Office 365 için Microsoft Defender Plan 2'de AIR'den düzeltme eylemleri
İpucu
Office 365 için Microsoft Defender Plan 2'deki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.
Office 365 için Microsoft Defender Plan 2'deki otomatik araştırma ve yanıt (AIR), genellikle güvenlik operasyonları (SecOps) ekibinizin onayını gerektiren düzeltme eylemleriyle sonuç verir.
Bazı durumlarda, AIR belirli düzeltme eylemlerine neden olmaz. Daha fazla araştırma yapmak ve uygun eylemleri yapmak için aşağıdaki tabloda yer alan yönergeleri kullanın.
| Kategori | Tehdit/risk | Düzeltme eylemleri |
|---|---|---|
| E-posta | Kötü amaçlı yazılım | E-postayı/kümeyi geçici silme. Birden fazla ilgili ileti kötü amaçlı yazılım içeriyorsa, kümenin tamamı kötü amaçlı olarak kabul edilir. |
| E-posta | Güvenli Bağlantılar tarafından kötü amaçlı bir URL algılandı. | E-postayı/kümeyi geçici silme. Tıklama sırasında URL'yi engelleyin. Kötü amaçlı URL içeren iletinin kötü amaçlı olduğu kabul edilir. |
| E-posta | Kimlik Avı | E-postayı/kümeyi geçici silme. Bir dizi ilgili ileti kimlik avı girişimi içeriyorsa, kümenin tamamı bir kimlik avı girişimi olarak kabul edilir. |
| E-posta | Kimlik avı e-postası sıfır saatlik otomatik temizleme (ZAP) ile teslim edildi ve kaldırıldı.) | E-postayı/kümeyi geçici silme. ZAP'ın bir iletiyi kaldırıp kaldırmadığını görmek için bkz. ZAP'ın iletinizi taşıp taşımadığını görme. |
| E-posta | Kullanıcı tarafından bildirilen kimlik avı e-postası | Kullanıcının raporu tarafından tetiklenen otomatik araştırma |
| E-posta | Birim anomalisi (son e-posta miktarları eşleşen ölçütler için önceki 7-10 günü aşıyor). | AIR'den belirli bir bekleyen eylem yok. Birim anomalisi açık bir tehdit değildir. Yüksek miktarda e-posta olası sorunları gösterebilse de, kötü amaçlı hükümler veya e-posta iletilerinin/kümelerinin el ile gözden geçirilmesi açısından onay gerekir. Daha fazla bilgi için bkz. Teslim edilen şüpheli e-postayı bulma. |
| E-posta | Tehdit bulunamadı (sistem dosyalara, URL'lere veya e-posta kümesi kararlarının analizine dayalı bir tehdit bulamadı). | AIR'den belirli bir bekleyen eylem yok. Tamamlanan bir araştırmadan sonra ZAP tarafından bulunan ve kaldırılan tehditler bir araştırmanın sayısal sonuçlarına yansıtılmaz, ancak bu tür tehditler Tehdit Gezgini'nde görüntülenebilir. |
| Kullanıcı | Kullanıcı kötü amaçlı bir URL'ye tıkladı (kullanıcı daha sonra kötü amaçlı olduğu belirlenen bir sayfayı ziyaret etti veya kötü amaçlı bir sayfaya ulaşmak için Güvenli Bağlantılar uyarı sayfasını atladı.) | AIR'den belirli bir bekleyen eylem yok. Tıklama sırasında URL'yi engelleyin. URL'ler hakkındaki verileri görüntülemek ve kararlara tıklamak için Tehdit Gezgini'ni kullanın. Kuruluşunuz Uç Nokta için Microsoft Defender kullanıyorsa, hesabının gizliliğinin ihlal edilmiş olup olmadığını belirlemek için kullanıcıyı araştırmayı göz önünde bulundurun. |
| Kullanıcı | Kötü amaçlı yazılım/kimlik avı iletileri gönderen kullanıcı | AIR'den belirli bir bekleyen eylem yok. Kullanıcı kötü amaçlı yazılım/kimlik avı iletileri bildiriyor veya birisi bir saldırının parçası olarak kullanıcıyı aldatıyor olabilir. Kötü amaçlı yazılım veya kimlik avı içeren e-postaları görüntülemek ve işlemek için Tehdit Gezgini'ni kullanın. |
| Kullanıcı | Veri sızdırma için otomatik dış e-posta iletme (SMTP iletme, Gelen Kutusu kuralları veya Exchange posta akışı kuralları (taşıma kuralları olarak da bilinir) kullanılabilir. | İletme kuralını veya yapılandırmasını kaldırın. İletilen e-postayla ilgili belirli ayrıntıları görüntülemek için Otomatik olarak yönlendirilen iletiler raporunu kullanın. |
| Kullanıcı | Email temsilcisi (hesapta temsilciler ayarlanmıştır). | Temsilci seçmeleri kaldırın. Kuruluşunuz Uç Nokta için Defender kullanıyorsa, temsilci iznine sahip kullanıcıyı araştırmayı göz önünde bulundurun. |
| Kullanıcı | Veri sızdırma (kullanıcı e-postayı veya dosya paylaşımı DLP ilkelerini ihlal etti). | AIR, belirli bir bekleme eylemine neden olmaz. Etkinlik Gezgini'ne başlayın. |
| Kullanıcı | Anormal e-posta gönderme (bir kullanıcı yakın zamanda önceki 7-10 güne göre daha fazla e-posta gönderdi.) | AIR'den belirli bir bekleyen eylem yok. Büyük miktarda e-posta göndermek kötü amaçlı olmayabilir (örneğin, kullanıcı bir olay için büyük bir alıcı grubuna e-posta göndermiş olabilir). Araştırmak için Exchange yönetim merkezinde (EAC) E-posta içgörülerini ileten yeni kullanıcılar ve Giden ileti raporunu kullanın. |
Sonraki adımlar
- otomatik araştırmanın ayrıntılarını ve sonuçlarını Office 365 için Microsoft Defender
- Office 365 için Microsoft Defender'da otomatik bir araştırmanın ardından bekleyen veya tamamlanmış düzeltme eylemlerini görüntüleme