適用於 Office 365 的 Microsoft Defender 方案 2 中 AIR) (自動化調查和回應

• 適用於:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

當 安全性警示 出現在 Microsoft 365 組織 https://security.microsoft.com/alerts中時，由 SecOps) 小組 (安全性作業來檢閱、排定優先順序及回應這些警示。 跟上傳入警示的數量可能會非常龐大。 將其中一些工作自動化會有所説明。

適用於 Office 365 的 Microsoft Defender 方案 2 (包含Microsoft 365 個授權，例如 E5 或獨立訂用帳戶，) 包含強大的自動化調查和回應 (AIR) 功能，可節省 SecOps 小組的時間和精力。

AIR 會藉由完成組織層級調查來分級高影響力、大量警示。 AIR 調查會展開偵測，或提供其他分析來判斷組織的威脅狀態。 當 AIR 識別威脅時，它會將 SecOps 人員要核准的威脅補救動作排入佇列。 AIR 會產生下列優點：

• 自動化調查程式以回應已知的威脅。
• 等待核准的適當補救動作，可讓您的 SecOps 小組有效地回應偵測到的威脅。
• 您的 SecOps 小組能夠專注於較高優先順序的工作，而不會看到觸發的重要警示。

適用於 Office 365 的 Defender 方案 2 中的 AIR 要求在預設開啟稽核記錄 (開啟稽核記錄) 。

AIR 的整體流程

系統會觸發警示，而安全性劇本會啟動自動化調查，以產生結果和建議的動作。 以下是 AIR 的整體流程，逐步說明：

1. 自動化調查會以下列其中一種方式啟動：

   • 專為起始 AIR 而設計的特定警示。 這些警示包括：

     • 在電子郵件 (中識別出可疑的專案，例如訊息本身、附件、URL 或遭入侵的用戶帳戶) 。

     • 零時差自動清除 (ZAP) 。

     • 使用者提交。

     • 用戶按兩下 [警示]。

     • 可疑的信箱行為。

       提示

       請務必定期檢閱貴組織的警示。 如需觸發自動化調查的警示原則詳細資訊，請參閱 威脅管理類別中的預設警示原則。 包含 [自動調查是] 值的專案可以觸發自動化調查。 如果這些警示已停用或由自定義警示取代，則不會觸發 AIR。

   • 安全性分析師在 [威脅總管]、[進階搜捕]、[自定義偵測]、[Email 實體] 頁面或 [Email 摘要] 面板中選取 [採取動作] 來手動觸發調查。 如需詳細資訊，請參閱威脅搜捕：Email 補救。 For examples, see For examples, see Automated investigation and response (AIR) examples in Microsoft Defender for Office 365 Plan 2.

2. 自動化調查會評估並分析警示的本質、所涉及的訊息，以及訊息周圍的其他辨識項。 調查範圍可以根據在調查期間發現和收集的辨識項而增加。

3. 在自動化調查期間和之後，可以取得 詳細數據和結果 。 結果可能包含 SecOps 人員 的建議動作 ，以補救找到的威脅。

4. SecOps 小組會檢閱調查本身、事件或控制中心) 中 (的 調查結果和建議 ，並 核准或拒絕補救動作。

   提示

   不會自動執行任何補救動作。 補救動作需要由 SecOps 人員手動核准。 AIR 功能可藉由取得建議的補救動作和所有詳細數據來節省時間，以做出明智的決策。

   AIR 也會評估並自動解決找不到任何威脅的警示和事件，以節省時間。 此結果在使用者提交案例中非常常見。 如果找不到任何威脅，或在已修復的訊息中找到威脅，AIR 就會關閉調查。 通常

5. 由於擱置中的補救動作已核准或遭到拒絕，自動化調查會完成。

   如果未識別任何建議的動作，自動化調查會自動關閉。 調查詳細數據仍可在 的 [ 調查 ] 頁面 https://security.microsoft.com/airinvestigation上取得。

在每個自動化調查期間和之後，SecOps 小組可以執行下列工作：

• 檢視與調查相關警示的詳細資料
• 檢視調查的結果詳細數據
• 根據調查的結果檢閱和核准動作

AIR 的必要許可權和授權

您必須獲指派許可權才能使用 AIR。 您有下列選項：

• Microsoft Defender 全面偵測回應 RBAC) (整合角色型存取控制 (如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站，而不會影響 PowerShell) ：
  • 開始自動化調查或核准或拒絕建議的動作：安全性作業/Email 進階補救動作 (管理) 。
• 在 Microsoft Defender 入口網站中 Email & 共同作業許可權：
  • 設定 AIR 功能： 組織管理 或 安全性系統管理員 角色群組中的成員資格。
  • 開始自動化調查 或 核准或拒絕建議的動作：
    • 組織管理、安全性系統管理員、安全性操作員、安全性讀取者或全域讀取者角色群組的成員資格。 及
    • 搜尋和清除角色，預設只會指派給數據管理或組織管理角色群組。 或者，您可以建立已指派搜尋和清除角色的新角色群組，並將使用者新增至自定義角色群組。
• Microsoft Entra 權限：為使用者提供Microsoft 365 中其他功能的必要許可權和許可權：
  • 設定 AIR 功能全域管理員或安全性系統管理員角色的成員資格。
  • 開始自動化調查 或 核准或拒絕建議的動作：
    • 全域管理員、安全性系統管理員、安全性操作員、安全性讀取者或全域讀取者角色的成員資格。 及
    • Email & 共同作業角色群組中的成員資格，且已指派搜尋和清除角色，如先前所述。

若要使用 AIR，您必須獲指派訂用帳戶中包含 適用於 Office 365 的 Defender 方案 2 (或附加元件授權) 的授權。

後續步驟

• AIR 範例
• 查看自動化調查的詳細數據和結果
• 檢閱和核准擱置中的動作
• 檢視擱置或已完成的補救動作