Microsoft Defender for Office 365 suunnitelman 2 automatisoitu tutkinta ja reagointi

• Koskee seuraavia::

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Kun suojaushälytykset näkyvät Microsoft 365 -organisaatiossa osoitteessa https://security.microsoft.com/alerts, suojaustoimintojen (SecOps) tiimin on tarkistettava, priorisoittava ja vastattava näihin hälytyksiin. Saapuvien hälytysten määrän pysyminen voi olla ylivoimaista. Joidenkin näiden tehtävien automatisointi voi auttaa.

Microsoft Defender for Office 365 palvelupaketti 2 (sisältyy Microsoft 365 -käyttöoikeuksiin, kuten E5 tai erilliseen tilaukseen) sisältää tehokkaat automaattiset tutkimus- ja reagointitoiminnot (AIR), jotka säästävät aikaa ja vaivaa SecOps-tiimeille.

AIR triages suuri vaikutus, suuri määrä hälytyksiä suorittamalla organisaatiotason tutkimukset. AIR-tutkimukset laajentavat tunnistusta tai tarjoavat lisäanalyyseja organisaation uhkatilan määrittämiseksi. Kun AIR tunnistaa uhat, se siirtää secops-henkilöstön uhkakorjaustoimet jonoon hyväksyttäväksi. AIR tuottaa seuraavia etuja:

• Automatisoidut tutkimusprosessit tunnettuihin uhkiin vastaamiseksi.
• Asianmukaiset hyväksyntää odottavat korjaustoimet, joiden avulla SecOps-tiimisi voi vastata tehokkaasti havaittuihin uhkiin.
• SecOps-tiimisi pystyy keskittymään tärkeisiin tehtäviin unohtamatta, että tärkeät hälytykset käynnistyvät.

AIR in Defender for Office 365 Palvelupaketti 2 edellyttää, että valvontaloki on käytössä (se on oletusarvoisesti käytössä).

ILMAN yleinen virtaus

Hälytys käynnistyy, ja suojauksen toistokirja aloittaa automatisoidun tutkimuksen, joka johtaa havaintoihin ja suositeltuihin toimiin. Tässä on airin yleinen virtaus askel askeleelta:

1. Aloitetaan automatisoitu tutkimus jollakin seuraavista tavoista:

   • Erityiset hälytykset, jotka on suunniteltu käynnistämään AIR. Näitä ilmoituksia ovat esimerkiksi seuraavat:

     • Sähköpostissa (esimerkiksi itse viesti, liite, URL-osoite tai vaarantunut käyttäjätili) on tunnistettu epäilyttävä.

     • Automaattinen tyhjennys nollatunnilla (ZAP).

     • Käyttäjän lähetykset.

     • Käyttäjän napsautusilmoitukset.

     • Epäilyttävä postilaatikon toiminta.

       Vihje

       Tarkista organisaatiosi hälytykset säännöllisesti. Lisätietoja automaattisia tutkimuksia käynnistävät hälytyskäytännöt ovat Uhkien hallinta -luokan oletushälytyskäytännöissä. Merkinnät, jotka sisältävät arvon Kylläautomatisoidulle tutkimukselle , voivat käynnistää automatisoituja tutkimuksia. Jos nämä hälytykset poistetaan käytöstä tai korvataan mukautetuilla hälytyksillä, AIR-parametria ei käynnistetä.

   • Tietoturva-analyytikko käynnistää tutkimuksen manuaalisesti valitsemalla Threat Explorerissa, Kehittyneessä metsästyksessä, mukautetussa tunnistamisessa, Sähköposti-entiteettisivulla tai Sähköpostin yhteenveto -paneelissa. Lisätietoja on artikkelissa Uhkien metsästys: Sähköpostikorjaus. Katso esimerkkejä artikkelista Esimerkkejä automatisoidusta tutkimuksesta ja reagoinnista (AIR) Microsoft Defender for Office 365 suunnitelmassa 2.

2. Automatisoitu tutkimus arvioi ja analysoi hälytyksen luonteen, siihen liittyvän viestin sekä muita viestiin liittyviä todisteita. Tutkimuksen laajuus voi kasvaa tutkimuksen aikana paljastuneiden ja kerättyjen todisteiden perusteella.

3. Automaattisen tutkimuksen aikana ja sen jälkeen on saatavilla tietoja ja tuloksia . Tulokset voivat sisältää suositeltuja toimia SecOps-henkilöstölle löydettyjen uhkien korjaamiseksi.

4. SecOps-tiimi tarkistaa tutkimuksen tulokset ja suositukset (itse tutkimuksessa, tapahtumassa tai toimintakeskuksessa) ja hyväksyy tai hylkää korjaustoimet.

   Vihje

   Korjaustoimintoja ei tapahdu automaattisesti. Korjaustoimet edellyttävät SecOps-henkilöstön manuaalista hyväksyntää. AIR-ominaisuudet säästävät aikaa perehtymällä suositeltuihin korjaustoimiin, joissa on kaikki tiedot, jotta voit tehdä tietoon perustuvan päätöksen.

   AIR säästää aikaa myös arvioimalla ja ratkaisemalla automaattisesti hälytyksiä ja tapauksia, joissa uhkia ei löytynyt. Tämä tulos on hyvin yleinen käyttäjän lähetysskenaariossa. AIR sulkee tutkimuksen, jos uhkia ei löytynyt tai uhkia löytyi jo korjatuista viesteistä. Tyypillisesti

5. Kun odottavat korjaustoimet hyväksytään tai hylätään, automaattinen tutkimus valmistuu.

   Automaattinen tutkimus sulkeutuu automaattisesti, jos suositeltuja toimia ei tunnisteta. Tutkimuksen tiedot ovat edelleen saatavilla Tutkinta-sivulla osoitteessa https://security.microsoft.com/airinvestigation.

Kunkin automatisoidun tutkimuksen aikana ja sen jälkeen SecOps-tiimi voi tehdä seuraavat tehtävät:

• Tarkastele tutkintaan liittyvän ilmoituksen tietoja
• Tutkimuksen tulosten tietojen tarkasteleminen
• Tarkista ja hyväksy toimintoja tutkimuksen tuloksena

AIR-käyttöoikeuden edellyttämät käyttöoikeudet ja käyttöoikeudet

Sinulla on oltava airin käyttöoikeudet. Voit valita seuraavat vaihtoehdot:

• Microsoft Defender XDR RBAC (Unified Role Based Access Control) (If Email & collaboration>Defender for Office 365 permissions is Active. Vaikuttaa vain Defender-portaaliin, ei PowerShelliin):
  • Aloita automatisoitu tutkimus tai Hyväksy tai hylkää suositellut toiminnot: Suojaustoiminnot/Sähköpostin lisäkorjaustoiminnot (hallitse).
• Sähköpostin & yhteiskäyttöoikeudet Microsoft Defender portaalissa:
  • AIR-ominaisuuksien määrittäminen: Organisaatiohallinnan tai suojauksen järjestelmänvalvojan rooliryhmien jäsenyys.
  • Aloita automatisoitu tutkimus tai Hyväksy tai hylkää suositellut toimet:
    • Organisaation hallinnan, suojauksen järjestelmänvalvojan, suojausoperaattorin, suojauksenlukijan tai yleisen lukijan rooliryhmien jäsenyys. ja
    • Haku- ja tyhjennys-rooli, joka määritetään oletusarvoisesti vain tietotutkija- tai organisaatiohallintarooliryhmille. Voit myös luoda uuden rooliryhmän , jolle on määritetty Hae ja tyhjennä-rooli , ja lisätä käyttäjät mukautettuun rooliryhmään.
• Microsoft Entra käyttöoikeudet: Anna käyttäjille Microsoft 365:n muiden ominaisuuksien vaaditut käyttöoikeudet:
  • AIR-ominaisuuksien määrittäminen Yleisen järjestelmänvalvojan tai suojauksen järjestelmänvalvojan roolien jäsenyys.
  • Aloita automatisoitu tutkimus tai Hyväksy tai hylkää suositellut toimet:
    • Yleisen järjestelmänvalvojan, suojauksen järjestelmänvalvojan, suojausoperaattorin, suojauksenlukijan tai yleisen lukijan roolien jäsenyys. ja
    • Sähköposti-& yhteiskäyttörooliryhmän jäsenyys aiemmin kuvatulla tavalla määritetyllä Haku- ja tyhjennys-roolilla .

Jos haluat käyttää AIR-käyttöoikeutta, sinulla on oltava käyttöoikeus palvelupakettiin Defender for Office 365 2 (sisältyy tilaukseesi tai lisäosan käyttöoikeuteen).

Seuraavat vaiheet

• AIR-esimerkkejä
• Automaattisen tutkimuksen tietojen ja tulosten tarkasteleminen
• Tarkastele ja hyväksy odottavia toimintoja
• Näytä odottavat tai valmiit korjaustoiminnot