Microsoft Defender for Office 365计划 2 中的自动调查和响应 (AIR)

• 适用于:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

当 安全警报 出现在 Microsoft 365 组织中 https://security.microsoft.com/alerts时，由安全操作 (SecOps) 团队查看、确定优先级并做出响应。 跟上传入警报的数量可能会令人难以承受。 自动执行其中一些任务可能会有所帮助。

Microsoft Defender for Office 365计划 2 (包含在 Microsoft 365 个许可证（如 E5）或作为独立订阅) 包括强大的自动调查和响应 (AIR) 功能，可节省时间和精力，为 SecOps 团队节省时间和精力。

AIR 会审通过完成组织级别的调查，对高影响、高容量警报进行会审。 AIR 调查扩展了检测或提供其他分析来确定组织的威胁状态。 当 AIR 识别威胁时，它会将威胁修正操作排队，供 SecOps 人员批准。 AIR 具有以下优势：

• 响应已知威胁的自动调查过程。
• 等待审批的适当修正操作，使 SecOps 团队能够有效地响应检测到的威胁。
• SecOps 团队能够专注于优先级更高的任务，而不会忽略触发的重要警报。

Defender for Office 365计划 2 中的 AIR 要求在默认情况下启用审核日志记录 (启用) 。

AIR 的整体流

将触发警报，安全 playbook 将启动自动调查，从而得出结果和建议的操作。 下面是 AIR 的整体流程，分步介绍：

1. 通过以下方式之一启动自动调查：

   • 旨在启动 AIR 的特定警报。 这些警报包括：

     • 在电子邮件 (标识可疑内容，例如邮件本身、附件、URL 或泄露的用户帐户) 。

     • 零小时自动清除 (ZAP) 。

     • 用户提交。

     • 用户单击警报。

     • 可疑的邮箱行为。

       提示

       请务必定期查看组织的警报。 有关触发自动调查的警报策略的详细信息，请参阅 威胁管理类别中的默认警报策略。 包含“自动调查”值的“是”的条目可以触发自动调查。 如果这些警报被禁用或替换为自定义警报，则不会触发 AIR。

   • 安全分析师通过在威胁资源管理器、高级搜寻、自定义检测、Email实体页或Email摘要面板中选择“执行操作”手动触发调查。 有关详细信息，请参阅威胁搜寻：Email修正。 有关示例，请参阅有关示例，请参阅Microsoft Defender for Office 365计划 2 中的自动调查和响应 (AIR) 示例。

2. 自动调查评估和分析警报的性质、涉及的消息以及围绕消息的其他证据。 调查范围可能会根据调查期间发现和收集的证据而增加。

3. 在自动调查期间和之后， 详细信息和结果 都可用。 结果可能包括为 SecOps 人员 提供的建议操作 ，以修正发现的威胁。

4. SecOps 团队评审调查本身、事件或操作中心) (调查结果和建议 ，并 批准或拒绝修正操作。

   提示

   不会自动执行任何修正操作。 修正操作需要 SecOps 人员手动批准。 AIR 功能通过获取建议的修正操作和所有详细信息来节省时间，从而做出明智的决策。

   AIR 还通过评估并自动解决未发现威胁的警报和事件来节省时间。 此结果在用户提交方案中非常常见。 如果已修正的消息中未发现威胁或发现威胁，AIR 将关闭调查。 通常

5. 等待修正操作被批准或拒绝时，自动调查完成。

   如果未识别任何建议的操作，则自动调查会自动关闭。 调查的详细信息仍位于 的“ 调查 ”页上 https://security.microsoft.com/airinvestigation。

在每次自动调查期间和之后，SecOps 团队可以执行以下任务：

• 查看与调查相关的警报的详细信息
• 查看调查的结果详细信息
• 查看和批准因调查而执行的操作

AIR 所需的权限和许可

需要为你分配权限才能使用 AIR。 可以选择下列选项：

• Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户，而不会影响 PowerShell) ：
  • 启动自动调查或批准或拒绝建议的操作：安全操作/Email高级修正操作 (管理) 。
• Email & Microsoft Defender门户中的协作权限：
  • 设置 AIR 功能： 组织管理 或 安全管理员 角色组中的成员身份。
  • 启动自动调查 或 批准或拒绝建议的操作：
    • 组织管理、安全管理员、安全操作员、安全读取者或全局读取者角色组中的成员身份。 和
    • “搜索和清除”角色，默认情况下仅分配给数据调查员或组织管理角色组。 或者，可以 创建分配 有 “搜索和清除 ”角色的新角色组，并将用户添加到自定义角色组。
• Microsoft Entra权限：为用户提供Microsoft 365 中其他功能所需的权限和权限：
  • 设置 AIR 功能全局管理员或安全管理员角色的成员身份。
  • 启动自动调查 或 批准或拒绝建议的操作：
    • 全局管理员、安全管理员、安全操作员、安全读取者或全局读取者角色的成员身份。 和
    • Email &协作角色组中的成员身份，其中分配了前面所述的搜索和清除角色。

若要使用 AIR，需要为你分配订阅中包含的Defender for Office 365计划 2 (许可证或附加许可证) 。

后续步骤

• AIR 示例
• 查看自动调查的详细信息和结果
• 查看和批准挂起的操作
• 查看挂起或已完成的修正操作