Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Microsoft Defender для Office 365 план 2 включает в себя мощные возможности автоматического исследования и реагирования (AIR). Такие возможности могут сэкономить вашей команде по обеспечению безопасности много времени и усилий для борьбы с угрозами. В этой статье описывается один из аспектов возможностей AIR, скомпрометированный сборник схем безопасности пользователей.
Сборник схем безопасности скомпрометированных пользователей позволяет команде безопасности вашей организации:
- Ускорение обнаружения скомпрометированных учетных записей пользователей;
- Ограничить область нарушения при компрометации учетной записи; и
- Более эффективно и эффективно реагируйте на скомпрометированных пользователей.
Скомпрометированные оповещения пользователей
При компрометации учетной записи пользователя происходит нетипичное или аномальное поведение. Например, фишинговые и нежелательные сообщения могут отправляться внутренне из доверенной учетной записи пользователя. Defender для Office 365 могут обнаруживать такие аномалии в шаблонах электронной почты и действиях совместной работы в Office 365. В этом случае активируются оповещения и начинается процесс устранения угроз.
Исследование скомпрометированного пользователя и реагирование на него
При компрометации учетной записи пользователя активируются оповещения. В некоторых случаях эта учетная запись пользователя блокируется и не может отправлять дальнейшие сообщения электронной почты до тех пор, пока проблема не будет устранена командой по обеспечению безопасности вашей организации. В других случаях начинается автоматическое исследование, которое может привести к рекомендуемым действиям, которые должна предпринять ваша команда безопасности.
Важно!
Для выполнения следующих задач необходимо иметь соответствующие разрешения. Дополнительные сведения см. в разделе Необходимые разрешения для использования возможностей AIR.
Просмотрите это короткое видео, чтобы узнать, как обнаруживать компрометацию пользователей и реагировать на них в Microsoft Defender для Office 365 с помощью автоматизированного исследования и реагирования (AIR) и скомпрометированных оповещений пользователей.
Просмотр и исследование ограниченных пользователей
У вас есть несколько вариантов перехода к списку ограниченных пользователей. Например, на портале Microsoft Defender можно перейти к Email & совместной работы>Проверка>ограниченных пользователей. В следующей процедуре описывается навигация с помощью панели мониторинга оповещений . Это хороший способ просмотра различных типов оповещений, которые могли быть активированы.
Откройте портал Microsoft Defender по адресу https://security.microsoft.com и перейдите в раздел Инциденты & оповещения>оповещения. Или, чтобы перейти непосредственно на страницу Оповещений , используйте https://security.microsoft.com/alerts.
На странице Оповещения отфильтруйте результаты по периоду времени и политике с именем Пользователь не может отправлять сообщения электронной почты.
Если выбрать запись, щелкнув имя, откроется страница Пользователь, ограниченный для отправки электронной почты , с дополнительными сведениями для просмотра. Рядом с кнопкой Управление оповещением можно щелкнуть
Дополнительные параметры , а затем выбрать Просмотреть сведения о пользователе с ограниченным доступом, чтобы перейти на страницу Ограниченные пользователи , где можно освободить ограниченного пользователя.
Просмотр сведений об автоматизированных исследованиях
После начала автоматического исследования его сведения и результаты можно просмотреть в центре уведомлений на портале Microsoft Defender.
Дополнительные сведения см. в статье Просмотр сведений о расследовании.
Помните о следующих моментах.
Следите за оповещениями. Как известно, чем дольше компромисс остается незамеченным, тем больше потенциал для широкого влияния и затрат на вашу организацию, клиентов и партнеров. Раннее обнаружение и своевременное реагирование имеют решающее значение для устранения угроз, особенно при компрометации учетной записи пользователя.
Автоматизация помогает команде по обеспечению безопасности. Автоматизированные возможности исследования и реагирования могут обнаружить скомпрометированного пользователя на ранних этапах и позволить вашей команде по операциям безопасности принять меры для устранения угрозы. Нужна помощь в этом? См . раздел Проверка и утверждение действий.