共用方式為

適用於 Office 365 的 Microsoft Defender 方案 2 中的自動化調查和回應 (AIR) 範例

提示

您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

適用於 Office 365 的 Microsoft Defender 方案 2 (中包含在 E5 或獨立訂用帳戶等Microsoft 365 授權中的自動化調查和回應 (AIR) ,) 可讓 SecOps 小組更有效率且更有效率地運作。 AIR 包含已知威脅的自動化調查,並提供建議的補救動作。 SecOps 小組可以檢閱辨識項,並核准或拒絕建議的動作。 如需 AIR 的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 方案 2 中的自動化調查和回應 (AIR)

本文說明 AIR 如何透過數個範例運作:

範例:用戶回報的網路釣魚訊息會啟動調查劇本

使用者會收到看起來像是網路釣魚嘗試的電子郵件。 使用者會使用Microsoft報表訊息或報告網路釣魚載入巨集來報告訊息,這會導致由使用者回報為惡意代碼或網路釣魚警示原則的 Email 觸發的警示,這會自動啟動調查劇本。

系統會評估報告電子郵件訊息的各個層面。 例如:

  • 識別的威脅類型
  • 傳送訊息的人員
  • 從傳送基礎結構 (傳送訊息的位置)
  • 訊息的其他實例是否已傳遞或封鎖
  • 租用戶環境,包括類似的訊息及其透過電子郵件叢集所做出的結果
  • 訊息是否與任何已知的活動相關聯
  • 以及其他功能。

劇本會評估並自動解決不需要採取任何動作的提交, (用戶回報的訊息) 經常發生的情況。 針對其餘提交,會提供建議對原始訊息採取的動作清單,以及相關聯的 實體 (例如,附加檔案、包含的 URL 和收件者) :

範例:安全性系統管理員從威脅總管觸發調查

您在 [總管] (威脅總管中,) https://security.microsoft.com/threatexplorerv3[所有電子郵件]、[ 惡意代碼] 或 [網络釣魚 ] 檢視中。 您位於 Email 索引標籤上, (圖表下方詳細數據區域的檢視) 。 您可以使用下列其中一種方法來選取要調查的訊息:

  • 選取第一個數據行旁邊的複選框,以選取數據表中的一或多個專案。 您可以直接在索引標籤中使用 [採取動作]。

    Email 檢視 (索引標籤) 的螢幕快照,其中已選取訊息並主動採取動作。

  • 按兩下資料表中專案的 [ 旨] 值。 開啟的詳細數據飛出視窗包含飛出視窗頂端的 [採取動作]。

    選取 [所有電子郵件] 檢視中詳細數據區域之 [Email] 索引標籤中的 [主旨] 值之後,詳細數據索引卷標中可用的動作。

選取 [ 採取動作] 之後,選取 [ 起始自動化調查]。 如需詳細資訊,請參閱 Email 補救

類似於警示所觸發的劇本,從威脅總管觸發的自動調查包括:

範例:安全性作業小組使用 Office 365 管理活動 API 來整合 AIR 與其 SIEM

適用於 Office 365 的 Defender 方案 2 中的 AIR 功能包括 SecOps 小組可用來監視和解決威脅的報告和詳細數據。 但您也可以將 AIR 功能與其他解決方案整合。 例如:

  • SIEM) 系統 (安全性資訊和事件管理。
  • 案例管理系統。
  • 自訂報告解決方案。

使用 Office 365 管理活動 API 與這些解決方案整合。

如需將來自使用者回報網路釣魚訊息的警示整合到 SIEM 伺服器和案例管理系統的自定義解決方案範例,請參閱技術社群部落格:使用 適用於 Office 365 的 Microsoft Defender 和 Office 365 管理 API 改善 SOC 的有效性

整合式解決方案可大幅減少誤判的數目,讓 SecOps 小組將時間和精力集中在實際威脅上。

後續步驟