自动调查和响应在 Microsoft Defender for Office 365 中的工作原理
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
触发安全警报后,安全运营团队将负责调查这些警报并采取措施以保护你的组织。 有时,安全运营团队可能会感到被触发的警报量所淹没。 Microsoft Defender for Office 365中的自动调查和响应 (AIR) 功能可以提供帮助。
AIR 使安全运营团队能够更高效地运营。 AIR 功能包括自动调查过程,以响应当前存在的已知威胁。 适当的修正操作等待审批,使安全运营团队能够响应检测到的威胁。
本文通过几个示例介绍了 AIR 的工作原理。 准备好开始使用 AIR 时,请参阅 自动调查和响应威胁。
示例:用户报告的钓鱼邮件启动调查 playbook
假设组织中的用户收到一封他们认为是网络钓鱼尝试的电子邮件。 经过训练以报告此类邮件的用户使用 Microsoft报告邮件或报告钓鱼加载项 将其发送到Microsoft进行分析。 提交也会发送到系统,并在“ 提交 ”视图中的“资源管理器”中可见, (以前称为 “用户报告 视图”) 。 此外,用户报告的消息现在会触发基于系统的信息警报,该警报会自动启动调查 playbook。
在根调查阶段,将评估电子邮件的各个方面。 这些方面包括:
- 确定它可能是哪种类型的威胁;
- 发送者;
- 从发送基础结构) (发送电子邮件的位置;
- 电子邮件的其他实例是否已传递或阻止;
- 来自分析师的评估;
- 电子邮件是否与任何已知的市场活动相关联;
- 等等。
根调查完成后,playbook 会列出要对原始电子邮件采取的建议操作以及与原始电子邮件关联的 实体 (例如文件、URL 和收件人) 。
接下来,将执行几个威胁调查和搜寻步骤:
- 通过电子邮件群集搜索识别类似的电子邮件。
- 信号与其他平台共享,例如Microsoft Defender for Endpoint。
- 确定用户是否在可疑电子邮件中单击了任何恶意链接。
- Exchange Online Protection (EOP) 执行检查,Microsoft Defender for Office 365查看用户是否报告了任何其他类似的消息。
- 执行检查以查看用户是否已遭到入侵。 此检查跨Office 365、Microsoft Defender for Cloud Apps和Microsoft Entra ID利用信号,将任何相关的用户活动异常关联起来。
在搜寻阶段,风险和威胁分配给各种搜寻步骤。
修正是 playbook 的最后阶段。 在此阶段,会根据调查和搜寻阶段执行修正步骤。
示例:安全管理员从威胁资源管理器触发调查
除了警报触发的自动调查之外,组织的安全运营团队还可以从 威胁资源管理器中的视图触发自动调查。 此调查还会创建警报,因此Microsoft Defender XDR事件和外部 SIEM 工具可以看到此调查已触发。
例如,假设你在资源管理器中使用 恶意软件 视图。 使用图表下方的选项卡,选择“Email”选项卡。如果在列表中选择一个或多个项,则会激活“+ 操作”按钮。
使用 “操作” 菜单,可以选择“ 触发调查”。
与警报触发的 playbook 类似,从资源管理器中的视图触发的自动调查包括根调查、识别和关联威胁的步骤以及缓解这些威胁的建议操作。
示例:安全运营团队使用Office 365管理活动 API 将 AIR 与其 SIEM 集成
Microsoft Defender for Office 365中的 AIR 功能包括报表 & 详细信息,安全运营团队可用于监视和解决威胁。 但你也可以将 AIR 功能与其他解决方案集成。 示例包括安全信息和事件管理 (SIEM) 系统、案例管理系统或自定义报告解决方案。 可以使用 Office 365 管理活动 API 完成这些类型的集成。
例如,最近,一个组织为其安全运营团队设置了一种方法来查看已由 AIR 处理的用户报告的钓鱼警报。 他们的解决方案将相关警报与组织的 SIEM 服务器及其案例管理系统集成。 该解决方案大大减少了误报的数量,以便其安全运营团队可以将时间和精力集中在实际威胁上。 若要了解有关此自定义解决方案的详细信息,请参阅技术社区博客:使用 Microsoft Defender for Office 365 和 O365 管理 API 提高 SOC 的有效性。