Microsoft Defender for Office 365安全操作指南

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

本文概述了在组织中成功操作Microsoft Defender for Office 365的要求和任务。 这些任务有助于确保安全运营中心 (SOC) 提供高质量、可靠的方法来保护、检测和响应电子邮件和协作相关的安全威胁。

本指南的其余部分介绍了 SecOps 人员所需的活动。 活动分为每日、每周、每月和即席任务。

本指南的配套文章概述了在Microsoft Defender门户中的“事件”页上管理来自Defender for Office 365的事件和警报

Microsoft Defender XDR安全操作指南包含可用于规划和开发的其他信息。

有关此信息的视频,请参阅 https://youtu.be/eQanpq9N1Ps

日常活动

监视Microsoft Defender XDR事件队列

Microsoft Defender门户中https://security.microsoft.com/incidents的“事件”页 (也称为“事件队列) ”,可用于管理和监视Defender for Office 365中以下源的事件:

有关事件队列的详细信息,请参阅Microsoft Defender XDR中的事件优先级

用于监视事件队列的会审计划应使用以下事件的优先级顺序:

  1. 检测到潜在的恶意 URL 单击
  2. 用户无法发送电子邮件
  3. 检测到可疑的电子邮件发送模式
  4. Email用户报告为恶意软件或网络钓鱼多个用户将电子邮件报告为恶意软件或网络钓鱼
  5. Email包含传递后删除的恶意文件的邮件Email在传递后删除了恶意 URL 的邮件,以及Email在传递后从市场活动中删除的邮件
  6. 由于 ETR 替代而传递的钓鱼由于禁用用户的垃圾邮件文件夹而传递的钓鱼,以及 由于 IP 允许策略而传递的钓鱼
  7. 由于 ZAP 被禁用,因此不会破坏恶意软件 ,并且由于 ZAP 被禁用,因此不会破坏网络钓鱼

下表描述了事件队列管理和负责人角色:

活动 Cadence 说明 Persona
在 处对事件队列 https://security.microsoft.com/incidents中的事件进行会审。 每天 验证来自Defender for Office 365的所有“中”和“高严重性”事件是否已会审。 安全运营团队
调查事件并采取响应操作。 每天 调查所有事件,并积极采取建议或手动响应操作。 安全运营团队
解决事件。 每天 如果事件已得到修正,请解决该事件。 解决事件可解决所有链接和相关的活动警报。 安全运营团队
对事件进行分类。 每天 将事件分类为 true 或 false。 对于真正的警报,请指定威胁类型。 此分类可帮助安全团队查看威胁模式并保护组织免受威胁模式的危害。 安全运营团队

管理误报和误报检测

在Defender for Office 365中,管理误报 (标记为坏) 的正常邮件, (以下位置允许) 坏邮件的误报:

有关详细信息,请参阅本文后面的 管理误报和误报检测 部分。

下表描述了误报和假负管理以及责任人:

活动 Cadence 说明 Persona
在 将误报和假负数提交到 Microsoft https://security.microsoft.com/reportsubmission 每天 通过报告不正确的电子邮件、URL 和文件检测,向Microsoft提供信号。 安全运营团队
分析管理员提交详细信息。 每天 了解为Microsoft提交的以下因素:
  • 导致误报或假负的原因。
  • 提交时Defender for Office 365配置的状态。
  • 是否需要更改Defender for Office 365配置。
安全运营团队

安全管理
在 的租户允许/阻止列表中 https://security.microsoft.com/tenantAllowBlockList添加块条目。 每天 根据需要,使用租户允许/阻止列表添加用于假负 URL、文件或发件人检测的阻止条目。 安全运营团队
从隔离区中释放误报。 每天 收件人确认邮件被错误隔离后,你可以释放或批准用户的释放请求。

若要控制用户可以对自己的隔离邮件执行哪些操作 (包括发布或请求发布) ,请参阅 隔离策略
安全运营团队

消息传送团队

查看导致邮件送达的钓鱼和恶意软件活动

活动 Cadence 说明 Persona
查看电子邮件市场活动。 每天 https://security.microsoft.com/campaigns查看面向组织的电子邮件市场活动。 专注于导致邮件传递给收件人的活动。

从用户邮箱中存在的市场活动中删除邮件。 仅当市场活动包含尚未通过事件操作、 零小时自动清除 (ZAP) 或手动修正来修正的电子邮件时,才需要执行此操作。
安全运营团队

每周活动

在 Defender for Office 365 中,可以使用以下报告来查看组织中的电子邮件检测趋势:

活动 Cadence 说明 Persona
在以下位置查看电子邮件检测报告: 每周 查看与良好电子邮件相比,恶意软件、网络钓鱼和垃圾邮件的电子邮件检测趋势。 随着时间的推移,观察可查看威胁模式,并确定是否需要调整Defender for Office 365策略。 安全管理

安全运营团队

使用威胁分析跟踪和响应新出现的威胁

使用 威胁分析 查看活动的热门威胁。

活动 Cadence 说明 Persona
在 中的威胁分析 https://security.microsoft.com/threatanalytics3中查看威胁。 每周 威胁分析提供详细的分析,包括以下项:
  • IOC。
  • 搜寻有关活跃威胁参与者及其活动的查询。
  • 常用和新的攻击技术。
  • 关键漏洞。
  • 常见的攻击面。
  • 流行的恶意软件。
安全运营团队

威胁搜寻团队

查看恶意软件和网络钓鱼的热门目标用户

使用威胁资源管理器中“所有电子邮件恶意软件网络钓鱼”视图详细信息区域中的“前目标用户”选项卡 (视图) 来发现或确认恶意软件和钓鱼电子邮件的主要目标用户。

活动 Cadence 说明 Persona
查看威胁资源管理器https://security.microsoft.com/threatexplorer中位于 的“主要目标用户”选项卡。 每周 使用信息来确定是否需要调整这些用户的策略或保护。 将受影响的用户添加到 优先级帐户 ,以获得以下优势: 安全管理

安全运营团队

查看针对组织的热门恶意软件和钓鱼活动

市场活动视图显示针对组织的恶意软件和钓鱼攻击。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的市场活动视图

活动 Cadence 说明 Persona
使用 的https://security.microsoft.com/campaigns“市场活动视图”查看影响你的恶意软件和钓鱼攻击。 每周 了解攻击和技术,以及Defender for Office 365能够识别和阻止的内容。

使用市场活动视图中的 下载威胁报告 获取有关市场活动的详细信息。
安全运营团队

即席活动

手动调查和删除电子邮件

活动 Cadence 说明 Persona
根据用户请求,在威胁资源管理器 https://security.microsoft.com/threatexplorer 中调查并删除错误电子邮件。 临时 使用威胁资源管理器中的 “触发调查 ”操作,针对过去 30 天内的任何电子邮件启动自动调查和响应 playbook。 手动触发调查可以节省时间和精力,方法是集中包括:
  • 根调查。
  • 识别和关联威胁的步骤。
  • 用于缓解这些威胁的建议操作。

有关详细信息,请参阅 示例:用户报告的钓鱼邮件启动调查 playbook

或者,可以使用威胁资源管理器通过强大的搜索和筛选功能 手动调查电子邮件 ,并直接从同一位置 执行手动响应操作 。 可用的手动操作:
  • 移动到收件箱
  • 移动到垃圾邮件
  • 移动到已删除的项目
  • 软删除
  • 硬删除。
安全运营团队

主动搜寻威胁

活动 Cadence 说明 Persona
定期主动在:. 临时 使用 威胁资源管理器高级搜寻搜索威胁。 安全运营团队

威胁搜寻团队
共享搜寻查询。 临时 主动共享安全团队中常用的有用查询,以便更快地手动搜寻和修正威胁。

在高级搜寻中使用威胁跟踪器和共享查询。
安全运营团队

威胁搜寻团队
https://security.microsoft.com/custom_detection创建自定义检测规则。 临时 创建自定义检测规则,根据提前搜寻中的Defender for Office 365数据主动监视事件、模式和威胁。 检测规则包含基于匹配条件生成警报的高级搜寻查询。 安全运营团队

威胁搜寻团队

查看Defender for Office 365策略配置

活动 Cadence 说明 Persona
在 中查看Defender for Office 365策略https://security.microsoft.com/configurationAnalyzer的配置。 临时

每月
使用配置分析器将现有策略设置与Defender for Office 365的建议Standard或严格值进行比较。 配置分析器识别可能会降低组织安全状况的意外或恶意更改。

也可以使用基于 PowerShell 的 ORCA 工具
安全管理

消息传送团队
查看 Defender for Office 365 中的检测替代https://security.microsoft.com/reports/TPSMessageOverrideReportATP 临时

每月
使用威胁防护状态报告中的“按系统替代>查看数据”图表按原因细分视图,查看检测到为网络钓鱼但因策略或用户替代设置而发送的电子邮件。

主动调查、删除或微调替代,以避免发送被确定为恶意的电子邮件。
安全管理

消息传送团队

查看欺骗和模拟检测

活动 Cadence 说明 Persona
在 查看欺骗智能见解模拟检测见解. 临时

每月
使用 欺骗智能见解模拟见解 来调整欺骗和模拟检测的筛选。 安全管理

消息传送团队

查看优先级帐户成员身份

活动 Cadence 说明 Persona
查看在 中定义为优先帐户 https://security.microsoft.com/securitysettings/userTags的人员。 临时 使 优先级帐户 的成员身份与组织更改保持同步,以便为这些用户获得以下权益:
  • 在报表中提高可见性。
  • 在事件和警报中筛选。
  • 针对高管邮件流模式定制试探 (优先帐户保护) 。

使用其他用户的自定义 用户标记 获取:
  • 在报表中提高可见性。
  • 在事件和警报中筛选。
安全运营团队

附录

了解Microsoft Defender for Office 365工具和流程

安全运营和响应团队成员需要将Defender for Office 365工具和功能集成到现有调查和响应流程中。 了解新工具和功能可能需要一段时间,但这是入职过程的关键部分。 SecOps 和电子邮件安全团队成员了解Defender for Office 365的最简单方法是使用作为 Ninja 培训内容的一部分提供的培训内容。https://aka.ms/mdoninja

内容针对不同知识级别进行结构, (基础知识、中级和高级) ,每个级别有多个模块。

Microsoft Defender for Office 365 YouTube 频道中还提供了特定任务的简短视频。

Defender for Office 365活动和任务的权限

在 Microsoft Defender 门户和 PowerShell 中管理Defender for Office 365的权限基于基于角色的访问控制 (RBAC) 权限模型。 RBAC 与大多数 Microsoft 365 服务使用的权限模型相同。 有关详细信息,请参阅 Microsoft Defender 门户中的权限

注意

Privileged Identity Management (Microsoft Entra ID 中的 PIM) 也是向 SecOps 人员分配所需权限的一种方式。 有关详细信息,请参阅 Privileged Identity Management (PIM) 以及为何将其与 Microsoft Defender for Office 365 配合使用

Defender for Office 365中提供了以下权限 (角色和角色组) ,可用于向安全团队成员授予访问权限:

  • Microsoft Entra ID:为所有Microsoft 365 服务(包括Defender for Office 365)分配权限的集中式角色。 可以在Microsoft Defender门户中查看Microsoft Entra角色和分配的用户,但不能直接在那里对其进行管理。 而是在 中管理Microsoft Entra角色和成员https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F。 安全团队最常使用的角色是:

  • Exchange OnlineEmail &协作:授予特定于Microsoft Defender for Office 365的权限的角色和角色组。 以下角色在 Microsoft Entra ID 中不可用,但对安全团队可能很重要:

    • 预览角色 (Email & 协作) :将此角色分配给需要预览或下载电子邮件作为调查活动的一部分的团队成员。 允许用户使用威胁资源管理器 (资源管理器) 或实时检测以及Email实体页从云邮箱预览和下载电子邮件。

      默认情况下, 预览 角色仅分配给以下角色组:

      • 数据调查员
      • 电子数据展示管理员

      可以将用户添加到这些角色组,也可以创建分配有预览角色的新角色组,并将用户添加到自定义角色组。

    • 搜索和清除角色 (Email & 协作) :根据 AIR 的建议批准删除恶意邮件,或在威胁资源管理器等搜寻体验中对邮件执行手动操作。

      默认情况下, “搜索”和“清除” 角色仅分配给以下角色组:

      • 数据调查员
      • 组织管理

      可以将用户添加到这些角色组,也可以创建分配有搜索和清除角色的新角色组,并将用户添加到自定义角色组。

    • Tenant AllowBlockList 管理器 (Exchange Online) :管理租户允许/阻止列表中的允许和阻止条目。 使用文件哈希) 或发件人阻止 URL、文件 (是调查已传递的恶意电子邮件时要采取的有用响应操作。

      默认情况下,此角色仅分配给 Exchange Online 中的安全操作员角色组,而不分配给 Microsoft Entra ID。 Microsoft Entra ID中安全操作员角色的成员身份不允许管理租户允许/阻止列表的条目。

      Microsoft Entra ID中的安全管理员组织管理角色的成员或Exchange Online中的相应角色组能够管理租户允许/阻止列表中的条目。

SIEM/SOAR 集成

Defender for Office 365通过一组编程 API 公开其大部分数据。 这些 API 可帮助你自动执行工作流并充分利用Defender for Office 365功能。 数据可通过Microsoft Defender XDR API 获取,并可用于将Defender for Office 365集成到现有的 SIEM/SOAR 解决方案中。

  • 事件 API:Defender for Office 365警报和自动调查是Microsoft Defender XDR事件的活动部分。 安全团队可以通过将整个攻击范围和所有受影响的资产组合在一起,专注于关键内容。

  • 事件流式处理 API:允许在发生实时事件和警报时将实时事件和警报传送到单个数据流中。 Defender for Office 365中支持的事件类型包括:

    这些事件包含处理所有电子邮件 (包括过去 30 天内) 组织内部消息的数据。

  • 高级搜寻 API:允许跨产品威胁搜寻。

  • 威胁评估 API:可用于直接向Microsoft报告垃圾邮件、网络钓鱼 URL 或恶意软件附件。

若要将Defender for Office 365事件和原始数据与Microsoft Sentinel连接,可以使用 Microsoft Defender XDR (M365D) 连接器

可以使用以下“Hello World”示例测试 API 对Microsoft Defender API 的访问:Microsoft Defender XDR REST API 的Hello World

有关 SIEM 工具集成的详细信息,请参阅将 SIEM 工具与Microsoft Defender XDR集成

解决Defender for Office 365中的误报和误报

用户报告的消息和管理员提交的电子邮件是机器学习检测系统的关键积极强化信号。 提交有助于我们审查、会审、快速了解和缓解攻击。 主动报告误报和误报是一项重要活动,在检测过程中出错时向Defender for Office 365提供反馈。

组织有多个选项用于配置用户报告的消息。 根据配置,当用户向Microsoft提交误报或误报时,安全团队可能会更积极地参与:

  • 使用以下任一设置配置 用户报告设置时,用户报告 的消息将发送到 Microsoft进行分析:

    • 将报告的消息发送到仅Microsoft
    • 将报告的邮件发送到Microsoft和我的报告邮箱

    当运营团队发现用户未报告的误报或误报时,安全团队成员应执行即席 管理员提交

  • 当用户报告的邮件配置为仅将邮件发送到组织的邮箱时,安全团队应通过管理员提交主动发送用户报告的误报和误报以Microsoft。

当用户将邮件报告为网络钓鱼时,Defender for Office 365会生成警报,并且警报会触发 AIR playbook。 事件逻辑在可能的情况下将此信息与其他警报和事件相关联。 这种信息整合有助于安全团队对用户报告的消息进行会审、调查和响应。

用户报告消息和管理员提交邮件时,服务中的提交管道遵循紧密集成的流程。 此过程通常包括:

  • 噪。
  • 自动会审。
  • 由安全分析师和基于人工合作的机器学习解决方案进行评分。

有关详细信息,请参阅在 Defender for Office 365 - Microsoft Tech Community 中报告电子邮件

安全团队成员可以在 Microsoft Defender 门户中https://security.microsoft.com的多个位置执行提交:

  • 管理员提交:使用“提交”页向Microsoft提交可疑的垃圾邮件、网络钓鱼、URL 和文件。

  • 直接从威胁资源管理器使用以下消息操作之一:

    • 报表清理
    • 报告钓鱼
    • 报告恶意软件
    • 报告垃圾邮件

    最多可以选择 10 条消息来执行批量提交。 使用这些方法创建的管理员提交显示在“提交”页面上的相应选项卡上。

为了短期缓解误报,安全团队可以直接管理 租户允许/阻止列表中的文件、URL、域或电子邮件地址的阻止条目。

为了短期缓解误报,安全团队无法直接管理租户允许/阻止列表中的域和电子邮件地址的允许条目。 相反,他们需要使用 管理员提交 将电子邮件报告为误报。 有关说明,请参阅 向Microsoft报告良好电子邮件

Defender for Office 365中的隔离保存潜在危险或不需要的邮件和文件。 安全团队可以查看、释放和删除所有用户的所有类型的隔离邮件。 此功能使安全团队能够在隔离误报消息或文件时进行有效响应。

将第三方报告工具与Defender for Office 365用户报告的消息集成

如果你的组织使用允许用户在内部报告可疑电子邮件的第三方报告工具,则可以将该工具与Defender for Office 365的用户报告邮件功能集成。 此集成为安全团队提供以下优势:

  • 与 Defender for Office 365 的 AIR 功能集成。
  • 简化会审。
  • 缩短了调查和响应时间。

指定在 Microsoft Defender 门户中https://security.microsoft.com/securitysettings/userSubmission的“用户报告设置”页上发送用户报告邮件的报告邮箱。 有关详细信息,请参阅 用户报告设置

注意

  • 报告邮箱必须是Exchange Online邮箱。
  • 第三方报告工具必须包含未压缩的原始报告消息。EML 或 。发送到报告邮箱的邮件中的 MSG 附件 (不只是将原始邮件转发到报告邮箱) 。 有关详细信息,请参阅 第三方报告工具的邮件提交格式
  • 报告邮箱需要特定的先决条件,以允许传递潜在的错误邮件,而无需筛选或更改。 有关详细信息,请参阅 报表邮箱的配置要求

当用户报告的邮件到达报告邮箱时,Defender for Office 365将自动生成名为 Email由用户报告为恶意软件或网络钓鱼的警报。 此警报会启动 AIR playbook。 playbook 执行一系列自动调查步骤:

  • 收集有关指定电子邮件的数据。
  • 收集有关与该电子邮件相关的威胁和 实体 的数据, (例如文件、URL 和收件人) 。
  • 根据调查结果,为 SecOps 团队提供建议的操作。

Email用户报告为恶意软件或网络钓鱼警报,自动调查及其建议的操作会自动与Microsoft Defender XDR中的事件相关联。 此关联进一步简化了安全团队的会审和响应过程。 如果多个用户报告相同或类似的消息,则所有用户和消息都关联到同一事件中。

Defender for Office 365中的警报和调查数据会自动与其他Microsoft Defender XDR产品中的警报和调查进行比较:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

如果发现关系,系统会创建一个事件,以便为整个攻击提供可见性。