Jaa


Microsoft Defender for Office 365 suojaustoiminnon opas

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Tässä artikkelissa annetaan yleiskatsaus Microsoft Defender for Office 365 käyttämisen edellytykseen ja tehtäviin organisaatiossasi. Nämä tehtävät auttavat varmistamaan, että tietoturvakeskus tarjoaa laadukkaan ja luotettavan lähestymistavan sähköpostin ja yhteistyöhön liittyvien suojausuhkien suojaamiseen, havaitsemiseen ja niihin vastaamiseen.

Tässä oppaassa kuvataan SecOps-henkilöstön pakolliset toimet. Aktiviteetit on ryhmitelty ohjaileviksi päivittäisiksi, viikoittaisiksi, kuukausittaisiksi ja ad-hoc-tehtäviksi.

Tämän oppaan kumppaniartikkelissa on yleiskatsaus tapahtumien ja hälytysten hallintaan Defender for Office 365 Microsoft Defender -portaalin Tapahtumat-sivulla.

Microsoft Defender XDR suojausopas sisältää lisätietoja, joita voit käyttää suunnitteluun ja kehittämiseen.

Jos haluat katsoa videon näistä tiedoista, katso https://youtu.be/eQanpq9N1Ps.

Päivittäiset aktiviteetit

Microsoft Defender XDR-tapahtumien jonon valvonta

Microsoft Defender portaalin https://security.microsoft.com/incidentsTapahtumat-sivun (tunnetaan myös nimellä Tapahtumat-jono) avulla voit hallita ja seurata tapahtumia seuraavista lähteistä Defender for Office 365:

Lisätietoja Vaaratilanteet-jonosta on artikkelissa Tapausten priorisointi Microsoft Defender XDR.

Tilannejonon valvontasuunnitelmassa tulee käyttää tapausten käsittelyjärjestystä seuraavasti:

  1. Havaittiin mahdollisesti haitallinen URL-napsautus.
  2. Käyttäjä ei voi lähettää sähköpostia.
  3. Havaittiin epäilyttäviä sähköpostin lähetysmalleja.
  4. Sähköposti, jonka käyttäjä on ilmoittanut haittaohjelmaksi tai tietojenkalasteluksi, ja useat käyttäjät ovat ilmoittaneet sähköpostin haittaohjelmaksi tai tietojenkalasteluksi.
  5. Sähköpostiviestit, jotka sisältävät haitallisia tiedostoja, poistettiin toimituksen jälkeen, haitallisen URL-osoitteen sisältävät sähköpostiviestit poistettiin toimituksen jälkeen ja sähköpostiviestit kampanjasta poistettiin toimituksen jälkeen.
  6. Tietojen kalastelu toimitettiin ETR-ohituksen vuoksi, tietojenkalastelu toimitettiin, koska käyttäjän Roskaposti-kansio on poistettu käytöstä ja tietojen kalastelu on toimitettu sallittujen IP-osoitteiden käytännön vuoksi
  7. Haittaohjelmia ei ole zapped, koska ZAP on poistettu käytöstä ja Phish ei zapped, koska ZAP on poistettu käytöstä.

Tapahtumajonon hallinta ja vastuuhenkilöt on kuvattu seuraavassa taulukossa:

Toiminta Kadenssi Kuvaus Persona
Tapahtumat-jonon tapahtumat kohteessa https://security.microsoft.com/incidents. Päivittäin Varmista, että kaikki Defender for Office 365 keskivaakavuustapaukset ja suuren vakavuusasteen tapaukset on triaged. Suojaustoimintojen ryhmä
Tutki tapauksia ja suorita niiden käsittely. Päivittäin Tutki kaikki tapaukset ja suorita aktiivisesti suositellut tai manuaaliset reagointitoimet. Suojaustoimintojen ryhmä
Tapausten ratkaiseminen. Päivittäin Jos tapaus on ratkaistu, ratkaise tapaus. Tapauksen ratkaiseminen ratkaisee kaikki linkitetyt ja siihen liittyvät aktiiviset hälytykset. Suojaustoimintojen ryhmä
Luokittele tapaukset. Päivittäin Luokittele tapaukset todeksi tai epätodeksi. Määritä true-hälytyksille uhkatyyppi. Tämän luokituksen avulla tietoturvatiimisi voi nähdä uhkamalleja ja puolustaa organisaatiotasi heiltä. Suojaustoimintojen ryhmä

Hallitse epätosi-positiivisia ja epätosi-negatiivisia tunnistuksia

Defender for Office 365:ssä hallitset false-positiivisia (huonoiksi merkittyjä hyviä sähköpostiviestejä) ja epätosi-negatiivisia negatiivisia arvoja (virheellinen sähköposti sallittu) seuraavissa sijainneissa:

Lisätietoja on tämän artikkelin kohdassa Epätosi positiivisten ja epätosien negatiivisten tunnistusten hallinta .

False-positiiviset ja false-negatiiviset hallinta ja vastuulliset persoonat on kuvattu seuraavassa taulukossa:

Toiminta Kadenssi Kuvaus Persona
Lähetä false-positiiviset ja false-negatiiviset Microsoftille osoitteessa https://security.microsoft.com/reportsubmission. Päivittäin Anna microsoftille signaaleja ilmoittamalla virheellisistä sähköpostiviesteista, URL-osoitteesta ja tiedostotunnuksista. Suojaustoimintojen ryhmä
Analysoi järjestelmänvalvojan lähetyksen tietoja. Päivittäin Tutustu seuraaviin Microsoftille lähettämissäsi lähetyksissä seuraaviin tekijöihin:
  • Mikä aiheutti false-positiivisen tai false-negatiivisen tuloksen.
  • Defender for Office 365 määritysten tila lähetyshetkellä.
  • Onko sinun tehtävä muutoksia Defender for Office 365 määrityksiin.
Suojaustoimintojen ryhmä

Suojauksen hallinta
Lisää lohkomerkinnät vuokraajan sallittujen ja estettyjen luetteloon osoitteessa https://security.microsoft.com/tenantAllowBlockList. Päivittäin Palveltavan kohteen sallittujen ja estettyjen luettelon avulla voit lisätä estettyjä merkintöjä epätosien negatiivisten URL-osoitteiden, tiedostojen tai lähettäjän tunnistuksiin tarvittaessa. Suojaustoimintojen ryhmä
Vapauta epätosi-positiivinen karanteenista. Päivittäin Kun vastaanottaja on vahvistanut, että viesti on asetettu karanteeniin virheellisesti, voit vapauttaa tai hyväksyä käyttäjien julkaisupyyntöjä.

Jos haluat hallita, mitä käyttäjät voivat tehdä omille karanteeniin asetetuille viesteilleen (mukaan lukien vapautus tai pyynnön vapauttaminen), katso Karanteenikäytännöt.
Suojaustoimintojen ryhmä

Viestitiimi

Tarkista tietojenkalastelu- ja haittaohjelmakampanjat, joiden tuloksena on toimitettu sähköpostia

Toiminta Kadenssi Kuvaus Persona
Tarkista sähköpostikampanjat. Päivittäin Tarkastele sähköpostikampanjoita , jotka kohdistuivat organisaatioosi osoitteessa https://security.microsoft.com/campaigns. Keskity kampanjoihin, jotka johtivat viestien toimittamiseen vastaanottajille.

Poista käyttäjien postilaatikoissa olevat viestit kampanjoista. Tätä toimintoa tarvitaan vain, kun kampanja sisältää sähköpostia, jota ei ole vielä korjattu tapausten, nollatuntisen automaattisen puhdistuksen (ZAP) tai manuaalisen korjauksen toimilla.
Suojaustoimintojen ryhmä

Viikoittaiset aktiviteetit

Defender for Office 365:ssä voit tarkastella sähköpostin tunnistamisen trendejä organisaatiossasi seuraavien raporttien avulla:

Toiminta Kadenssi Kuvaus Persona
Tarkastele sähköpostintunnistusraportteja osoitteessa: Viikoittainen Tarkista haittaohjelmien, tietojenkalastelun ja roskapostin sähköpostin tunnistustrendejä verrattuna hyvään sähköpostiin. Havainto ajan mittaan mahdollistaa uhkamallien näkymisen ja sen määrittämisen, onko Defender for Office 365 käytäntöjä mukautettava. Suojauksen hallinta

Suojaustoimintojen ryhmä

Uusien uhkien seuraaminen ja niihin vastaaminen Uhka-analytiikan avulla

Käytä Uhka-analytiikkaa aktiivisten, trendikkäiden uhkien tarkistamiseen.

Toiminta Kadenssi Kuvaus Persona
Tarkastele uhkia Uhka-analytiikassa osoitteessa https://security.microsoft.com/threatanalytics3. Viikoittainen Uhkien analysointi tarjoaa yksityiskohtaisen analyysin, mukaan lukien seuraavat kohteet:
  • IOC:t.
  • Metsästyskyselyt aktiivisista uhkatoimijoista ja niiden kampanjoista.
  • Suosittuja ja uusia hyökkäystekniikoita.
  • Kriittiset haavoittuvuudet.
  • Yleiset hyökkäyspinnat.
  • Laajalle levinnyt haittaohjelma.
Suojaustoimintojen ryhmä

Uhkien metsästysryhmä

Tarkista suosituimmat kohdennetut käyttäjät haittaohjelmistojen ja tietojenkalastelun osalta

Etsi tai vahvista käyttäjät, jotka ovat haittaohjelmien ja tietojenkalastelusähköpostin suosituimpia kohteita, käyttämällä Threat Explorerin Kaikki sähköposti-, Haittaohjelma- ja tietojenkalastelu -näkymien tietoalueella olevaa Ylimmät kohdistetut käyttäjät -välilehteä (näkymä).

Toiminta Kadenssi Kuvaus Persona
Tarkista Uhkienhallinnan Suosituimmat kohdennetut käyttäjät -välilehti osoitteessa https://security.microsoft.com/threatexplorer. Viikoittainen Tietojen avulla voit päättää, onko näiden käyttäjien käytäntöjä tai suojauksia muutettava. Lisää kyseiset käyttäjät Prioriteetti-tileille seuraavien etujen saamiseksi: Suojauksen hallinta

Suojaustoimintojen ryhmä

Tarkista suosituimmat haittaohjelma- ja tietojenkalastelukampanjat, jotka kohdistuvat organisaatioosi

Kampanjanäkymät paljastavat haittaohjelmisto- ja tietojenkalasteluhyökkäykset organisaatiotasi vastaan. Lisätietoja on artikkelissa kampanjanäkymät Microsoft Defender for Office 365.

Toiminta Kadenssi Kuvaus Persona
Tarkastele sinua koskevia haittaohjelmisto- ja tietojenkalasteluhyökkäyksiä kampanjanäkymien avulla osoitteessa https://security.microsoft.com/campaigns . Viikoittainen Lue lisätietoja hyökkäyksistä ja tekniikoista sekä siitä, mitä Defender for Office 365 pystyi tunnistamaan ja estämään.

Saat tarkempia tietoja kampanjasta kampanjasta lataamalla uhkaraporttia kampanjanäkymissä.
Suojaustoimintojen ryhmä

Ad-hoc-toimet

Sähköpostin manuaalinen tutkiminen ja poistaminen

Toiminta Kadenssi Kuvaus Persona
Tutki ja poista virheellinen sähköposti Threat Explorerissa https://security.microsoft.com/threatexplorer käyttäjäpyyntöjen perusteella. Ad-hoc Käytä Threat Explorerin Käynnistä tutkimus -toimintoa aloittaaksesi automatisoidun tutkinnan ja vastausten pelikirjan mistä tahansa sähköpostista viimeisten 30 päivän ajalta. Tutkimuksen käynnistäminen manuaalisesti säästää aikaa ja vaivaa sisällyttämällä siihen keskitetysti:
  • Päätutkimus.
  • Vaiheet uhkien tunnistamiseen ja korreloimiseen.
  • Suositellut toimet näiden uhkien lieventämiseksi.

Lisätietoja on artikkelissa Esimerkki: Käyttäjän ilmoittama tietojenkalasteluviesti käynnistää tutkimuksen pelikirjan

Voit myös käyttää Threat Exploreria tutkiaksesi sähköpostia manuaalisesti tehokkailla haku- ja suodatustoiminnoilla ja suorittaaksesi manuaalisen vastauksen suoraan samasta paikasta. Käytettävissä olevat manuaaliset toiminnot:
  • Siirrä Saapuneet-kansioon
  • Siirrä roskapostiksi
  • Siirrä poistettuihin kohteisiin
  • Pehmeä poisto
  • Kova poisto.
Suojaustoimintojen ryhmä

Uhkien ennakoiva metsästys

Toiminta Kadenssi Kuvaus Persona
Säännöllinen, ennakoiva uhkien metsästys:. Ad-hoc Hae uhkia käyttämällä Threat Exploreria ja kehittynyttä metsästystä. Suojaustoimintojen ryhmä

Uhkien metsästysryhmä
Jaa metsästyskyselyt. Ad-hoc Jaa aktiivisesti usein käytettyjä hyödyllisiä kyselyjä tietoturvatiimissä manuaalisen uhkien metsästyksen ja korjaamisen nopeuttamiseksi.

Käytä Uhkien seurantaa ja jaettuja kyselyitä kehittyneessä metsästyksessä.
Suojaustoimintojen ryhmä

Uhkien metsästysryhmä
Luo mukautettuja tunnistussääntöjä osoitteessa https://security.microsoft.com/custom_detection. Ad-hoc Luo mukautettuja tunnistussääntöjä, joilla seurataan ennakoivasti tapahtumia, malleja ja uhkia Defender for Office 365 tietojen perusteella ennakkometsästyksessä. Tunnistussäännöt sisältävät kehittyneen metsästyksen kyselyitä, jotka luovat hälytyksiä vastaavien ehtojen perusteella. Suojaustoimintojen ryhmä

Uhkien metsästysryhmä

Tarkista Defender for Office 365 käytäntömääritykset

Toiminta Kadenssi Kuvaus Persona
Tarkista Defender for Office 365 käytäntöjen määritykset osoitteessa https://security.microsoft.com/configurationAnalyzer. Ad-hoc

Kuukausittainen
Määritysanalysaattorin avulla voit verrata nykyisiä käytäntöasetuksiasi Defender for Office 365 suositeltuihin Standard- tai Strict-arvoihin. Määritysanalysaattori tunnistaa tahattoman tai pahantahtoiset muutokset, jotka voivat pienentää organisaatiosi suojausasentoja.

Voit myös käyttää PowerShell-pohjaista ORCA-työkalua.
Suojauksen hallinta

Viestitiimi
Tarkistuksen tunnistamisen ohitukset kohteessa Defender for Office 365 kohteessahttps://security.microsoft.com/reports/TPSMessageOverrideReportATP Ad-hoc

Kuukausittainen
Käytä Näytä tiedot järjestelmän mukaan -asetusta ja ohita > kaavion erittely syyn mukaan -näkymäUhkien suojaus -tilaraportissa ja tarkista sähköposti, joka on havaittu tietojenkalasteluksi mutta toimitettu käytännön tai käyttäjän ohitusasetusten vuoksi.

Tutki, poista tai hienosäädä ohituksia aktiivisesti, jotta vältetään haitallisiksi todettujen sähköpostiviestien toimittaminen.
Suojauksen hallinta

Viestitiimi

Tarkastele spoofin ja tekeytymisen tunnistuksia

Toiminta Kadenssi Kuvaus Persona
Tutustu Spoof-tiedustelun merkityksellisiin tietoihin ja tekeytymisen tunnistamisen merkityksellisiin tietoihin osoitteessa. Ad-hoc

Kuukausittainen
Voit muokata tekeytymis- ja tekeytymistunnistuksille suodatusta käyttämällä merkityksellistä spoof-merkityksellistä tietoa ja tekeytymisen merkityksellisiä tietoja . Suojauksen hallinta

Viestitiimi

Tarkista prioriteettitilin jäsenyys

Toiminta Kadenssi Kuvaus Persona
Tarkista, ketkä on määritetty prioriteettitiliksi kohteessa https://security.microsoft.com/securitysettings/userTags. Ad-hoc Pidä prioriteettitilien jäsenyys ajan tasalla organisaation muutoksilla saadaksesi seuraavat edut näille käyttäjille:
  • Parempi näkyvyys raporteissa.
  • Tapausten ja hälytysten suodattaminen.
  • Räätälöity heuristiikko johdon postinkulkumalleja varten (prioriteetin tilisuojaus).

Käytä mukautettuja käyttäjätunnisteita , joita muut käyttäjät voivat hakea:
  • Parempi näkyvyys raporteissa.
  • Tapausten ja hälytysten suodattaminen.
Suojaustoimintojen ryhmä

Liite

Lue lisätietoja Microsoft Defender for Office 365 työkaluista ja prosesseista

Suojaustoimintojen ja vastaustiimin jäsenten on integroitava Defender for Office 365 työkalut ja ominaisuudet olemassa oleviin tutkinta- ja vastausprosesseihin. Uusien työkalujen ja toimintojen oppiminen voi kestää jonkin aikaa, mutta se on tärkeä osa upotusprosessia. Yksinkertaisin tapa SecOpsille ja sähköpostin turvallisuustiimin jäsenille oppia Defender for Office 365 on käyttää koulutussisältöä, joka on saatavilla osana Ninja-koulutussisältöä osoitteessa https://aka.ms/mdoninja.

Sisältö on jäsennetty eri tietotasoille (perusteet, välitaso ja lisäasetukset), joissa on useita moduuleja tasoa kohden.

YouTube Microsoft Defender for Office 365 kanavalla on myös lyhyitä videoita tiettyjä tehtäviä varten.

Defender for Office 365 toimintojen ja tehtävien käyttöoikeudet

Defender for Office 365 hallintaoikeudet Microsoft Defender portaalissa ja PowerShellissä perustuvat roolipohjaiseen käyttöoikeuksien valvontamalliin (RBAC). RBAC on sama käyttöoikeusmalli, jota useimmat Microsoft 365 -palvelut käyttävät. Lisätietoja on Microsoft Defender portaalin kohdassa Käyttöoikeudet.

Huomautus

Privileged Identity Management (PIM) Microsoft Entra ID on myös tapa määrittää vaaditut käyttöoikeudet SecOps-henkilöstölle. Lisätietoja on kohdassa Privileged Identity Management (PIM) ja miksi sitä kannattaa käyttää Microsoft Defender for Office 365 kanssa.

Seuraavat oikeudet (roolit ja rooliryhmät) ovat käytettävissä Defender for Office 365 ja niitä voidaan käyttää käyttöoikeusryhmän jäsenten käyttöoikeuksien myöntämiseen:

  • Microsoft Entra ID: Keskitettyjä rooleja, jotka määrittävät käyttöoikeuksia kaikille Microsoft 365 -palveluille, mukaan lukien Defender for Office 365. Voit tarkastella Microsoft Entra rooleja ja määritettyjä käyttäjiä Microsoft Defender portaalissa, mutta et voi hallita niitä suoraan siellä. Sen sijaan voit hallita Microsoft Entra rooleja ja jäseniä osoitteessa https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. Suojaustiimien yleisimmät roolit ovat:

  • Exchange Online ja sähköpostit & yhteistyötä: rooleja ja rooliryhmiä, jotka myöntävät Microsoft Defender for Office 365 käyttöoikeuden. Seuraavat roolit eivät ole käytettävissä Microsoft Entra ID, mutta ne voivat olla tärkeitä suojaustiimeille:

    • Esikatselurooli (sähköpostin & yhteiskäyttö): Määritä tämä rooli ryhmän jäsenille, joiden on esikatsteltava tai ladattava sähköpostiviestejä osana tutkintatoimia. Sallii käyttäjien esikatsella ja ladata sähköpostiviestejä pilvipalvelupostilaatikoista Käyttämällä Uhkienhallintaa (Explorer) tai reaaliaikaisia tunnistuksia ja Sähköposti-entiteettisivua.

      Oletusarvoisesti esikatselurooli määritetään vain seuraaville rooliryhmille:

      • Tietotutkija
      • eDiscovery Manager

      Voit lisätä käyttäjiä kyseisiin rooliryhmiin tai luoda uuden rooliryhmän , jolle on määritetty Esiversio-rooli , ja lisätä käyttäjiä mukautettuun rooliryhmään.

    • Haku- ja tyhjennysrooli (Sähköposti & yhteistyö): Hyväksy airin suosittelemien haitallisten viestien poistaminen tai suorita manuaalisia toimia metsästyskokemuksissa, kuten Threat Explorerissa.

      Haku- ja tyhjennys-rooli määritetään oletusarvoisesti vain seuraaville rooliryhmille:

      • Tietotutkija
      • Organisaation hallinta

      Voit lisätä käyttäjiä kyseisiin rooliryhmiin tai luoda uuden rooliryhmän , jolle on määritetty Hae ja tyhjennä-rooli , ja lisätä käyttäjät mukautettuun rooliryhmään.

    • Vuokraajan AllowBlockList Manager (Exchange Online): Hallitse vuokraajan sallittujen ja estettyjen merkintöjä vuokraajan sallittujen ja estettyjen luettelossa. URL-osoitteiden, tiedostojen (tiedoston hajautusarvon avulla) tai lähettäjien estäminen on hyödyllinen vastaustoiminto, kun tutkitaan toimitettua haitallista sähköpostiviestiä.

      Oletusarvoisesti tämä rooli määritetään vain Exchange Online käyttöoikeusoperaattorin rooliryhmälle, ei Microsoft Entra ID. Microsoft Entra ID Suojausoperaattori-roolin jäsenyys ei salli vuokraajan sallittujen/estettyjen luettelon merkintöjen hallintaa.

      Suojauksen järjestelmänvalvojan tai organisaation hallintaroolien jäsenet Microsoft Entra ID tai vastaavat rooliryhmät Exchange Online voivat hallita vuokraajan sallittujen ja estettyjen luettelon merkintöjä.

SIEM/SOAR-integrointi

Defender for Office 365 paljastaa suurimman osan tiedoistaan ohjelmallisten ohjelmointirajapintojen kautta. Näiden ohjelmointirajapintojen avulla voit automatisoida työnkulkuja ja hyödyntää Defender for Office 365 kaikkia ominaisuuksia. Tiedot ovat saatavilla Microsoft Defender XDR-ohjelmointirajapinnoista, ja niiden avulla voidaan integroida Defender for Office 365 olemassa oleviin SIEM/SOAR-ratkaisuihin.

Voit yhdistää Defender for Office 365 tapauksiin ja raakatietoihin Microsoft Sentinel käyttämällä Microsoft Defender XDR (M365D) -liitintä

Seuraavan Hei maailma esimerkin avulla voit testata ohjelmointirajapinnan käyttöä Microsoft Defender ohjelmointirajapinnoille: Hei maailma Microsoft Defender XDR REST-ohjelmointirajapinnalle.

Lisätietoja SIEM-työkalun integroinnista on kohdassa SIEM-työkalujen integrointi Microsoft Defender XDR kanssa.

Defender for Office 365 epätosi-positiivisten ja epätosi-negatiivisten osoitteiden käsitteleminen

Käyttäjän ilmoittamat viestit ja järjestelmänvalvojan lähettämät sähköpostiviestit ovat tärkeitä positiivisia vahvistussignaaleja koneoppimisen tunnistusjärjestelmillemme. Lähetykset auttavat meitä tarkastelemaan, tarkastelemaan, oppimaan nopeasti ja lieventämään hyökkäyksiä. Väärien positiivisten ja epätosi-negatiivisten tietojen aktiivinen raportointi on tärkeä toiminto, joka antaa palautetta Defender for Office 365, kun tunnistamisen aikana tehdään virheitä.

Organisaatioilla on useita vaihtoehtoja käyttäjän raportoimien viestien määrittämiseen. Määrityksestä riippuen suojaustiimit saattavat osallistua aktiivisemmin, kun käyttäjät lähettävät Microsoftille vääriä positiivisia tai vääriä negatiteetteja:

  • Käyttäjän ilmoittamat viestit lähetetään Microsoftille analyysia varten, kun käyttäjän ilmoittamat asetukset on määritetty jollakin seuraavista asetuksista:

    • Lähetä ilmoitetut viestit:vain Microsoft.
    • Lähetä raportoidut viestit osoitteeseen: Microsoft ja oma raportointipostilaatikkoni.

    Suojaustiimien jäsenten tulee lähettää lisä-hoc-järjestelmänvalvojan lähetykset , kun toimintotiimi löytää vääriä positiivisia tai vääriä negatiivisia, joita käyttäjät eivät ole ilmoittaneet.

  • Kun käyttäjän ilmoittamat viestit on määritetty lähettämään viestejä vain organisaation postilaatikkoon, suojaustiimien tulee aktiivisesti lähettää käyttäjän ilmoittamia false-positiivisia ja epätosi-negatiivisia tietoja Microsoftille järjestelmänvalvojan lähettämien viestien kautta.

Kun käyttäjä ilmoittaa viestin tietojenkalasteluksi, Defender for Office 365 luo ilmoituksen, ja ilmoitus käynnistää AIR-toistokirjan. Tapauslogiikka korreloi nämä tiedot muihin hälytyksiin ja tapahtumiin mahdollisuuksien mukaan. Tämä tietojen konsolidointi auttaa suojaustiimejä lajittelemaan, tutkimaan käyttäjän ilmoittamia viestejä ja vastaamaan niihin.

Palvelun lähetysputki noudattaa tiiviisti integroitua prosessia, kun käyttäjän raporttiviestit ja järjestelmänvalvojat lähettävät viestejä. Tämä prosessi sisältää seuraavat:

  • Kohinanvaimennus.
  • Automatisoitu triage.
  • Suojausanalyytikot ja ihmiskumppanien koneoppimiseen perustuvat ratkaisut.

Lisätietoja on artikkelissa Sähköpostin raportointi Defender for Office 365 - Microsoft Tech Community.

Suojaustiimin jäsenet voivat lähettää lähetyksiä useista sijainneista Microsoft Defender portaalissa osoitteessa https://security.microsoft.com:

  • Hallinta lähetystä: Lähetä Microsoftille epäillyt roskaposti-, tietojenkalastelu-, URL-osoitteet ja tiedostot Lähetysten-sivun avulla.

  • Suoraan Threat Explorerista käyttämällä jotakin seuraavista sanomatoiminnoista:

    • Raportin puhdistaminen
    • Raportin tietojenkalastelu
    • Ilmoita haittaohjelmasta
    • Ilmoita roskapostista

    Voit suorittaa joukkolähetyksen valitsemalla enintään 10 viestiä. Hallinta näillä menetelmillä luodut lähetykset näkyvät vastaavilla välilehdillä Lähetykset-sivulla.

Epätosi-negatiivien lyhyen aikavälin lievennystä varten suojaustiimit voivat hallita suoraan tiedostojen, URL-osoitteiden sekä toimialueiden tai sähköpostiosoitteiden estomerkintöjä vuokraajan sallittujen ja estettyjen luettelossa.

Epätosi-positiivisten ominaisuuksien lyhyen aikavälin lievennystä varten suojaustiimit eivät voi suoraan hallita vuokraajan sallittujen ja estettyjen luettelon toimialueiden ja sähköpostiosoitteiden sallittuja merkintöjä. Sen sijaan heidän on käytettävä järjestelmänvalvojan lähetyksiä ilmoittaakseen sähköpostiviestin positiiviseksi epätodeksi. Katso ohjeet kohdasta Ilmoita hyvistä sähköposteista Microsoftille.

Defender for Office 365 karanteeni sisältää mahdollisesti vaarallisia tai ei-toivottuja viestejä ja tiedostoja. Suojausryhmät voivat tarkastella, vapauttaa ja poistaa kaikenlaisia karanteeniin asetettuja viestejä kaikille käyttäjille. Tämän ominaisuuden avulla suojaustiimit voivat vastata tehokkaasti, kun väärä positiivinen viesti tai tiedosto on asetettu karanteeniin.

Kolmannen osapuolen raportointityökalujen integrointi Defender for Office 365 käyttäjän raportoimien viestien kanssa

Jos organisaatiosi käyttää kolmannen osapuolen raportointityökalua, jonka avulla käyttäjät voivat sisäisesti ilmoittaa epäilyttävästä sähköpostista, voit integroida työkalun käyttäjän raportoimien viestien ominaisuuksiin Defender for Office 365. Tämä integrointi tarjoaa seuraavat edut suojaustiimeille:

  • Integrointi Defender for Office 365 AIR-ominaisuuksiin.
  • Yksinkertaistettu triage.
  • Tutkimus- ja vastausaika on lyhentynyt.

Määritä raportointipostilaatikko, johon käyttäjän ilmoittamat viestit lähetetään käyttäjän raportoimien asetusten sivulla Microsoft Defender portaalissa osoitteessa https://security.microsoft.com/securitysettings/userSubmission. Lisätietoja on kohdassa Käyttäjän raportoidut asetukset.

Huomautus

  • Raportoivan postilaatikon on oltava Exchange Online postilaatikko.
  • Kolmannen osapuolen raportointityökalun on sisällettävä alkuperäinen ilmoitettu viesti pakkaamattomana . EML tai . MSG-liite viestissä, joka lähetetään raportointipostilaatikkoon (älä lähetä alkuperäistä viestiä edelleen raportointipostilaatikkoon). Lisätietoja on kohdassa Viestin lähetysmuoto kolmannen osapuolen raportointityökaluille.
  • Raportoinnin postilaatikko edellyttää erityisiä edellytyksiä, jotta mahdollisesti virheellisiä viestejä voidaan toimittaa suodattamatta tai muuttamatta. Lisätietoja on kohdassa Raportointi-postilaatikon määritysvaatimukset.

Kun käyttäjä ilmoittaa viestin saapuvan raportointipostilaatikkoon, Defender for Office 365 luo automaattisesti ilmoituksen nimeltä Sähköposti, jonka käyttäjä on ilmoittanut haittaohjelmaksi tai tietojenkalasteluksi. Tämä ilmoitus käynnistää AIR-pelikirjan. Pelikirja suorittaa sarjan automatisoituja tutkintavaiheita:

  • Kerää tietoja määritetystä sähköpostiviestistä.
  • Kerää tietoja kyseiseen sähköpostiin liittyvistä uhkista ja entiteeteistä (esimerkiksi tiedostot, URL-osoitteet ja vastaanottajat).
  • Tarjoa SecOps-tiimille suositeltuja toimia tutkimustulosten perusteella.

Sähköposti, jonka käyttäjä on ilmoittanut haittaohjelmisto- tai tietojenkalasteluhälytyksiksi, automatisoidut tutkimukset ja niiden suositellut toimet korreloi automaattisesti Microsoft Defender XDR tapauksiin. Tämä korrelaatio yksinkertaistaa entisestään suojaustiimien triage- ja vastausprosessia. Jos useat käyttäjät ilmoittavat samasta tai vastaavasta viestistä, kaikki käyttäjät ja viestit korreloivat samaan tapaukseen.

Defender for Office 365 ilmoitusten ja tutkimusten tietoja verrataan automaattisesti muiden Microsoft Defender XDR tuotteiden hälytyksiin ja tutkimuksiin:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Jos suhde havaitaan, järjestelmä luo tapahtuman, joka antaa näkyvyyden koko hyökkäykselle.