szükség akár rosszindulatú ítéletek, akár az e-mailek/fürtök manuális felülvizsgálata szempontjából. További információt a Kézbesített gyanús e-mailek megkeresése című témakörben talál. |
|
| Nem találhatók fenyegetések (a rendszer nem talált fenyegetéseket fájlok, URL-címek vagy az e-mail-fürt ítéleteinek elemzése alapján). | Nincs konkrét függőben lévő művelet az AIR-től. A ZAP által a befejezett vizsgálat után talált és eltávolított fenyegetések nem jelennek meg a vizsgálat numerikus eredményeiben, de az ilyen fenyegetések megtekinthetők a Threat Explorerben. |
|
| Felhasználó | Egy felhasználó egy rosszindulatú URL-címre kattintott (egy felhasználó felkeresett egy oldalt, amelyet később rosszindulatúnak találtak, vagy megkerülte a Biztonságos hivatkozások figyelmeztető oldalt a rosszindulatú lap eléréséhez.) | Nincs konkrét függőben lévő művelet az AIR-től. Url-cím blokkolása kattintáskor. A Threat Explorerrel megtekintheti az URL-címekkel kapcsolatos adatokat, és rákattinthat a ítéletekre. Ha a szervezete Végponthoz készült Microsoft Defender használ, érdemes lehet kivizsgálni a felhasználót annak megállapításához, hogy feltörték-e a fiókját. |
| Felhasználó | Kártevő-/adathalász üzeneteket küldő felhasználó | Nincs konkrét függőben lévő művelet az AIR-től. Előfordulhat, hogy a felhasználó kártevő vagy adathalász üzeneteket jelent, vagy valaki egy támadás részeként hamisíthatja a felhasználót . A Threat Explorerrel megtekintheti és kezelheti a kártevőket vagy adathalászatot tartalmazó e-maileket. |
| Felhasználó | Az automatikus külső e-mail-továbbítás (SMTP-továbbítás, levelezési szabályok vagy Exchange-levelezési szabályok (más néven átviteli szabályok) adatkiszivárgáshoz használhatók. | Távolítsa el a továbbítási szabályt vagy konfigurációt. Az Automatikusan odaítélt üzenetek jelentés segítségével megtekintheti a továbbított e-mailek részleteit. |
| Felhasználó | Email delegálás (egy fiókhoz delegálások vannak beállítva). | Delegálások eltávolítása. Ha a szervezete a Végponthoz készült Defendert használja, fontolja meg a delegálási engedéllyel rendelkező felhasználó vizsgálatát . |
| Felhasználó | Adatkiszivárgás (egy felhasználó megsértette az e-mail- vagy fájlmegosztási DLP-szabályzatokat). | Az AIR nem eredményez konkrét függőben lévő műveletet. Az Activity Explorer használatának első lépései. |
| Felhasználó | Rendellenes e-mailek küldése (egy felhasználó a közelmúltban több e-mailt küldött, mint az előző 7–10 napban.) | Nincs konkrét függőben lévő művelet az AIR-től. A nagy mennyiségű e-mail küldése nem feltétlenül rosszindulatú (például előfordulhat, hogy a felhasználó egy esemény címzettjeinek nagy csoportjának küldött e-mailt). A vizsgálathoz használja a New users forwarding email insight and Outbound message report in the Exchange Admin Center (EAC) ( Új felhasználók továbbítják az e-mailes megállapításokat és a kimenő üzeneteket) jelentést az Exchange Felügyeleti központban. |
Következő lépések
- Automatizált vizsgálat részleteinek és eredményeinek megtekintése a Office 365-höz készült Microsoft Defender
- A függőben lévő vagy befejezett szervizelési műveletek megtekintése a Office 365-höz készült Microsoft Defender automatikus vizsgálatát követően