Принцип работы автоматизированного исследования и реагирования в Microsoft Defender для Office 365
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
По мере появления предупреждений системы безопасности группа по обеспечению безопасности должна изучить эти предупреждения и выполнить действия для защиты организации. Иногда команды по обеспечению безопасности могут чувствовать себя перегруженными объемом активированных оповещений. Могут помочь возможности автоматизированного исследования и реагирования (AIR) в Microsoft Defender для Office 365.
AIR позволяет команде по обеспечению безопасности работать более эффективно и эффективно. Возможности AIR включают автоматизированные процессы исследования в ответ на известные угрозы, существующие в настоящее время. Соответствующие действия по исправлению ожидают утверждения, что позволит вашей группе по операциям безопасности реагировать на обнаруженные угрозы.
В этой статье описывается, как работает AIR в нескольких примерах. Когда вы будете готовы приступить к работе с AIR, см. статью Автоматическое исследование угроз и реагирование на них.
- Пример 1. Сообщается о фишинговом сообщении пользователя, запускается сборник схем исследования
- Пример 2. Администратор безопасности запускает расследование из Обозреватель угроз
- Пример 3. Команда по управлению безопасностью интегрирует AIR с SIEM с помощью API действий управления Office 365
Пример. Сообщается о фишинговом сообщении пользователя, запускается сборник схем для исследования
Предположим, что пользователь в вашей организации получает сообщение электронной почты, которое, по его мнению, является попыткой фишинга. Пользователь, обученный сообщать о таких сообщениях, использует надстройки Microsoft Report Message или Report Phishing для их отправки в корпорацию Майкрософт для анализа. Отправка также отправляется в вашу систему и отображается в Обозреватель в представлении Отправки (прежнее название — представление , сообщаемое пользователем). Кроме того, сообщение, сообщаемое пользователем, теперь активирует системное информационное оповещение, которое автоматически запускает сборник схем исследования.
На этапе корневого исследования оцениваются различные аспекты сообщения электронной почты. К этим аспектам относятся:
- Определение типа угрозы, которую она может представлять;
- Кто послал его;
- Откуда было отправлено сообщение электронной почты (инфраструктура отправки);
- Были ли доставлены или заблокированы другие экземпляры электронной почты;
- Оценка от наших аналитиков;
- Связано ли сообщение электронной почты с известными кампаниями;
- и многое другое.
После завершения корневого исследования сборник схем предоставляет список рекомендуемых действий для выполнения с исходным адресом электронной почты и связанными с ним сущностями (например, файлами, URL-адресами и получателями).
Далее выполняется несколько шагов по изучению угроз и охоте.
- Аналогичные сообщения электронной почты определяются с помощью поиска в кластере электронной почты.
- Сигнал предоставляется другим платформам, например Microsoft Defender для конечной точки.
- Определяется, переходили ли пользователи по вредоносным ссылкам в подозрительных сообщениях электронной почты.
- Проверка выполняется в Exchange Online Protection (EOP) и Microsoft Defender для Office 365, чтобы узнать, есть ли другие аналогичные сообщения, о которых сообщают пользователи.
- Выполняется проверка, чтобы узнать, был ли скомпрометирован пользователь. Этот проверка использует сигналы в Office 365, Microsoft Defender for Cloud Apps и Microsoft Entra ID, сопоставляя все связанные с ними аномалии активности пользователей.
На этапе охоты риски и угрозы назначаются различным этапам охоты.
Исправление является заключительным этапом сборника схем. На этом этапе выполняются шаги по исправлению на основе этапов исследования и охоты.
Пример. Администратор безопасности запускает расследование из Обозреватель угроз
Помимо автоматизированных исследований, инициируемых оповещением, команда по операциям безопасности вашей организации может активировать автоматическое исследование из представления в Обозреватель угроз. Это исследование также создает оповещение, поэтому Microsoft Defender XDR инциденты и внешние средства SIEM могут видеть, что это исследование было активировано.
Например, предположим, что вы используете представление Вредоносные программы в Обозреватель. Используя вкладки под диаграммой, вы выбираете вкладку Email. Если выбрать один или несколько элементов в списке, активируется кнопка + Действия.
В меню Действия можно выбрать Триггер исследования.
Как и в сборниках схем, инициируемых оповещением, автоматические исследования, запускаемые из представления в Обозреватель включают в себя корневое исследование, шаги по выявлению и корреляции угроз, а также рекомендуемые действия по их устранению.
Пример. Команда по операциям с безопасностью интегрирует AIR с SIEM с помощью API действий управления Office 365.
Возможности AIR в Microsoft Defender для Office 365 включают отчеты & подробные сведения, которые специалисты по обеспечению безопасности могут использовать для мониторинга и устранения угроз. Но вы также можете интегрировать возможности AIR с другими решениями. Примерами могут быть система управления информационной безопасностью и событиями безопасности (SIEM), система управления делами или пользовательское решение для создания отчетов. Эти типы интеграции можно выполнить с помощью API действий управления Office 365.
Например, недавно организация настроила способ просмотра пользователями фишинговых оповещений, которые уже были обработаны AIR. Их решение интегрирует соответствующие оповещения с сервером SIEM организации и системой управления обращениями. Это решение значительно сокращает количество ложных срабатываний, чтобы команда по операциям безопасности могла сосредоточить свое время и усилия на реальных угрозах. Дополнительные сведения об этом пользовательском решении см. в блоге Tech Community: Повышение эффективности SOC с помощью Microsoft Defender для Office 365 и API управления O365.