Geautomatiseerd onderzoek en respons (AIR) in Microsoft Defender voor Office 365 Plan 2

• Van toepassing op:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

Als beveiligingswaarschuwingen worden weergegeven in een Microsoft 365-organisatie op https://security.microsoft.com/alerts, is het aan het SecOps-team (security operations) om deze waarschuwingen te controleren, prioriteit te geven en erop te reageren. Het bijhouden van het volume van binnenkomende waarschuwingen kan overweldigend zijn. Het automatiseren van sommige van deze taken kan helpen.

Microsoft Defender voor Office 365 Abonnement 2 (inbegrepen in Microsoft 365-licenties zoals E5 of als een zelfstandig abonnement) bevat krachtige AIR-mogelijkheden (geautomatiseerd onderzoek en antwoord) die tijd en moeite besparen voor SecOps-teams.

AIR sorteert waarschuwingen met een hoge impact en een hoog volume door onderzoek op organisatieniveau uit te voeren. AIR-onderzoeken breiden detecties uit of bieden aanvullende analyses om de bedreigingsstatus voor de organisatie te bepalen. Wanneer AIR bedreigingen identificeert, worden herstelacties voor bedreigingen in de wachtrij geplaatst voor SecOps-personeel om deze goed te keuren. AIR levert de volgende voordelen op:

• Geautomatiseerde onderzoeksprocessen als reactie op bekende bedreigingen.
• Passende herstelacties die wachten op goedkeuring, zodat uw SecOps-team effectief kan reageren op gedetecteerde bedreigingen.
• Uw SecOps-team kan zich richten op taken met een hogere prioriteit zonder belangrijke waarschuwingen uit het oog te verliezen die worden geactiveerd.

AIR in Defender voor Office 365 Abonnement 2 vereist dat auditlogboekregistratie is ingeschakeld (dit is standaard ingeschakeld).

De totale luchtstroom

Er wordt een waarschuwing geactiveerd en een beveiligingsplaybook start een geautomatiseerd onderzoek, wat resulteert in bevindingen en aanbevolen acties. Dit is de algemene luchtstroom, stap voor stap:

1. Een geautomatiseerd onderzoek wordt gestart op een van de volgende manieren:

   • Specifieke waarschuwingen die zijn ontworpen om AIR te initiëren. Deze waarschuwingen omvatten:

     • Er wordt iets verdachts geïdentificeerd in e-mail (bijvoorbeeld het bericht zelf, een bijlage, een URL of een gecompromitteerd gebruikersaccount).

     • Zero-hour auto purge (ZAP).

     • Gebruikersinzendingen.

     • Waarschuwingen voor klikken van de gebruiker.

     • Verdacht postvakgedrag.

       Tip

       Zorg ervoor dat u regelmatig de waarschuwingen van uw organisatie controleert. Zie het standaardwaarschuwingsbeleid in de categorie Bedreigingsbeheer voor meer informatie over waarschuwingsbeleid dat geautomatiseerde onderzoeken activeert. De vermeldingen die de waarde Ja voor Geautomatiseerd onderzoek bevatten, kunnen geautomatiseerde onderzoeken activeren. Als deze waarschuwingen zijn uitgeschakeld of vervangen door aangepaste waarschuwingen, wordt AIR niet geactiveerd.

   • Een beveiligingsanalist activeert het onderzoek handmatig door Actie ondernemen te selecteren in Bedreigingsverkenner, Geavanceerde opsporing, aangepaste detectie, de entiteitspagina Email of het Email samenvattingsvenster. Zie Opsporing van bedreigingen: Email herstel voor meer informatie. Zie Voorbeelden van geautomatiseerd onderzoek en respons (AIR) in Microsoft Defender voor Office 365 Plan 2 voor voorbeelden.

2. Het geautomatiseerde onderzoek evalueert en analyseert de aard van de waarschuwing, het betrokken bericht en aanvullend bewijsmateriaal rond het bericht. Het bereik van het onderzoek kan toenemen op basis van het bewijsmateriaal dat tijdens het onderzoek wordt ontdekt en verzameld.

3. Tijdens en na een geautomatiseerd onderzoek zijn details en resultaten beschikbaar. De resultaten omvatten mogelijk aanbevolen acties voor SecOps-personeel om de gevonden bedreigingen te herstellen.

4. Het SecOps-team beoordeelt de onderzoeksresultaten en aanbevelingen (in het onderzoek zelf, het incident of in het actiecentrum) en keurt de herstelacties goed of af.

   Tip

   Er worden geen herstelacties automatisch uitgevoerd. Herstelacties vereisen handmatige goedkeuring door SecOps-personeel. Air-mogelijkheden besparen tijd door naar de aanbevolen herstelacties te gaan met alle details om een weloverwogen beslissing te nemen.

   AIR bespaart ook tijd door waarschuwingen en incidenten waarbij geen bedreigingen zijn gevonden, te evalueren en automatisch op te lossen. Dit resultaat is heel gebruikelijk in scenario's voor het indienen van gebruikers. AIR sluit het onderzoek als er geen bedreigingen zijn gevonden of als er bedreigingen zijn gevonden in berichten die al zijn hersteld. Typisch

5. Wanneer in behandeling zijnde herstelacties worden goedgekeurd of afgewezen, wordt het geautomatiseerde onderzoek voltooid.

   Het geautomatiseerde onderzoek wordt automatisch gesloten als er geen aanbevolen acties worden geïdentificeerd. De details van het onderzoek zijn nog steeds beschikbaar op de pagina Onderzoeken op https://security.microsoft.com/airinvestigation.

Tijdens en na elk geautomatiseerd onderzoek kan het SecOps-team de volgende taken uitvoeren:

• Details weergeven over een waarschuwing met betrekking tot een onderzoek
• De resultaten van een onderzoek weergeven
• Acties beoordelen en goedkeuren als gevolg van een onderzoek

Vereiste machtigingen en licenties voor AIR

Er moeten machtigingen aan u zijn toegewezen om AIR te kunnen gebruiken. U beschikt tevens over de volgende opties:

• Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (Als Email & samenwerking>Defender voor Office 365 machtigingen actief zijn. Is alleen van invloed op de Defender-portal, niet op PowerShell):
  • Een geautomatiseerd onderzoek starten of aanbevolen acties goedkeuren of afwijzen: beveiligingsbewerkingen/Email geavanceerde herstelacties (beheren).
• Email & samenwerkingsmachtigingen in de Microsoft Defender-portal:
  • AIR-functies instellen: lidmaatschap van de rolgroepen Organisatiebeheer of Beveiligingsbeheerder .
  • Een geautomatiseerd onderzoek starten of aanbevolen acties goedkeuren of afwijzen:
    • Lidmaatschap van de rollengroepen Organisatiebeheer, Beveiligingsbeheerder, Beveiligingsoperator, Beveiligingslezer of Globale lezer . en
    • De rol Zoeken en opschonen , die standaard alleen wordt toegewezen aan de rolgroepen Gegevensonderzoeker of Organisatiebeheer . U kunt ook een nieuwe rollengroep maken waaraan de rol Zoeken en opschonen is toegewezen en de gebruikers toevoegen aan de aangepaste rollengroep.
• Microsoft Entra machtigingen: geef gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365:
  • AIR-functies instellen Lidmaatschap van de rollen Globale beheerder of Beveiligingsbeheerder .
  • Een geautomatiseerd onderzoek starten of aanbevolen acties goedkeuren of afwijzen:
    • Lidmaatschap van de rollen Globale beheerder, Beveiligingsbeheerder, Beveiligingsoperator, Beveiligingslezer of Globale lezer . en
    • Lidmaatschap van een Email & samenwerkingsrolgroep met de rol Zoeken en opschonen toegewezen zoals eerder beschreven.

Als u AIR wilt gebruiken, moet u een licentie krijgen voor Defender voor Office 365 Abonnement 2 (inbegrepen in uw abonnement of een licentie voor een invoegtoepassing).

Volgende stappen

• AIR-voorbeelden
• Details en resultaten van een geautomatiseerd onderzoek bekijken
• Acties in behandeling controleren en goedkeuren
• Herstelacties in behandeling of voltooid weergeven