Microsoft Defender for Office 365 suojaustoiminnon opas
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Tässä artikkelissa annetaan yleiskatsaus Microsoft Defender for Office 365 käyttämisen edellytykseen ja tehtäviin organisaatiossasi. Nämä tehtävät auttavat varmistamaan, että tietoturvakeskus tarjoaa laadukkaan ja luotettavan lähestymistavan sähköpostin ja yhteistyöhön liittyvien suojausuhkien suojaamiseen, havaitsemiseen ja niihin vastaamiseen.
Tässä oppaassa kuvataan SecOps-henkilöstön pakolliset toimet. Aktiviteetit on ryhmitelty ohjaileviksi päivittäisiksi, viikoittaisiksi, kuukausittaisiksi ja ad-hoc-tehtäviksi.
Tämän oppaan kumppaniartikkelissa on yleiskatsaus tapahtumien ja hälytysten hallintaan Defender for Office 365 Microsoft Defender -portaalin Tapahtumat-sivulla.
Microsoft Defender XDR suojausopas sisältää lisätietoja, joita voit käyttää suunnitteluun ja kehittämiseen.
Jos haluat katsoa videon näistä tiedoista, katso https://youtu.be/eQanpq9N1Ps.
Päivittäiset aktiviteetit
Microsoft Defender XDR-tapahtumien jonon valvonta
Microsoft Defender portaalin https://security.microsoft.com/incidentsTapahtumat-sivun (tunnetaan myös nimellä Tapahtumat-jono) avulla voit hallita ja seurata tapahtumia seuraavista lähteistä Defender for Office 365:
Lisätietoja Vaaratilanteet-jonosta on artikkelissa Tapausten priorisointi Microsoft Defender XDR.
Tilannejonon valvontasuunnitelmassa tulee käyttää tapausten käsittelyjärjestystä seuraavasti:
- Havaittiin mahdollisesti haitallinen URL-napsautus.
- Käyttäjä ei voi lähettää sähköpostia.
- Havaittiin epäilyttäviä sähköpostin lähetysmalleja.
- Sähköposti, jonka käyttäjä on ilmoittanut haittaohjelmaksi tai tietojenkalasteluksi, ja useat käyttäjät ovat ilmoittaneet sähköpostin haittaohjelmaksi tai tietojenkalasteluksi.
- Sähköpostiviestit, jotka sisältävät haitallisia tiedostoja, poistettiin toimituksen jälkeen, haitallisen URL-osoitteen sisältävät sähköpostiviestit poistettiin toimituksen jälkeen ja sähköpostiviestit kampanjasta poistettiin toimituksen jälkeen.
- Tietojen kalastelu toimitettiin ETR-ohituksen vuoksi, tietojenkalastelu toimitettiin, koska käyttäjän Roskaposti-kansio on poistettu käytöstä ja tietojen kalastelu on toimitettu sallittujen IP-osoitteiden käytännön vuoksi
- Haittaohjelmia ei ole zapped, koska ZAP on poistettu käytöstä ja Phish ei zapped, koska ZAP on poistettu käytöstä.
Tapahtumajonon hallinta ja vastuuhenkilöt on kuvattu seuraavassa taulukossa:
Toiminta | Kadenssi | Kuvaus | Persona |
---|---|---|---|
Tapahtumat-jonon tapahtumat kohteessa https://security.microsoft.com/incidents. | Päivittäin | Varmista, että kaikki Defender for Office 365 keskivaakavuustapaukset ja suuren vakavuusasteen tapaukset on triaged. | Suojaustoimintojen ryhmä |
Tutki tapauksia ja suorita niiden käsittely. | Päivittäin | Tutki kaikki tapaukset ja suorita aktiivisesti suositellut tai manuaaliset reagointitoimet. | Suojaustoimintojen ryhmä |
Tapausten ratkaiseminen. | Päivittäin | Jos tapaus on ratkaistu, ratkaise tapaus. Tapauksen ratkaiseminen ratkaisee kaikki linkitetyt ja siihen liittyvät aktiiviset hälytykset. | Suojaustoimintojen ryhmä |
Luokittele tapaukset. | Päivittäin | Luokittele tapaukset todeksi tai epätodeksi. Määritä true-hälytyksille uhkatyyppi. Tämän luokituksen avulla tietoturvatiimisi voi nähdä uhkamalleja ja puolustaa organisaatiotasi heiltä. | Suojaustoimintojen ryhmä |
Hallitse epätosi-positiivisia ja epätosi-negatiivisia tunnistuksia
Defender for Office 365:ssä hallitset false-positiivisia (huonoiksi merkittyjä hyviä sähköpostiviestejä) ja epätosi-negatiivisia negatiivisia arvoja (virheellinen sähköposti sallittu) seuraavissa sijainneissa:
- Lähetykset-sivu (järjestelmänvalvojan lähetykset).
- Vuokraajan sallittujen ja estettyjen luettelo
- Threat Explorer
Lisätietoja on tämän artikkelin kohdassa Epätosi positiivisten ja epätosien negatiivisten tunnistusten hallinta .
False-positiiviset ja false-negatiiviset hallinta ja vastuulliset persoonat on kuvattu seuraavassa taulukossa:
Toiminta | Kadenssi | Kuvaus | Persona |
---|---|---|---|
Lähetä false-positiiviset ja false-negatiiviset Microsoftille osoitteessa https://security.microsoft.com/reportsubmission. | Päivittäin | Anna microsoftille signaaleja ilmoittamalla virheellisistä sähköpostiviesteista, URL-osoitteesta ja tiedostotunnuksista. | Suojaustoimintojen ryhmä |
Analysoi järjestelmänvalvojan lähetyksen tietoja. | Päivittäin | Tutustu seuraaviin Microsoftille lähettämissäsi lähetyksissä seuraaviin tekijöihin:
|
Suojaustoimintojen ryhmä Suojauksen hallinta |
Lisää lohkomerkinnät vuokraajan sallittujen ja estettyjen luetteloon osoitteessa https://security.microsoft.com/tenantAllowBlockList. | Päivittäin | Palveltavan kohteen sallittujen ja estettyjen luettelon avulla voit lisätä estettyjä merkintöjä epätosien negatiivisten URL-osoitteiden, tiedostojen tai lähettäjän tunnistuksiin tarvittaessa. | Suojaustoimintojen ryhmä |
Vapauta epätosi-positiivinen karanteenista. | Päivittäin | Kun vastaanottaja on vahvistanut, että viesti on asetettu karanteeniin virheellisesti, voit vapauttaa tai hyväksyä käyttäjien julkaisupyyntöjä. Jos haluat hallita, mitä käyttäjät voivat tehdä omille karanteeniin asetetuille viesteilleen (mukaan lukien vapautus tai pyynnön vapauttaminen), katso Karanteenikäytännöt. |
Suojaustoimintojen ryhmä Viestitiimi |
Tarkista tietojenkalastelu- ja haittaohjelmakampanjat, joiden tuloksena on toimitettu sähköpostia
Toiminta | Kadenssi | Kuvaus | Persona |
---|---|---|---|
Tarkista sähköpostikampanjat. | Päivittäin |
Tarkastele sähköpostikampanjoita , jotka kohdistuivat organisaatioosi osoitteessa https://security.microsoft.com/campaigns. Keskity kampanjoihin, jotka johtivat viestien toimittamiseen vastaanottajille. Poista käyttäjien postilaatikoissa olevat viestit kampanjoista. Tätä toimintoa tarvitaan vain, kun kampanja sisältää sähköpostia, jota ei ole vielä korjattu tapausten, nollatuntisen automaattisen puhdistuksen (ZAP) tai manuaalisen korjauksen toimilla. |
Suojaustoimintojen ryhmä |
Viikoittaiset aktiviteetit
Sähköpostintunnistustrendien tarkasteleminen Defender for Office 365 raporteissa
Defender for Office 365:ssä voit tarkastella sähköpostin tunnistamisen trendejä organisaatiossasi seuraavien raporttien avulla:
Toiminta | Kadenssi | Kuvaus | Persona |
---|---|---|---|
Tarkastele sähköpostintunnistusraportteja osoitteessa: | Viikoittainen | Tarkista haittaohjelmien, tietojenkalastelun ja roskapostin sähköpostin tunnistustrendejä verrattuna hyvään sähköpostiin. Havainto ajan mittaan mahdollistaa uhkamallien näkymisen ja sen määrittämisen, onko Defender for Office 365 käytäntöjä mukautettava. | Suojauksen hallinta Suojaustoimintojen ryhmä |
Uusien uhkien seuraaminen ja niihin vastaaminen Uhka-analytiikan avulla
Käytä Uhka-analytiikkaa aktiivisten, trendikkäiden uhkien tarkistamiseen.
Toiminta | Kadenssi | Kuvaus | Persona |
---|---|---|---|
Tarkastele uhkia Uhka-analytiikassa osoitteessa https://security.microsoft.com/threatanalytics3. | Viikoittainen | Uhkien analysointi tarjoaa yksityiskohtaisen analyysin, mukaan lukien seuraavat kohteet:
|
Suojaustoimintojen ryhmä Uhkien metsästysryhmä |
Tarkista suosituimmat kohdennetut käyttäjät haittaohjelmistojen ja tietojenkalastelun osalta
Etsi tai vahvista käyttäjät, jotka ovat haittaohjelmien ja tietojenkalastelusähköpostin suosituimpia kohteita, käyttämällä Threat Explorerin Kaikki sähköposti-, Haittaohjelma- ja tietojenkalastelu -näkymien tietoalueella olevaa Ylimmät kohdistetut käyttäjät -välilehteä (näkymä).
Toiminta | Kadenssi | Kuvaus | Persona |
---|---|---|---|
Tarkista Uhkienhallinnan Suosituimmat kohdennetut käyttäjät -välilehti osoitteessa https://security.microsoft.com/threatexplorer. | Viikoittainen | Tietojen avulla voit päättää, onko näiden käyttäjien käytäntöjä tai suojauksia muutettava. Lisää kyseiset käyttäjät Prioriteetti-tileille seuraavien etujen saamiseksi:
|
Suojauksen hallinta Suojaustoimintojen ryhmä |
Tarkista suosituimmat haittaohjelma- ja tietojenkalastelukampanjat, jotka kohdistuvat organisaatioosi
Kampanjanäkymät paljastavat haittaohjelmisto- ja tietojenkalasteluhyökkäykset organisaatiotasi vastaan. Lisätietoja on artikkelissa kampanjanäkymät Microsoft Defender for Office 365.
Toiminta | Kadenssi | Kuvaus | Persona |
---|---|---|---|
Tarkastele sinua koskevia haittaohjelmisto- ja tietojenkalasteluhyökkäyksiä kampanjanäkymien avulla osoitteessa https://security.microsoft.com/campaigns . | Viikoittainen | Lue lisätietoja hyökkäyksistä ja tekniikoista sekä siitä, mitä Defender for Office 365 pystyi tunnistamaan ja estämään. Saat tarkempia tietoja kampanjasta kampanjasta lataamalla uhkaraporttia kampanjanäkymissä. |
Suojaustoimintojen ryhmä |
Ad-hoc-toimet
Sähköpostin manuaalinen tutkiminen ja poistaminen
Toiminta | Kadenssi | Kuvaus | Persona |
---|---|---|---|
Tutki ja poista virheellinen sähköposti Threat Explorerissa https://security.microsoft.com/threatexplorer käyttäjäpyyntöjen perusteella. | Ad-hoc | Käytä Threat Explorerin Käynnistä tutkimus -toimintoa aloittaaksesi automatisoidun tutkinnan ja vastausten pelikirjan mistä tahansa sähköpostista viimeisten 30 päivän ajalta. Tutkimuksen käynnistäminen manuaalisesti säästää aikaa ja vaivaa sisällyttämällä siihen keskitetysti:
Lisätietoja on artikkelissa Esimerkki: Käyttäjän ilmoittama tietojenkalasteluviesti käynnistää tutkimuksen pelikirjan Voit myös käyttää Threat Exploreria tutkiaksesi sähköpostia manuaalisesti tehokkailla haku- ja suodatustoiminnoilla ja suorittaaksesi manuaalisen vastauksen suoraan samasta paikasta. Käytettävissä olevat manuaaliset toiminnot:
|
Suojaustoimintojen ryhmä |
Uhkien ennakoiva metsästys
Toiminta | Kadenssi | Kuvaus | Persona |
---|---|---|---|
Säännöllinen, ennakoiva uhkien metsästys:. | Ad-hoc | Hae uhkia käyttämällä Threat Exploreria ja kehittynyttä metsästystä. | Suojaustoimintojen ryhmä Uhkien metsästysryhmä |
Jaa metsästyskyselyt. | Ad-hoc | Jaa aktiivisesti usein käytettyjä hyödyllisiä kyselyjä tietoturvatiimissä manuaalisen uhkien metsästyksen ja korjaamisen nopeuttamiseksi. Käytä Uhkien seurantaa ja jaettuja kyselyitä kehittyneessä metsästyksessä. |
Suojaustoimintojen ryhmä Uhkien metsästysryhmä |
Luo mukautettuja tunnistussääntöjä osoitteessa https://security.microsoft.com/custom_detection. | Ad-hoc | Luo mukautettuja tunnistussääntöjä, joilla seurataan ennakoivasti tapahtumia, malleja ja uhkia Defender for Office 365 tietojen perusteella ennakkometsästyksessä. Tunnistussäännöt sisältävät kehittyneen metsästyksen kyselyitä, jotka luovat hälytyksiä vastaavien ehtojen perusteella. | Suojaustoimintojen ryhmä Uhkien metsästysryhmä |
Tarkista Defender for Office 365 käytäntömääritykset
Toiminta | Kadenssi | Kuvaus | Persona |
---|---|---|---|
Tarkista Defender for Office 365 käytäntöjen määritykset osoitteessa https://security.microsoft.com/configurationAnalyzer. | Ad-hoc Kuukausittainen |
Määritysanalysaattorin avulla voit verrata nykyisiä käytäntöasetuksiasi Defender for Office 365 suositeltuihin Standard- tai Strict-arvoihin. Määritysanalysaattori tunnistaa tahattoman tai pahantahtoiset muutokset, jotka voivat pienentää organisaatiosi suojausasentoja. Voit myös käyttää PowerShell-pohjaista ORCA-työkalua. |
Suojauksen hallinta Viestitiimi |
Tarkistuksen tunnistamisen ohitukset kohteessa Defender for Office 365 kohteessahttps://security.microsoft.com/reports/TPSMessageOverrideReportATP | Ad-hoc Kuukausittainen |
Käytä Näytä tiedot järjestelmän mukaan -asetusta ja ohita > kaavion erittely syyn mukaan -näkymäUhkien suojaus -tilaraportissa ja tarkista sähköposti, joka on havaittu tietojenkalasteluksi mutta toimitettu käytännön tai käyttäjän ohitusasetusten vuoksi. Tutki, poista tai hienosäädä ohituksia aktiivisesti, jotta vältetään haitallisiksi todettujen sähköpostiviestien toimittaminen. |
Suojauksen hallinta Viestitiimi |
Tarkastele spoofin ja tekeytymisen tunnistuksia
Toiminta | Kadenssi | Kuvaus | Persona |
---|---|---|---|
Tutustu Spoof-tiedustelun merkityksellisiin tietoihin ja tekeytymisen tunnistamisen merkityksellisiin tietoihin osoitteessa. | Ad-hoc Kuukausittainen |
Voit muokata tekeytymis- ja tekeytymistunnistuksille suodatusta käyttämällä merkityksellistä spoof-merkityksellistä tietoa ja tekeytymisen merkityksellisiä tietoja . | Suojauksen hallinta Viestitiimi |
Tarkista prioriteettitilin jäsenyys
Toiminta | Kadenssi | Kuvaus | Persona |
---|---|---|---|
Tarkista, ketkä on määritetty prioriteettitiliksi kohteessa https://security.microsoft.com/securitysettings/userTags. | Ad-hoc | Pidä prioriteettitilien jäsenyys ajan tasalla organisaation muutoksilla saadaksesi seuraavat edut näille käyttäjille:
Käytä mukautettuja käyttäjätunnisteita , joita muut käyttäjät voivat hakea:
|
Suojaustoimintojen ryhmä |
Liite
Lue lisätietoja Microsoft Defender for Office 365 työkaluista ja prosesseista
Suojaustoimintojen ja vastaustiimin jäsenten on integroitava Defender for Office 365 työkalut ja ominaisuudet olemassa oleviin tutkinta- ja vastausprosesseihin. Uusien työkalujen ja toimintojen oppiminen voi kestää jonkin aikaa, mutta se on tärkeä osa upotusprosessia. Yksinkertaisin tapa SecOpsille ja sähköpostin turvallisuustiimin jäsenille oppia Defender for Office 365 on käyttää koulutussisältöä, joka on saatavilla osana Ninja-koulutussisältöä osoitteessa https://aka.ms/mdoninja.
Sisältö on jäsennetty eri tietotasoille (perusteet, välitaso ja lisäasetukset), joissa on useita moduuleja tasoa kohden.
YouTube Microsoft Defender for Office 365 kanavalla on myös lyhyitä videoita tiettyjä tehtäviä varten.
Defender for Office 365 toimintojen ja tehtävien käyttöoikeudet
Defender for Office 365 hallintaoikeudet Microsoft Defender portaalissa ja PowerShellissä perustuvat roolipohjaiseen käyttöoikeuksien valvontamalliin (RBAC). RBAC on sama käyttöoikeusmalli, jota useimmat Microsoft 365 -palvelut käyttävät. Lisätietoja on Microsoft Defender portaalin kohdassa Käyttöoikeudet.
Huomautus
Privileged Identity Management (PIM) Microsoft Entra ID on myös tapa määrittää vaaditut käyttöoikeudet SecOps-henkilöstölle. Lisätietoja on kohdassa Privileged Identity Management (PIM) ja miksi sitä kannattaa käyttää Microsoft Defender for Office 365 kanssa.
Seuraavat oikeudet (roolit ja rooliryhmät) ovat käytettävissä Defender for Office 365 ja niitä voidaan käyttää käyttöoikeusryhmän jäsenten käyttöoikeuksien myöntämiseen:
Microsoft Entra ID: Keskitettyjä rooleja, jotka määrittävät käyttöoikeuksia kaikille Microsoft 365 -palveluille, mukaan lukien Defender for Office 365. Voit tarkastella Microsoft Entra rooleja ja määritettyjä käyttäjiä Microsoft Defender portaalissa, mutta et voi hallita niitä suoraan siellä. Sen sijaan voit hallita Microsoft Entra rooleja ja jäseniä osoitteessa https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. Suojaustiimien yleisimmät roolit ovat:
Exchange Online ja sähköpostit & yhteistyötä: rooleja ja rooliryhmiä, jotka myöntävät Microsoft Defender for Office 365 käyttöoikeuden. Seuraavat roolit eivät ole käytettävissä Microsoft Entra ID, mutta ne voivat olla tärkeitä suojaustiimeille:
Esikatselurooli (sähköpostin & yhteiskäyttö): Määritä tämä rooli ryhmän jäsenille, joiden on esikatsteltava tai ladattava sähköpostiviestejä osana tutkintatoimia. Sallii käyttäjien esikatsella ja ladata sähköpostiviestejä pilvipalvelupostilaatikoista Käyttämällä Uhkienhallintaa (Explorer) tai reaaliaikaisia tunnistuksia ja Sähköposti-entiteettisivua.
Oletusarvoisesti esikatselurooli määritetään vain seuraaville rooliryhmille:
- Tietotutkija
- eDiscovery Manager
Voit lisätä käyttäjiä kyseisiin rooliryhmiin tai luoda uuden rooliryhmän , jolle on määritetty Esiversio-rooli , ja lisätä käyttäjiä mukautettuun rooliryhmään.
Haku- ja tyhjennysrooli (Sähköposti & yhteistyö): Hyväksy airin suosittelemien haitallisten viestien poistaminen tai suorita manuaalisia toimia metsästyskokemuksissa, kuten Threat Explorerissa.
Haku- ja tyhjennys-rooli määritetään oletusarvoisesti vain seuraaville rooliryhmille:
- Tietotutkija
- Organisaation hallinta
Voit lisätä käyttäjiä kyseisiin rooliryhmiin tai luoda uuden rooliryhmän , jolle on määritetty Hae ja tyhjennä-rooli , ja lisätä käyttäjät mukautettuun rooliryhmään.
Vuokraajan AllowBlockList Manager (Exchange Online): Hallitse vuokraajan sallittujen ja estettyjen merkintöjä vuokraajan sallittujen ja estettyjen luettelossa. URL-osoitteiden, tiedostojen (tiedoston hajautusarvon avulla) tai lähettäjien estäminen on hyödyllinen vastaustoiminto, kun tutkitaan toimitettua haitallista sähköpostiviestiä.
Oletusarvoisesti tämä rooli määritetään vain Exchange Online käyttöoikeusoperaattorin rooliryhmälle, ei Microsoft Entra ID. Microsoft Entra ID Suojausoperaattori-roolin jäsenyys ei salli vuokraajan sallittujen/estettyjen luettelon merkintöjen hallintaa.
Suojauksen järjestelmänvalvojan tai organisaation hallintaroolien jäsenet Microsoft Entra ID tai vastaavat rooliryhmät Exchange Online voivat hallita vuokraajan sallittujen ja estettyjen luettelon merkintöjä.
SIEM/SOAR-integrointi
Defender for Office 365 paljastaa suurimman osan tiedoistaan ohjelmallisten ohjelmointirajapintojen kautta. Näiden ohjelmointirajapintojen avulla voit automatisoida työnkulkuja ja hyödyntää Defender for Office 365 kaikkia ominaisuuksia. Tiedot ovat saatavilla Microsoft Defender XDR-ohjelmointirajapinnoista, ja niiden avulla voidaan integroida Defender for Office 365 olemassa oleviin SIEM/SOAR-ratkaisuihin.
Tapausten ohjelmointirajapinta: Defender for Office 365 hälytykset ja automatisoidut tutkimukset ovat Microsoft Defender XDR tapausten aktiivisia osia. Suojausryhmät voivat keskittyä kriittiseen asiaan ryhmittelemällä koko hyökkäysalueen ja kaikki siihen vaikuttavat resurssit yhteen.
Tapahtumien suoratoiston ohjelmointirajapinta: Mahdollistaa reaaliaikaisten tapahtumien ja hälytysten toimittamisen yhteen tietovirtaan niiden aikana. Defender for Office 365 tuetut tapahtumatyypit ovat seuraavat:
Tapahtumat sisältävät tietoja kaikkien sähköpostiviestien käsittelystä (myös organisaation sisäisistä viesteistä) viimeisten 30 päivän ajalta.
Advance Hunting -ohjelmointirajapinta: Mahdollistaa tuotteiden välisen uhkien metsästyksen.
Uhkien arvioinnin ohjelmointirajapinta: Voidaan käyttää roskapostin, tietojenkalastelun URL-osoitteiden tai haittaohjelmien liitteiden raportoimiseen suoraan Microsoftille.
Voit yhdistää Defender for Office 365 tapauksiin ja raakatietoihin Microsoft Sentinel käyttämällä Microsoft Defender XDR (M365D) -liitintä
Seuraavan Hei maailma esimerkin avulla voit testata ohjelmointirajapinnan käyttöä Microsoft Defender ohjelmointirajapinnoille: Hei maailma Microsoft Defender XDR REST-ohjelmointirajapinnalle.
Lisätietoja SIEM-työkalun integroinnista on kohdassa SIEM-työkalujen integrointi Microsoft Defender XDR kanssa.
Defender for Office 365 epätosi-positiivisten ja epätosi-negatiivisten osoitteiden käsitteleminen
Käyttäjän ilmoittamat viestit ja järjestelmänvalvojan lähettämät sähköpostiviestit ovat tärkeitä positiivisia vahvistussignaaleja koneoppimisen tunnistusjärjestelmillemme. Lähetykset auttavat meitä tarkastelemaan, tarkastelemaan, oppimaan nopeasti ja lieventämään hyökkäyksiä. Väärien positiivisten ja epätosi-negatiivisten tietojen aktiivinen raportointi on tärkeä toiminto, joka antaa palautetta Defender for Office 365, kun tunnistamisen aikana tehdään virheitä.
Organisaatioilla on useita vaihtoehtoja käyttäjän raportoimien viestien määrittämiseen. Määrityksestä riippuen suojaustiimit saattavat osallistua aktiivisemmin, kun käyttäjät lähettävät Microsoftille vääriä positiivisia tai vääriä negatiteetteja:
Käyttäjän ilmoittamat viestit lähetetään Microsoftille analyysia varten, kun käyttäjän ilmoittamat asetukset on määritetty jollakin seuraavista asetuksista:
- Lähetä ilmoitetut viestit:vain Microsoft.
- Lähetä raportoidut viestit osoitteeseen: Microsoft ja oma raportointipostilaatikkoni.
Suojaustiimien jäsenten tulee lähettää lisä-hoc-järjestelmänvalvojan lähetykset , kun toimintotiimi löytää vääriä positiivisia tai vääriä negatiivisia, joita käyttäjät eivät ole ilmoittaneet.
Kun käyttäjän ilmoittamat viestit on määritetty lähettämään viestejä vain organisaation postilaatikkoon, suojaustiimien tulee aktiivisesti lähettää käyttäjän ilmoittamia false-positiivisia ja epätosi-negatiivisia tietoja Microsoftille järjestelmänvalvojan lähettämien viestien kautta.
Kun käyttäjä ilmoittaa viestin tietojenkalasteluksi, Defender for Office 365 luo ilmoituksen, ja ilmoitus käynnistää AIR-toistokirjan. Tapauslogiikka korreloi nämä tiedot muihin hälytyksiin ja tapahtumiin mahdollisuuksien mukaan. Tämä tietojen konsolidointi auttaa suojaustiimejä lajittelemaan, tutkimaan käyttäjän ilmoittamia viestejä ja vastaamaan niihin.
Palvelun lähetysputki noudattaa tiiviisti integroitua prosessia, kun käyttäjän raporttiviestit ja järjestelmänvalvojat lähettävät viestejä. Tämä prosessi sisältää seuraavat:
- Kohinanvaimennus.
- Automatisoitu triage.
- Suojausanalyytikot ja ihmiskumppanien koneoppimiseen perustuvat ratkaisut.
Lisätietoja on artikkelissa Sähköpostin raportointi Defender for Office 365 - Microsoft Tech Community.
Suojaustiimin jäsenet voivat lähettää lähetyksiä useista sijainneista Microsoft Defender portaalissa osoitteessa https://security.microsoft.com:
Hallinta lähetystä: Lähetä Microsoftille epäillyt roskaposti-, tietojenkalastelu-, URL-osoitteet ja tiedostot Lähetysten-sivun avulla.
Suoraan Threat Explorerista käyttämällä jotakin seuraavista sanomatoiminnoista:
- Raportin puhdistaminen
- Raportin tietojenkalastelu
- Ilmoita haittaohjelmasta
- Ilmoita roskapostista
Voit suorittaa joukkolähetyksen valitsemalla enintään 10 viestiä. Hallinta näillä menetelmillä luodut lähetykset näkyvät vastaavilla välilehdillä Lähetykset-sivulla.
Epätosi-negatiivien lyhyen aikavälin lievennystä varten suojaustiimit voivat hallita suoraan tiedostojen, URL-osoitteiden sekä toimialueiden tai sähköpostiosoitteiden estomerkintöjä vuokraajan sallittujen ja estettyjen luettelossa.
Epätosi-positiivisten ominaisuuksien lyhyen aikavälin lievennystä varten suojaustiimit eivät voi suoraan hallita vuokraajan sallittujen ja estettyjen luettelon toimialueiden ja sähköpostiosoitteiden sallittuja merkintöjä. Sen sijaan heidän on käytettävä järjestelmänvalvojan lähetyksiä ilmoittaakseen sähköpostiviestin positiiviseksi epätodeksi. Katso ohjeet kohdasta Ilmoita hyvistä sähköposteista Microsoftille.
Defender for Office 365 karanteeni sisältää mahdollisesti vaarallisia tai ei-toivottuja viestejä ja tiedostoja. Suojausryhmät voivat tarkastella, vapauttaa ja poistaa kaikenlaisia karanteeniin asetettuja viestejä kaikille käyttäjille. Tämän ominaisuuden avulla suojaustiimit voivat vastata tehokkaasti, kun väärä positiivinen viesti tai tiedosto on asetettu karanteeniin.
Kolmannen osapuolen raportointityökalujen integrointi Defender for Office 365 käyttäjän raportoimien viestien kanssa
Jos organisaatiosi käyttää kolmannen osapuolen raportointityökalua, jonka avulla käyttäjät voivat sisäisesti ilmoittaa epäilyttävästä sähköpostista, voit integroida työkalun käyttäjän raportoimien viestien ominaisuuksiin Defender for Office 365. Tämä integrointi tarjoaa seuraavat edut suojaustiimeille:
- Integrointi Defender for Office 365 AIR-ominaisuuksiin.
- Yksinkertaistettu triage.
- Tutkimus- ja vastausaika on lyhentynyt.
Määritä raportointipostilaatikko, johon käyttäjän ilmoittamat viestit lähetetään käyttäjän raportoimien asetusten sivulla Microsoft Defender portaalissa osoitteessa https://security.microsoft.com/securitysettings/userSubmission. Lisätietoja on kohdassa Käyttäjän raportoidut asetukset.
Huomautus
- Raportoivan postilaatikon on oltava Exchange Online postilaatikko.
- Kolmannen osapuolen raportointityökalun on sisällettävä alkuperäinen ilmoitettu viesti pakkaamattomana . EML tai . MSG-liite viestissä, joka lähetetään raportointipostilaatikkoon (älä lähetä alkuperäistä viestiä edelleen raportointipostilaatikkoon). Lisätietoja on kohdassa Viestin lähetysmuoto kolmannen osapuolen raportointityökaluille.
- Raportoinnin postilaatikko edellyttää erityisiä edellytyksiä, jotta mahdollisesti virheellisiä viestejä voidaan toimittaa suodattamatta tai muuttamatta. Lisätietoja on kohdassa Raportointi-postilaatikon määritysvaatimukset.
Kun käyttäjä ilmoittaa viestin saapuvan raportointipostilaatikkoon, Defender for Office 365 luo automaattisesti ilmoituksen nimeltä Sähköposti, jonka käyttäjä on ilmoittanut haittaohjelmaksi tai tietojenkalasteluksi. Tämä ilmoitus käynnistää AIR-pelikirjan. Pelikirja suorittaa sarjan automatisoituja tutkintavaiheita:
- Kerää tietoja määritetystä sähköpostiviestistä.
- Kerää tietoja kyseiseen sähköpostiin liittyvistä uhkista ja entiteeteistä (esimerkiksi tiedostot, URL-osoitteet ja vastaanottajat).
- Tarjoa SecOps-tiimille suositeltuja toimia tutkimustulosten perusteella.
Sähköposti, jonka käyttäjä on ilmoittanut haittaohjelmisto- tai tietojenkalasteluhälytyksiksi, automatisoidut tutkimukset ja niiden suositellut toimet korreloi automaattisesti Microsoft Defender XDR tapauksiin. Tämä korrelaatio yksinkertaistaa entisestään suojaustiimien triage- ja vastausprosessia. Jos useat käyttäjät ilmoittavat samasta tai vastaavasta viestistä, kaikki käyttäjät ja viestit korreloivat samaan tapaukseen.
Defender for Office 365 ilmoitusten ja tutkimusten tietoja verrataan automaattisesti muiden Microsoft Defender XDR tuotteiden hälytyksiin ja tutkimuksiin:
- Microsoft Defender for Endpoint
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
Jos suhde havaitaan, järjestelmä luo tapahtuman, joka antaa näkyvyyden koko hyökkäykselle.