Automatiseret undersøgelse og reaktion (AIR) i Microsoft Defender for Office 365 Plan 2

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender for Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

Når sikkerhedsbeskeder vises i en Microsoft 365-organisation på https://security.microsoft.com/alerts, er det op til secOps-teamet (Security Operations) at gennemse, prioritere og svare på disse beskeder. Det kan være overvældende at holde styr på mængden af indgående beskeder. Det kan hjælpe at automatisere nogle af disse opgaver.

Microsoft Defender for Office 365 Plan 2 (inkluderet i Microsoft 365-licenser, f.eks. E5 eller som et separat abonnement), indeholder effektive automatiserede undersøgelses- og svarfunktioner (AIR), der sparer tid og kræfter for SecOps-teams.

AIR triages high impact, high volume alerts ved at gennemføre undersøgelser på organisationsniveau. AIR-undersøgelser udvider registreringer eller giver yderligere analyse for at fastslå trusselsstatus for organisationen. Når AIR identificerer trusler, sættes handlinger til afhjælpning af trusler i kø, som SecOps-personale skal godkende. AIR resulterer i følgende fordele:

• Automatiserede undersøgelsesprocesser som svar på velkendte trusler.
• Passende afhjælpningshandlinger, der afventer godkendelse, så dit SecOps-team kan reagere effektivt på registrerede trusler.
• Dit SecOps-team kan fokusere på opgaver med højere prioritet uden at miste vigtige beskeder, der udløses, af syne.

AIR i Defender for Office 365 Plan 2 kræver, at logføring af overvågning er slået til (den er som standard slået til).

Den samlede luftstrøm

En besked udløses, og en sikkerhedslegebog starter en automatisk undersøgelse, som resulterer i resultater og anbefalede handlinger. Her er den overordnede flow for AIR, trin for trin:

1. En automatiseret undersøgelse startes på en af følgende måder:

   • Specifikke beskeder, der er designet til at starte AIR. Disse beskeder omfatter:

     • Noget mistænkeligt identificeres i en mail (f.eks. selve meddelelsen, en vedhæftet fil, en URL-adresse eller en kompromitteret brugerkonto).

     • Automatisk udrensning (ZAP) på nul timer.

     • Brugerindsendelser.

     • Brugeren klikker på beskeder.

     • Mistænkelig funktionsmåde for postkasse.

       Tip

       Sørg for regelmæssigt at gennemse de beskeder, din organisation har. Du kan få flere oplysninger om beskedpolitikker, der udløser automatiserede undersøgelser, i standardpolitikker for beskeder i kategorien Trusselsstyring. De poster, der indeholder værdien Ja for automatiseret undersøgelse , kan udløse automatiserede undersøgelser. Hvis disse beskeder deaktiveres eller erstattes af brugerdefinerede beskeder, udløses AIR ikke.

   • En sikkerhedsanalytiker udløser manuelt undersøgelsen ved at vælge Udfør handling i Threat Explorer, Avanceret jagt, brugerdefineret registrering, siden Mailobjekt eller panelet Mailoversigt. Du kan finde flere oplysninger under Trusselsjagt: E-mailafhjælpning. Du kan se eksempler under Eksempler under Eksempler på automatiseret undersøgelse og svar (AIR) i Microsoft Defender for Office 365 Plan 2.

2. Den automatiserede undersøgelse evaluerer og analyserer advarslens art, den involverede meddelelse og yderligere beviser omkring meddelelsen. Omfanget af undersøgelsen kan øges på baggrund af de beviser, der afdækkes og indsamles under undersøgelsen.

3. Under og efter en automatiseret undersøgelse er detaljer og resultater tilgængelige. Resultaterne kan omfatte anbefalede handlinger for SecOps-personale til afhjælpning af de trusler, der blev fundet.

4. SecOps-teamet gennemgår undersøgelsesresultater og -anbefalinger (i selve undersøgelsen, hændelsen eller i Løsningscenter) og godkender eller afviser afhjælpningshandlingerne.

   Tip

   Der sker ingen afhjælpningshandlinger automatisk. Afhjælpningshandlinger kræver manuel godkendelse af SecOps-personale. AIR-funktioner sparer tid ved at gå til de anbefalede afhjælpningshandlinger med alle detaljer for at træffe en informeret beslutning.

   AIR sparer også tid ved at evaluere og automatisk løse beskeder og hændelser, hvor der ikke blev fundet nogen trusler. Dette resultat er meget almindeligt i scenarier med brugerindsendelse. AIR lukker undersøgelsen, hvis der ikke blev fundet nogen trusler, eller der blev fundet trusler i meddelelser, der allerede er blevet afhjælpet. Typisk

5. Da ventende afhjælpningshandlinger godkendes eller afvises, fuldføres den automatiserede undersøgelse.

   Den automatiserede undersøgelse lukkes automatisk, hvis der ikke identificeres nogen anbefalede handlinger. Oplysningerne om undersøgelsen er stadig tilgængelige på siden Undersøgelser på https://security.microsoft.com/airinvestigation.

Under og efter hver automatiseret undersøgelse kan SecOps-teamet udføre følgende opgaver:

• Få vist oplysninger om en besked, der er relateret til en undersøgelse
• Vis resultaterne af en undersøgelse
• Gennemse og godkend handlinger som et resultat af en undersøgelse

Påkrævede tilladelser og licenser til AIR

Du skal have tildelt tilladelser for at bruge AIR. Du har følgende muligheder:

• Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) (Hvis mail & samarbejde>Defender for Office 365 tilladelser er aktive. Påvirker kun Defender-portalen, ikke PowerShell):
  • Start en automatisk undersøgelse,eller godkend eller afvis anbefalede handlinger: Sikkerhedshandlinger/Handlinger til avanceret afhjælpning via mail (administrer).
• Mail & samarbejdstilladelser på Microsoft Defender-portalen:
  • Konfigurer AIR-funktioner: Medlemskab i rollegrupperne Organisationsadministration eller Sikkerhedsadministrator .
  • Start en automatisk undersøgelse,eller godkend eller afvis anbefalede handlinger:
    • Medlemskab af rollegrupperne Organisationsadministration, Sikkerhedsadministrator, Sikkerhedsoperatør, Sikkerhedslæser eller Global Læser . og
    • Rollen Søg og Fjern , som som standard kun er tildelt rollegrupperne Dataforsker eller Organisationsadministration . Du kan også oprette en ny rollegruppe med rollen Søg og Fjern tildelt og føje brugerne til den brugerdefinerede rollegruppe.
• Microsoft Entra tilladelser: Giv brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365:
  • Konfigurer AIR-funktioner Medlemskab af rollerne Global administrator eller Sikkerhedsadministrator .
  • Start en automatisk undersøgelse,eller godkend eller afvis anbefalede handlinger:
    • Medlemskab af rollerne Global administrator, Sikkerhedsadministrator, Sikkerhedsoperatør, Sikkerhedslæser eller Global læser . og
    • Medlemskab i en mail & rollegruppe for samarbejde med rollen Søg og Fjern tildelt som tidligere beskrevet.

Hvis du vil bruge AIR, skal du have tildelt en licens til Defender for Office 365 Plan 2 (inkluderet i dit abonnement eller en licens til et tilføjelsesprogram).

Næste trin

• AIR-eksempler
• Se detaljer og resultater af en automatiseret undersøgelse
• Gennemse og godkend ventende handlinger
• Vis ventende eller fuldførte afhjælpningshandlinger