Azioni di correzione in Microsoft Defender per Office 365
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Azioni correttive
Le funzionalità di protezione dalle minacce in Microsoft Defender per Office 365 includono alcune azioni correttive. Tali azioni correttive possono includere:
- Eliminazione temporanea di messaggi di posta elettronica o cluster
- Blocco di URL (al momento del clic)
- Disattivazione dell'inoltro della posta elettronica esterna
- Disattivazione delega
In Microsoft Defender per Office 365 le azioni di correzione non vengono eseguite automaticamente. Le azioni di correzione vengono invece eseguite solo dopo l'approvazione da parte del team delle operazioni di sicurezza dell'organizzazione.
Minacce e azioni correttive
Microsoft Defender per Office 365 include azioni di correzione per affrontare varie minacce. Le indagini automatizzate spesso comportano una o più azioni correttive da rivedere e approvare. In alcuni casi, un'indagine automatizzata non comporta un'azione di correzione specifica. Per analizzare e intraprendere le azioni appropriate, usare le indicazioni riportate nella tabella seguente.
| Categoria | Minaccia/rischio | Azioni correttive |
|---|---|---|
| Posta elettronica | Malware | Eliminazione temporanea di posta elettronica/cluster Se più di una manciata di messaggi di posta elettronica in un cluster contengono malware, il cluster è considerato dannoso. |
| Posta elettronica | URL dannoso (Un URL dannoso è stato rilevato da Collegamenti sicuri). |
Eliminazione temporanea di posta elettronica/cluster URL di blocco (verifica del tempo di clic) Email che contiene un URL dannoso è considerato dannoso. |
| Posta elettronica | Phish | Eliminazione temporanea di posta elettronica/cluster Se più di una manciata di messaggi di posta elettronica in un cluster contengono tentativi di phishing, l'intero cluster viene considerato un tentativo di phishing. |
| Posta elettronica | Phish zapped (Email messaggi sono stati recapitati e quindi zapped. |
Eliminazione temporanea di posta elettronica/cluster I report sono disponibili per visualizzare i messaggi zapped. Verificare se ZAP ha spostato un messaggio e domande frequenti. |
| Posta elettronica | Messaggio di posta elettronica phish mancato segnalato da un utente | Indagine automatizzata attivata dal report dell'utente |
| Posta elettronica | Anomalia del volume Le quantità di posta elettronica recenti superano i 7-10 giorni precedenti per i criteri di corrispondenza. |
L'indagine automatizzata non comporta un'azione in sospeso specifica. L'anomalia del volume non è una minaccia chiara, ma è semplicemente un'indicazione di volumi di posta elettronica più grandi negli ultimi giorni rispetto agli ultimi 7-10 giorni. Anche se un volume elevato di messaggi di posta elettronica può indicare potenziali problemi, la conferma è necessaria in termini di verdetti dannosi o di revisione manuale di messaggi di posta elettronica/cluster. Vedere Trovare un messaggio di posta elettronica sospetto recapitato. |
| Posta elettronica | Nessuna minaccia trovata Il sistema non ha trovato alcuna minaccia in base a file, URL o analisi dei verdetti del cluster di posta elettronica. |
L'indagine automatizzata non comporta un'azione in sospeso specifica. Le minacce rilevate e zapped dopo il completamento di un'indagine non si riflettono nei risultati numerici di un'indagine, ma tali minacce sono visualizzabili in Esplora minacce. |
| Utente | Un utente ha fatto clic su un URL dannoso (Un utente si è avvicinato a una pagina che è stata successivamente trovata dannosa o un utente ha ignorato una pagina di avviso Collegamenti sicuri per accedere a una pagina dannosa. |
L'indagine automatizzata non comporta un'azione in sospeso specifica. Blocco di URL (al momento del clic) Usare Esplora minacce per visualizzare i dati sugli URL e fare clic su verdetti. Se l'organizzazione usa Microsoft Defender per endpoint, valutare la possibilità di analizzare l'utente per determinare se il proprio account è compromesso. |
| Utente | Un utente invia malware/phishing | L'indagine automatizzata non comporta un'azione in sospeso specifica. L'utente potrebbe segnalare malware/phishing o qualcuno potrebbe falsifidare l'utente come parte di un attacco. Usare Esplora minacce per visualizzare e gestire i messaggi di posta elettronica contenenti malware o phishing. |
| Utente | Inoltro della posta elettronica Le regole di inoltro delle cassette postali sono configurate e chch può essere usato per l'esfiltrazione dei dati. |
Rimuovere la regola di inoltro Usare il report Messaggi inoltrati automaticamente per visualizzare dettagli specifici sulla posta elettronica inoltrata. |
| Utente | Email regole di delega (L'account di un utente ha impostato le deleghe). |
Rimuovere la regola di delega Se l'organizzazione usa Microsoft Defender per endpoint, valutare la possibilità di analizzare l'utente che ottiene l'autorizzazione di delega. |
| Utente | Esfiltrazione di dati (Un utente ha violato i criteri DLP di posta elettronica o condivisione file |
L'indagine automatizzata non comporta un'azione in sospeso specifica. |
| Utente | Invio di messaggi di posta elettronica anomali Un utente ha inviato di recente più messaggi di posta elettronica rispetto ai 7-10 giorni precedenti. |
L'indagine automatizzata non comporta un'azione in sospeso specifica. L'invio di un volume elevato di messaggi di posta elettronica non è dannoso da solo; L'utente potrebbe aver semplicemente inviato un messaggio di posta elettronica a un gruppo di destinatari di grandi dimensioni per un evento. Per analizzare, usare i nuovi utenti che inoltrano informazioni dettagliate sulla posta elettronica nel report EAC e dei messaggi in uscita nell'interfaccia di amministrazione di Exchange per determinare cosa sta succedendo e intervenire. |
Passaggi successivi
- Visualizzare i dettagli e i risultati di un'indagine automatizzata in Microsoft Defender per Office 365
- Visualizzare le azioni di correzione in sospeso o completate a seguito di un'indagine automatizzata in Microsoft Defender per Office 365