Przewodnik po operacjach zabezpieczeń Ochrona usługi Office 365 w usłudze Microsoft Defender
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
Ten artykuł zawiera omówienie wymagań i zadań dotyczących pomyślnego działania Ochrona usługi Office 365 w usłudze Microsoft Defender w organizacji. Te zadania pomagają zagwarantować, że centrum operacji zabezpieczeń (SOC) zapewnia wysokiej jakości, niezawodne podejście do ochrony, wykrywania i reagowania na zagrożenia bezpieczeństwa związane z pocztą e-mail i współpracą.
W pozostałej części tego przewodnika opisano wymagane działania personelu Usługi SecOps. Działania są pogrupowane w nakazowe zadania codziennie, co tydzień, co miesiąc i ad hoc.
Artykuł towarzyszący tego przewodnika zawiera omówienie zarządzania zdarzeniami i alertami z Ochrona usługi Office 365 w usłudze Defender na stronie Zdarzenia w portalu Microsoft Defender.
Przewodnik po operacjach zabezpieczeń Microsoft Defender XDR zawiera dodatkowe informacje, których można użyć do planowania i programowania.
Aby zapoznać się z filmem wideo dotyczącym tych informacji, zobacz https://youtu.be/eQanpq9N1Ps.
Codzienne działania
Monitorowanie kolejki zdarzeń Microsoft Defender XDR
Strona Zdarzenia w portalu Microsoft Defender pod adresem https://security.microsoft.com/incidents (znana również jako kolejka zdarzeń) umożliwia zarządzanie zdarzeniami i monitorowanie ich z następujących źródeł w Ochrona usługi Office 365 w usłudze Defender:
Aby uzyskać więcej informacji na temat kolejki Zdarzenia, zobacz Określanie priorytetów zdarzeń w Microsoft Defender XDR.
W planie klasyfikacji monitorowania kolejki zdarzeń powinna być używana następująca kolejność pierwszeństwa dla zdarzeń:
- Wykryto potencjalnie złośliwe kliknięcie adresu URL.
- Użytkownik nie może wysyłać wiadomości e-mail.
- Wykryto podejrzane wzorce wysyłania wiadomości e-mail.
- Email zgłaszane przez użytkownika jako złośliwe oprogramowanie lub phish, a wielu użytkowników zgłosiło wiadomość e-mail jako złośliwe oprogramowanie lub phish.
- Email wiadomości zawierające złośliwy plik usunięty po dostarczeniu, Email komunikaty zawierające złośliwy adres URL usunięte po dostarczeniu i Email wiadomości z kampanii usunięte po dostarczeniu.
- Phish dostarczone z powodu zastąpienia ETR, Phish dostarczone, ponieważ folder wiadomości-śmieci użytkownika jest wyłączony, a Phish dostarczane z powodu zasad zezwalania na adres IP
- Złośliwe oprogramowanie nie jest zamapowane, ponieważ zap jest wyłączony i phish nie zapped, ponieważ zap jest wyłączony.
Zarządzanie kolejkami zdarzeń i osoby odpowiedzialne są opisane w poniższej tabeli:
Działanie | Kadencja | Opis | Osoba |
---|---|---|---|
Klasyfikacja zdarzeń w kolejce Zdarzenia pod adresem https://security.microsoft.com/incidents. | Codzienny | Sprawdź, czy wszystkie zdarzenia o średniej i wysokiej ważności z Ochrona usługi Office 365 w usłudze Defender są klasyfikowane. | Zespół ds. operacji zabezpieczeń |
Zbadaj i wykonaj akcje reagowania na zdarzenia. | Codzienny | Zbadaj wszystkie zdarzenia i aktywnie podejmij zalecane lub ręczne działania reagowania. | Zespół ds. operacji zabezpieczeń |
Rozwiązywanie zdarzeń. | Codzienny | Jeśli zdarzenie zostało skorygowane, rozwiąż zdarzenie. Rozwiązanie zdarzenia rozwiązuje wszystkie połączone i powiązane aktywne alerty. | Zespół ds. operacji zabezpieczeń |
Klasyfikowanie zdarzeń. | Codzienny | Klasyfikowanie zdarzeń jako prawdziwych lub fałszywych. W przypadku prawdziwych alertów określ typ zagrożenia. Ta klasyfikacja ułatwia zespołowi ds. zabezpieczeń wyświetlanie wzorców zagrożeń i ochronę organizacji przed nimi. | Zespół ds. operacji zabezpieczeń |
Zarządzanie wykrywaniem fałszywie dodatnim i fałszywie ujemnym
W Ochrona usługi Office 365 w usłudze Defender zarządzasz wynikami fałszywie dodatnimi (dobra poczta oznaczona jako zła) i fałszywymi negatywami (dozwolona zła poczta) w następujących lokalizacjach:
- Strona Przesłane (przesyłanie przez administratora).
- Lista dozwolonych/zablokowanych dzierżaw
- Eksplorator zagrożeń
Aby uzyskać więcej informacji, zobacz sekcję Zarządzanie wykrywaniem fałszywie dodatnim i fałszywie ujemnym w dalszej części tego artykułu.
Zarządzanie wynikiem fałszywie dodatnim i fałszywie ujemnym oraz osoby odpowiedzialne są opisane w poniższej tabeli:
Działanie | Kadencja | Opis | Osoba |
---|---|---|---|
Prześlij wyniki fałszywie dodatnie i fałszywie ujemne do firmy Microsoft pod adresem https://security.microsoft.com/reportsubmission. | Codzienny | Podaj sygnały firmie Microsoft, zgłaszając niepoprawne wiadomości e-mail, adresy URL i wykrywanie plików. | Zespół ds. operacji zabezpieczeń |
Analizowanie szczegółów przesyłania przez administratora. | Codzienny | Zapoznaj się z następującymi czynnikami przesyłanych do firmy Microsoft:
|
Zespół ds. operacji zabezpieczeń Administracja zabezpieczeniami |
Dodaj wpisy blokowe na liście zezwalania/blokowania dzierżawy pod adresem https://security.microsoft.com/tenantAllowBlockList. | Codzienny | Użyj listy zezwalania/blokowania dzierżawy, aby dodać wpisy blokowe w celu wykrycia fałszywie ujemnego adresu URL, pliku lub nadawcy w razie potrzeby. | Zespół ds. operacji zabezpieczeń |
Zwolnij wynik fałszywie dodatni z kwarantanny. | Codzienny | Gdy odbiorca potwierdzi, że komunikat został niepoprawnie poddany kwarantannie, możesz zwolnić lub zatwierdzić żądania wydania dla użytkowników. Aby kontrolować, co użytkownicy mogą zrobić dla własnych komunikatów objętych kwarantanną (w tym wydania lub wydania żądania), zobacz Zasady kwarantanny. |
Zespół ds. operacji zabezpieczeń Zespół ds. obsługi komunikatów |
Przejrzyj kampanie wyłudzania informacji i złośliwego oprogramowania, które doprowadziły do dostarczenia wiadomości e-mail
Działanie | Kadencja | Opis | Osoba |
---|---|---|---|
Przejrzyj kampanie e-mail. | Codzienny |
Przejrzyj kampanie e-mail przeznaczone dla Twojej organizacji pod adresem https://security.microsoft.com/campaigns. Skoncentruj się na kampaniach, w wyniku których komunikaty były dostarczane do adresatów. Usuń wiadomości z kampanii, które istnieją w skrzynkach pocztowych użytkowników. Ta akcja jest wymagana tylko wtedy, gdy kampania zawiera wiadomość e-mail, która nie została jeszcze skorygowana przez akcje zdarzeń, automatyczne przeczyszczanie o wartości zero godzin (ZAP) lub ręczne korygowanie. |
Zespół ds. operacji zabezpieczeń |
Cotygodniowe zajęcia
Przeglądanie trendów wykrywania poczty e-mail w raportach Ochrona usługi Office 365 w usłudze Defender
W Ochrona usługi Office 365 w usłudze Defender możesz użyć następujących raportów, aby przejrzeć trendy wykrywania poczty e-mail w organizacji:
Działanie | Kadencja | Opis | Osoba |
---|---|---|---|
Przejrzyj raporty wykrywania poczty e-mail pod adresem: | Tygodniowy | Przejrzyj trendy wykrywania wiadomości e-mail pod kątem złośliwego oprogramowania, wyłudzania informacji i spamu w porównaniu z dobrą pocztą e-mail. Obserwacja w czasie pozwala zobaczyć wzorce zagrożeń i określić, czy musisz dostosować zasady Ochrona usługi Office 365 w usłudze Defender. | Administracja zabezpieczeniami Zespół ds. operacji zabezpieczeń |
Śledzenie pojawiających się zagrożeń i reagowanie na nie przy użyciu analizy zagrożeń
Użyj analizy zagrożeń , aby przeglądać aktywne, popularne zagrożenia.
Działanie | Kadencja | Opis | Osoba |
---|---|---|---|
Przejrzyj zagrożenia w usłudze Threat Analytics pod adresem https://security.microsoft.com/threatanalytics3. | Tygodniowy | Analiza zagrożeń udostępnia szczegółową analizę, w tym następujące elementy:
|
Zespół ds. operacji zabezpieczeń Zespół ds. zagrożeń |
Przejrzyj najczęściej docelowych użytkowników pod kątem złośliwego oprogramowania i wyłudzania informacji
Użyj karty Najpopularniejszi użytkownicy docelowi (wyświetl) w obszarze szczegółów widoków Wszystkie wiadomości e-mail, Złośliwe oprogramowanie i Phish w Eksploratorze zagrożeń, aby odnaleźć lub potwierdzić użytkowników, którzy są głównymi celami złośliwego oprogramowania i wiadomości e-mail wyłudzających informacje.
Działanie | Kadencja | Opis | Osoba |
---|---|---|---|
Przejrzyj kartę Najpopularniejszi użytkownicy docelowi w Eksploratorze zagrożeń pod adresem https://security.microsoft.com/threatexplorer. | Tygodniowy | Skorzystaj z informacji, aby zdecydować, czy chcesz dostosować zasady lub zabezpieczenia dla tych użytkowników. Dodaj użytkowników, których dotyczy problem, do kont o priorytecie , aby uzyskać następujące korzyści:
|
Administracja zabezpieczeniami Zespół ds. operacji zabezpieczeń |
Przejrzyj najważniejsze kampanie związane ze złośliwym oprogramowaniem i wyłudzaniem informacji, które są przeznaczone dla Twojej organizacji
Widoki kampanii ujawniają złośliwe oprogramowanie i ataki wyłudzające informacje na twojej organizacji. Aby uzyskać więcej informacji, zobacz Widoki kampanii w Ochrona usługi Office 365 w usłudze Microsoft Defender.
Działanie | Kadencja | Opis | Osoba |
---|---|---|---|
Użyj widoków kampanii pod adresem https://security.microsoft.com/campaigns , aby przejrzeć złośliwe oprogramowanie i ataki wyłudzające informacje, które cię dotyczą. | Tygodniowy | Dowiedz się więcej o atakach i technikach oraz o tym, co Ochrona usługi Office 365 w usłudze Defender było w stanie zidentyfikować i zablokować. Aby uzyskać szczegółowe informacje o kampanii , użyj opcji Pobierz raport zagrożeń w widokach kampanii. |
Zespół ds. operacji zabezpieczeń |
Działania ad hoc
Ręczne badanie i usuwanie wiadomości e-mail
Działanie | Kadencja | Opis | Osoba |
---|---|---|---|
Zbadaj i usuń nieprawidłową wiadomość e-mail w Eksploratorze zagrożeń na https://security.microsoft.com/threatexplorer podstawie żądań użytkowników. | Ad hoc | Użyj akcji Badanie wyzwalacza w Eksploratorze zagrożeń, aby rozpocząć automatyczne badanie i podręcznik odpowiedzi w dowolnej wiadomości e-mail z ostatnich 30 dni. Ręczne wyzwalanie badania pozwala zaoszczędzić czas i nakład pracy dzięki centralnemu uwzględnieniu:
Aby uzyskać więcej informacji, zobacz Przykład: komunikat phish zgłoszony przez użytkownika uruchamia podręcznik badania Możesz też użyć Eksploratora zagrożeń, aby ręcznie zbadać pocztę e-mail przy użyciu zaawansowanych funkcji wyszukiwania i filtrowania oraz ręcznie wykonywać akcje reagowania bezpośrednio z tego samego miejsca. Dostępne akcje ręczne:
|
Zespół ds. operacji zabezpieczeń |
Proaktywne wyszukiwanie zagrożeń
Działanie | Kadencja | Opis | Osoba |
---|---|---|---|
Regularne, proaktywne wyszukiwanie zagrożeń pod adresem:. | Ad hoc | Wyszukaj zagrożenia przy użyciu Eksploratora zagrożeń i zaawansowanego wyszukiwania zagrożeń. | Zespół ds. operacji zabezpieczeń Zespół ds. zagrożeń |
Udostępnianie zapytań dotyczących wyszukiwania zagrożeń. | Ad hoc | Aktywnie udostępniaj często używane, przydatne zapytania w zespole ds. zabezpieczeń w celu szybszego ręcznego wyszukiwania zagrożeń i korygowania. Użyj śledzenia zagrożeń i udostępnionych zapytań w obszarze Zaawansowane wyszukiwanie zagrożeń. |
Zespół ds. operacji zabezpieczeń Zespół ds. zagrożeń |
Utwórz niestandardowe reguły wykrywania pod adresem https://security.microsoft.com/custom_detection. | Ad hoc | Tworzenie niestandardowych reguł wykrywania w celu proaktywnego monitorowania zdarzeń, wzorców i zagrożeń na podstawie danych Ochrona usługi Office 365 w usłudze Defender w ramach wyszukiwania zagrożeń z wyprzedzeniem. Reguły wykrywania zawierają zaawansowane zapytania wyszukiwania zagrożeń, które generują alerty na podstawie kryteriów dopasowania. | Zespół ds. operacji zabezpieczeń Zespół ds. zagrożeń |
Przeglądanie konfiguracji zasad Ochrona usługi Office 365 w usłudze Defender
Działanie | Kadencja | Opis | Osoba |
---|---|---|---|
Zapoznaj się z konfiguracją zasad Ochrona usługi Office 365 w usłudze Defender pod adresem https://security.microsoft.com/configurationAnalyzer. | Ad hoc Miesięczny |
Użyj analizatora konfiguracji, aby porównać istniejące ustawienia zasad z zalecanymi wartościami standardowymi lub ścisłymi dla Ochrona usługi Office 365 w usłudze Defender. Analizator konfiguracji identyfikuje przypadkowe lub złośliwe zmiany, które mogą obniżyć stan zabezpieczeń organizacji. Możesz też użyć narzędzia ORCA opartego na programie PowerShell. |
Administracja zabezpieczeniami Zespół ds. obsługi komunikatów |
Przejrzyj przesłonięcia wykrywania w Ochrona usługi Office 365 w usłudze Defender pod adresemhttps://security.microsoft.com/reports/TPSMessageOverrideReportATP | Ad hoc Miesięczny |
Użyj widoku Wyświetl dane według wykresu przesłonięcia > systemu według widoku Przyczyna w raporcie o stanie ochrony przed zagrożeniami , aby przejrzeć wiadomość e-mail, która została wykryta jako wyłudzająca informacje, ale dostarczona z powodu ustawień zasad lub zastąpienia przez użytkownika. Aktywnie badaj, usuwaj lub dostosuj przesłonięcia, aby uniknąć dostarczania wiadomości e-mail, która została określona jako złośliwa. |
Administracja zabezpieczeniami Zespół ds. obsługi komunikatów |
Przeglądanie wykrywania podróbek i personifikacji
Działanie | Kadencja | Opis | Osoba |
---|---|---|---|
Zapoznaj się ze szczegółowymi informacjami na temat analizy fałszowania i szczegółowymi informacjami dotyczącymi wykrywania personifikacji pod adresem. | Ad hoc Miesięczny |
Użyj analizy fałszowania i szczegółowych informacji o personifikacji , aby dostosować filtrowanie pod kątem wykrywania fałszowania i personifikacji. | Administracja zabezpieczeniami Zespół ds. obsługi komunikatów |
Przeglądanie członkostwa w koncie priorytetowym
Działanie | Kadencja | Opis | Osoba |
---|---|---|---|
Sprawdź, kto jest zdefiniowany jako konto priorytetowe w witrynie https://security.microsoft.com/securitysettings/userTags. | Ad hoc | Zachowaj aktualność członkostwa w kontach priorytetowych ze zmianami organizacyjnymi, aby uzyskać następujące korzyści dla tych użytkowników:
Użyj niestandardowych tagów użytkowników dla innych użytkowników, aby uzyskać:
|
Zespół ds. operacji zabezpieczeń |
Dodatek
Dowiedz się więcej o narzędziach i procesach Ochrona usługi Office 365 w usłudze Microsoft Defender
Członkowie zespołu ds. operacji zabezpieczeń i reagowania muszą zintegrować narzędzia i funkcje Ochrona usługi Office 365 w usłudze Defender z istniejącymi badaniami i procesami reagowania. Poznawanie nowych narzędzi i możliwości może zająć trochę czasu, ale jest to kluczowa część procesu dołączania. Najprostszym sposobem, aby członkowie secops i zespołu ds. zabezpieczeń poczty e-mail dowiedzieli się o Ochrona usługi Office 365 w usłudze Defender jest użycie zawartości szkoleniowej dostępnej w ramach zawartości szkoleniowej ninja pod adresem https://aka.ms/mdoninja.
Zawartość jest ustrukturyzowana dla różnych poziomów wiedzy (Podstawy, Pośrednie i Zaawansowane) z wieloma modułami na poziomie.
Krótkie filmy wideo dotyczące konkretnych zadań są również dostępne w kanale Ochrona usługi Office 365 w usłudze Microsoft Defender YouTube.
Uprawnienia do Ochrona usługi Office 365 w usłudze Defender działań i zadań
Uprawnienia do zarządzania Ochrona usługi Office 365 w usłudze Defender w portalu Microsoft Defender i programie PowerShell są oparte na modelu uprawnień kontroli dostępu opartej na rolach (RBAC). Kontrola dostępu oparta na rolach to ten sam model uprawnień, który jest używany przez większość usług platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Uprawnienia w portalu Microsoft Defender.
Uwaga
Privileged Identity Management (PIM) w Tożsamość Microsoft Entra jest również sposobem przypisywania wymaganych uprawnień do personelu Usługi SecOps. Aby uzyskać więcej informacji, zobacz Privileged Identity Management (PIM) i dlaczego warto jej używać z Ochrona usługi Office 365 w usłudze Microsoft Defender.
Następujące uprawnienia (role i grupy ról) są dostępne w Ochrona usługi Office 365 w usłudze Defender i mogą służyć do udzielania dostępu członkom zespołu zabezpieczeń:
Tożsamość Microsoft Entra: scentralizowane role, które przypisują uprawnienia do wszystkich usług platformy Microsoft 365, w tym Ochrona usługi Office 365 w usłudze Defender. Możesz wyświetlić role Microsoft Entra i przypisanych użytkowników w portalu Microsoft Defender, ale nie możesz nimi zarządzać bezpośrednio. Zamiast tego zarządzasz rolami i elementami członkowskimi Microsoft Entra pod adresem https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. Najczęstsze role używane przez zespoły zabezpieczeń to:
współpraca Exchange Online i Email &: role i grupy ról, które udzielają uprawnień specyficznych dla Ochrona usługi Office 365 w usłudze Microsoft Defender. Następujące role nie są dostępne w Tożsamość Microsoft Entra, ale mogą być ważne dla zespołów ds. zabezpieczeń:
Rola w wersji zapoznawczej (Email & współpracy): Przypisz tę rolę członkom zespołu, którzy muszą wyświetlać podgląd lub pobierać wiadomości e-mail w ramach działań związanych z badaniem. Umożliwia użytkownikom wyświetlanie podglądu i pobieranie wiadomości e-mail ze skrzynek pocztowych w chmurze przy użyciu Eksploratora zagrożeń (Eksplorator) lub wykrywania w czasie rzeczywistym oraz strony jednostki Email.
Domyślnie rola podglądu jest przypisywana tylko do następujących grup ról:
- Badacz danych
- Menedżer zbierania elektronicznych materiałów dowodowych
Możesz dodać użytkowników do tych grup ról lub utworzyć nową grupę ról z przypisaną rolą w wersji zapoznawczej i dodać użytkowników do niestandardowej grupy ról.
Rola wyszukiwania i przeczyszczania (współpraca Email &): zatwierdź usuwanie złośliwych komunikatów zgodnie z zaleceniami air lub podejmij ręczne działania w przypadku komunikatów w środowiskach wyszukiwania zagrożeń, takich jak Eksplorator zagrożeń.
Domyślnie rola Wyszukiwanie i przeczyszczanie jest przypisywana tylko do następujących grup ról:
- Badacz danych
- Zarządzanie organizacją
Możesz dodać użytkowników do tych grup ról lub utworzyć nową grupę ról z przypisaną rolą Wyszukiwania i przeczyszczania oraz dodać użytkowników do niestandardowej grupy ról.
Menedżer AllowBlockList dzierżawy (Exchange Online): zarządzanie wpisami zezwalania i blokowania na liście dozwolonych/zablokowanych dzierżaw. Blokowanie adresów URL, plików (przy użyciu skrótu pliku) lub nadawców jest przydatną akcją reagowania, którą należy wykonać podczas badania dostarczonego złośliwego adresu e-mail.
Domyślnie ta rola jest przypisywana tylko do grupy ról Operator zabezpieczeń w Exchange Online, a nie w Tożsamość Microsoft Entra. Członkostwo w roli Operatora zabezpieczeń w Tożsamość Microsoft Entradoesn nie zezwala na zarządzanie wpisami listy dozwolonych/zablokowanych dzierżaw.
Członkowie ról zarządzania administratorem zabezpieczeń lub organizacji w Tożsamość Microsoft Entra lub odpowiednich grupach ról w Exchange Online mogą zarządzać wpisami na liście dozwolonych/zablokowanych dzierżaw.
Integracja rozwiązania SIEM/SOAR
Ochrona usługi Office 365 w usłudze Defender uwidacznia większość swoich danych za pomocą zestawu programowych interfejsów API. Te interfejsy API ułatwiają automatyzowanie przepływów pracy i pełne wykorzystanie Ochrona usługi Office 365 w usłudze Defender możliwości. Dane są dostępne za pośrednictwem interfejsów API Microsoft Defender XDR i mogą służyć do integracji Ochrona usługi Office 365 w usłudze Defender z istniejącymi rozwiązaniami SIEM/SOAR.
Interfejs API zdarzeń: alerty Ochrona usługi Office 365 w usłudze Defender i zautomatyzowane badania są aktywnymi częściami zdarzeń w Microsoft Defender XDR. Zespoły ds. zabezpieczeń mogą skupić się na tym, co jest krytyczne, grupując pełny zakres ataków i wszystkie zasoby, których dotyczy problem.
Interfejs API przesyłania strumieniowego zdarzeń: umożliwia wysyłanie zdarzeń i alertów w czasie rzeczywistym do pojedynczego strumienia danych w miarę ich realizacji. Obsługiwane typy zdarzeń w Ochrona usługi Office 365 w usłudze Defender obejmują:
Zdarzenia zawierają dane z przetwarzania wszystkich wiadomości e-mail (w tym wiadomości wewnątrz organizacji) w ciągu ostatnich 30 dni.
Interfejs API wyszukiwania zagrożeń z wyprzedzeniem: umożliwia wyszukiwanie zagrożeń między produktami.
Interfejs API oceny zagrożeń: może służyć do zgłaszania spamu, adresów URL wyłudzania informacji lub załączników złośliwego oprogramowania bezpośrednio do firmy Microsoft.
Aby połączyć zdarzenia Ochrona usługi Office 365 w usłudze Defender i dane pierwotne z Microsoft Sentinel, możesz użyć łącznika Microsoft Defender XDR (M365D)
Aby przetestować dostęp interfejsu API do interfejsów API Microsoft Defender, możesz użyć następującego przykładu "Hello world": Hello world dla interfejsu API REST Microsoft Defender XDR.
Aby uzyskać więcej informacji na temat integracji narzędzi SIEM, zobacz Integrowanie narzędzi SIEM z Microsoft Defender XDR.
Adres fałszywie dodatnie i fałszywie ujemne w Ochrona usługi Office 365 w usłudze Defender
Komunikaty zgłaszane przez użytkowników i przesyłanie wiadomości e-mail przez administratora są krytycznymi pozytywnymi sygnałami wzmacniania dla naszych systemów wykrywania uczenia maszynowego. Zgłoszenia pomagają nam przeglądać, klasyfikować, szybko uczyć się i eliminowania ataków. Aktywne zgłaszanie wyników fałszywie dodatnich i fałszywie ujemnych jest ważnym działaniem, które dostarcza opinie do Ochrona usługi Office 365 w usłudze Defender, gdy błędy są popełniane podczas wykrywania.
Organizacje mają wiele opcji konfigurowania komunikatów zgłoszonych przez użytkowników. W zależności od konfiguracji zespoły zabezpieczeń mogą mieć bardziej aktywne zaangażowanie, gdy użytkownicy przesyłają do firmy Microsoft wyniki fałszywie dodatnie lub fałszywie ujemne:
Komunikaty zgłaszane przez użytkownika są wysyłane do firmy Microsoft w celu analizy, gdy ustawienia zgłaszane przez użytkownika są skonfigurowane przy użyciu jednego z następujących ustawień:
- Wyślij zgłoszone komunikaty tylko do firmy Microsoft.
- Wyślij zgłoszone wiadomości do firmy Microsoft i mojej skrzynki pocztowej raportowania.
Członkowie zespołów ds. zabezpieczeń powinni dodawać zgłoszenia administratorów , gdy zespół operacyjny odnajdzie wyniki fałszywie dodatnie lub fałszywie ujemne, które nie zostały zgłoszone przez użytkowników.
Gdy komunikaty zgłaszane przez użytkownika są skonfigurowane do wysyłania wiadomości tylko do skrzynki pocztowej organizacji, zespoły zabezpieczeń powinny aktywnie wysyłać raportowane przez użytkownika wyniki fałszywie dodatnie i fałszywie ujemne do firmy Microsoft za pośrednictwem przesłanych przez administratora.
Gdy użytkownik zgłasza komunikat jako wyłudzające informacje, Ochrona usługi Office 365 w usłudze Defender generuje alert, a alert wyzwala podręcznik AIR. Logika zdarzenia skoreluje te informacje z innymi alertami i zdarzeniami, jeśli jest to możliwe. Ta konsolidacja informacji ułatwia zespołom ds. zabezpieczeń klasyfikowanie, badanie i reagowanie na komunikaty zgłaszane przez użytkowników.
Potok przesyłania w usłudze jest zgodny z ściśle zintegrowanym procesem, gdy użytkownik zgłasza komunikaty, a administratorzy przesyłają komunikaty. Ten proces obejmuje:
- Redukcja szumu.
- Klasyfikacja automatyczna.
- Klasyfikacja według analityków zabezpieczeń i rozwiązań opartych na uczeniu maszynowym z partnerami ludzkimi.
Aby uzyskać więcej informacji, zobacz Raportowanie wiadomości e-mail w Ochrona usługi Office 365 w usłudze Defender — Microsoft Tech Community.
Członkowie zespołu ds. zabezpieczeń mogą przesyłać dane z wielu lokalizacji w portalu Microsoft Defender pod adresem https://security.microsoft.com:
Administracja przesyłania: użyj strony Przesłane, aby przesłać do firmy Microsoft podejrzany spam, wyłudzanie informacji, adresy URL i pliki.
Bezpośrednio z Eksploratora zagrożeń przy użyciu jednej z następujących akcji komunikatu:
- Raport jest czysty
- Zgłaszanie wyłudzania informacji
- Zgłaszanie złośliwego oprogramowania
- Zgłaszanie spamu
Możesz wybrać maksymalnie 10 komunikatów, aby przeprowadzić przesyłanie zbiorcze. Administracja przesłania utworzone przy użyciu tych metod są widoczne na odpowiednich kartach na stronie Przesłane.
W przypadku krótkoterminowego ograniczania liczby fałszywych negatywów zespoły zabezpieczeń mogą bezpośrednio zarządzać wpisami blokowymi dla plików, adresów URL i domen lub adresów e-mail na liście dozwolonych/zablokowanych dzierżaw.
W przypadku krótkoterminowego ograniczania liczby wyników fałszywie dodatnich zespoły ds. zabezpieczeń nie mogą bezpośrednio zarządzać wpisami dozwolonych dla domen i adresów e-mail na liście dozwolonych/zablokowanych dzierżaw. Zamiast tego muszą użyć przesłanych przez administratorów , aby zgłosić wiadomość e-mail jako fałszywie dodatnią. Aby uzyskać instrukcje, zobacz Raportowanie dobrej wiadomości e-mail do firmy Microsoft.
Kwarantanna w Ochrona usługi Office 365 w usłudze Defender zawiera potencjalnie niebezpieczne lub niechciane wiadomości i pliki. Zespoły ds. zabezpieczeń mogą wyświetlać, zwalniać i usuwać wszystkie typy komunikatów objętych kwarantanną dla wszystkich użytkowników. Ta funkcja umożliwia zespołom zabezpieczeń skuteczne reagowanie w przypadku kwarantanny fałszywie dodatniego komunikatu lub pliku.
Integrowanie narzędzi do raportowania innych firm z komunikatami zgłoszonymi przez Ochrona usługi Office 365 w usłudze Defender użytkowników
Jeśli Twoja organizacja korzysta z narzędzia do raportowania innych firm, które umożliwia użytkownikom wewnętrzne zgłaszanie podejrzanych wiadomości e-mail, możesz zintegrować to narzędzie z możliwościami wiadomości zgłoszonych przez użytkownika Ochrona usługi Office 365 w usłudze Defender. Ta integracja zapewnia następujące korzyści zespołom ds. zabezpieczeń:
- Integracja z funkcjami air Ochrona usługi Office 365 w usłudze Defender.
- Uproszczona klasyfikacja.
- Skrócono czas badania i odpowiedzi.
Określ skrzynkę pocztową raportowania, w której są wysyłane komunikaty zgłaszane przez użytkownika na stronie Ustawienia zgłaszane przez użytkownika w portalu Microsoft Defender pod adresem https://security.microsoft.com/securitysettings/userSubmission. Aby uzyskać więcej informacji, zobacz Ustawienia zgłaszane przez użytkownika.
Uwaga
- Skrzynka pocztowa raportowania musi być Exchange Online skrzynką pocztową.
- Narzędzie do raportowania innych firm musi zawierać oryginalną zgłoszoną wiadomość jako nieskompresowany . EML lub . Załącznik msg w wiadomości wysyłanej do skrzynki pocztowej raportowania (nie tylko przekaż oryginalną wiadomość do skrzynki pocztowej raportowania). Aby uzyskać więcej informacji, zobacz Format przesyłania komunikatów dla narzędzi do raportowania innych firm.
- Skrzynka pocztowa raportowania wymaga określonych wymagań wstępnych, aby umożliwić dostarczanie potencjalnie złych wiadomości bez filtrowania lub modyfikowania. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące konfiguracji skrzynki pocztowej raportowania.
Gdy w skrzynce pocztowej raportowania zostanie wyświetlona wiadomość zgłoszona przez użytkownika, Ochrona usługi Office 365 w usłudze Defender automatycznie wygeneruje alert o nazwie Email zgłoszony przez użytkownika jako złośliwe oprogramowanie lub phish. Ten alert uruchamia podręcznik AIR. Podręcznik wykonuje serię kroków zautomatyzowanych badań:
- Zbierz dane dotyczące określonej wiadomości e-mail.
- Zbierz dane dotyczące zagrożeń i jednostek związanych z tą wiadomością e-mail (na przykład plików, adresów URL i adresatów).
- Podaj zalecane akcje do wykonania przez zespół SecOps na podstawie wyników badania.
Email zgłaszane przez użytkownika jako złośliwe oprogramowanie lub alerty phish, zautomatyzowane badania i ich zalecane działania są automatycznie skorelowane z incydentami w Microsoft Defender XDR. Ta korelacja dodatkowo upraszcza proces klasyfikacji i reagowania dla zespołów ds. zabezpieczeń. Jeśli wielu użytkowników zgłasza te same lub podobne komunikaty, wszyscy użytkownicy i komunikaty są skorelowane z tym samym zdarzeniem.
Dane z alertów i badań w Ochrona usługi Office 365 w usłudze Defender są automatycznie porównywane z alertami i badaniami w innych produktach Microsoft Defender XDR:
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
W przypadku odnalezienia relacji system tworzy zdarzenie, które zapewnia wgląd w cały atak.