Автоматизированное исследование и реагирование (AIR) в Microsoft Defender для Office 365 план 2

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Так как оповещения системы безопасности отображаются в организации Microsoft 365 по адресу https://security.microsoft.com/alerts, команда по операциям безопасности (SecOps) может просматривать эти оповещения, определять приоритеты и реагировать на них. Объем входящих оповещений может быть подавляющим. Автоматизация некоторых из этих задач может помочь.

Microsoft Defender для Office 365 план 2 (входит в лицензии Microsoft 365, такие как E5 или как автономная подписка) включает в себя мощные возможности автоматического исследования и реагирования (AIR), которые экономят время и усилия для команд SecOps.

AIR проверяет оповещения с высоким влиянием и большим объемом, завершая исследования на уровне организации. Исследования AIR расширяют обнаружение или предоставляют дополнительный анализ для определения состояния угрозы для организации. Когда AIR обнаруживает угрозы, он ставит в очередь действия по исправлению угроз для утверждения сотрудниками SecOps. Air обеспечивает следующие преимущества:

• Автоматизированные процессы исследования в ответ на известные угрозы.
• Соответствующие действия по исправлению в ожидании утверждения, позволяющие команде SecOps эффективно реагировать на обнаруженные угрозы.
• Ваша команда SecOps может сосредоточиться на более приоритетных задачах, не упуская из виду важные оповещения, которые активируются.

ДЛЯ air в Defender для Office 365 план 2 требуется включить ведение журнала аудита (по умолчанию оно включено).

Общий поток AIR

Активируется оповещение, а сборник схем безопасности запускает автоматическое исследование, в результате которого будут получены результаты и рекомендуемые действия. Вот общий поток AIR, шаг за шагом:

1. Автоматическое исследование запускается одним из следующих способов:

   • Конкретные оповещения, предназначенные для запуска AIR. К таким оповещениям относятся:

     • Что-то подозрительное определяется в электронной почте (например, само сообщение, вложение, URL-адрес или скомпрометированная учетная запись пользователя).

     • Автоматическая очистка за нулевой час (ZAP).

     • Отправка пользователем.

     • Пользователь щелкает оповещения.

     • Подозрительное поведение почтового ящика.

       Совет

       Не забудьте регулярно просматривать оповещения вашей организации. Дополнительные сведения о политиках оповещений, запускающих автоматизированные исследования, см. в разделе Политики оповещений по умолчанию в категории Управление угрозами. Записи, содержащие значение Да для автоматического исследования , могут активировать автоматические исследования. Если эти оповещения отключены или заменены пользовательскими оповещениями, функция AIR не активируется.

   • Аналитик по безопасности вручную активирует исследование, выбрав Действие в Обозреватель угроз, Расширенной охоте, пользовательском обнаружении, на странице сущности Email или на панели сводки Email. Дополнительные сведения см. в разделе Охота на угрозы: исправление Email. Примеры см. в разделе Примеры, см. в разделе Примеры автоматизированного исследования и реагирования (AIR) в Microsoft Defender для Office 365 план 2.

2. Автоматическое исследование оценивает и анализирует характер оповещения, связанное с этим сообщением, и дополнительные доказательства, связанные с сообщением. Область расследования может увеличиться на основе доказательств, которые были обнаружены и собраны в ходе расследования.

3. Во время и после автоматического исследования доступны сведения и результаты . Результаты могут включать рекомендуемые действия для сотрудников SecOps по устранению обнаруженных угроз.

4. Команда SecOps проверяет результаты исследования и рекомендации (в самом расследовании, инциденте или в центре уведомлений) и утверждает или отклоняет действия по исправлению.

   Совет

   Действия по исправлению не выполняются автоматически. Действия по исправлению требуют утверждения вручную сотрудниками SecOps. Возможности AIR экономят время, приступая к рекомендуемым действиям по исправлению со всеми сведениями для принятия обоснованного решения.

   AIR также экономит время за счет оценки и автоматического разрешения оповещений и инцидентов, в которых не было обнаружено угроз. Этот результат очень распространен в сценариях отправки пользователем. AIR закрывает расследование, если в сообщениях, которые уже были устранены, не обнаружены угрозы или обнаружены угрозы. Типично

5. Так как ожидающие действия по исправлению утверждаются или отклоняются, выполняется автоматическое исследование.

   Автоматическое исследование автоматически закрывается, если не определены рекомендуемые действия. Подробные сведения о расследовании по-прежнему доступны на странице Исследования по адресу https://security.microsoft.com/airinvestigation.

Во время и после каждого автоматизированного исследования команда SecOps может выполнять следующие задачи:

• Просмотр сведений об оповещении, связанном с исследованием
• Просмотр сведений о результатах исследования
• Проверка и утверждение действий в результате исследования

Необходимые разрешения и лицензирование для AIR

Для использования AIR вам должны быть назначены разрешения. Возможны следующие варианты:

• Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell:
  • Запуск автоматического исследования или утверждение или отклонение рекомендуемых действий: операции безопасности/Email расширенные действия по исправлению (управление).
• Email & разрешения на совместную работу на портале Microsoft Defender:
  • Настройка функций AIR: членство в группах ролей "Управление организацией " или "Администратор безопасности ".
  • Запустите автоматическое исследование или утвердите или отклоните рекомендуемые действия:
    • Членство в группах ролей "Управление организацией", "Администратор безопасности", "Оператор безопасности", "Читатель безопасности" или "Глобальный читатель". и
    • Роль поиска и очистки , которая по умолчанию назначается только группам ролей "Исследователь данных " или "Управление организацией ". Кроме того, можно создать новую группу ролей с назначенной ролью "Поиск и очистка " и добавить пользователей в настраиваемую группу ролей.
• Microsoft Entra разрешения. Предоставьте пользователям необходимые разрешения и разрешения для других функций Microsoft 365:
  • Настройка функций AIR Членство в ролях глобального администратора или администратора безопасности .
  • Запустите автоматическое исследование или утвердите или отклоните рекомендуемые действия:
    • Членство в ролях "Глобальный администратор", "Администратор безопасности", "Оператор безопасности", "Читатель безопасности" или "Глобальный читатель ". и
    • Членство в группе ролей Email & совместной работы с назначенной ролью поиска и очистки, как описано ранее.

Для использования AIR необходимо назначить лицензию на Defender для Office 365 план 2 (включенную в подписку или лицензию надстройки).

Дальнейшие действия

• Примеры AIR
• Просмотр сведений и результатов автоматического исследования
• Проверка и утверждение ожидающих действий
• Просмотр ожидающих или завершенных действий по исправлению