Automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365 Plan 2

• Gjelder for:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

Når sikkerhetsvarsler vises i en Microsoft 365-organisasjon på https://security.microsoft.com/alerts, er det opp til sikkerhetsoperasjonsteamet (SecOps) å se gjennom, prioritere og svare på disse varslene. Det kan være overveldende å holde tritt med volumet på innkommende varsler. Automatisere noen av disse oppgavene kan hjelpe.

Microsoft Defender for Office 365 Plan 2 (inkludert i Microsoft 365-lisenser som E5 eller som et frittstående abonnement) inkluderer kraftige automatiserte undersøkelses- og responsfunksjoner (AIR) som sparer tid og krefter for SecOps-team.

AIR triages high impact, high volume alerts by completing organization level investigations. AIR-undersøkelser utvides på oppdagelser eller gir ytterligere analyser for å fastslå trusselstatusen for organisasjonen. Når AIR identifiserer trusler, legges trusselutbedringshandlinger for SecOps-personell i kø for å godkjenne. AIR resulterer i følgende fordeler:

• Automatiserte undersøkelsesprosesser som svar på kjente trusler.
• Aktuelle utbedringshandlinger venter på godkjenning, slik at SecOps-teamet kan reagere effektivt på oppdagede trusler.
• SecOps-teamet kan fokusere på oppgaver med høyere prioritet uten å miste synet av viktige varsler som utløses.

AIR i Defender for Office 365 Plan 2 krever at overvåkingslogging er slått på (den er aktivert som standard).

Den totale flyt av LUFT

Et varsel utløses, og en strategiplan for sikkerhet starter en automatisert undersøkelse, noe som resulterer i funn og anbefalte handlinger. Her er den generelle flyt av AIR, trinn for trinn:

1. En automatisert undersøkelse startes på en av følgende måter:

   • Bestemte varsler som er utformet for å starte AIR. Disse varslene omfatter:

     • Noe mistenkelig identifiseres i e-post (for eksempel selve meldingen, et vedlegg, en nettadresse eller en kompromittert brukerkonto).

     • Nulltimers automatisk tømming (ZAP).

     • Brukerinnsendinger.

     • Brukerklikkvarsler.

     • Mistenkelig postboksvirkemåte.

       Tips

       Pass på at du regelmessig ser gjennom varslene i organisasjonen. Hvis du vil ha mer informasjon om varslingspolicyer som utløser automatiserte undersøkelser, kan du se standard varslingspolicyer i kategorien Trusselbehandling. Oppføringene som inneholder verdien Ja for automatisert undersøkelse , kan utløse automatiserte undersøkelser. Hvis disse varslene deaktiveres eller erstattes av egendefinerte varsler, utløses ikke AIR.

   • En sikkerhetsanalytiker utløser undersøkelsen manuelt ved å velge Utfør handling i Trusselutforsker, Avansert jakt, egendefinert gjenkjenning, siden for e-postenhet eller sammendragspanelet for e-post. Hvis du vil ha mer informasjon, kan du se Trusseljakt: Utbedring av e-post. Hvis du vil ha eksempler, kan du se eksempler på automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365 Plan 2.

2. Den automatiserte undersøkelsen evaluerer og analyserer innholdet i varselet, meldingen som er involvert, og ytterligere bevis rundt meldingen. Omfanget av etterforskningen kan øke basert på bevisene som er avdekket og samlet inn under etterforskningen.

3. Detaljer og resultater er tilgjengelige under og etter en automatisert undersøkelse. Resultatene kan inkludere anbefalte handlinger for SecOps-personell for å utbedre truslene som ble funnet.

4. SecOps-teamet gjennomgår undersøkelsesresultatene og anbefalingene (i selve undersøkelsen, hendelsen eller i handlingssenteret), og godkjenner eller avviser utbedringshandlingene.

   Tips

   Ingen utbedringshandlinger skjer automatisk. Utbedringshandlinger krever manuell godkjenning av SecOps-personell. AIR-funksjoner sparer tid ved å komme til de anbefalte utbedringshandlingene med alle detaljene for å ta en informert beslutning.

   AIR sparer også tid ved å evaluere og automatisk løse varsler og hendelser der ingen trusler ble funnet. Dette resultatet er svært vanlig i scenarioer for brukerinnsending. AIR lukker etterforskningen hvis ingen trusler ble funnet eller trusler ble funnet i meldinger som allerede er utbedret. Vanligvis

5. Ettersom ventende utbedringshandlinger godkjennes eller avvises, fullføres den automatiserte undersøkelsen.

   Den automatiserte undersøkelsen lukkes automatisk hvis ingen anbefalte handlinger identifiseres. Detaljene i undersøkelsen er fortsatt tilgjengelige på Undersøkelse-siden på https://security.microsoft.com/airinvestigation.

Under og etter hver automatiserte undersøkelse kan SecOps-teamet gjøre følgende oppgaver:

• Vise detaljer om et varsel relatert til en undersøkelse
• Vis resultatdetaljene for en undersøkelse
• Se gjennom og godkjenn handlinger som følge av en undersøkelse

Nødvendige tillatelser og lisensiering for AIR

Du må være tilordnet tillatelser for å bruke AIR. Du har følgende alternativer:

• Microsoft Defender XDR enhetlig rollebasert tilgangskontroll (RBAC) (hvis e-post & samarbeid>Defender for Office 365 tillatelser er aktive. Påvirker bare Defender-portalen, ikke PowerShell):
  • Start en automatisert undersøkelse , eller godkjenn eller avvis anbefalte handlinger: Sikkerhetsoperasjoner /E-post avanserte utbedringshandlinger (administrer).
• E-post & samarbeidstillatelser i Microsoft Defender portalen:
  • Konfigurer AIR-funksjoner: Medlemskap i rollegruppene Organisasjonsadministrasjon eller Sikkerhetsadministrator .
  • Start en automatisert undersøkelse , eller godkjenn eller avvis anbefalte handlinger:
    • Medlemskap i rollegruppene Organisasjonsadministrasjon, Sikkerhetsadministrator, Sikkerhetsoperatør, Sikkerhetsleser eller Global Leser . og
    • Rollen Søk og tøm, som bare er tilordnet rollegruppene Data investigator eller Organization Management som standard. Du kan også opprette en ny rollegruppe med tilordnet søke- og tømmingsrolle , og legge til brukerne i den egendefinerte rollegruppen.
• Microsoft Entra tillatelser: Gi brukere de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365:
  • Konfigurere AIR-funksjoner Medlemskap i rollene som global administrator eller sikkerhetsadministrator .
  • Start en automatisert undersøkelse , eller godkjenn eller avvis anbefalte handlinger:
    • Medlemskap i rollene global administrator, sikkerhetsadministrator, sikkerhetsoperatør, sikkerhetsleser eller global leser . og
    • Medlemskap i en rollegruppe for e-& samarbeid med rollen Søk og tøm , tilordnet som tidligere beskrevet.

Hvis du vil bruke AIR, må du tilordnes en lisens for Defender for Office 365 Plan 2 (inkludert i abonnementet eller en tilleggslisens).

Neste trinn

• AIR-eksempler
• Se detaljer og resultater fra en automatisert undersøkelse
• Se gjennom og godkjenn ventende handlinger
• Vis ventende eller fullførte utbedringshandlinger