Sdílet prostřednictvím


Microsoft Defender pro Office 365 Průvodce provozem zabezpečení

Tip

Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Tento článek poskytuje přehled požadavků a úkolů pro úspěšné fungování Microsoft Defender pro Office 365 ve vaší organizaci. Tyto úlohy pomáhají zajistit, aby vaše centrum operací zabezpečení (SOC) poskytovalo vysoce kvalitní a spolehlivý přístup k ochraně bezpečnostních hrozeb souvisejících s e-mailem a spoluprací a k jejich zjišťování a reagování na ně.

Zbývající část této příručky popisuje požadované aktivity pro pracovníky SecOps. Aktivity jsou seskupené do denních, týdenních, měsíčních a ad hoc úkolů.

Doprovodný článek k této příručce obsahuje přehled správy incidentů a výstrah z Defender pro Office 365 na stránce Incidenty na portálu Microsoft Defender.

Příručka Microsoft Defender XDR Security Operations Guide obsahuje další informace, které můžete použít při plánování a vývoji.

Video o těchto informacích najdete v tématu https://youtu.be/eQanpq9N1Ps.

Denní aktivity

Monitorování fronty incidentů Microsoft Defender XDR

Stránka Incidenty na portálu Microsoft Defender (https://security.microsoft.com/incidentsoznačovaná také jako fronta incidentů) umožňuje spravovat a monitorovat události z následujících zdrojů v Defender pro Office 365:

Další informace o frontě incidentů najdete v tématu Určení priority incidentů v Microsoft Defender XDR.

Plán posouzení pro monitorování fronty incidentů by měl pro incidenty používat následující pořadí priorit:

  1. Bylo zjištěno kliknutí na potenciálně škodlivou adresu URL.
  2. Uživatel nemůže odesílat e-maily.
  3. Zjistily se podezřelé vzorce odesílání e-mailů.
  4. Email hlášeny uživatelem jako malware nebo phish a více uživatelů nahlásilo e-mail jako malware nebo phish.
  5. Email zprávy obsahující škodlivý soubor odebraný po doručení, Email zprávy obsahující škodlivou adresu URL odebrané po doručení a Email zprávy z kampaně odebrané po doručení.
  6. Phish doručené kvůli přepsání ETR, Phish doručeno, protože složka Nevyžádaná pošta uživatele je zakázaná a phish doručena kvůli zásadám povolení IP adres
  7. Malware není zapped, protože ZAP je zakázáno a Phish není zapped, protože ZAP je zakázáno.

Správa front incidentů a zodpovědné osoby jsou popsané v následující tabulce:

Activity Kadence Popis Persona
Určení priorit incidentů ve frontě Incidenty na adrese https://security.microsoft.com/incidents. Denně Ověřte, že jsou všechny incidenty střední a vysoké závažnosti z Defender pro Office 365 vyhodnoceny podle priorit. Tým pro operace zabezpečení
Prošetřte incidenty a proveďte akce reakce na incidenty. Denně Prošetřete všechny incidenty a aktivně proveďte doporučené nebo ruční reakce. Tým pro operace zabezpečení
Vyřešte incidenty. Denně Pokud se incident vyřešil, vyřešte ho. Řešení incidentu vyřeší všechny propojené a související aktivní výstrahy. Tým pro operace zabezpečení
Klasifikovat incidenty. Denně Klasifikovat incidenty jako true nebo false. Pro skutečné výstrahy zadejte typ hrozby. Tato klasifikace pomáhá vašemu bezpečnostnímu týmu vidět vzory hrozeb a chránit před nimi vaši organizaci. Tým pro operace zabezpečení

Správa falešně pozitivních a falešně negativních detekcí

V Defender pro Office 365 spravujete falešně pozitivní zprávy (dobrá pošta označená jako špatná) a falešně negativní (je povolená špatná pošta) na následujících místech:

Další informace najdete v části Správa falešně pozitivních a falešně negativních detekcí dále v tomto článku.

Falešně pozitivní a falešně negativní řízení a zodpovědné osoby jsou popsány v následující tabulce:

Activity Kadence Popis Persona
Odešlete microsoftu falešně pozitivní výsledky a falešně negativní výsledky na adrese https://security.microsoft.com/reportsubmission. Denně Poskytněte Microsoftu signály tím, že nahlásíte nesprávné e-maily, adresy URL a soubory. Tým pro operace zabezpečení
Analýza podrobností o odeslání správcem Denně Seznamte se s následujícími faktory pro odeslání do Microsoftu:
  • Co způsobilo falešně pozitivní nebo falešně negativní.
  • Stav Defender pro Office 365 konfigurace v době odeslání.
  • Jestli potřebujete provést změny v konfiguraci Defender pro Office 365.
Tým pro operace zabezpečení

Správa zabezpečení
Přidejte položky bloků do seznamu povolených/blokovaných tenantů na adrese https://security.microsoft.com/tenantAllowBlockList. Denně Pomocí seznamu povolených/blokovaných klientů můžete podle potřeby přidat položky blokování pro falešně negativní adresy URL, soubory nebo odesílatele. Tým pro operace zabezpečení
Uvolněte falešně pozitivní zprávu z karantény. Denně Jakmile příjemce potvrdí, že zpráva byla nesprávně umístěna do karantény, můžete uvolnit nebo schválit žádosti o vydání pro uživatele.

Informace o tom, co můžou uživatelé dělat se svými vlastními zprávami v karanténě (včetně vydání verze nebo žádosti o vydání), najdete v tématu Zásady karantény.
Tým pro operace zabezpečení

Tým pro zasílání zpráv

Kontrola phishingových a malwarových kampaní, které vedly k doručení pošty

Activity Kadence Popis Persona
Kontrola e-mailových kampaní Denně Zkontrolujte e-mailové kampaně , které cílí na vaši organizaci na adrese https://security.microsoft.com/campaigns. Zaměřte se na kampaně, které vedly k doručení zpráv příjemcům.

Odeberte zprávy z kampaní, které existují v poštovních schránkách uživatelů. Tato akce se vyžaduje jenom v případě, že kampaň obsahuje e-maily, které ještě nebyly napraveny akcemi z incidentů, automatického vymazání (ZAP) nulou po hodinách nebo ruční nápravy.
Tým pro operace zabezpečení

Týdenní aktivity

V Defender pro Office 365 můžete pomocí následujících sestav zkontrolovat trendy detekce e-mailů ve vaší organizaci:

Activity Kadence Popis Persona
Zkontrolujte sestavy detekce e-mailů na adrese: Týdně Zkontrolujte trendy detekce malwaru, phishingu a spamu v porovnání s dobrým e-mailem. Pozorování v průběhu času umožňuje zobrazit vzory hrozeb a určit, jestli je potřeba upravit zásady Defender pro Office 365. Správa zabezpečení

Tým pro operace zabezpečení

Sledování nově vznikajících hrozeb a reakce na ně pomocí analýzy hrozeb

Pomocí analýzy hrozeb můžete zkontrolovat aktivní a populární hrozby.

Activity Kadence Popis Persona
Projděte si hrozby v analýze hrozeb na adrese https://security.microsoft.com/threatanalytics3. Týdně Analýza hrozeb poskytuje podrobnou analýzu, včetně následujících položek:
  • Vstupně-výstupní operace.
  • Proaktivní dotazy týkající se aktivních hrozeb a jejich kampaní.
  • Oblíbené a nové techniky útoku.
  • Kritická ohrožení zabezpečení.
  • Běžné možnosti útoku.
  • Převládá malware.
Tým pro operace zabezpečení

Tým proaktivního vyhledávání hrozeb

Kontrola malwaru a phishingu u uživatelů s nejvyšším cílem

Pomocí karty (zobrazení Nejcílí uživatelé ) v oblasti podrobností zobrazení Veškerý e-mail, Malware a Phish v Průzkumníku hrozeb můžete zjistit nebo potvrdit uživatele, kteří jsou hlavním cílem malwaru a phishingových e-mailů.

Activity Kadence Popis Persona
V Průzkumníku hrozeb zkontrolujte kartu Top targeted users (Uživatelé s nejvyšším cílem ) na adrese https://security.microsoft.com/threatexplorer. Týdně Pomocí těchto informací se můžete rozhodnout, jestli potřebujete upravit zásady nebo ochranu pro tyto uživatele. Přidejte ovlivněné uživatele do prioritních účtů , abyste získali následující výhody: Správa zabezpečení

Tým pro operace zabezpečení

Kontrola nejčastějších malwarových a phishingových kampaní, které cílí na vaši organizaci

Zobrazení kampaní odhalí malwarové a phishingové útoky na vaši organizaci. Další informace najdete v tématu Zobrazení kampaně v Microsoft Defender pro Office 365.

Activity Kadence Popis Persona
Pomocí zobrazení kampaní na webu https://security.microsoft.com/campaigns můžete zkontrolovat malwarové a phishingové útoky, které se vás týkají. Týdně Přečtěte si o útocích a technikách a o tom, co Defender pro Office 365 dokázal identifikovat a blokovat.

Podrobné informace o kampaních získáte v části Stažení sestavy hrozeb v zobrazeních kampaní.
Tým pro operace zabezpečení

Ad hoc aktivity

Ruční šetření a odebrání e-mailu

Activity Kadence Popis Persona
Prošetřete a odeberte chybné e-maily v Průzkumníku hrozeb na https://security.microsoft.com/threatexplorer základě požadavků uživatelů. Ad hoc Pomocí akce Trigger investigation (Aktivovat šetření ) v Průzkumníku hrozeb můžete spustit automatizovaný playbook pro vyšetřování a odpovědi na libovolný e-mail za posledních 30 dnů. Ruční spuštění šetření šetří čas a úsilí tím, že centrálně zahrnuje:
  • Kořenové šetření.
  • Kroky k identifikaci a korelaci hrozeb
  • Doporučené akce ke zmírnění těchto hrozeb

Další informace najdete v tématu Příklad: Uživatelem nahlášená zpráva o phish spustí playbook pro šetření.

Nebo můžete pomocí Průzkumníka hrozeb ručně prozkoumat e-maily s výkonnými funkcemi vyhledávání a filtrování a provést ruční reakci přímo ze stejného místa. Dostupné ruční akce:
  • Přesunout do složky Doručená pošta
  • Přesunout do nevyžádané pošty
  • Přesunout na Odstraněné položky
  • Obnovitelné odstranění
  • Pevné odstranění.
Tým pro operace zabezpečení

Proaktivní vyhledávání hrozeb

Activity Kadence Popis Persona
Pravidelné proaktivní vyhledávání hrozeb:. Ad hoc Hledejte hrozby pomocí Průzkumníka hrozeb a rozšířeného proaktivního vyhledávání. Tým pro operace zabezpečení

Tým proaktivního vyhledávání hrozeb
Sdílení dotazů proaktivního vyhledávání Ad hoc Aktivně sdílejte často používané a užitečné dotazy v rámci bezpečnostního týmu pro rychlejší ruční proaktivní vyhledávání a nápravu hrozeb.

Používejte sledování hrozeb a sdílené dotazy v rozšířeném proaktivním vyhledávání.
Tým pro operace zabezpečení

Tým proaktivního vyhledávání hrozeb
Vytvořte vlastní pravidla detekce na adrese https://security.microsoft.com/custom_detection. Ad hoc Vytvořte vlastní pravidla detekce pro aktivní monitorování událostí, vzorů a hrozeb na základě Defender pro Office 365 dat v rozšířeném proaktivním vyhledávání. Pravidla detekce obsahují pokročilé dotazy proaktivního vyhledávání, které generují výstrahy na základě odpovídajících kritérií. Tým pro operace zabezpečení

Tým proaktivního vyhledávání hrozeb

Kontrola konfigurací zásad Defender pro Office 365

Activity Kadence Popis Persona
Zkontrolujte konfiguraci zásad Defender pro Office 365 na adrese https://security.microsoft.com/configurationAnalyzer. Ad hoc

Měsíčně
Pomocí analyzátoru konfigurace můžete porovnat stávající nastavení zásad s doporučenými standardními nebo striktními hodnotami pro Defender pro Office 365. Analyzátor konfigurace identifikuje náhodné nebo škodlivé změny, které můžou snížit stav zabezpečení vaší organizace.

Nebo můžete použít nástroj ORCA založený na PowerShellu.
Správa zabezpečení

Tým pro zasílání zpráv
Kontrola přepsání detekce v Defender pro Office 365 na adresehttps://security.microsoft.com/reports/TPSMessageOverrideReportATP Ad hoc

Měsíčně
Pomocí zobrazení Zobrazit data podle přepsání > systému rozpis grafů podle důvodu v sestavě stavu ochrany před hrozbami můžete zkontrolovat e-maily, které byly zjištěny jako phishing, ale doručené kvůli zásadám nebo nastavením přepsání uživatele.

Aktivně prošetřujte, odstraňujte nebo vylaďte přepsání, abyste se vyhnuli doručování e-mailů, u které bylo zjištěno, že jsou škodlivé.
Správa zabezpečení

Tým pro zasílání zpráv

Kontrola detekcí falšování a zosobnění

Activity Kadence Popis Persona
Projděte si přehled informací o falšování identity a přehledy detekce zosobnění na stránce. Ad hoc

Měsíčně
Pomocí přehledu falšování azosobnění můžete upravit filtrování pro detekci falšování a zosobnění. Správa zabezpečení

Tým pro zasílání zpráv

Kontrola členství v účtu s prioritou

Activity Kadence Popis Persona
Zkontrolujte, kdo je definovaný jako prioritní účet na adrese https://security.microsoft.com/securitysettings/userTags. Ad hoc Udržujte členství v prioritních účtech aktuální s organizačními změnami, abyste pro tyto uživatele získali následující výhody:
  • Lepší viditelnost v sestavách.
  • Filtrování incidentů a výstrah.
  • Heuristika přizpůsobená pro vzory toku pošty vedoucích pracovníků (prioritní ochrana účtu)

Pomocí vlastních značek uživatelů můžete ostatním uživatelům získat:
  • Lepší viditelnost v sestavách.
  • Filtrování incidentů a výstrah.
Tým pro operace zabezpečení

Dodatek

Informace o Microsoft Defender pro Office 365 nástrojích a procesech

Členové týmu pro operace zabezpečení a reakce musí integrovat Defender pro Office 365 nástroje a funkce do stávajících procesů vyšetřování a reakce. Seznámení s novými nástroji a možnostmi může nějakou dobu trvat, ale je to důležitá součást procesu připojování. Nejjednodušší způsob, jak se členové týmu SecOps a týmu zabezpečení e-mailem dozvědět o Defender pro Office 365, je použít školicí obsah, který je k dispozici jako součást školicího obsahu ninja na adrese https://aka.ms/mdoninja.

Obsah je strukturován pro různé úrovně znalostí (Základy, Středně pokročilí a Pokročilí) s několika moduly na úrovni.

V kanálu Microsoft Defender pro Office 365 YouTube jsou k dispozici také krátká videa ke konkrétním úkolům.

Oprávnění pro Defender pro Office 365 aktivity a úkoly

Oprávnění pro správu Defender pro Office 365 na portálu Microsoft Defender a v PowerShellu jsou založená na modelu oprávnění řízení přístupu na základě role (RBAC). RBAC je stejný model oprávnění, který používá většina služeb Microsoftu 365. Další informace najdete v tématu Oprávnění na portálu Microsoft Defender.

Poznámka

Privileged Identity Management (PIM) v Microsoft Entra ID je také způsob, jak přiřadit požadovaná oprávnění pracovníkům secOps. Další informace najdete v tématu Privileged Identity Management (PIM) a proč ho používat s Microsoft Defender pro Office 365.

Následující oprávnění (role a skupiny rolí) jsou k dispozici v Defender pro Office 365 a dají se použít k udělení přístupu členům týmu zabezpečení:

  • Microsoft Entra ID: Centralizované role, které přiřazují oprávnění pro všechny služby Microsoft 365, včetně Defender pro Office 365. Role Microsoft Entra a přiřazené uživatele můžete zobrazit na portálu Microsoft Defender, ale nemůžete je tam přímo spravovat. Místo toho můžete spravovat role a členy Microsoft Entra na adrese https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. Mezi nejčastější role používané bezpečnostními týmy patří:

  • Exchange Online a Email & spolupráce: Role a skupiny rolí, které uděluje oprávnění specifická pro Microsoft Defender pro Office 365. Následující role nejsou v Microsoft Entra ID dostupné, ale můžou být důležité pro bezpečnostní týmy:

    • Role preview (Email & spolupráce): Přiřaďte tuto roli členům týmu, kteří potřebují zobrazit náhled nebo stáhnout e-mailové zprávy v rámci aktivit šetření. Umožňuje uživatelům zobrazit náhled a stáhnout e-mailové zprávy z cloudových poštovních schránek pomocí Průzkumníka hrozeb (Průzkumník) nebo detekce v reálném čase a stránky Email entit.

      Ve výchozím nastavení je role Preview přiřazená jenom následujícím skupinám rolí:

      • Zkoušející data
      • Manažer eDiscovery

      Do těchto skupin rolí můžete přidat uživatele nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Preview a přidat uživatele do vlastní skupiny rolí.

    • Role hledání a vymazání (Email & spolupráce): Schvalte odstranění škodlivých zpráv podle doporučení air nebo proveďte ruční akci se zprávami v prostředích proaktivního vyhledávání, jako je Průzkumník hrozeb.

      Ve výchozím nastavení je role Hledat a Vyprázdnit přiřazena pouze k následujícím skupinám rolí:

      • Zkoušející data
      • Správa organizace

      Do těchto skupin rolí můžete přidat uživatele nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Hledat a Vymazat a přidat uživatele do vlastní skupiny rolí.

    • Tenant AllowBlockList Manager (Exchange Online): Umožňuje spravovat položky povolených a blokovaných položek v seznamu povolených/blokovaných tenantů. Blokování adres URL, souborů (pomocí hodnoty hash souboru) nebo odesílatelů je užitečná akce, kterou je třeba provést při vyšetřování doručených škodlivých e-mailů.

      Ve výchozím nastavení je tato role přiřazena pouze skupině rolí Operátor zabezpečení v Exchange Online, nikoli ve Microsoft Entra ID. Členství v roli operátora zabezpečení v Microsoft Entra IDvám neumožňuje spravovat položky seznamu povolených/blokovaných tenantů.

      Členové rolí správce zabezpečení nebo správy organizace v Microsoft Entra ID nebo odpovídajících skupin rolí v Exchange Online můžou spravovat položky v seznamu povolených nebo blokovaných tenantů.

Integrace SIEM/SOAR

Defender pro Office 365 zveřejňuje většinu svých dat prostřednictvím sady programových rozhraní API. Tato rozhraní API pomáhají automatizovat pracovní postupy a plně využívat možnosti Defender pro Office 365. Data jsou k dispozici prostřednictvím rozhraní API Microsoft Defender XDR a dají se použít k integraci Defender pro Office 365 do stávajících řešení SIEM/SOAR.

Pokud chcete pomocí Microsoft Sentinel připojit incidenty Defender pro Office 365 a nezpracovaná data, můžete použít konektor Microsoft Defender XDR (M365D).

K otestování přístupu rozhraní API k rozhraním API pro Microsoft Defender můžete použít následující příklad "Hello World": Hello World pro Microsoft Defender XDR REST API.

Další informace o integraci nástrojů SIEM najdete v tématu Integrace nástrojů SIEM s Microsoft Defender XDR.

Řešení falešně pozitivních výsledků a falešně negativních výsledků v Defender pro Office 365

Zprávy hlášené uživateli a odeslání e-mailových zpráv správcem jsou důležitými pozitivními signály pro naše systémy detekce strojového učení. Odeslání nám pomáhají kontrolovat, analyzovat, rychle se učit a zmírnit útoky. Aktivní hlášení falešně pozitivních a falešně negativních výsledků je důležitá aktivita, která poskytuje zpětnou vazbu Defender pro Office 365 při zjišťování chyb.

Organizace mají několik možností, jak nakonfigurovat zprávy hlášené uživateli. V závislosti na konfiguraci můžou mít bezpečnostní týmy aktivnější zapojení, když uživatelé odesílali do Microsoftu falešně pozitivní nebo falešně negativní výsledky:

  • Zprávy nahlášené uživatelem se posílají do Microsoftu k analýze, když je v nastavení Nahlášený uživatel nakonfigurované některé z následujících nastavení:

    • Nahlášené zprávy můžete odesílatpouze microsoftu.
    • Odešlete nahlášené zprávy na adresu: Microsoft a moje poštovní schránka pro vytváření sestav.

    Když provozní tým zjistí falešně pozitivní nebo falešně negativní výsledky, které uživatelé nenahlásili, členové týmů zabezpečení by měli provádět příspěvky správců ad hoc.

  • Pokud jsou zprávy nahlášené uživatelem nakonfigurované tak, aby odesílaly zprávy jenom do poštovní schránky organizace, měly by bezpečnostní týmy aktivně odesílat společnosti Microsoft falešně pozitivní výsledky hlášené uživateli a falešně negativní zprávy prostřednictvím příspěvků správců.

Když uživatel nahlásí zprávu jako phishing, Defender pro Office 365 vygeneruje upozornění a výstraha aktivuje playbook AIR. Logika incidentu koreluje tyto informace s dalšími výstrahami a událostmi, pokud je to možné. Tato konsolidace informací pomáhá bezpečnostním týmům s určením priorit, zkoumáním a reagování na zprávy nahlášené uživateli.

Kanál odesílání ve službě se řídí úzce integrovaným procesem, když uživatel hlásí zprávy a správci odesílané zprávy. Tento proces zahrnuje:

  • Snížení šumu.
  • Automatizované třídění.
  • Hodnocení podle analytiků zabezpečení a řešení založených na strojovém učení s lidmi

Další informace najdete v tématu Hlášení e-mailu v Defender pro Office 365 – Microsoft Tech Community.

Členové týmu zabezpečení můžou provádět odeslání z více umístění na portálu Microsoft Defender na adrese https://security.microsoft.com:

  • Správa odeslání: Na stránce Odesílané zprávy můžete microsoftu odeslat podezřelý spam, phishing, adresy URL a soubory.

  • Přímo z Průzkumníka hrozeb pomocí jedné z následujících akcí zprávy:

    • Vyčištění sestavy
    • Nahlásit útok phishing
    • Nahlásit malware
    • Nahlásit spam

    K hromadnému odeslání můžete vybrat až 10 zpráv. Správa odeslání vytvořená těmito metodami jsou zobrazena na příslušných kartách na stránce Odeslání.

V rámci krátkodobého zmírnění falešně negativních výsledků můžou bezpečnostní týmy přímo spravovat položky bloků pro soubory, adresy URL a domény nebo e-mailové adresy v seznamu povolených/blokovaných klientů.

V rámci krátkodobého zmírnění falešně pozitivních výsledků nemůžou bezpečnostní týmy přímo spravovat položky povolení pro domény a e-mailové adresy v seznamu povolených/blokovaných klientů. Místo toho musí použít odeslání správce k nahlášení e-mailové zprávy jako falešně pozitivní. Pokyny najdete v tématu Nahlášení dobrého e-mailu microsoftu.

Karanténa v Defender pro Office 365 obsahuje potenciálně nebezpečné nebo nežádoucí zprávy a soubory. Bezpečnostní týmy můžou zobrazovat, vydávat a odstraňovat všechny typy zpráv v karanténě pro všechny uživatele. Tato funkce umožňuje týmům zabezpečení efektivně reagovat, když je falešně pozitivní zpráva nebo soubor v karanténě.

Integrace nástrojů pro vytváření sestav třetích stran s Defender pro Office 365 zprávami nahlášenými uživateli

Pokud vaše organizace používá nástroj pro vytváření sestav od jiného výrobce, který umožňuje uživatelům interně hlásit podezřelé e-maily, můžete ho integrovat se schopnostmi zpráv nahlášených uživatelem Defender pro Office 365. Tato integrace poskytuje bezpečnostním týmům následující výhody:

  • Integrace s funkcemi AIR Defender pro Office 365.
  • Zjednodušené třídění.
  • Zkrácení doby šetření a odezvy.

Určete poštovní schránku sestav, do které se odesílají zprávy nahlášené uživatelem, na stránce Nastavení nahlášených uživatelem na portálu Microsoft Defender na adrese https://security.microsoft.com/securitysettings/userSubmission. Další informace najdete v tématu Nastavení nahlášená uživatelem.

Poznámka

  • Poštovní schránka sestav musí být Exchange Online poštovní schránka.
  • Nástroj pro vytváření sestav třetích stran musí obsahovat původní nahlášenou zprávu jako nekomprimovanou . EML nebo . Příloha msg ve zprávě, která je odeslána do poštovní schránky sestav (nepředávejte původní zprávu do poštovní schránky sestavy). Další informace najdete v tématu Formát odesílání zpráv pro nástroje pro vytváření sestav třetích stran.
  • Poštovní schránka sestav vyžaduje konkrétní požadavky, aby bylo možné doručovat potenciálně chybné zprávy bez filtrování nebo změny. Další informace najdete v tématu Požadavky na konfiguraci pro poštovní schránku sestav.

Když do poštovní schránky pro sestavy dorazí zpráva nahlášená uživatelem, Defender pro Office 365 automaticky vygeneruje výstrahu s názvem Email nahlásil uživatel jako malware nebo phish. Toto upozornění spustí playbook AIR. Playbook provede řadu automatizovaných kroků prošetření:

  • Shromážděte data o zadaném e-mailu.
  • Shromážděte data o hrozbách a entitách souvisejících s daným e-mailem (například soubory, adresy URL a příjemce).
  • Poskytněte doporučené akce, které má tým SecOps provést na základě zjištění šetření.

Email nahlášené uživatelem jako upozornění na malware nebo phish, automatizované vyšetřování a jejich doporučené akce jsou automaticky korelovány s incidenty v Microsoft Defender XDR. Tato korelace dále zjednodušuje proces posouzení a odezvy pro bezpečnostní týmy. Pokud stejné nebo podobné zprávy hlásí více uživatelů, jsou všichni uživatelé a zprávy korelovány do stejného incidentu.

Data z výstrah a šetření v Defender pro Office 365 se automaticky porovnávala s výstrahami a šetřeními v ostatních Microsoft Defender XDR produktech:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Pokud se zjistí relace, systém vytvoří incident, který zviditelní celý útok.