Miten automatisoitu tutkinta ja reagointi toimivat Microsoft Defender for Office 365
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Suojaushälytysten käynnistyessä suojaustoimintaryhmäsi voi tutkia näitä ilmoituksia ja ryhtyä toimiin organisaatiosi suojaamiseksi. Joskus suojaustoimintatiimit saattavat tuntea olevansa hukkua käynnistettyjen hälytysten määrään. Microsoft Defender for Office 365 automatisoidut tutkimus- ja reagointiominaisuudet voivat auttaa.
AIR-turvatiimisi voi toimia tehokkaammin ja tehokkaammin. AIR-ominaisuuksiin sisältyvät automatisoidut tutkintaprosessit, joilla vastataan nykyisiin tunnettuihin uhkiin. Asianmukaiset korjaustoiminnot odottavat hyväksyntää, jotta suojaustoimintatiimisi voi vastata havaittuihin uhkiin.
Tässä artikkelissa kuvataan, miten AIR toimii useiden esimerkkien kautta. Kun olet valmis aloittamaan AIR-käytön, katso Kohta Tutki automaattisesti ja vastaa uhkiin.
- Esimerkki 1: Käyttäjän ilmoittama tietojenkalasteluviesti käynnistää tutkimuksen pelikirjan
- Esimerkki 2: Suojauksen järjestelmänvalvoja käynnistää tutkimuksen Threat Explorerista
- Esimerkki 3: Suojaustoimintaryhmä integroi AIR:n siem-tunnuksensa Office 365 Management Activity API:n avulla
Esimerkki: Käyttäjän ilmoittama tietojenkalasteluviesti käynnistää tutkimusvedon
Oletetaan, että organisaatiosi käyttäjä saa sähköpostiviestin, joka on hänen mielestään tietojenkalasteluyritys. Käyttäjä, joka on koulutettu ilmoittamaan tällaisista viesteistä, käyttää Microsoftin raporttiviesti- tai raportin tietojenkalasteluapuohjelmia lähettääkseen sen Microsoftille analyysia varten. Lähetys lähetetään myös järjestelmääsi, ja se näkyy Explorerissa Lähetykset-näkymässä (aiemmin kutsutaan käyttäjän raportoiduksi näkymäksi). Lisäksi käyttäjän ilmoittama viesti käynnistää nyt järjestelmäpohjaisen tietohälytyksen, joka käynnistää automaattisesti tutkimuksen pelikirjan.
Päätutkimusvaiheessa arvioidaan sähköpostin eri näkökohtia. Näitä näkökohtia ovat esimerkiksi seuraavat:
- Päätös siitä, millainen uhka se voisi olla;
- Kuka sen lähetti?
- Mistä sähköposti lähetettiin (infrastruktuurin lähettäminen);
- Onko sähköpostiviestin muut esiintymät toimitettu tai estetty;
- Analyytikoidemme arvio;
- Onko sähköposti liitetty tunnettuihin kampanjoihin;
- ja paljon muuta.
Kun päätutkimus on valmis, toistokirja sisältää luettelon suositelluista toiminnoista alkuperäiselle sähköpostille ja siihen liittyville entiteeteille (esimerkiksi tiedostot, URL-osoitteet ja vastaanottajat).
Seuraavaksi suoritetaan useita uhkatutkinta- ja metsästysvaiheita:
- Samankaltaiset sähköpostiviestit tunnistetaan sähköpostiklusterihauilla.
- Signaali jaetaan muiden alustojen, kuten Microsoft Defender for Endpoint kanssa.
- Määritetään, ovatko käyttäjät napsauttaneet epäilyttävissä sähköpostiviesteissä olevia haitallisia linkkejä.
- Exchange Online Protection (EOP) ja Microsoft Defender for Office 365 tarkistetaan, onko käyttäjien ilmoittamia muita samankaltaisia viestejä.
- Tarkistus tehdään sen tarkistamiseksi, onko käyttäjä vaarantunut. Tämä tarkistus hyödyntää signaaleja Office 365, Microsoft Defender for Cloud Apps ja Microsoft Entra ID korreloimalla käyttäjän toimintopoikkeamia.
Metsästysvaiheen aikana riskit ja uhat osoitetaan erilaisiin metsästysvaiheisiin.
Korjaus on pelikirjan viimeinen vaihe. Tämän vaiheen aikana suoritetaan korjaustoimia tutkimus- ja metsästysvaiheiden perusteella.
Esimerkki: Suojauksen järjestelmänvalvoja käynnistää tutkimuksen Threat Explorerista
Hälytyksen käynnistämien automatisoitujen tutkimusten lisäksi organisaatiosi suojaustoimintatiimi voi käynnistää automatisoidun tutkimuksen Threat Explorerin näkymästä. Tämä tutkimus luo myös hälytyksen, joten Microsoft Defender XDR tapaukset ja ulkoiset SIEM-työkalut näkevät, että tämä tutkimus käynnistettiin.
Oletetaan esimerkiksi, että käytät Resurssienhallinnassa Haittaohjelma-näkymää . Kaavion alla olevien välilehtien avulla valitset Sähköposti-välilehden . Jos valitset luettelosta yhden tai useamman kohteen, + Toiminnot -painike aktivoituu.
Toiminnot-valikon avulla voit valita Käynnistä tutkimus.
Kuten hälytyksen käynnistämät pelikirjat, Explorerin näkymästä käynnistyvät automaattiset tutkimukset sisältävät päätutkimuksen, vaiheet uhkien tunnistamiseksi ja korreloimiseksi sekä suositellut toimet näiden uhkien lieventämiseksi.
Esimerkki: Suojaustoimintaryhmä integroi ILMAN SIEM:nsä Office 365 Hallintatoimintojen ohjelmointirajapinnan avulla
Microsoft Defender for Office 365 AIR-ominaisuudet sisältävät raportteja & tietoja, joita suojaustoimintaryhmät voivat käyttää uhkien tarkkailemiseen ja käsittelemiseen. Voit myös integroida AIR-ominaisuuksia muihin ratkaisuihin. Tällaisia ovat esimerkiksi suojaustiedot ja tapahtumienhallintajärjestelmä (SIEM), tapauksenhallintajärjestelmä tai mukautettu raportointiratkaisu. Tällaisia integrointeja voi tehdä käyttämällä Office 365 -hallintatoiminnon ohjelmointirajapintaa.
Esimerkiksi äskettäin organisaatio on määrittänyt tavan, jolla tietoturvatiimi voi tarkastella käyttäjän ilmoittamia tietojenkalasteluilmoituksia, jotka AIR on jo käsitellyt. Heidän ratkaisunsa integroi asianmukaiset hälytykset organisaation SIEM-palvelimeen ja niiden tapauksenhallintajärjestelmään. Ratkaisu vähentää huomattavasti epätosipositiivisten positiivisten määrää, jotta niiden tietoturvatiimi voi keskittää aikansa ja ponnistelunsa todellisiin uhkiin. Lisätietoja tästä mukautetusta ratkaisusta on Tech Community -blogissa: SoC:n tehokkuuden parantaminen Microsoft Defender for Office 365 ja O365:n hallinnan ohjelmointirajapinnan avulla.