Ações de remediação da AIR no Plano 2 do Microsoft Defender para Office 365
Dica
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
A investigação e resposta automatizadas (AIR) no Microsoft Defender para Office 365 Plano 2 resultam frequentemente em ações de remediação que requerem a aprovação da equipa de operações de segurança (SecOps).
Em alguns casos, o AIR não resulta em ações de remediação específicas. Para investigar e tomar as ações adequadas, utilize a documentação de orientação na tabela seguinte.
| Categoria | Ameaça/risco | Ações de correção |
|---|---|---|
| Malware | Eliminar e-mail/cluster de forma recuperável. Se mais do que um punhado de mensagens relacionadas contiverem software maligno, todo o cluster será considerado malicioso. |
|
| Foi detetado um URL malicioso pelas Ligações Seguras. | Eliminar e-mail/cluster de forma recuperável. Bloquear URL no momento do clique. A mensagem que contém um URL malicioso é considerada maliciosa. |
|
| Phishing | Eliminar e-mail/cluster de forma recuperável. Se mais do que um punhado de mensagens relacionadas contiverem tentativas de phishing, todo o cluster é considerado uma tentativa de phishing. |
|
| E-mail de phishing entregue e, em seguida, removido pela remoção automática de zero horas (ZAP).) | Eliminar e-mail/cluster de forma recuperável. Para ver se o ZAP removeu uma mensagem, veja Como ver se o ZAP moveu a sua mensagem. |
|
| E-mail de phishing comunicado pelo utilizador | Investigação automatizada acionada pelo relatório do utilizador | |
| Anomalia de volume (as quantidades recentes de e-mail excedem os 7 a 10 dias anteriores para critérios correspondentes). | Não existem ações pendentes específicas do AIR. Uma anomalia de volume não é uma ameaça clara. Embora um grande volume de e-mails possa indicar potenciais problemas, é necessária confirmação em termos de veredictos maliciosos ou de uma revisão manual de mensagens de e-mail/clusters. Para obter mais informações, consulte Localizar e-mail suspeito que foi entregue. |
|
| Não foram encontradas ameaças (o sistema não encontrou ameaças com base em ficheiros, URLs ou análise de veredictos do cluster de e-mail). | Não existem ações pendentes específicas do AIR. As ameaças encontradas e removidas pelo ZAP após uma investigação concluída não se refletem nos resultados numéricos de uma investigação, mas essas ameaças são visíveis no Explorer de Ameaças. |
|
| Usuário | Um utilizador clicou num URL malicioso (um utilizador visitou uma página que mais tarde foi considerada maliciosa ou ignorou uma página de aviso de Ligações Seguras para aceder a uma página maliciosa.) | Não existem ações pendentes específicas do AIR. Bloquear URL no momento do clique. Utilize a Explorer de Ameaças para ver dados sobre URLs e clicar em veredictos. Se a sua organização estiver a utilizar Microsoft Defender para Ponto de Extremidade, considere investigar o utilizador para determinar se a conta está comprometida. |
| Usuário | Utilizador a enviar mensagens de software maligno/phishing | Não existem ações pendentes específicas do AIR. O utilizador pode estar a comunicar mensagens de software maligno/phishing ou alguém pode estar a falsificar o utilizador como parte de um ataque. Utilize o Explorer de Ameaças para ver e processar e-mails que contenham software maligno ou phishing. |
| Usuário | O reencaminhamento automático de e-mails externos (reencaminhamento SMTP, regras de Caixa de Entrada ou regras de fluxo de correio do Exchange (também conhecidos como regras de transporte) pode ser utilizado para transferência de dados não autorizada). | Remova a regra ou configuração de reencaminhamento. Utilize o relatório Mensagens desforwarded automaticamente para ver detalhes específicos sobre o e-mail reencaminhado. |
| Usuário | Email delegação (uma conta tem delegações configuradas). | Remover delegações. Se a sua organização estiver a utilizar o Defender para Endpoint, considere investigar o utilizador com a permissão de delegação. |
| Usuário | Transferência de dados não autorizada (um utilizador violou o e-mail ou as políticas DLP de partilha de ficheiros). | O AR não resulta numa ação específica pendente. Introdução ao Explorer de Atividade. |
| Usuário | Envio de e-mail anómalo (um utilizador enviou recentemente mais e-mails do que nos 7 a 10 dias anteriores).) | Não existem ações pendentes específicas do AIR. O envio de um grande volume de e-mails não é necessariamente malicioso (por exemplo, o utilizador pode ter enviado um e-mail para um grande grupo de destinatários para um evento). Para investigar, utilize o relatório Informações de e-mail de reencaminhamento de novos utilizadores e Mensagem de saída no Centro de administração do Exchange (EAC). |
Próximas etapas
- Ver detalhes e resultados de uma investigação automatizada no Microsoft Defender para Office 365
- Ver ações de remediação pendentes ou concluídas após uma investigação automatizada no Microsoft Defender para Office 365