Sdílet prostřednictvím


Vyšetřování hrozeb a reakce na ně

Tip

Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Možnosti vyšetřování hrozeb a reakce na ně v Microsoft Defender pro Office 365 pomáhají analytikům zabezpečení a správcům chránit Microsoft 365 pro firemní uživatele v organizaci:

  • Usnadňuje identifikaci, monitorování a pochopení kybernetických útoků.
  • Pomáhá rychle řešit hrozby v Exchange Online, SharePointu Online, OneDrive pro firmy a Microsoft Teams.
  • Poskytování přehledů a znalostí, které pomáhají bezpečnostním operacím předcházet kybernetickým útokům na jejich organizaci.
  • Využití automatizovaného vyšetřování a reakce v Office 365 pro kritické e-mailové hrozby.

Funkce pro zkoumání hrozeb a reakce na ně poskytují přehled o hrozbách a souvisejících akcích reakce, které jsou k dispozici na portálu Microsoft Defender. Tyto přehledy můžou pomoct bezpečnostnímu týmu vaší organizace chránit uživatele před e-mailovými nebo souborovými útoky. Tyto funkce pomáhají monitorovat signály a shromažďovat data z různých zdrojů, jako jsou aktivity uživatelů, ověřování, e-maily, ohrožené počítače a incidenty zabezpečení. Pracovníci s rozhodovací pravomocí ve firmě a váš provozní tým zabezpečení můžou tyto informace použít k pochopení hrozeb, které jsou vůči vaší organizaci ohroženy, k reakci na ně a k ochraně vašeho duševního vlastnictví.

Seznamte se s nástroji pro šetření hrozeb a reakce na ně

Funkce pro zkoumání hrozeb a reakce na portálu Microsoft Defender na adrese https://security.microsoft.com jsou sada nástrojů a pracovních postupů reakce, které zahrnují:

Průzkumník

Pomocí Průzkumníka (a detekce v reálném čase) můžete analyzovat hrozby, zobrazit objem útoků v průběhu času a analyzovat data podle skupin hrozeb, infrastruktury útočníků a dalších možností. Průzkumník (označovaný také jako Průzkumník hrozeb) je výchozím místem pro pracovní postup vyšetřování jakéhokoli analytika zabezpečení.

Stránka Průzkumníka hrozeb

Pokud chcete tuto sestavu zobrazit a používat na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte do průzkumníka Email & spolupráce>. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorer

Office 365 připojení analýzy hrozeb

Tato funkce je dostupná jenom v případě, že máte aktivní předplatné Office 365 E5, G5, Microsoft 365 E5, G5 nebo doplněk Analýza hrozeb. Další informace najdete na stránce produktu Office 365 Enterprise E5.

Data z Microsoft Defender pro Office 365 jsou začleněna do Microsoft Defender XDR, aby se provedlo komplexní šetření zabezpečení Office 365 poštovních schránek a zařízení s Windows.

Incidenty

Seznam bezpečnostních incidentů v testovacích verzích zobrazíte pomocí seznamu Incidenty (označuje se také jako vyšetřování). Incidenty se používají ke sledování hrozeb, jako jsou podezřelé e-mailové zprávy, a k dalšímu šetření a nápravě.

Seznam aktuálních incidentů hrozeb v Office 365

Pokud chcete zobrazit seznam aktuálních incidentů pro vaši organizaci na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte na Incidenty & výstrahy>Incidenty. Pokud chcete přejít přímo na stránku Incidenty, použijte .https://security.microsoft.com/incidents

Trénování simulace útoku

Použijte Simulační nácvik útoku k nastavení a spuštění realistických kybernetických útoků ve vaší organizaci a k identifikaci ohrožených osob dříve, než skutečný kybernetický útok ovlivní vaši firmu. Další informace najdete v tématu Simulace útoku phishing.

Pokud chcete tuto funkci zobrazit a používat na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte na Email & spolupráce>Simulační nácvik útoku. Nebo pokud chcete přejít přímo na stránku Simulační nácvik útoku, použijte .https://security.microsoft.com/attacksimulator?viewid=overview

Automatizované vyšetřování a reakce (Automated Investigation and Response)

Využijte funkce automatizovaného vyšetřování a reakce (AIR) k úspoře času a úsilí při korelaci obsahu, zařízení a osob ohrožených hrozbami ve vaší organizaci. Procesy AIR můžou začít vždy, když se aktivují určité výstrahy nebo když je spustí váš tým pro operace zabezpečení. Další informace najdete v tématu automatizované šetření a reakce v Office 365.

Widgety analýzy hrozeb

V rámci nabídky Microsoft Defender pro Office 365 Plan 2 můžou analytici zabezpečení zkontrolovat podrobnosti o známé hrozbě. To je užitečné, pokud chcete zjistit, jestli existují další preventivní opatření nebo kroky, které je možné přijmout, aby uživatelé zůstali v bezpečí.

Podokno Trendy zabezpečení zobrazující informace o nedávných hrozbách

Jak tyto funkce získáme?

Funkce microsoft 365 pro zkoumání hrozeb a reakce na ně jsou součástí plánu Microsoft Defender pro Office 365 Plan 2, který je součástí Enterprise E5 nebo jako doplněk k určitým předplatným. Další informace najdete v stručné nápovědě Defender pro Office 365 Plán 1 vs. Plán 2.

Požadované role a oprávnění

Microsoft Defender pro Office 365 používá řízení přístupu na základě role. Oprávnění se přiřazují prostřednictvím určitých rolí v Microsoft Entra ID, Centrum pro správu Microsoftu 365 nebo portálu Microsoft Defender.

Tip

I když je možné některé role, například Správce zabezpečení, přiřadit na portálu Microsoft Defender, zvažte použití Centrum pro správu Microsoftu 365 nebo Microsoft Entra ID. Informace o rolích, skupinách rolí a oprávněních najdete v následujících zdrojích informací:

Activity Role a oprávnění
Použití řídicího panelu Microsoft Defender Správa zranitelností

Zobrazení informací o nedávných nebo aktuálních hrozbách
Jedna z následujících možností:
  • Globální správce*
  • Správce zabezpečení
  • Čtenář zabezpečení

Tyto role je možné přiřadit v Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com).
Použití Průzkumníka (a detekce v reálném čase) k analýze hrozeb Jedna z následujících možností:
  • Globální správce*
  • Správce zabezpečení
  • Čtenář zabezpečení

Tyto role je možné přiřadit v Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com).
Zobrazit incidenty (označované také jako šetření)

Přidání e-mailových zpráv k incidentu
Jedna z následujících možností:
  • Globální správce*
  • Správce zabezpečení
  • Čtenář zabezpečení

Tyto role je možné přiřadit v Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com).
Aktivace e-mailových akcí v incidentu

Vyhledání a odstranění podezřelých e-mailových zpráv
Jedna z následujících možností:
  • Globální správce*
  • Správce zabezpečení a role Hledat a vyprázdnit

Role globálního správce* a správce zabezpečení je možné přiřadit v Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com).

Role Hledat a vyprázdnit musí být přiřazená v rolích Email & spolupráce na portálu Microsoft 36 Defender (https://security.microsoft.com).
Integrace Microsoft Defender pro Office 365 Plan 2 s Microsoft Defender for Endpoint

Integrace Microsoft Defender pro Office 365 Plan 2 se serverem SIEM
Roli globálního správce* nebo správce zabezpečení přiřazenou v Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com).

--- plus ---

Odpovídající role přiřazená v dalších aplikacích (například Centrum zabezpečení v programu Microsoft Defender nebo serveru SIEM).

Důležité

* Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Další kroky