automatisoitu tutkinta ja reagointi Microsoft Defender for Office 365
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Microsoft Defender for Office 365 sisältää tehokkaita automatisoituja tutkimus- ja reagointiominaisuuksia, jotka voivat säästää suojaustiimin aikaa ja vaivaa. Kun hälytyksiä käynnistetään, suojaustoimintaryhmäsi tarkistaa, priorisoi ja vastaa kyseisiin hälytyksiin. Saapuvien hälytysten määrän pysyminen voi olla ylivoimaista. Joidenkin näiden tehtävien automatisointi voi auttaa.
AIR-turvatiimisi voi toimia tehokkaammin ja tehokkaammin. AIR-ominaisuuksiin sisältyvät automatisoidut tutkintaprosessit, joilla vastataan nykyisiin tunnettuihin uhkiin. Asianmukaiset korjaustoiminnot odottavat hyväksyntää, jotta suojaustoimintatiimisi voi vastata tehokkaasti havaittuihin uhkiin. AIR:n avulla tietoturvatiimisi voi keskittyä tärkeisiin tehtäviin unohtamatta, että tärkeät hälytykset käynnistyvät.
Tässä artikkelissa kuvataan:
- ILMAN yleinen virtaus;
- Miten saada ILMAA; ja
- Tarvittavat käyttöoikeudet AIR-ominaisuuksien määrittämiseen tai käyttämiseen.
Tässä artikkelissa on myös seuraavat vaiheet ja resurssit, joiden avulla saat lisätietoja.
ILMAN yleinen virtaus
Hälytys käynnistyy, ja suojauksen toistokirja aloittaa automatisoidun tutkimuksen, joka johtaa havaintoihin ja suositeltuihin toimiin. Tässä on airin yleinen virtaus askel askeleelta:
Automaattinen tutkimus aloitetaan jollakin seuraavista tavoista:
- Ilmoitus käynnistyy sähköpostissa epäilyttävästä asiasta (kuten viestistä, liitteestä, URL-osoitteesta tai vaarantuneesta käyttäjätilistä). Tapaus luodaan, ja aloitetaan automatisoitu tutkinta. tai
- Suojausanalyytikko aloittaa automatisoidun tutkinnanExplorerin käytön aikana.
Samalla kun automatisoitu tutkimus suoritetaan, se kerää tietoja kyseisestä sähköpostiviestistä ja kyseiseen sähköpostiin liittyvistä entiteeteistä (esimerkiksi tiedostot, URL-osoitteet ja vastaanottajat). Tutkimuksen laajuus voi kasvaa uusien ja liittyvien hälytysten käynnistyessä.
Automaattisen tutkimuksen aikana ja sen jälkeen tarkemmat tiedot ja tulokset ovat tarkasteltavissa. Tulokset voivat sisältää suositeltuja toimia , joilla voidaan vastata löytyviin olemassa oleviin uhkiin ja korjata ne.
Suojaustoimintaryhmäsi tarkistaa tutkimustulokset ja suositukset sekä hyväksyy tai hylkää korjaustoimet.
Kun odottavat korjaustoimet hyväksytään (tai hylätään), automaattinen tutkimus valmistuu.
Huomautus
Jos tutkimus ei johda suositeltuihin toimiin, automatisoitu tutkimus suljetaan ja tiedot siitä, mitä on tarkistettu osana automatisoitua tutkimusta, ovat edelleen käytettävissä tutkimussivulla.
Microsoft Defender for Office 365 ei toteuteta korjaustoimia automaattisesti. Korjaustoimet toteutetaan vasta, kun organisaatiosi suojaustiimi on hyväksynyt ne. AIR-ominaisuudet säästävät tietoturvatiimin aikaa tunnistamalla korjaustoimet ja antamalla tarvittavat tiedot, jotta voit tehdä tietoon perustuvan päätöksen.
Kunkin automatisoidun tutkinnan aikana ja sen jälkeen suojaustoimintatiimisi voi:
- Tarkastele tutkintaan liittyvän ilmoituksen tietoja
- Tutkimuksen tulosten tietojen tarkasteleminen
- Tarkista ja hyväksy toimintoja tutkimuksen tuloksena
Vihje
Tarkempi yleiskatsaus on kohdassa Miten AIR toimii.
Airin hankkiminen
AIR-ominaisuudet sisältyvät Microsoft Defender for Office 365 suunnitelmaan 2, kunhan valvontaloki on käytössä (se on oletusarvoisesti käytössä).
Varmista myös, että tarkistat organisaatiosi ilmoituskäytännöt, erityisesti oletusarvoiset käytännöt Uhkien hallinta -luokassa.
Mitkä ilmoituskäytännöt käynnistävät automatisoituja tutkimuksia?
Microsoft 365 tarjoaa monia sisäisiä hälytyskäytäntöjä, joiden avulla voidaan tunnistaa Exchange-järjestelmänvalvojan käyttöoikeuksien väärinkäyttö, haittaohjelmien toiminta, mahdolliset ulkoiset ja sisäiset uhat sekä tietojen hallinnan riskit. Useat oletusarvoiset ilmoituskäytännöt voivat käynnistää automatisoituja tutkimuksia. Jos nämä hälytykset poistetaan käytöstä tai korvataan mukautetuilla hälytyksillä, AIR-parametria ei käynnistetä.
Seuraavassa taulukossa kuvataan hälytykset, jotka käynnistävät automatisoituja tutkimuksia, niiden vakavuutta Microsoft Defender portaalissa ja niiden luontitavan:
Ilmoitus | Vakavuus | Miten ilmoitus luodaan |
---|---|---|
Havaittiin mahdollisesti haitallinen URL-osoitteen napsautus | Korkea | Tämä ilmoitus luodaan, kun jokin seuraavista tapahtuu:
Lisätietoja tämän ilmoituksen käynnistävät tapahtumat ovat ohjeartikkelissa Turvallisten linkkien käytäntöjen määrittäminen. |
Käyttäjä ilmoittaa sähköpostiviestin haittaohjelmaksi tai tietojenkalasteluksi | Matala | Tämä ilmoitus luodaan, kun organisaatiosi käyttäjät raportoivat sähköpostiviestejä tietojenkalastelusähköpostina Microsoftin raporttiviestin tai raportin tietojenkalasteluapuohjelmien avulla. |
Haitallisen tiedoston sisältävät sähköpostiviestit poistettiin toimituksen jälkeen | Tiedottava | Tämä ilmoitus luodaan, kun haitallisia tiedostoja sisältävät viestit toimitetaan organisaation postilaatikoihin. Jos tämä tapahtuma ilmenee, Microsoft poistaa tartunnan saaneet viestit Exchange Online postilaatikoista käyttämällä nolla tunnin automaattista puhdistusta (ZAP). |
Haittaohjelmia sisältävät sähköpostiviestit poistetaan toimituksen jälkeen | Tiedottava | Tämä ilmoitus luodaan, kun haittaohjelmia sisältävät sähköpostiviestit toimitetaan organisaation postilaatikoihin. Jos tämä tapahtuma ilmenee, Microsoft poistaa tartunnan saaneet viestit Exchange Online postilaatikoista käyttämällä nolla tunnin automaattista puhdistusta (ZAP). |
Haitallisen URL-osoitteen sisältävät sähköpostiviestit poistettiin toimituksen jälkeen | Tiedottava | Tämä ilmoitus luodaan, kun kaikki haitallisen URL-osoitteen sisältävät viestit toimitetaan organisaation postilaatikoihin. Jos tämä tapahtuma ilmenee, Microsoft poistaa tartunnan saaneet viestit Exchange Online postilaatikoista käyttämällä nolla tunnin automaattista puhdistusta (ZAP). |
Tietojenkalastelun URL-osoitteita sisältävät sähköpostiviestit poistetaan toimituksen jälkeen | Tiedottava | Tämä ilmoitus luodaan, kun tietojen kalastelua sisältävät viestit toimitetaan organisaation postilaatikoihin. Jos tämä tapahtuma ilmenee, Microsoft poistaa tartunnan saaneet viestit Exchange Online postilaatikoista ZAP:n avulla. |
Havaitaan epäilyttäviä sähköpostin lähetysmalleja | Normaali | Tämä ilmoitus luodaan, kun joku organisaatiossasi on lähettänyt epäilyttävää sähköpostia ja on vaarassa joutua sähköpostin lähettämisen rajoittamiseen. Ilmoitus on ennakkovaroitus toiminnasta, joka saattaa tarkoittaa, että tili on vaarantunut, mutta ei niin vakava, että se rajoittaisi käyttäjää. Vaikka se on harvinaista, tämän käytännön luoma hälytys voi olla poikkeama. On kuitenkin hyvä tarkistaa, onko käyttäjätili vaarantunut. |
Käyttäjä ei voi lähettää sähköpostia | Korkea | Tämä ilmoitus luodaan, kun joku organisaatiossasi ei voi lähettää lähteviä viestejä. Tämä ilmoitus on yleensä tulos, kun sähköpostitili on vaarantunut. Lisätietoja rajoitetuista käyttäjistä on rajoitetut entiteetit -sivun kohdassa Estettyjen käyttäjien poistaminen. |
Hallinta käynnistivät sähköpostin manuaalisen tutkinnan | Tiedottava | Tämä ilmoitus luodaan, kun järjestelmänvalvoja käynnistää Threat Explorerin lähettämän sähköpostiviestin manuaalisen tutkimuksen. Tämä ilmoitus ilmoittaa organisaatiollesi tutkinnan aloittamisesta. |
Hallinta käynnistetty käyttäjän kompromissitutkimus | Normaali | Tämä ilmoitus luodaan, kun järjestelmänvalvoja käynnistää manuaalisen käyttäjän kompromissitutkimuksen joko sähköpostin lähettäjästä tai vastaanottajasta Threat Explorerista. Tämä ilmoitus ilmoittaa organisaatiollesi, että käyttäjän kompromissitutkimus aloitettiin. |
Vihje
Lisätietoja ilmoituskäytännöistä tai oletusasetusten muokkaamisesta on Microsoft Defender portaalin ilmoituskäytännöissä.
AIR-ominaisuuksien käytön vaaditut käyttöoikeudet
Sinulla on oltava airin käyttöoikeudet. Voit valita seuraavat vaihtoehdot:
Microsoft Defender XDR RBAC (Unified Role Based Access Control) (If Email & collaboration>Defender for Office 365 permissions is Active. Vaikuttaa vain Defender-portaaliin, ei PowerShelliin):
- Aloita automatisoitu tutkinta tai Hyväksy tai hylkää suositellut toiminnot: Suojausoperaattorin/sähköpostin lisäkorjaustoiminnot (hallitse).
Sähköpostin & yhteiskäyttöoikeudet Microsoft Defender portaalissa:
- AIR-ominaisuuksien määrittäminen: Organisaatiohallinnan tai suojauksen järjestelmänvalvojan rooliryhmien jäsenyys.
-
Aloita automatisoitu tutkimus tai Hyväksy tai hylkää suositellut toimet:
- Organisaation hallinnan, suojauksen järjestelmänvalvojan, suojausoperaattorin, suojauksenlukijan tai yleisen lukijan rooliryhmien jäsenyys. ja
- Jäsenyys rooliryhmässä, jolle on määritetty Haku- ja Tyhjennä-rooli . Oletusarvoisesti tämä rooli määritetään tietotutkija - ja organisaatiohallintarooliryhmille . Voit myös luoda mukautetun rooliryhmän, jolle määritetään Hae ja tyhjennä -rooli.
Microsoft Entra käyttöoikeudet:
- AIR-ominaisuuksien määrittäminen Yleisen järjestelmänvalvojan tai suojauksen järjestelmänvalvojan roolien jäsenyys.
-
Aloita automatisoitu tutkimus tai Hyväksy tai hylkää suositellut toimet:
- Yleisen järjestelmänvalvojan, suojauksen järjestelmänvalvojan, suojausoperaattorin, suojauksenlukijan tai yleisen lukijan roolien jäsenyys. ja
- Sähköposti-& jäsenyys yhteistyörooliryhmässä, jolle on määritetty Hae ja tyhjennä -rooli. Oletusarvoisesti tämä rooli määritetään tietotutkija - ja organisaatiohallintarooliryhmille . Voit myös luoda mukautetun sähköpostin & yhteistyörooliryhmän , jolla määritetään Hae ja tyhjennä -rooli.
Microsoft Entra käyttöoikeudet antavat käyttäjille Microsoft 365:n muiden ominaisuuksien käyttöoikeudet.
Vaaditut käyttöoikeudet
Microsoft Defender for Office 365 palvelupaketin 2 käyttöoikeudet tulee määrittää:
- Suojauksen järjestelmänvalvojat (mukaan lukien yleiset järjestelmänvalvojat)
- Organisaatiosi suojaustoimintaryhmä (mukaan lukien suojauslukijat ja haku- ja puhdistusroolin lukijat)
- Loppukäyttäjät