Przykłady zautomatyzowanego badania i reagowania (AIR) w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2

• Dotyczy:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Zautomatyzowane badanie i reagowanie (AIR) w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2 (zawartym w licencjach platformy Microsoft 365, takich jak E5 lub jako subskrypcja autonomiczna) umożliwia zespołowi SecOps wydajniejsze i wydajniejsze działanie. Air obejmuje zautomatyzowane badania znanych zagrożeń i zapewnia zalecane działania korygowania. Zespół SecOps może przejrzeć dowody i zatwierdzić lub odrzucić zalecane akcje. Aby uzyskać więcej informacji na temat air, zobacz Zautomatyzowane badanie i reagowanie (AIR) w Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2.

W tym artykule opisano sposób działania funkcji AIR w kilku przykładach:

• Przykład: komunikat wyłudzający informacje zgłaszane przez użytkownika uruchamia podręcznik badania
• Przykład: administrator zabezpieczeń wyzwala badanie z Eksploratora zagrożeń
• Przykład: Zespół ds. operacji zabezpieczeń integruje środowisko AIR ze swoim rozwiązaniem SIEM przy użyciu interfejsu API działania zarządzania Office 365

Przykład: komunikat wyłudzający informacje zgłaszane przez użytkownika uruchamia podręcznik badania

Użytkownik otrzymuje wiadomość e-mail, która wygląda jak próba wyłudzania informacji. Użytkownik zgłasza komunikat przy użyciu dodatków Microsoft Report Message lub Report Phishing, co skutkuje alertem wyzwalanym przez Email zgłoszonym przez użytkownika jako złośliwe oprogramowanie lub zasadyalertów phish, które automatycznie uruchamiają podręcznik badania.

Oceniane są różne aspekty zgłoszonej wiadomości e-mail. Przykład:

• Zidentyfikowany typ zagrożenia
• Kto wysłał wiadomość
• Skąd wysłano komunikat (wysyłanie infrastruktury)
• Czy inne wystąpienia komunikatu zostały dostarczone, czy zablokowane
• Poziom dzierżawy, w tym podobne wiadomości i ich werdykty za pośrednictwem klastrowania poczty e-mail
• Czy komunikat jest skojarzony ze znanymi kampaniami
• I wiele więcej.

Podręcznik ocenia i automatycznie rozwiązuje zgłoszenia, w których nie jest wymagana żadna akcja (co często zdarza się w przypadku komunikatów zgłaszanych przez użytkowników). W przypadku pozostałych przesłanych elementów zostanie udostępniona lista zalecanych akcji do wykonania dla oryginalnej wiadomości i skojarzonych jednostek (na przykład dołączonych plików, dołączonych adresów URL i adresatów):

• Identyfikowanie podobnych wiadomości e-mail za pośrednictwem wyszukiwania klastra poczty e-mail.
• Określ, czy użytkownicy klikali złośliwe linki w podejrzanych wiadomościach e-mail.
• Przypisane są czynniki ryzyka i zagrożenia. Aby uzyskać więcej informacji, zobacz Szczegóły i wyniki zautomatyzowanego badania.
• Kroki korygowania. Aby uzyskać więcej informacji, zobacz Akcje korygowania w Ochrona usługi Office 365 w usłudze Microsoft Defender.

Przykład: administrator zabezpieczeń wyzwala badanie z Eksploratora zagrożeń

Jesteś w Eksploratorze (Eksploratorze zagrożeń) w widokach https://security.microsoft.com/threatexplorerv3Wszystkie wiadomości e-mail, Złośliwe oprogramowanie lub Phish . Znajdujesz się na karcie Email (widok) obszaru szczegółów poniżej wykresu. Możesz wybrać komunikat do zbadania przy użyciu jednej z następujących metod:

• Zaznacz co najmniej jeden wpis w tabeli, zaznaczając pole wyboru obok pierwszej kolumny. Akcja Take jest dostępna bezpośrednio na karcie.

  

• Kliknij wartość Temat wpisu w tabeli. Otwarte okno wysuwane szczegółów zawiera akcję Podejmij w górnej części wysuwanego elementu.

  

Po wybraniu pozycji Wykonaj akcję wybierz pozycję Inicjuj automatyczne badanie. Aby uzyskać więcej informacji, zobacz korygowanie Email.

Podobnie jak w przypadku podręczników wyzwalanych przez alert, automatyczne badania wyzwalane z Eksploratora zagrożeń obejmują:

• Badanie główne.
• Kroki identyfikowania i korelowania zagrożeń. Aby uzyskać więcej informacji, zobacz Szczegóły i wyniki zautomatyzowanego badania.
• Zalecane akcje eliminowania zagrożeń. Aby uzyskać więcej informacji, zobacz Akcje korygowania w Ochrona usługi Office 365 w usłudze Microsoft Defender.

Przykład: Zespół ds. operacji zabezpieczeń integruje środowisko AIR ze swoim rozwiązaniem SIEM przy użyciu interfejsu API działania zarządzania Office 365

Funkcje AIR w planie Ochrona usługi Office 365 w usłudze Defender 2 obejmują raporty i szczegóły, których zespół SecOps może używać do monitorowania zagrożeń i reagowania na nie. Można jednak również zintegrować funkcje AIR z innymi rozwiązaniami. Przykład:

• Systemy zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM).
• Systemy zarządzania sprawami.
• Niestandardowe rozwiązania do raportowania.

Do integracji z tymi rozwiązaniami użyj interfejsu API działania zarządzania Office 365.

Aby zapoznać się z przykładem niestandardowego rozwiązania, które integruje alerty z komunikatów wyłudzania informacji zgłaszanych przez użytkowników, które zostały już przetworzone przez usługę AIR do serwera SIEM i systemu zarządzania przypadkami, zobacz blog Społeczność techniczna: Zwiększanie skuteczności soc za pomocą Ochrona usługi Office 365 w usłudze Microsoft Defender i interfejsu API zarządzania Office 365.

Zintegrowane rozwiązanie znacznie zmniejsza liczbę wyników fałszywie dodatnich, co pozwala zespołowi SecOps skupić swój czas i nakład pracy na rzeczywistych zagrożeniach.

Następne kroki

• Rozpoczynanie pracy z aplikacją AIR
• Wyświetlanie oczekujących lub zakończonych akcji korygowania