Automatizované vyšetřování a reakce (AIR) v plánu Microsoft Defender pro Office 365 Plan 2

• Platí pro:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Vzhledem k tomu, že se výstrahy zabezpečení zobrazují v organizaci Microsoft 365 na adrese https://security.microsoft.com/alerts, je na týmu operací zabezpečení (SecOps), aby tyto výstrahy zkontroloval, upřednostnily je a reagoval na ně. Udržování objemu příchozích upozornění může být ohromující. Automatizace některých z těchto úkolů může pomoct.

Microsoft Defender pro Office 365 Plán 2 (zahrnutý v licencích Microsoft 365, jako je E5 nebo jako samostatné předplatné) zahrnuje výkonné funkce automatizovaného vyšetřování a reakce (AIR), které šetří čas a úsilí týmům SecOps.

Air se řídí posouzením výstrah s vysokým dopadem a vysokým objemem tím, že dokončí šetření na úrovni organizace. Vyšetřování air se rozšiřují o detekce nebo poskytují další analýzy, které určují stav hrozeb pro organizaci. Když air identifikuje hrozby, za frontu za frontu akce nápravy hrozeb pro pracovníky SecOps ke schválení. Výsledkem funkce AIR jsou následující výhody:

• Automatizované procesy vyšetřování v reakci na dobře známé hrozby
• Vhodné nápravné akce čekající na schválení, které vašemu týmu SecOps umožní efektivně reagovat na zjištěné hrozby.
• Váš tým SecOps se může soustředit na úkoly s vyšší prioritou, aniž by ztratil ze zřetele důležitá upozornění, která se aktivují.

AIR v Defender pro Office 365 Plan 2 vyžaduje, aby protokolování auditu bylo zapnuté (ve výchozím nastavení je zapnuté).

Celkový tok airu

Aktivuje se výstraha a playbook zabezpečení zahájí automatizované šetření, jehož výsledkem jsou zjištění a doporučené akce. Tady je celkový tok air krok za krokem:

1. Automatizované šetření se zahájí jedním z následujících způsobů:

   • Konkrétní výstrahy, které jsou navrženy k inicializaci AIR. Mezi tyto výstrahy patří:

     • V e-mailu se identifikuje něco podezřelého (například samotná zpráva, příloha, adresa URL nebo ohrožený uživatelský účet).

     • Automatické vyprázdnění (ZAP) nulou.

     • Odeslání uživatelem.

     • Uživatel klikne na upozornění.

     • Podezřelé chování poštovní schránky

       Tip

       Nezapomeňte pravidelně kontrolovat výstrahy ve vaší organizaci. Další informace o zásadách upozornění, které aktivují automatizované vyšetřování, najdete v tématu Výchozí zásady upozornění v kategorii Správa hrozeb. Položky, které obsahují hodnotu Anopro automatizované šetření , můžou aktivovat automatizovaná šetření. Pokud jsou tato upozornění zakázaná nebo nahrazená vlastními výstrahami, air se neaktivuje.

   • Analytik zabezpečení ručně aktivuje šetření výběrem možnosti Provést akci v Průzkumníku hrozeb, Rozšířené proaktivní vyhledávání, vlastní zjišťování, stránku Email entity nebo panel souhrnu Email. Další informace najdete v tématu Proaktivní vyhledávání hrozeb: Email náprava. Příklady najdete v tématu Příklady automatizovaného vyšetřování a reakce (AIR) v Microsoft Defender pro Office 365 Plan 2.

2. Automatizované šetření vyhodnocuje a analyzuje povahu výstrahy, zprávu a další důkazy obklopují zprávu. Rozsah vyšetřování se může zvýšit na základě důkazů, které byly odhaleny a shromážděny během vyšetřování.

3. Během automatizovaného vyšetřování a po jeho skončení jsou k dispozici podrobnosti a výsledky . Výsledky můžou zahrnovat doporučené akce pro pracovníky secOps k nápravě zjištěných hrozeb.

4. Tým SecOps zkontroluje výsledky šetření a doporučení (v samotném vyšetřování, incidentu nebo v Centru akcí) a akce nápravy schválí nebo zamítne.

   Tip

   Automaticky neprovádějí žádné nápravné akce. Nápravné akce vyžadují ruční schválení pracovníky SecOps. Funkce AIR šetří čas tím, že se dostanete k doporučeným nápravným akcím se všemi podrobnostmi, abyste se mohli informovaně rozhodnout.

   AIR také šetří čas tím, že vyhodnocuje a automaticky řeší výstrahy a incidenty, u kterých nebyly nalezeny žádné hrozby. Tento výsledek je velmi častý ve scénářích odesílání uživatelů. Air ukončí šetření, pokud nebyly nalezeny žádné hrozby nebo byly nalezeny hrozby ve zprávách, které již byly opraveny. Typicky

5. Vzhledem k tomu, že čekající nápravné akce se schválí nebo zamítnou, automatizované šetření se dokončí.

   Automatizované šetření se automaticky ukončí, pokud nejsou identifikovány žádné doporučené akce. Podrobnosti o vyšetřování jsou stále k dispozici na stránce Šetření na adrese https://security.microsoft.com/airinvestigation.

Během a po každém automatizovaném vyšetřování může tým SecOps provádět následující úlohy:

• Zobrazení podrobností o upozornění souvisejícím s šetřením
• Zobrazení podrobností o výsledcích šetření
• Kontrola a schválení akcí v důsledku šetření

Požadovaná oprávnění a licencování pro AIR

Abyste mohli používat AIR, musíte mít přiřazená oprávnění. Budete mít také následující možnosti:

• Microsoft Defender XDR Jednotné řízení přístupu na základě role (RBAC) (Pokud Email & spolupráce>Defender pro Office 365 oprávnění jsou aktivní. Ovlivňuje jenom portál Defender, ne PowerShell:
  • Zahájit automatizované šetření nebo schválit nebo odmítnout doporučené akce: Operace zabezpečení / Email pokročilé nápravné akce (správa).
• Email & oprávnění ke spolupráci na portálu Microsoft Defender:
  • Nastavení funkcí AIR: Členství ve skupinách rolí Správa organizace nebo Správce zabezpečení .
  • Zahájení automatizovaného šetření nebo schválení nebo odmítnutí doporučených akcí:
    • Členství ve skupinách rolí Správa organizace, Správce zabezpečení, Operátor zabezpečení, Čtenář zabezpečení nebo Globální čtenář . a
    • Role Hledat a vyprázdnit , která je ve výchozím nastavení přiřazená jenom skupinám rolí Vyšetřovatel dat nebo Správa organizace . Nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Hledat a Vymazat a přidat uživatele do vlastní skupiny rolí.
• Microsoft Entra oprávnění: Udělte uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365:
  • Nastavení funkcí AIR Členství v rolích globálního správce nebo správce zabezpečení .
  • Zahájení automatizovaného šetření nebo schválení nebo odmítnutí doporučených akcí:
    • Členství v rolích globálního správce, správce zabezpečení, operátora zabezpečení, čtenáře zabezpečení nebo globálního čtenáře a
    • Členství ve skupině rolí Email & spolupráce s přiřazenou rolí Hledat a Vyprázdnit, jak bylo popsáno výše.

Pokud chcete používat AIR, musíte mít přiřazenou licenci pro Defender pro Office 365 Plan 2 (která je součástí vašeho předplatného nebo doplňkové licence).

Další kroky

• Příklady air
• Zobrazení podrobností a výsledků automatizovaného šetření
• Kontrola a schválení čekajících akcí
• Zobrazení čekajících nebo dokončených nápravných akcí