vejledning til Microsoft Defender for Office 365 sikkerhedshandlinger
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender for Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
Denne artikel indeholder en oversigt over kravene og opgaverne for korrekt drift af Microsoft Defender for Office 365 i din organisation. Disse opgaver er med til at sikre, at dit SOC (Security Operations Center) leverer en pålidelig tilgang af høj kvalitet til at beskytte, registrere og reagere på mail- og samarbejdsrelaterede sikkerhedstrusler.
I resten af denne vejledning beskrives de påkrævede aktiviteter for SecOps-personale. Aktiviteterne er grupperet i præskriptive daglige, ugentlige, månedlige og ad hoc-opgaver.
En medfølgende artikel i denne vejledning indeholder en oversigt over, hvordan du administrerer hændelser og beskeder fra Defender for Office 365 på siden Hændelser på Microsoft Defender portalen.
Vejledningen til Microsoft Defender XDR sikkerhedshandlinger indeholder yderligere oplysninger, som du kan bruge til planlægning og udvikling.
Du kan få en video om disse oplysninger under https://youtu.be/eQanpq9N1Ps.
Daglige aktiviteter
Overvåg køen Microsoft Defender XDR hændelser
Siden Hændelser i Microsoft Defender-portalen på https://security.microsoft.com/incidents (også kaldet hændelseskøen) giver dig mulighed for at administrere og overvåge hændelser fra følgende kilder i Defender for Office 365:
Du kan få flere oplysninger om køen Hændelser under Prioriter hændelser i Microsoft Defender XDR.
Din triageplan til overvågning af hændelseskøen skal bruge følgende rækkefølge for hændelser:
- Der blev fundet en potentielt skadelig URL-adresse.
- Brugeren er begrænset til at sende mail.
- Mistænkelige mail afsendelse mønstre opdaget.
- Mail, der er rapporteret af brugeren som malware eller phish, og Flere brugere rapporterede mail som malware eller phish.
- Mails, der indeholder skadelig fil, som er fjernet efter levering, Mails, der indeholder skadelig URL-adresse fjernet efter levering, og Mails fra en kampagne, der er fjernet efter levering.
- Phish leveret på grund af en TILSIDESÆTTELSE AF ETR, Phish leveret, fordi en brugers mappe med uønsket mail er deaktiveret, og Phish leveres på grund af en politik for ip-tilladelse
- Malware ikke zapped fordi ZAP er deaktiveret og Phish ikke zapped fordi ZAP er deaktiveret.
Administration af hændelseskøen og de ansvarlige personer er beskrevet i følgende tabel:
Aktivitet | Kadence | Beskrivelse | Karakter |
---|---|---|---|
Triage hændelser i køen Hændelser på https://security.microsoft.com/incidents. | Daglig | Bekræft, at alle hændelser med mellemstor og høj alvorsgrad fra Defender for Office 365 er triaged. | Team for sikkerhedshandlinger |
Undersøg og udfør svarhandlinger på hændelser. | Daglig | Undersøg alle hændelser, og udfør aktivt de anbefalede eller manuelle svarhandlinger. | Team for sikkerhedshandlinger |
Løs hændelser. | Daglig | Hvis hændelsen er blevet afhjælpet, skal du løse hændelsen. Løsning af hændelsen løser alle sammenkædede og relaterede aktive beskeder. | Team for sikkerhedshandlinger |
Klassificer hændelser. | Daglig | Klassificer hændelser som true eller false. Angiv trusselstypen for true-beskeder. Denne klassificering hjælper dit sikkerhedsteam med at se trusselsmønstre og forsvare din organisation mod dem. | Team for sikkerhedshandlinger |
Administrer registreringer af falske positive og falske negative
Tip
- Du kan få et hurtigt overblik over, hvordan du administrerer falske positiver, i denne korte video: https://youtu.be/yuduVj6wvsw
- Du kan få et hurtigt overblik over, hvordan du kommer i gang med falske negative undersøgelser, i denne korte video: https://youtu.be/sFMAI8MeDKQ
I Defender for Office 365 kan du administrere falske positiver (god post markeret som dårlig) og falske negative (forkerte mails er tilladt) på følgende placeringer:
- Siden Indsendelser (administratorindsendelser).
- Listen over tilladte/blokerede lejere
- Trusselsoversigt
Du kan få flere oplysninger i afsnittet Administrer falske positive og falske negative registreringer senere i denne artikel.
Falsk positiv og falsk negativ administration og de ansvarlige personer er beskrevet i følgende tabel:
Aktivitet | Kadence | Beskrivelse | Karakter |
---|---|---|---|
Send falske positiver og falske negativer til Microsoft på https://security.microsoft.com/reportsubmission. | Daglig | Angiv signaler til Microsoft ved at rapportere forkerte mails, URL-adresser og filregistreringer. | Team for sikkerhedshandlinger |
Analysér oplysninger om indsendelse af administrator. | Daglig | Forstå følgende faktorer for de indsendelser, du indsender til Microsoft:
|
Team for sikkerhedshandlinger Sikkerhedsadministration |
Tilføj blokposter på listen over tilladte/blokerede lejere på https://security.microsoft.com/tenantAllowBlockList. | Daglig | Brug listen over tilladte/blokerede lejere til at tilføje blokposter for registreringer af falske negative URL-adresser, filer eller afsendere efter behov. | Team for sikkerhedshandlinger |
Frigiv falsk positiv fra karantæne. | Daglig | Når modtageren har bekræftet, at meddelelsen er sat i karantæne forkert, kan du frigive eller godkende anmodninger om frigivelse for brugere. Hvis du vil styre, hvad brugerne kan gøre med deres egne karantænemeddelelser (herunder frigivelse eller anmodning om frigivelse), skal du se Karantænepolitikker. |
Team for sikkerhedshandlinger Meddelelsesteam |
Gennemse phishing- og malwarekampagner, der resulterede i leverede mails
Aktivitet | Kadence | Beskrivelse | Karakter |
---|---|---|---|
Gennemse mailkampagner. | Daglig |
Gennemse mailkampagner , der er målrettet din organisation på https://security.microsoft.com/campaigns. Fokuser på kampagner, der resulterede i, at meddelelser blev leveret til modtagere. Fjern meddelelser fra kampagner, der findes i brugerpostkasser. Denne handling er kun påkrævet, når en kampagne indeholder mail, der ikke allerede er blevet afhjælpet af handlinger fra hændelser, automatisk sletning på nul timer (ZAP) eller manuel afhjælpning. |
Team for sikkerhedshandlinger |
Ugentlige aktiviteter
Gennemse tendenser for registrering af mail i Defender for Office 365 rapporter
I Defender for Office 365 kan du bruge følgende rapporter til at gennemse tendenser for registrering af mails i din organisation:
Aktivitet | Kadence | Beskrivelse | Karakter |
---|---|---|---|
Gennemse rapporter til registrering af mail på: | Ugentlig | Gennemse tendenser for registrering af mail for malware, phishing og spam sammenlignet med god mail. Observation over tid giver dig mulighed for at se trusselsmønstre og afgøre, om du har brug for at justere dine Defender for Office 365 politikker. | Sikkerhedsadministration Team for sikkerhedshandlinger |
Spor og reager på nye trusler ved hjælp af Threat-analyse
Brug Threat Analytics til at gennemse aktive, mest populære trusler.
Aktivitet | Kadence | Beskrivelse | Karakter |
---|---|---|---|
Gennemse trusler i Threat Analytics på https://security.microsoft.com/threatanalytics3. | Ugentlig | Trusselsanalyse giver detaljeret analyse, herunder følgende elementer:
|
Team for sikkerhedshandlinger Trusselsjagtteam |
Gennemse de mest målrettede brugere for malware og phishing
Brug fanen Topmålbrugere (visning) i detaljeområdet i visningerne Alle mails, Malware og Phish i Threat Explorer for at finde eller bekræfte de brugere, der er de vigtigste mål for malware- og phishing-mail.
Aktivitet | Kadence | Beskrivelse | Karakter |
---|---|---|---|
Gennemse fanen Topmålbrugere i Threat Explorer på https://security.microsoft.com/threatexplorer. | Ugentlig | Brug oplysningerne til at beslutte, om du har brug for at justere politikker eller beskyttelse for disse brugere. Føj de berørte brugere til prioritetskonti for at få følgende fordele:
|
Sikkerhedsadministration Team for sikkerhedshandlinger |
Gennemse de mest populære malware- og phishing-kampagner, der er målrettet din organisation
Kampagnevisninger viser malware- og phishingangreb mod din organisation. Du kan få flere oplysninger under Kampagnevisninger i Microsoft Defender for Office 365.
Aktivitet | Kadence | Beskrivelse | Karakter |
---|---|---|---|
Brug Kampagnevisninger på https://security.microsoft.com/campaigns til at gennemse malware- og phishing-angreb, der påvirker dig. | Ugentlig | Få mere at vide om angreb og teknikker, og hvad Defender for Office 365 var i stand til at identificere og blokere. Brug Download trusselsrapport i kampagnevisninger for at få detaljerede oplysninger om en kampagne. |
Team for sikkerhedshandlinger |
Ad hoc-aktiviteter
Tip
Du kan få et hurtigt overblik over, hvordan du undersøger mails i Microsoft Defender for Office 365, i denne korte video: https://youtu.be/5hA7VfaMvqs.
Manuel undersøgelse og fjernelse af mail
Aktivitet | Kadence | Beskrivelse | Karakter |
---|---|---|---|
Undersøg og fjern dårlig mail i Threat Explorer på baseret på https://security.microsoft.com/threatexplorer brugeranmodninger. | Ad hoc | Brug handlingen Trigger investigation i Threat Explorer til at starte en automatiseret undersøgelses- og svarlegebog for alle mails fra de sidste 30 dage. Manuel udløsning af en undersøgelse sparer tid og kræfter ved centralt at inkludere:
Du kan få flere oplysninger under Eksempel: En brugerrapporteret phishmeddelelse starter en undersøgelseslogbog Eller du kan bruge Threat Explorer til manuelt at undersøge mail med effektive søge- og filtreringsfunktioner og udføre manuel svarhandling direkte fra det samme sted. Tilgængelige manuelle handlinger:
|
Team for sikkerhedshandlinger |
Proaktiv jagt på trusler
Aktivitet | Kadence | Beskrivelse | Karakter |
---|---|---|---|
Regelmæssig, proaktiv jagt på trusler på:. | Ad hoc | Søg efter trusler ved hjælp af Threat Explorer og avanceret jagt. | Team for sikkerhedshandlinger Trusselsjagtteam |
Del jagtforespørgsler. | Ad hoc | Del aktivt ofte anvendte, nyttige forespørgsler i sikkerhedsteamet for at få hurtigere manuel trusselsjagt og -afhjælpning. Brug Trusselssporing ogdelte forespørgsler i Avanceret jagt. |
Team for sikkerhedshandlinger Trusselsjagtteam |
Opret brugerdefinerede regler for registrering på https://security.microsoft.com/custom_detection. | Ad hoc | Opret brugerdefinerede regler for registrering for proaktivt at overvåge hændelser, mønstre og trusler baseret på Defender for Office 365 data i Advance Hunting. Registreringsregler indeholder avancerede jagtforespørgsler, der genererer beskeder baseret på de matchende kriterier. | Team for sikkerhedshandlinger Trusselsjagtteam |
Gennemse Defender for Office 365 politikkonfigurationer
Aktivitet | Kadence | Beskrivelse | Karakter |
---|---|---|---|
Gennemse konfigurationen af Defender for Office 365 politikker på https://security.microsoft.com/configurationAnalyzer. | Ad hoc Månedlig |
Brug Konfigurationsanalyse til at sammenligne dine eksisterende politikindstillinger med de anbefalede Standard eller Strenge værdier for Defender for Office 365. Konfigurationsanalysen identificerer utilsigtede eller skadelige ændringer, der kan reducere din organisations sikkerhedsholdning. Eller du kan bruge det PowerShell-baserede ORCA-værktøj. |
Sikkerhedsadministration Meddelelsesteam |
Gennemse tilsidesættelser af registrering i Defender for Office 365 kl.https://security.microsoft.com/reports/TPSMessageOverrideReportATP | Ad hoc Månedlig |
Brug Vis data efter system til at tilsidesætte > diagramopdeling efter årsagsvisning i statusrapporten Trusselsbeskyttelse til at gennemse mails, der blev registreret som phishing, men leveret på grund af indstillinger for tilsidesættelse af politik eller bruger. Undersøg, fjern eller finjuster tilsidesættelser aktivt for at undgå levering af mails, der blev bestemt til at være skadelige. |
Sikkerhedsadministration Meddelelsesteam |
Gennemse registreringer af spoof og repræsentation
Aktivitet | Kadence | Beskrivelse | Karakter |
---|---|---|---|
Gennemse Spoof Intelligence-indsigten og indsigten Repræsentationsregistrering på. | Ad hoc Månedlig |
Brug indsigt i spoof intelligence og repræsentationsindsigt til at justere filtrering for spoof- og repræsentationsregistreringer. | Sikkerhedsadministration Meddelelsesteam |
Gennemse medlemskab af prioritetskonto
Aktivitet | Kadence | Beskrivelse | Karakter |
---|---|---|---|
Gennemse, hvem der er defineret som en prioritetskonto på https://security.microsoft.com/securitysettings/userTags. | Ad hoc | Hold medlemskabet af prioriterede konti opdateret med organisatoriske ændringer for at få følgende fordele for disse brugere:
Brug brugerdefinerede brugerkoder til andre brugere for at få:
|
Team for sikkerhedshandlinger |
Tillæg
Få mere at vide om Microsoft Defender for Office 365 værktøjer og processer
Medlemmer af sikkerhedshandlinger og svarteam skal integrere Defender for Office 365 værktøjer og funktioner i eksisterende undersøgelser og svarprocesser. Det kan tage tid at lære om nye værktøjer og funktioner, men det er en vigtig del af ombordstigningsprocessen. Den nemmeste måde for medlemmer af SecOps og mailsikkerhedsteamet at lære om Defender for Office 365 på er at bruge det træningsindhold, der er tilgængeligt som en del af Ninja-træningsindholdet på https://aka.ms/mdoninja.
Indholdet er struktureret til forskellige videnniveauer (Grundlæggende, Mellemliggende og Avanceret) med flere moduler pr. niveau.
Korte videoer til bestemte opgaver er også tilgængelige i Microsoft Defender for Office 365 YouTube-kanalen.
Tilladelser til Defender for Office 365 aktiviteter og opgaver
Tilladelser til administration af Defender for Office 365 i Microsoft Defender-portalen og PowerShell er baseret på RBAC-tilladelsesmodellen (Role Based Access Control). RBAC er den samme tilladelsesmodel, der bruges af de fleste Microsoft 365-tjenester. Du kan få flere oplysninger under Tilladelser på Microsoft Defender-portalen.
Bemærk!
Privileged Identity Management (PIM) i Microsoft Entra ID er også en måde at tildele påkrævede tilladelser til SecOps-personale. Du kan få flere oplysninger under Privileged Identity Management (PIM), og hvorfor du skal bruge den sammen med Microsoft Defender for Office 365.
Følgende tilladelser (roller og rollegrupper) er tilgængelige i Defender for Office 365 og kan bruges til at give adgang til medlemmer af sikkerhedsteamet:
Microsoft Defender XDR RBAC (Unified Role Based Access Control): En enkelt oplevelse til administration af tilladelser, der giver administratorer én central placering, hvor de kan styre brugertilladelser på tværs af forskellige sikkerhedsløsninger. Du kan få flere oplysninger under Microsoft Defender XDR Unified RBAC.
- Læseadgang for mail- og Teams-meddelelsesheadere: Sikkerhedshandlinger/Rådata (mail & samarbejde)/Mail & metadata for samarbejde (læs).
- Vis og download mails: Sikkerhedshandlinger/rådata (mail & samarbejde)/Mail & samarbejdsindhold (læse).
- Afhjælp ondsindet mail: Sikkerhedshandlinger/Sikkerhedsdata/Mail & avancerede handlinger til samarbejde (administrer).
Microsoft Entra ID: Centraliserede roller, der tildeler tilladelser til alle Microsoft 365-tjenester, herunder Defender for Office 365. Du kan få vist de Microsoft Entra roller og tildelte brugere på Microsoft Defender-portalen, men du kan ikke administrere dem direkte der. Du kan i stedet administrere Microsoft Entra roller og medlemmer på https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. De hyppigste roller, der bruges af sikkerhedsteams, er:
Exchange Online og mail & samarbejde: Roller og rollegrupper, der giver tilladelse, der er specifikke for Microsoft Defender for Office 365. Følgende roller er ikke tilgængelige i Microsoft Entra ID, men kan være vigtige for sikkerhedsteams:
Eksempelrolle (mail & samarbejde): Tildel denne rolle til teammedlemmer, der skal have vist eller downloade mails som en del af undersøgelsesaktiviteterne. Giver brugerne mulighed for at få vist og downloade mails fra cloudpostkasser ved hjælp af Trusselsstifinder (Explorer) eller registreringer i realtid og enhedssiden Mail.
Som standard tildeles eksempelrollen kun til følgende rollegrupper:
- Datadetektiv
- eDiscovery Manager
Du kan føje brugere til disse rollegrupper, eller du kan oprette en ny rollegruppe med rollen Eksempel tildelt og føje brugerne til den brugerdefinerede rollegruppe.
Rollen Søg og Fjern (mail & samarbejde): Godkend sletning af skadelige meddelelser som anbefalet af AIR, eller udfør manuel handling på meddelelser i jagtoplevelser som Threat Explorer.
Rollen Søg og Fjern er som standard kun tildelt til følgende rollegrupper:
- Datadetektiv
- Organisationsadministration
Du kan føje brugere til disse rollegrupper, eller du kan oprette en ny rollegruppe med rollen Søg og Fjern tildelt og føje brugerne til den brugerdefinerede rollegruppe.
Lejeren AllowBlockList Manager (Exchange Online): Administrer tilladte og blokerede poster på lejerlisten tillad/bloker. Blokering af URL-adresser, filer (ved hjælp af filhash) eller afsendere er en nyttig svarhandling, der skal udføres, når du undersøger skadelige mails, der blev leveret.
Denne rolle tildeles som standard kun til rollegruppen Sikkerhedsoperator i Exchange Online, ikke i Microsoft Entra ID. Medlemskab af rollen Sikkerhedsoperator i Microsoft Entra ID giver dig ikke mulighed for at administrere poster på listen over tilladte/blokerede lejere.
Medlemmer af rollerne Sikkerhedsadministrator eller Organisation i Microsoft Entra ID eller de tilsvarende rollegrupper i Exchange Online kan administrere poster på listen over tilladte/blokerede lejere.
SIEM-/SOAR-integration
Defender for Office 365 fremviser de fleste af dataene via et sæt programmatiske API'er. Disse API'er hjælper dig med at automatisere arbejdsprocesser og gøre fuld brug af Defender for Office 365 funktioner. Data er tilgængelige via Microsoft Defender XDR API'er og kan bruges til at integrere Defender for Office 365 i eksisterende SIEM/SOAR-løsninger.
Hændelses-API: Defender for Office 365 beskeder og automatiserede undersøgelser er aktive dele af hændelser i Microsoft Defender XDR. Sikkerhedsteams kan fokusere på det, der er vigtigt, ved at gruppere det fulde angrebsomfang og alle berørte aktiver samlet.
API til hændelsesstreaming: Gør det muligt at sende hændelser og beskeder i realtid til en enkelt datastream, efterhånden som de sker. Understøttede hændelsestyper i Defender for Office 365 omfatter:
Hændelserne indeholder data fra behandling af alle mails (herunder meddelelser internt i organisationen) inden for de sidste 30 dage.
Advance Hunting API: Tillader trusselsjagt på tværs af produkter.
Threat Assessment API: Kan bruges til at rapportere spam, phishing-URL-adresser eller vedhæftede filer til malware direkte til Microsoft.
Hvis du vil oprette forbindelse Defender for Office 365 hændelser og rådata med Microsoft Sentinel, kan du bruge connectoren Microsoft Defender XDR (M365D)
Du kan bruge følgende "Hello World"-eksempel til at teste API-adgang til Microsoft Defender API'er: Hello World for Microsoft Defender XDR REST API.
Du kan finde flere oplysninger om integration af SIEM-værktøjer under Integrer dine SIEM-værktøjer med Microsoft Defender XDR.
Adresser falske positiver og falske negativer i Defender for Office 365
Brugerrapporterede meddelelser og administratorindsendelser af mails er vigtige positive forstærkningssignaler til vores systemer til registrering af maskinel indlæring. Indsendelser hjælper os med at gennemse, triage, lære hurtigt og afhjælpe angreb. Aktiv rapportering af falske positiver og falske negative er en vigtig aktivitet, der giver feedback til Defender for Office 365, når der opstår fejl under registreringen.
Organisationer har flere muligheder for at konfigurere brugerrapporterede meddelelser. Afhængigt af konfigurationen kan sikkerhedsteams have mere aktiv involvering, når brugerne sender falske positiver eller falske negativer til Microsoft:
Brugerrapporterede meddelelser sendes til Microsoft til analyse, når de rapporterede indstillinger for brugeren er konfigureret med en af følgende indstillinger:
- Send de rapporterede meddelelser til: Kun Microsoft.
- Send de rapporterede meddelelser til: Microsoft og min rapporteringspostkasse.
Medlemmer af sikkerhedsteams skal indsende tilføjelsesadministratorer , når handlingsteamet finder falske positiver eller falske negativer, der ikke blev rapporteret af brugere.
Når brugerrapporterede meddelelser er konfigureret til kun at sende meddelelser til organisationens postkasse, skal sikkerhedsteams aktivt sende brugerrapporterede falske positiver og falske negativer til Microsoft via administratorindsendelser.
Når en bruger rapporterer en meddelelse som phishing, genererer Defender for Office 365 en besked, og beskeden udløser en AIR-playbook. Hændelseslogikken korrelerer disse oplysninger med andre beskeder og hændelser, hvor det er muligt. Denne konsolidering af oplysninger hjælper sikkerhedsteams med at sortere, undersøge og besvare brugerrapporterede meddelelser.
Indsendelsespipelinen i tjenesten følger en tæt integreret proces, når brugerrapporteringsmeddelelser og administratorer sender meddelelser. Denne proces omfatter:
- Støjreduktion.
- Automatiseret triage.
- Klassificering af sikkerhedsanalytikere og løsninger baseret på maskinel indlæring baseret på menneskeskabte partnere.
Du kan få flere oplysninger under Rapportering af en mail i Defender for Office 365 – Microsoft Tech Community.
Medlemmer af sikkerhedsteamet kan foretage indsendelser fra flere placeringer på Microsoft Defender-portalen på https://security.microsoft.com:
Administration indsendelse: Brug siden Indsendelser til at sende mistanke om spam, phishing, URL-adresser og filer til Microsoft.
Direkte fra Threat Explorer ved hjælp af en af følgende meddelelseshandlinger:
- Rapport ren
- Rapport phishing
- Rapportér malware
- Rapportér spam
Du kan vælge op til 10 meddelelser for at udføre en masseindsendelse. Administration indsendelser, der er oprettet ved hjælp af disse metoder, er synlige under de respektive faner på siden Indsendelser.
I forbindelse med kortsigtet afhjælpning af falske negativer kan sikkerhedsteams administrere blokeringsposter direkte for filer, URL-adresser og domæner eller mailadresser på listen over tilladte/blokerede lejere.
I forbindelse med kortsigtet afhjælpning af falske positiver kan sikkerhedsteams ikke direkte administrere tilladte poster for domæner og mailadresser på listen over tilladte/blokerede lejere. De skal i stedet bruge administratorindsendelser til at rapportere mailen som falsk positiv. Du kan finde instruktioner under Rapportér en god mail til Microsoft.
Karantæne i Defender for Office 365 indeholder potentielt farlige eller uønskede meddelelser og filer. Sikkerhedsteams kan få vist, frigive og slette alle typer af karantænemeddelelser for alle brugere. Denne funktion gør det muligt for sikkerhedsteams at reagere effektivt, når en falsk positiv meddelelse eller fil er sat i karantæne.
Integrer rapporteringsværktøjer fra tredjepart med Defender for Office 365 brugerrapporterede meddelelser
Hvis din organisation bruger et rapporteringsværktøj fra tredjepart, der gør det muligt for brugerne at rapportere mistænkelige mails internt, kan du integrere værktøjet med de brugerrapporterede meddelelsesfunktioner i Defender for Office 365. Denne integration giver følgende fordele for sikkerhedsteams:
- Integration med AIR-funktionerne i Defender for Office 365.
- Forenklet triage.
- Reduceret undersøgelses- og svartid.
Angiv den postkasse, hvor brugerrapporterede meddelelser sendes på siden Brugerrapporterede indstillinger på portalen Microsoft Defender på https://security.microsoft.com/securitysettings/userSubmission. Du kan få flere oplysninger under Brugerrapporterede indstillinger.
Bemærk!
- Postkassen til rapportering skal være en Exchange Online postkasse.
- Rapporteringsværktøjet fra tredjepart skal indeholde den oprindeligt rapporterede meddelelse som en dekomprimeret . EML eller . Den vedhæftede MSG-fil i den meddelelse, der sendes til rapporteringspostkassen (videresend ikke kun den oprindelige meddelelse til rapporteringspostkassen). Du kan få flere oplysninger under Format for afsendelse af meddelelser for rapporteringsværktøjer fra tredjepart.
- Rapporteringspostkassen kræver specifikke forudsætninger for at tillade, at potentielt forkerte meddelelser leveres uden at blive filtreret eller ændret. Du kan få flere oplysninger under Konfigurationskrav til rapporteringspostkassen.
Når en bruger har rapporteret en meddelelse i rapporteringspostkassen, genererer Defender for Office 365 automatisk beskeden med navnet Mail rapporteret af brugeren som malware eller phish. Denne besked starter en air playbook. I playbooken udføres en række automatiserede undersøgelsestrin:
- Indsaml data om den angivne mail.
- Indsaml data om de trusler og enheder , der er relateret til denne mail (f.eks. filer, URL-adresser og modtagere).
- Angiv anbefalede handlinger, som SecOps-teamet skal udføre på baggrund af undersøgelsesresultaterne.
Mail, der er rapporteret af brugeren som malware- eller phishbeskeder, automatiserede undersøgelser og deres anbefalede handlinger, korreleres automatisk med hændelser i Microsoft Defender XDR. Denne korrelation forenkler yderligere triage- og svarprocessen for sikkerhedsteams. Hvis flere brugere rapporterer de samme eller lignende meddelelser, korreleres alle brugere og meddelelser til den samme hændelse.
Data fra beskeder og undersøgelser i Defender for Office 365 sammenlignes automatisk med beskeder og undersøgelser i de andre Microsoft Defender XDR produkter:
- Microsoft Defender for Endpoint
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
Hvis der opdages en relation, opretter systemet en hændelse, der giver synlighed for hele angrebet.