Przykłady zautomatyzowanego badania i reagowania (AIR) w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2

• Dotyczy:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Zautomatyzowane badanie i reagowanie (AIR) w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2 (zawartym w licencjach platformy Microsoft 365, takich jak E5 lub jako subskrypcja autonomiczna) umożliwia zespołowi SecOps wydajniejsze i wydajniejsze działanie. Air obejmuje zautomatyzowane badania znanych zagrożeń i zapewnia zalecane działania korygowania. Zespół SecOps może przejrzeć dowody i zatwierdzić lub odrzucić zalecane akcje. Aby uzyskać więcej informacji na temat air, zobacz Zautomatyzowane badanie i reagowanie (AIR) w Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2.

W tym artykule opisano sposób działania funkcji AIR w kilku przykładach:

• Przykład: komunikat wyłudzający informacje zgłaszane przez użytkownika uruchamia podręcznik badania
• Przykład: administrator zabezpieczeń wyzwala badanie z Eksploratora zagrożeń
• Przykład: Zespół ds. operacji zabezpieczeń integruje środowisko AIR ze swoim rozwiązaniem SIEM przy użyciu interfejsu API działania zarządzania Office 365

Przykład: komunikat wyłudzający informacje zgłaszane przez użytkownika uruchamia podręcznik badania

Użytkownik otrzymuje wiadomość e-mail, która wygląda jak próba wyłudzania informacji. Użytkownik zgłasza komunikat przy użyciu wbudowanego przycisku Raport w programie Outlook, co skutkuje alertem wyzwalanym przez Email zgłoszonym przez użytkownika jako złośliwe oprogramowanie lub zasadyalertów phish, które automatycznie uruchamiają podręcznik badania.

Oceniane są różne aspekty zgłoszonej wiadomości e-mail. Przykład:

• Zidentyfikowany typ zagrożenia
• Kto wysłał wiadomość
• Skąd wysłano komunikat (wysyłanie infrastruktury)
• Czy inne wystąpienia komunikatu zostały dostarczone, czy zablokowane
• Poziom dzierżawy, w tym podobne wiadomości i ich werdykty za pośrednictwem klastrowania poczty e-mail
• Czy komunikat jest skojarzony ze znanymi kampaniami
• I wiele więcej.

Podręcznik ocenia i automatycznie rozwiązuje zgłoszenia, w których nie jest wymagana żadna akcja (co często zdarza się w przypadku komunikatów zgłaszanych przez użytkowników). W przypadku pozostałych przesłanych elementów zostanie udostępniona lista zalecanych akcji do wykonania dla oryginalnej wiadomości i skojarzonych jednostek (na przykład dołączonych plików, dołączonych adresów URL i adresatów):

• Identyfikowanie podobnych wiadomości e-mail za pośrednictwem wyszukiwania klastra poczty e-mail.
• Określ, czy użytkownicy klikali złośliwe linki w podejrzanych wiadomościach e-mail.
• Przypisane są czynniki ryzyka i zagrożenia. Aby uzyskać więcej informacji, zobacz Szczegóły i wyniki zautomatyzowanego badania.
• Kroki korygowania. Aby uzyskać więcej informacji, zobacz Akcje korygowania w Ochrona usługi Office 365 w usłudze Microsoft Defender.

Przykład: administrator zabezpieczeń wyzwala badanie z Eksploratora zagrożeń

Jesteś w Eksploratorze (Eksploratorze zagrożeń) w widokach https://security.microsoft.com/threatexplorerv3Wszystkie wiadomości e-mail, Złośliwe oprogramowanie lub Phish . Znajdujesz się na karcie Email (widok) obszaru szczegółów poniżej wykresu. Możesz wybrać komunikat do zbadania przy użyciu jednej z następujących metod:

• Zaznacz co najmniej jeden wpis w tabeli, zaznaczając pole wyboru obok pierwszej kolumny. Akcja Take jest dostępna bezpośrednio na karcie.

  

• Kliknij wartość Temat wpisu w tabeli. Otwarte okno wysuwane szczegółów zawiera akcję Podejmij w górnej części wysuwanego elementu.

  

Po wybraniu pozycji Wykonaj akcję wybierz pozycję Inicjuj automatyczne badanie. Aby uzyskać więcej informacji, zobacz korygowanie Email.

Podobnie jak w przypadku podręczników wyzwalanych przez alert, automatyczne badania wyzwalane z Eksploratora zagrożeń obejmują:

• Badanie główne.
• Kroki identyfikowania i korelowania zagrożeń. Aby uzyskać więcej informacji, zobacz Szczegóły i wyniki zautomatyzowanego badania.
• Zalecane akcje eliminowania zagrożeń. Aby uzyskać więcej informacji, zobacz Akcje korygowania w Ochrona usługi Office 365 w usłudze Microsoft Defender.

Przykład: Zespół ds. operacji zabezpieczeń integruje środowisko AIR ze swoim rozwiązaniem SIEM przy użyciu interfejsu API działania zarządzania Office 365

Funkcje AIR w planie Ochrona usługi Office 365 w usłudze Defender 2 obejmują raporty i szczegóły, których zespół SecOps może używać do monitorowania zagrożeń i reagowania na nie. Można jednak również zintegrować funkcje AIR z innymi rozwiązaniami. Przykład:

• Systemy zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM).
• Systemy zarządzania sprawami.
• Niestandardowe rozwiązania do raportowania.

Do integracji z tymi rozwiązaniami użyj interfejsu API działania zarządzania Office 365.

Przykład rozwiązania niestandardowego, które integruje alerty z komunikatów wyłudzania informacji zgłaszanych przez użytkowników, które zostały już przetworzone przez usługę AIR do serwera SIEM i systemu zarządzania przypadkami, można znaleźć w blogu microsoft security — zwiększanie skuteczności soc za pomocą Ochrona usługi Office 365 w usłudze Microsoft Defender i interfejsu API zarządzania Office 365.

Zintegrowane rozwiązanie znacznie zmniejsza liczbę wyników fałszywie dodatnich, co pozwala zespołowi SecOps skupić swój czas i nakład pracy na rzeczywistych zagrożeniach.

Następne kroki

• Rozpoczynanie pracy z aplikacją AIR
• Wyświetlanie oczekujących lub zakończonych akcji korygowania