Threat Explorer ,使 SecOps人员批量提交、阻止、启动调查和删除电子邮件更容易

在不断演变的网络安全领域，领先恶意行为者一步不只是挑战，更是必然要求。长期以来，微软 Defender for Office 365 一直是保护企业免受基于电子邮件和文件威胁的坚实后盾。如今，随着资源管理器的最新增强，安全运维 (SecOps) 团队拥有了一款能够显著改变威胁响应能力的颠覆性工具。​

对先前 “采取行动” 功能的简要回顾​

去年，微软在电子邮件实体和电子邮件摘要面板中引入了一项新的 “采取行动” 功能。对于安全运维团队而言，这项功能令人耳目一新，因为它允许通过单个向导执行多项操作。操作的合理分组、上下文可用性，以及对租户级阻止 URL 和文件的支持，使得处理电子邮件威胁的流程更加简化。来自客户的积极反馈清楚地表明，这一举措方向正确。​

• 它允许您一次对多达 100 封电子邮件执行多项作，从而快速有效地消除电子邮件威胁。如果您需要对超过 100 封至多达 200,000 封电子邮件进行批量电子邮件修复，此新向导将帮助您以结构化方式完成此作。
• 它减少了从威胁资源管理器执行单个和批量电子邮件作所需的单击次数和步骤数。
• 它允许您直接从威胁资源管理器阻止租户级别（租户允许阻止列表 （TABL））阻止恶意 URL 或文件，而无需转到另一个页面。

• 根据消息的当前位置，某些作不可用，但如果存在冲突，SecOps 可以使用切换选项根据需要打开/关闭它们并采取适当的措施。​

轻松实现租户级阻止​

增强版资源管理器最显著的优势之一，是能够直接从探索器在租户级别阻止恶意 URL、文件、发件人和域名。过去，执行租户级阻止操作通常需要在不同页面间切换，十分耗时。如今，有了这项新功能，安全运维团队可以快速识别并在更广泛的层面上消除威胁，防止威胁在整个企业内传播。​

对安全分析师的益处​

1. 快速清除威胁：能够同时对多封电子邮件执行多项操作，使安全分析师能够更及时地清除电子邮件威胁。无论是清除恶意电子邮件、提交进行进一步分析，还是启动调查，新功能都支持更高效的工作流程。​

1. 减少点击和操作步骤：通过简化从资源管理器执行单个和批量电子邮件操作的流程，新的 “采取行动” 功能最大限度减少了所需的点击次数和操作步骤。这不仅节省了时间，还降低了人为错误的几率。​

1. 增强可见性和控制力：现在，安全分析师能够更好地掌握自己所采取的操作。例如，已清除的电子邮件可以在操作中心页面轻松追踪，已提交的电子邮件在提交页面查看，已调查的电子邮件在自动调查页面查看，已阻止的实体在租户允许 / 阻止列表页面查看。此外，最近的增强功能为安全运营中心 (SOC) 团队提供了对人工修复、隔离解除和系统投递后操作的直接且直观的可见性，使他们能够更好地掌控安全流程。​

实际操作方式​

使用增强版资源管理器时，安全分析师一次最多可选择 100 封电子邮件。

选择后，会弹出一个面板，其中包含清除电子邮件、提交电子邮件、调查电子邮件以及阻止 URL / 文件等选项。

某些选项可能会根据电子邮件的位置显示为灰色不可用状态。例如，已删除或已移动到其他文件夹的电子邮件无法清除。​

如果选择 “提交电子邮件” 选项，分析师可进一步选择确认这些电子邮件为威胁。这样一来，他们就能够选择在租户级别阻止与这些电子邮件相关的 URL 或文件，并且可以选择多个实体进行阻止。​

微软 Defender for Office 365 中资源管理器的增强响应操作体验对安全运维团队来说是一项颠覆性的变革。它为团队提供了所需的工具，使其能够更快速、有效地检测、识别和修复威胁。通过简化工作流程、提供租户级控制并增强可见性，这项新功能将重新定义企业处理基于电子邮件的威胁管理的方式。随着网络威胁的持续演变，对于任何认真保护其数字资产的企业而言，拥有像增强版资源管理器这样强大且直观的工具，已不再仅仅是一种优势，而是成为了一种必需。