適用於 Office 365 的 Microsoft Defender 安全性作業指南
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
本文提供在組織中成功操作 適用於 Office 365 的 Microsoft Defender 的需求和工作概觀。 這些工作有助於確保您的安全性作業中心 (SOC) 提供高品質、可靠的方法來保護、偵測及回應電子郵件和共同作業相關安全性威脅。
本指南的其餘部分說明 SecOps 人員所需的活動。 這些活動會分組為規範的每日、每周、每月和臨機操作工作。
本指南的隨附文章提供概觀,可在 Microsoft Defender 入口網站的 [事件] 頁面上管理來自 適用於 Office 365 的 Defender 的事件和警示。
Microsoft Defender 全面偵測回應 安全性作業指南包含可用於規劃和開發的其他資訊。
如需有關此資訊的影片,請參閱 https://youtu.be/eQanpq9N1Ps。
每日活動
監視 Microsoft Defender 全面偵測回應 事件佇列
Microsoft Defender 入口網站https://security.microsoft.com/incidents中的 [事件] 頁面, (也稱為事件佇列) 可讓您在 適用於 Office 365 的 Defender 中管理和監視來自下列來源的事件:
- 警示。
- AIR (自動化調查和回應) 。
如需事件佇列的詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中排定事件的優先順序。
監視事件佇列的分級計劃應該針對事件使用下列優先順序:
- 偵測到潛在的惡意 URL 點擊。
- 受限制的用戶無法傳送電子郵件。
- 偵測到可疑的電子郵件傳送模式。
- Email 用戶回報為惡意代碼或網路釣魚,而多位用戶回報電子郵件為惡意代碼或網路釣魚。
- Email 傳遞後移除包含惡意檔案的訊息,Email 傳遞後移除包含惡意 URL 的訊息,以及 Email 傳遞後移除行銷活動的訊息。
- 因 ETR 覆寫而傳遞的網路釣魚、因使用者的垃圾郵件資料夾停用而傳遞的網路釣魚,以及因 IP 允許原則而傳遞的網路釣魚
- 因為 ZAP 已停 用,且網路 釣魚已停用,所以惡意代碼未受到攻擊。
下表說明事件佇列管理和負責人員:
活動 | 步調 | 描述 | 角色 |
---|---|---|---|
將事件佇列中的事件分級,位於 https://security.microsoft.com/incidents。 | 每日 | 確認 適用於 Office 365 的 Defender 的所有中高嚴重性事件都已分級。 | 安全性作業小組 |
調查事件並採取回應動作。 | 每日 | 調查所有事件,並主動採取建議或手動的回應動作。 | 安全性作業小組 |
解決事件。 | 每日 | 如果事件已補救,請解決此事件。 解決事件會解決所有連結和相關的作用中警示。 | 安全性作業小組 |
分類事件。 | 每日 | 將事件分類為 true 或 false。 若為 true 警示,請指定威脅類型。 此分類可協助您的安全性小組查看威脅模式,並防範您的組織。 | 安全性作業小組 |
管理誤判和誤判為真偵測
在 適用於 Office 365 的 Defender 中,您會在下列位置管理 (標示為不正確) 的良好郵件的誤判,以及 (允許) 錯誤郵件的誤判:
For more information, see the Manage false positive and false negative detections section later in this article.
下表說明誤判和誤判為負的管理和責任人:
活動 | 步調 | 描述 | 角色 |
---|---|---|---|
在提交誤判和誤判Microsoft。https://security.microsoft.com/reportsubmission | 每日 | 藉由報告不正確的電子郵件、URL 和檔案偵測,提供訊號給Microsoft。 | 安全性作業小組 |
分析系統管理員提交詳細數據。 | 每日 | 了解您對Microsoft提交的下列因素:
|
安全性作業小組 安全性管理 |
在的租用戶允許/封鎖清單 https://security.microsoft.com/tenantAllowBlockList中新增區塊專案。 | 每日 | 使用租使用者允許/封鎖清單,視需要新增誤判 URL、檔案或發件人偵測的封鎖專案。 | 安全性作業小組 |
從隔離區釋放誤判。 | 每日 | 當收件者確認郵件未正確隔離之後,您可以釋放或核准使用者的發行要求。 若要控制使用者可以針對自己的隔離郵件執行哪些動作, (包括發行或要求發行) ,請參閱 隔離原則。 |
安全性作業小組 傳訊小組 |
檢閱導致郵件傳遞的網路釣魚和惡意代碼活動
活動 | 步調 | 描述 | 角色 |
---|---|---|---|
檢閱電子郵件活動。 | 每日 |
檢閱 以 貴組織 https://security.microsoft.com/campaigns為目標的電子郵件活動。 專注於導致訊息傳遞給收件者的活動。 從存在於使用者信箱中的營銷活動移除訊息。 只有當活動包含的電子郵件尚未由事件的動作補救、零 時差自動清除 (ZAP) 或手動補救時,才需要此動作。 |
安全性作業小組 |
每周活動
檢閱 適用於 Office 365 的 Defender報表中的電子郵件偵測趨勢
在 適用於 Office 365 的 Defender 中,您可以使用下列報告來檢閱組織中的電子郵件偵測趨勢:
活動 | 步調 | 描述 | 角色 |
---|---|---|---|
檢閱電子郵件偵測報告,網位於: | 每週 | 檢閱與良好電子郵件相較之下,惡意代碼、網路釣魚和垃圾郵件的電子郵件偵測趨勢。 一段時間的觀察可讓您查看威脅模式,並判斷是否需要調整 適用於 Office 365 的 Defender 原則。 | 安全性管理 安全性作業小組 |
使用威脅分析追蹤和回應新興威脅
使用 威脅分析 來檢閱作用中的趨勢威脅。
活動 | 步調 | 描述 | 角色 |
---|---|---|---|
在檢閱威脅分析中 https://security.microsoft.com/threatanalytics3的威脅。 | 每週 | 威脅分析提供詳細的分析,包括下列專案:
|
安全性作業小組 威脅搜捕小組 |
檢閱惡意代碼和網路釣魚的熱門目標使用者
使用 [威脅總管] 中 [所有電子郵件]、[惡意代碼] 和 [網络釣魚] 檢視詳細數據區域中的 [主要目標使用者] 索引卷標 (檢視) ,以探索或確認作為惡意代碼和網络釣魚電子郵件主要目標的使用者。
活動 | 步調 | 描述 | 角色 |
---|---|---|---|
檢閱威脅總管中的 [熱門目標使用者 ] 索引標籤,位於 https://security.microsoft.com/threatexplorer。 | 每週 | 使用資訊來決定您是否需要調整這些用戶的原則或保護。 將受影響的使用者新增至 優先順序帳戶 ,以獲得下列優點:
|
安全性管理 安全性作業小組 |
檢閱以您組織為目標的熱門惡意代碼和網路釣魚活動
營銷活動檢視會顯示對您組織的惡意代碼和網路釣魚攻擊。 如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的活動檢視。
活動 | 步調 | 描述 | 角色 |
---|---|---|---|
使用中的行銷活動檢視https://security.microsoft.com/campaigns來檢視會影響您的惡意代碼和網路釣魚攻擊。 | 每週 | 瞭解攻擊和技術,以及 適用於 Office 365 的 Defender 能夠識別和封鎖的專案。 如需營銷活動的詳細資訊,請使用行銷活動檢視中的 下載威脅報告 。 |
安全性作業小組 |
臨機操作活動
手動調查和移除電子郵件
活動 | 步調 | 描述 | 角色 |
---|---|---|---|
根據使用者要求,在威脅總管 https://security.microsoft.com/threatexplorer 中調查和移除不正確的電子郵件。 | 臨機操作 | 使用 [威脅總管] 中的 [觸發程序調查 ] 動作,即可在過去 30 天內的任何電子郵件上啟動自動化調查和回應劇本。 手動觸發調查可集中包括下列專案,以節省時間和精力:
如需詳細資訊,請參閱 範例:用戶回報的網路釣魚訊息啟動調查劇本 或者,您可以使用 [威脅總管] 手 動調查 具有強大搜尋和篩選功能的電子郵件,並直接從相同位置 採取手動響應動作 。 可用的手動動作:
|
安全性作業小組 |
主動威脅搜捕
活動 | 步調 | 描述 | 角色 |
---|---|---|---|
針對威脅進行一般主動式搜捕,位於:. | 臨機操作 | 使用 威脅總管 和 進階搜捕來搜尋威脅。 | 安全性作業小組 威脅搜捕小組 |
共用搜捕查詢。 | 臨機操作 | 主動在安全性小組內共用經常使用的實用查詢,以加快手動搜捕威脅和補救的速度。 在進階搜捕中使用威脅追蹤器和共享查詢。 |
安全性作業小組 威脅搜捕小組 |
在建立自定義偵測 https://security.microsoft.com/custom_detection規則。 | 臨機操作 | 建立自定義偵測規則,根據進階搜捕中的 適用於 Office 365 的 Defender 數據主動監視事件、模式和威脅。 偵測規則包含進階搜捕查詢,這些查詢會根據比對準則產生警示。 | 安全性作業小組 威脅搜捕小組 |
檢閱 適用於 Office 365 的 Defender 原則設定
活動 | 步調 | 描述 | 角色 |
---|---|---|---|
在 檢閱 適用於 Office 365 的 Defender 原則的設定https://security.microsoft.com/configurationAnalyzer。 | 臨機操作 每月 |
使用組態分析器來比較您現有的原則設定與建議的 Standard 值或 適用於 Office 365 的 Defender 的 Strict 值。 組態分析器會識別可能會降低組織安全性狀態的意外或惡意變更。 或者,您可以使用 PowerShell 型 ORCA 工具。 |
安全性管理 傳訊小組 |
檢閱 適用於 Office 365 的 Defender 中的偵測覆寫,https://security.microsoft.com/reports/TPSMessageOverrideReportATP | 臨機操作 每月 |
使用威脅防護狀態報告中的 [依系統覆寫>圖表明細依據的圖表] 檢視來檢閱偵測到網路釣魚但因原則或使用者覆寫設定而傳遞的電子郵件。 主動調查、移除或微調覆寫,以避免傳遞判定為惡意的電子郵件。 |
安全性管理 傳訊小組 |
檢閱詐騙和模擬偵測
活動 | 步調 | 描述 | 角色 |
---|---|---|---|
檢閱詐騙情報深入解析和模擬偵測深入解析. | 臨機操作 每月 |
使用 詐騙情報深入解析 和 模擬深入解 析來調整詐騙和模擬偵測的篩選。 | 安全性管理 傳訊小組 |
檢閱優先順序帳戶成員資格
活動 | 步調 | 描述 | 角色 |
---|---|---|---|
檢閱在定義為優先帳戶 https://security.microsoft.com/securitysettings/userTags的人員。 | 臨機操作 | 讓 優先帳戶 的成員資格保持在組織變更的目前狀態,以取得這些使用者的下列優點:
針對其他使用者使用自訂 使用者標籤 來取得:
|
安全性作業小組 |
附錄
瞭解 適用於 Office 365 的 Microsoft Defender 工具和程式
安全性作業和回應小組成員必須將 適用於 Office 365 的 Defender 工具和功能整合到現有的調查和響應程式中。 瞭解新的工具和功能可能需要一些時間,但這是上架程式的重要部分。 若要讓 SecOps 和電子郵件安全性小組成員瞭解 適用於 Office 365 的 Defender,最簡單的方式是使用可作為 Ninja 訓練內容一部分的訓練內容,位於 https://aka.ms/mdoninja。
內容是針對基本概念、中繼和進階) (不同知識等級所建構,每個層級有多個模組。
適用於 Office 365 的 Microsoft Defender YouTube 頻道也提供特定工作的短片。
適用於 Office 365 的 Defender 活動和工作的許可權
在 Microsoft Defender 入口網站和 PowerShell 中管理 適用於 Office 365 的 Defender 的許可權是以角色型存取控制 (RBAC) 許可權模型為基礎。 RBAC 是大部分Microsoft 365 服務所使用的相同許可權模型。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的許可權。
注意事項
Privileged Identity Management (PIM) Microsoft Entra ID 也是將必要許可權指派給 SecOps 人員的方式。 如需詳細資訊,請參閱 Privileged Identity Management (PIM) ,以及如何搭配 適用於 Office 365 的 Microsoft Defender 使用它。
適用於 Office 365 的 Defender 中提供 (角色和角色群組) 的下列許可權,可用來授與安全性小組成員的存取權:
Microsoft Entra ID:為所有Microsoft 365 服務指派許可權的集中式角色,包括 適用於 Office 365 的 Defender。 您可以在 Microsoft Defender 入口網站中檢視 Microsoft Entra 角色和指派的使用者,但無法直接在該處管理它們。 相反地,您會在https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F管理 Microsoft Entra 角色和成員。 安全性小組最常使用的角色包括:
Exchange Online 和 Email & 共同作業:授與 適用於 Office 365 的 Microsoft Defender 特定許可權的角色和角色群組。 下列角色不適用於 Microsoft Entra ID,但對於安全性小組而言可能很重要:
預覽角色 (Email & 共同作業) :將此角色指派給需要在調查活動中預覽或下載電子郵件訊息的小組成員。 可讓使用者使用威脅總管 (總管 ) 或即時偵測,以及 Email 實體頁面,從雲端信箱預覽和下載電子郵件訊息。
根據預設, 預覽 角色只會指派給下列角色群組:
- 資料調查人員
- 電子文件探索管理員
您可以將使用者新增至這些角色群組,也可以建立已指派預覽角色的新角色群組,並將使用者新增至自定義角色群組。
搜尋和清除角色 (Email & 共同作業) :核准 AIR 建議刪除惡意訊息,或對威脅總管等搜捕體驗中的訊息採取手動動作。
根據預設, 搜尋和清除 角色只會指派給下列角色群組:
- 資料調查人員
- 組織管理
您可以將使用者新增至這些角色群組,也可以建立已指派搜尋和清除角色的新角色群組,並將使用者新增至自定義角色群組。
租使用者 AllowBlockList 管理員 (Exchange Online) :管理租使用者允許/封鎖清單中的允許和封鎖專案。 封鎖 URL、使用檔案哈希) 或寄件者 (的檔案,是調查傳遞的惡意電子郵件時要採取的實用回應動作。
根據預設,此角色只會指派給 Exchange Online 中的安全性操作員角色群組,而不是Microsoft Entra ID。 Microsoft Entra ID doesn中安全性操作員角色的成員資格不允許您管理租使用者允許/封鎖清單中的專案。
Microsoft Entra ID 中的安全性系統管理員或組織管理角色的成員,或 Exchange Online 中的對應角色群組,都能夠管理租使用者允許/封鎖清單中的專案。
SIEM/SOAR 整合
適用於 Office 365 的 Defender 透過一組程序設計 API 公開大部分的數據。 這些 API 可協助您將工作流程自動化,並充分利用 適用於 Office 365 的 Defender 功能。 數據可透過 Microsoft Defender 全面偵測回應 API 取得,並可用來將 適用於 Office 365 的 Defender 整合至現有的 SIEM/SOAR 解決方案。
事件 API:適用於 Office 365 的 Defender 警示和自動化調查是 Microsoft Defender 全面偵測回應 中事件的作用中部分。 安全性小組可以將完整的攻擊範圍和所有受影響的資產分組在一起,將重點放在重要的專案上。
事件串流 API:允許即時事件和警示在發生時傳送至單一數據流。 適用於 Office 365 的 Defender 中支援的事件類型包括:
這些事件包含過去 30 天內處理所有電子郵件 (的數據,包括組織內部訊息) 。
進階搜捕 API:允許跨產品威脅搜捕。
威脅評估 API:可用來直接向Microsoft報告垃圾郵件、網路釣魚 URL 或惡意代碼附件。
若要將 適用於 Office 365 的 Defender 事件和原始數據與 Microsoft Sentinel 連線,您可以使用 Microsoft Defender 全面偵測回應 (M365D) 連接器
您可以使用下列「Hello World」範例來測試對 Microsoft Defender API 的 API 存取:Microsoft Defender 全面偵測回應 REST API 的 Hello World。
如需 SIEM 工具整合的詳細資訊,請參閱整合 SIEM 工具與 Microsoft Defender 全面偵測回應。
解決 適用於 Office 365 的 Defender 中的誤判和誤判
用戶回報的訊息和電子郵件訊息的系統管理員提交,是機器學習偵測系統的重要正面增強信號。 提交可協助我們檢閱、分級、快速學習及減輕攻擊。 主動報告誤判和誤判是一項重要活動,可在偵測期間對 適用於 Office 365 的 Defender 錯誤時提供意見反應。
組織有多個選項可設定用戶回報的訊息。 視設定而定,當使用者將誤判或誤判提交給Microsoft時,安全性小組可能會有更主動的參與:
當使用者回報的設定是使用下列其中一個設定進行設定時,使用者 回報的 訊息會傳送至Microsoft進行分析:
- 將報告的訊息傳送至: 僅限Microsoft。
- 將報告的郵件傳送至: Microsoft和我的報表信箱。
當作業小組發現使用者未回報的誤判或誤判時,安全性小組成員應該執行臨機操作 系統管理員提交 。
當使用者回報的郵件設定為只傳送郵件至組織的信箱時,安全性小組應該主動透過系統管理員提交將使用者回報的誤判和誤判傳送給Microsoft。
當使用者將訊息回報為網路釣魚時,適用於 Office 365 的 Defender 會產生警示,而警示會觸發 AIR 劇本。 事件邏輯會盡可能將此資訊與其他警示和事件相互關聯。 這項資訊匯總可協助安全性小組分級、調查及回應用戶回報的訊息。
當使用者報告訊息和系統管理員提交訊息時,服務中的提交管線會遵循緊密整合的程式。 此程序包括:
- 噪。
- 自動化分級。
- 依安全性分析師和人為合作夥伴的機器學習型解決方案進行分級。
如需詳細資訊,請參閱在 適用於 Office 365 的 Defender 中報告電子郵件 - Microsoft Tech Community。
安全性小組成員可以在 Microsoft Defender 入口網站https://security.microsoft.com中從多個位置提交:
管理員 提交:使用 [提交] 頁面將可疑的垃圾郵件、網络釣魚、URL 和檔案提交至Microsoft。
直接從威脅總管使用下列其中一個訊息動作:
- 報表清除
- 報告網路釣魚
- 報告惡意代碼
- 報告垃圾郵件
您可以選取最多 10 則訊息來執行大量提交。 管理員 使用這些方法建立的提交會顯示在 [提交] 頁面上的個別索引標籤上。
為了短期降低誤判,安全性小組可以直接管理 租用戶允許/封鎖清單中檔案、URL 和網域或電子郵件地址的封鎖專案。
為了短期降低誤判,安全性小組無法直接管理租用戶允許/封鎖清單中網域和電子郵件地址的允許專案。 相反地,他們必須使用 系統管理員提交 將電子郵件訊息回報為誤判。 如需指示,請 參閱向Microsoft回報良好的電子郵件。
適用於 Office 365 的 Defender 中的隔離會保存潛在危險或不想要的訊息和檔案。 安全性小組可以檢視、釋放和刪除所有使用者的所有隔離郵件類型。 這項功能可讓安全性小組在誤判訊息或檔案遭到隔離時有效回應。
整合第三方報告工具與 適用於 Office 365 的 Defender 用戶回報的訊息
如果您的組織使用第三方報告工具,允許使用者在內部報告可疑的電子郵件,您可以將此工具與用戶回報的 適用於 Office 365 的 Defender 訊息功能整合。 這項整合為安全性小組提供下列優點:
- 與 適用於 Office 365 的 Defender的 AIR 功能整合。
- 簡化的分級。
- 減少調查和回應時間。
指定在 Microsoft Defender 入口網站的 [用戶報告設定] 頁面https://security.microsoft.com/securitysettings/userSubmission上傳送使用者回報訊息的報告信箱。 如需詳細資訊,請參閱 使用者報告設定。
注意事項
- 報告信箱必須是 Exchange Online 信箱。
- 第三方報告工具必須將原始報告的訊息包含為未壓縮的 。EML 或 。傳送至報告信箱之郵件中的 MSG 附件 (不只是將原始郵件轉寄至報告信箱) 。 如需詳細資訊,請參閱 第三方報告工具的訊息提交格式。
- 報告信箱需要特定的必要條件,才能在不經過篩選或改變的情況下傳遞可能不正確的郵件。 如需詳細資訊,請參閱 報表信箱的設定需求。
當使用者回報的郵件抵達報告信箱時,適用於 Office 365 的 Defender 會自動產生名為 Email 用戶回報為惡意代碼或網路釣魚的警示。 此警示會啟動 AIR 劇本。 劇本會執行一系列的自動化調查步驟:
- 收集指定電子郵件的相關數據。
- 收集與該電子郵件 (相關的威脅和 實體 相關數據,例如檔案、URL 和收件者) 。
- 根據調查結果,為 SecOps 小組提供建議的動作。
Email 用戶回報為惡意代碼或網路釣魚警示,自動化調查及其建議的動作會自動與 Microsoft Defender 全面偵測回應 中的事件相互關聯。 此相互關聯可進一步簡化安全性小組的分級和回應程式。 如果多個用戶報告相同或類似的訊息,則所有使用者和訊息都會相互關聯到相同的事件。
來自 適用於 Office 365 的 Defender 中警示和調查的數據會自動與其他 Microsoft Defender 全面偵測回應 產品中的警示和調查進行比較:
- 適用於端點的 Microsoft Defender
- Microsoft 雲端 App 安全性
- 適用於身分識別的 Microsoft Defender
如果發現關聯性,系統會建立事件,讓整個攻擊可見。