Udostępnij za pośrednictwem


Przykłady zautomatyzowanego badania i reagowania (AIR) w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Zautomatyzowane badanie i reagowanie (AIR) w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2 (zawartym w licencjach platformy Microsoft 365, takich jak E5 lub jako subskrypcja autonomiczna) umożliwia zespołowi SecOps wydajniejsze i wydajniejsze działanie. Air obejmuje zautomatyzowane badania znanych zagrożeń i zapewnia zalecane działania korygowania. Zespół SecOps może przejrzeć dowody i zatwierdzić lub odrzucić zalecane akcje. Aby uzyskać więcej informacji na temat air, zobacz Zautomatyzowane badanie i reagowanie (AIR) w Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2.

W tym artykule opisano sposób działania funkcji AIR w kilku przykładach:

Przykład: komunikat wyłudzający informacje zgłaszane przez użytkownika uruchamia podręcznik badania

Użytkownik otrzymuje wiadomość e-mail, która wygląda jak próba wyłudzania informacji. Użytkownik zgłasza komunikat przy użyciu wbudowanego przycisku Raport w programie Outlook, co skutkuje alertem wyzwalanym przez Email zgłoszonym przez użytkownika jako złośliwe oprogramowanie lub zasadyalertów phish, które automatycznie uruchamiają podręcznik badania.

Oceniane są różne aspekty zgłoszonej wiadomości e-mail. Przykład:

  • Zidentyfikowany typ zagrożenia
  • Kto wysłał wiadomość
  • Skąd wysłano komunikat (wysyłanie infrastruktury)
  • Czy inne wystąpienia komunikatu zostały dostarczone, czy zablokowane
  • Poziom dzierżawy, w tym podobne wiadomości i ich werdykty za pośrednictwem klastrowania poczty e-mail
  • Czy komunikat jest skojarzony ze znanymi kampaniami
  • I wiele więcej.

Podręcznik ocenia i automatycznie rozwiązuje zgłoszenia, w których nie jest wymagana żadna akcja (co często zdarza się w przypadku komunikatów zgłaszanych przez użytkowników). W przypadku pozostałych przesłanych elementów zostanie udostępniona lista zalecanych akcji do wykonania dla oryginalnej wiadomości i skojarzonych jednostek (na przykład dołączonych plików, dołączonych adresów URL i adresatów):

Przykład: administrator zabezpieczeń wyzwala badanie z Eksploratora zagrożeń

Jesteś w Eksploratorze (Eksploratorze zagrożeń) w widokach https://security.microsoft.com/threatexplorerv3Wszystkie wiadomości e-mail, Złośliwe oprogramowanie lub Phish . Znajdujesz się na karcie Email (widok) obszaru szczegółów poniżej wykresu. Możesz wybrać komunikat do zbadania przy użyciu jednej z następujących metod:

  • Zaznacz co najmniej jeden wpis w tabeli, zaznaczając pole wyboru obok pierwszej kolumny. Akcja Take jest dostępna bezpośrednio na karcie.

    Zrzut ekranu przedstawiający widok Email (kartę) tabeli szczegółów z wybranym komunikatem i aktywnym działaniem.

  • Kliknij wartość Temat wpisu w tabeli. Otwarte okno wysuwane szczegółów zawiera akcję Podejmij w górnej części wysuwanego elementu.

    Akcje dostępne na karcie szczegółów po wybraniu wartości tematu na karcie Email obszaru szczegółów w widoku Wszystkie wiadomości e-mail.

Po wybraniu pozycji Wykonaj akcję wybierz pozycję Inicjuj automatyczne badanie. Aby uzyskać więcej informacji, zobacz korygowanie Email.

Podobnie jak w przypadku podręczników wyzwalanych przez alert, automatyczne badania wyzwalane z Eksploratora zagrożeń obejmują:

Przykład: Zespół ds. operacji zabezpieczeń integruje środowisko AIR ze swoim rozwiązaniem SIEM przy użyciu interfejsu API działania zarządzania Office 365

Funkcje AIR w planie Ochrona usługi Office 365 w usłudze Defender 2 obejmują raporty i szczegóły, których zespół SecOps może używać do monitorowania zagrożeń i reagowania na nie. Można jednak również zintegrować funkcje AIR z innymi rozwiązaniami. Przykład:

  • Systemy zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM).
  • Systemy zarządzania sprawami.
  • Niestandardowe rozwiązania do raportowania.

Do integracji z tymi rozwiązaniami użyj interfejsu API działania zarządzania Office 365.

Przykład rozwiązania niestandardowego, które integruje alerty z komunikatów wyłudzania informacji zgłaszanych przez użytkowników, które zostały już przetworzone przez usługę AIR do serwera SIEM i systemu zarządzania przypadkami, można znaleźć w blogu microsoft security — zwiększanie skuteczności soc za pomocą Ochrona usługi Office 365 w usłudze Microsoft Defender i interfejsu API zarządzania Office 365.

Zintegrowane rozwiązanie znacznie zmniejsza liczbę wyników fałszywie dodatnich, co pozwala zespołowi SecOps skupić swój czas i nakład pracy na rzeczywistych zagrożeniach.

Następne kroki