Vyšetřování hrozeb a reakce na ně
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Možnosti vyšetřování hrozeb a reakce na ně v Microsoft Defender pro Office 365 pomáhají analytikům zabezpečení a správcům chránit Microsoft 365 pro firemní uživatele v organizaci:
- Usnadňuje identifikaci, monitorování a pochopení kybernetických útoků.
- Pomáhá rychle řešit hrozby v Exchange Online, SharePointu Online, OneDrive pro firmy a Microsoft Teams.
- Poskytování přehledů a znalostí, které pomáhají bezpečnostním operacím předcházet kybernetickým útokům na jejich organizaci.
- Využití automatizovaného vyšetřování a reakce v Office 365 pro kritické e-mailové hrozby.
Funkce pro zkoumání hrozeb a reakce na ně poskytují přehled o hrozbách a souvisejících akcích reakce, které jsou k dispozici na portálu Microsoft Defender. Tyto přehledy můžou pomoct bezpečnostnímu týmu vaší organizace chránit uživatele před e-mailovými nebo souborovými útoky. Tyto funkce pomáhají monitorovat signály a shromažďovat data z různých zdrojů, jako jsou aktivity uživatelů, ověřování, e-maily, ohrožené počítače a incidenty zabezpečení. Pracovníci s rozhodovací pravomocí ve firmě a váš provozní tým zabezpečení můžou tyto informace použít k pochopení hrozeb, které jsou vůči vaší organizaci ohroženy, k reakci na ně a k ochraně vašeho duševního vlastnictví.
Seznamte se s nástroji pro šetření hrozeb a reakce na ně
Funkce pro zkoumání hrozeb a reakce na portálu Microsoft Defender na adrese https://security.microsoft.com jsou sada nástrojů a pracovních postupů reakce, které zahrnují:
- Průzkumník
- Incidenty
- Trénování simulace útoku
- Automatizované vyšetřování a reakce (Automated Investigation and Response)
Průzkumník
Pomocí Průzkumníka (a detekce v reálném čase) můžete analyzovat hrozby, zobrazit objem útoků v průběhu času a analyzovat data podle skupin hrozeb, infrastruktury útočníků a dalších možností. Průzkumník (označovaný také jako Průzkumník hrozeb) je výchozím místem pro pracovní postup vyšetřování jakéhokoli analytika zabezpečení.
Pokud chcete tuto sestavu zobrazit a používat na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte do průzkumníka Email & spolupráce>. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorer
Office 365 připojení analýzy hrozeb
Tato funkce je dostupná jenom v případě, že máte aktivní předplatné Office 365 E5, G5, Microsoft 365 E5, G5 nebo doplněk Analýza hrozeb. Další informace najdete na stránce produktu Office 365 Enterprise E5.
Data z Microsoft Defender pro Office 365 jsou začleněna do Microsoft Defender XDR, aby se provedlo komplexní šetření zabezpečení Office 365 poštovních schránek a zařízení s Windows.
Incidenty
Seznam bezpečnostních incidentů v testovacích verzích zobrazíte pomocí seznamu Incidenty (označuje se také jako vyšetřování). Incidenty se používají ke sledování hrozeb, jako jsou podezřelé e-mailové zprávy, a k dalšímu šetření a nápravě.
Pokud chcete zobrazit seznam aktuálních incidentů pro vaši organizaci na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte na Incidenty & výstrahy>Incidenty. Pokud chcete přejít přímo na stránku Incidenty, použijte .https://security.microsoft.com/incidents
Trénování simulace útoku
Použijte Simulační nácvik útoku k nastavení a spuštění realistických kybernetických útoků ve vaší organizaci a k identifikaci ohrožených osob dříve, než skutečný kybernetický útok ovlivní vaši firmu. Další informace najdete v tématu Simulace útoku phishing.
Pokud chcete tuto funkci zobrazit a používat na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte na Email & spolupráce>Simulační nácvik útoku. Nebo pokud chcete přejít přímo na stránku Simulační nácvik útoku, použijte .https://security.microsoft.com/attacksimulator?viewid=overview
Automatizované vyšetřování a reakce (Automated Investigation and Response)
Využijte funkce automatizovaného vyšetřování a reakce (AIR) k úspoře času a úsilí při korelaci obsahu, zařízení a osob ohrožených hrozbami ve vaší organizaci. Procesy AIR můžou začít vždy, když se aktivují určité výstrahy nebo když je spustí váš tým pro operace zabezpečení. Další informace najdete v tématu automatizované šetření a reakce v Office 365.
Widgety analýzy hrozeb
V rámci nabídky Microsoft Defender pro Office 365 Plan 2 můžou analytici zabezpečení zkontrolovat podrobnosti o známé hrozbě. To je užitečné, pokud chcete zjistit, jestli existují další preventivní opatření nebo kroky, které je možné přijmout, aby uživatelé zůstali v bezpečí.
Jak tyto funkce získáme?
Funkce microsoft 365 pro zkoumání hrozeb a reakce na ně jsou součástí plánu Microsoft Defender pro Office 365 Plan 2, který je součástí Enterprise E5 nebo jako doplněk k určitým předplatným. Další informace najdete v stručné nápovědě Defender pro Office 365 Plán 1 vs. Plán 2.
Požadované role a oprávnění
Microsoft Defender pro Office 365 používá řízení přístupu na základě role. Oprávnění se přiřazují prostřednictvím určitých rolí v Microsoft Entra ID, Centrum pro správu Microsoftu 365 nebo portálu Microsoft Defender.
Tip
I když je možné některé role, například Správce zabezpečení, přiřadit na portálu Microsoft Defender, zvažte použití Centrum pro správu Microsoftu 365 nebo Microsoft Entra ID. Informace o rolích, skupinách rolí a oprávněních najdete v následujících zdrojích informací:
Activity | Role a oprávnění |
---|---|
Použití řídicího panelu Microsoft Defender Správa zranitelností Zobrazení informací o nedávných nebo aktuálních hrozbách |
Jedna z následujících možností:
Tyto role je možné přiřadit v Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com). |
Použití Průzkumníka (a detekce v reálném čase) k analýze hrozeb | Jedna z následujících možností:
Tyto role je možné přiřadit v Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com). |
Zobrazit incidenty (označované také jako šetření) Přidání e-mailových zpráv k incidentu |
Jedna z následujících možností:
Tyto role je možné přiřadit v Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com). |
Aktivace e-mailových akcí v incidentu Vyhledání a odstranění podezřelých e-mailových zpráv |
Jedna z následujících možností:
Role globálního správce* a správce zabezpečení je možné přiřadit v Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com). Role Hledat a vyprázdnit musí být přiřazená v rolích Email & spolupráce na portálu Microsoft 36 Defender (https://security.microsoft.com). |
Integrace Microsoft Defender pro Office 365 Plan 2 s Microsoft Defender for Endpoint Integrace Microsoft Defender pro Office 365 Plan 2 se serverem SIEM |
Roli globálního správce* nebo správce zabezpečení přiřazenou v Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com). --- plus --- Odpovídající role přiřazená v dalších aplikacích (například Centrum zabezpečení v programu Microsoft Defender nebo serveru SIEM). |
Důležité
* Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.