Automatiserad undersökning och svar (AIR) i Microsoft Defender för Office 365 plan 2

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

När säkerhetsaviseringar visas i en Microsoft 365-organisation på https://security.microsoft.com/alertsär det upp till secops-teamet att granska, prioritera och svara på dessa aviseringar. Det kan vara överväldigande att hålla jämna steg med mängden inkommande aviseringar. Det kan vara till hjälp att automatisera vissa av dessa uppgifter.

Microsoft Defender för Office 365 Plan 2 (ingår i Microsoft 365-licenser som E5 eller som en fristående prenumeration) innehåller kraftfulla funktioner för automatiserad undersökning och svar (AIR) som sparar tid och arbete för SecOps-team.

AIR prioriterar aviseringar med hög påverkan och stora volymer genom att slutföra undersökningar på organisationsnivå. AIR-undersökningar utökar identifieringar eller tillhandahåller ytterligare analys för att fastställa hotstatusen för organisationen. När AIR identifierar hot köar det hotreparationsåtgärder som SecOps-personal kan godkänna. AIR ger följande fördelar:

• Automatiserade undersökningsprocesser som svar på välkända hot.
• Lämpliga åtgärder som väntar på godkännande, så att SecOps-teamet kan svara effektivt på identifierade hot.
• SecOps-teamet kan fokusera på aktiviteter med högre prioritet utan att förlora viktiga aviseringar som utlöses ur sikte.

AIR i Defender för Office 365 plan 2 kräver att granskningsloggning är aktiverat (det är aktiverat som standard).

Det övergripande flödet av AIR

En avisering utlöses och en säkerhetsspelbok startar en automatiserad undersökning, vilket resulterar i resultat och rekommenderade åtgärder. Här är det övergripande flödet av AIR, steg för steg:

1. En automatiserad undersökning startas på något av följande sätt:

   • Specifika aviseringar som är utformade för att initiera AIR. Dessa aviseringar omfattar:

     • Något misstänkt identifieras i e-post (till exempel själva meddelandet, en bifogad fil, en URL eller ett komprometterat användarkonto).

     • Automatisk rensning på nolltimmes (ZAP).

     • Användarinlämningar.

     • Användaren klickar på aviseringar.

     • Misstänkt postlådebeteende.

       Tips

       Se till att regelbundet granska aviseringarna i din organisation. Mer information om aviseringsprinciper som utlöser automatiserade undersökningar finns i standardaviseringsprinciperna i kategorin Hothantering. De poster som innehåller värdet Ja för automatiserad undersökning kan utlösa automatiserade undersökningar. Om dessa aviseringar inaktiveras eller ersätts av anpassade aviseringar utlöses inte AIR.

   • En säkerhetsanalytiker utlöser undersökningen manuellt genom att välja Vidta åtgärder i Hotutforskaren, Avancerad jakt, anpassad identifiering, Email entitetssida eller Email sammanfattningspanel. Mer information finns i Hotjakt: Email reparation. Exempel finns i Exempel finns i Exempel på automatiserad undersökning och svar (AIR) i Microsoft Defender för Office 365 plan 2.

2. Den automatiserade undersökningen utvärderar och analyserar typen av avisering, det aktuella meddelandet och ytterligare bevis kring meddelandet. Omfattningen av utredningen kan öka baserat på de bevis som avslöjas och samlas in under undersökningen.

3. Under och efter en automatiserad undersökning finns information och resultat tillgängliga. Resultaten kan innehålla rekommenderade åtgärder för SecOps-personal för att åtgärda de hot som hittades.

4. SecOps-teamet granskar undersökningsresultaten och rekommendationerna (i själva undersökningen, incidenten eller i åtgärdscentret) och godkänner eller avvisar reparationsåtgärderna.

   Tips

   Inga åtgärder utförs automatiskt. Reparationsåtgärder kräver manuellt godkännande av SecOps-personal. Air-funktionerna sparar tid genom att gå till de rekommenderade reparationsåtgärderna med all information för att fatta ett välgrundat beslut.

   AIR sparar också tid genom att utvärdera och automatiskt lösa aviseringar och incidenter där inga hot hittades. Det här resultatet är mycket vanligt i scenarier för användaröverföring. AIR stänger undersökningen om inga hot hittades eller hot hittades i meddelanden som redan har åtgärdats. Vanligtvis

5. Eftersom väntande åtgärder godkänns eller avvisas slutförs den automatiserade undersökningen.

   Den automatiserade undersökningen stängs automatiskt om inga rekommenderade åtgärder identifieras. Detaljerna i undersökningen finns fortfarande på sidan Undersökningar på https://security.microsoft.com/airinvestigation.

Under och efter varje automatiserad undersökning kan SecOps-teamet utföra följande uppgifter:

• Visa information om en avisering som är relaterad till en undersökning
• Visa resultatinformationen för en undersökning
• Granska och godkänna åtgärder som ett resultat av en undersökning

Nödvändiga behörigheter och licensiering för AIR

Du måste tilldelas behörigheter för att använda AIR. Du har även följande alternativ:

• Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Om Email & samarbete>Defender för Office 365 behörigheter är Aktiva. Påverkar endast Defender-portalen, inte PowerShell):
  • Starta en automatiserad undersökning eller Godkänn eller avvisa rekommenderade åtgärder: Säkerhetsåtgärder/Email avancerade reparationsåtgärder (hantera).
• Email & samarbetsbehörigheter i Microsoft Defender-portalen:
  • Konfigurera AIR-funktioner: Medlemskap i rollgrupperna Organisationshantering eller Säkerhetsadministratör .
  • Starta en automatiserad undersökning eller godkänn eller avvisa rekommenderade åtgärder:
    • Medlemskap i rollgrupperna Organisationshantering, Säkerhetsadministratör, Säkerhetsoperatör, Säkerhetsläsare eller Global läsare . och
    • Sök - och rensningsrollen , som endast tilldelas rollgrupperna Datadetektiv eller Organisationshantering som standard. Eller så kan du skapa en ny rollgrupp med rollen Sök och Rensa tilldelad och lägga till användarna i den anpassade rollgruppen.
• Microsoft Entra behörigheter: Ge användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365:
  • Konfigurera AIR-funktioner Medlemskap i rollerna Global administratör eller Säkerhetsadministratör .
  • Starta en automatiserad undersökning eller godkänn eller avvisa rekommenderade åtgärder:
    • Medlemskap i rollerna Global administratör, Säkerhetsadministratör, Säkerhetsoperatör, Säkerhetsläsare eller Global läsare . och
    • Medlemskap i en Email & samarbetsrollgrupp med sök- och rensningsrollen tilldelad enligt tidigare beskrivning.

Om du vill använda AIR måste du tilldelas en licens för Defender för Office 365 Plan 2 (ingår i din prenumeration eller en tilläggslicens).

Nästa steg

• AIR-exempel
• Se information och resultat av en automatiserad undersökning
• Granska och godkänna väntande åtgärder
• Visa väntande eller slutförda åtgärder