Microsoft Defender pro Office 365 Průvodce provozem zabezpečení
Tip
Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Tento článek poskytuje přehled požadavků a úkolů pro úspěšné fungování Microsoft Defender pro Office 365 ve vaší organizaci. Tyto úlohy pomáhají zajistit, aby vaše centrum operací zabezpečení (SOC) poskytovalo vysoce kvalitní a spolehlivý přístup k ochraně bezpečnostních hrozeb souvisejících s e-mailem a spoluprací a k jejich zjišťování a reagování na ně.
Zbývající část této příručky popisuje požadované aktivity pro pracovníky SecOps. Aktivity jsou seskupené do denních, týdenních, měsíčních a ad hoc úkolů.
Doprovodný článek k této příručce obsahuje přehled správy incidentů a výstrah z Defender pro Office 365 na stránce Incidenty na portálu Microsoft Defender.
Příručka Microsoft Defender XDR Security Operations Guide obsahuje další informace, které můžete použít při plánování a vývoji.
Video o těchto informacích najdete v tématu https://youtu.be/eQanpq9N1Ps.
Denní aktivity
Monitorování fronty incidentů Microsoft Defender XDR
Stránka Incidenty na portálu Microsoft Defender (https://security.microsoft.com/incidentsoznačovaná také jako fronta incidentů) umožňuje spravovat a monitorovat události z následujících zdrojů v Defender pro Office 365:
Další informace o frontě incidentů najdete v tématu Určení priority incidentů v Microsoft Defender XDR.
Plán posouzení pro monitorování fronty incidentů by měl pro incidenty používat následující pořadí priorit:
- Bylo zjištěno kliknutí na potenciálně škodlivou adresu URL.
- Uživatel nemůže odesílat e-maily.
- Zjistily se podezřelé vzorce odesílání e-mailů.
- Email hlášeny uživatelem jako malware nebo phish a více uživatelů nahlásilo e-mail jako malware nebo phish.
- Email zprávy obsahující škodlivý soubor odebraný po doručení, Email zprávy obsahující škodlivou adresu URL odebrané po doručení a Email zprávy z kampaně odebrané po doručení.
- Phish doručené kvůli přepsání ETR, Phish doručeno, protože složka Nevyžádaná pošta uživatele je zakázaná a phish doručena kvůli zásadám povolení IP adres
- Malware není zapped, protože ZAP je zakázáno a Phish není zapped, protože ZAP je zakázáno.
Správa front incidentů a zodpovědné osoby jsou popsané v následující tabulce:
| Activity | Kadence | Popis | Persona |
|---|---|---|---|
| Určení priorit incidentů ve frontě Incidenty na adrese https://security.microsoft.com/incidents. | Denně | Ověřte, že jsou všechny incidenty střední a vysoké závažnosti z Defender pro Office 365 vyhodnoceny podle priorit. | Tým pro operace zabezpečení |
| Prošetřte incidenty a proveďte akce reakce na incidenty. | Denně | Prošetřete všechny incidenty a aktivně proveďte doporučené nebo ruční reakce. | Tým pro operace zabezpečení |
| Vyřešte incidenty. | Denně | Pokud se incident vyřešil, vyřešte ho. Řešení incidentu vyřeší všechny propojené a související aktivní výstrahy. | Tým pro operace zabezpečení |
| Klasifikovat incidenty. | Denně | Klasifikovat incidenty jako true nebo false. Pro skutečné výstrahy zadejte typ hrozby. Tato klasifikace pomáhá vašemu bezpečnostnímu týmu vidět vzory hrozeb a chránit před nimi vaši organizaci. | Tým pro operace zabezpečení |
Správa falešně pozitivních a falešně negativních detekcí
V Defender pro Office 365 spravujete falešně pozitivní zprávy (dobrá pošta označená jako špatná) a falešně negativní (je povolená špatná pošta) na následujících místech:
Další informace najdete v části Správa falešně pozitivních a falešně negativních detekcí dále v tomto článku.
Falešně pozitivní a falešně negativní řízení a zodpovědné osoby jsou popsány v následující tabulce:
| Activity | Kadence | Popis | Persona |
|---|---|---|---|
| Odešlete microsoftu falešně pozitivní výsledky a falešně negativní výsledky na adrese https://security.microsoft.com/reportsubmission. | Denně | Poskytněte Microsoftu signály tím, že nahlásíte nesprávné e-maily, adresy URL a soubory. | Tým pro operace zabezpečení |
| Analýza podrobností o odeslání správcem | Denně | Seznamte se s následujícími faktory pro odeslání do Microsoftu:
|
Tým pro operace zabezpečení Správa zabezpečení |
| Přidejte položky bloků do seznamu povolených/blokovaných tenantů na adrese https://security.microsoft.com/tenantAllowBlockList. | Denně | Pomocí seznamu povolených/blokovaných klientů můžete podle potřeby přidat položky blokování pro falešně negativní adresy URL, soubory nebo odesílatele. | Tým pro operace zabezpečení |
| Uvolněte falešně pozitivní zprávu z karantény. | Denně | Jakmile příjemce potvrdí, že zpráva byla nesprávně umístěna do karantény, můžete uvolnit nebo schválit žádosti o vydání pro uživatele. Informace o tom, co můžou uživatelé dělat se svými vlastními zprávami v karanténě (včetně vydání verze nebo žádosti o vydání), najdete v tématu Zásady karantény. |
Tým pro operace zabezpečení Tým pro zasílání zpráv |
Kontrola phishingových a malwarových kampaní, které vedly k doručení pošty
| Activity | Kadence | Popis | Persona |
|---|---|---|---|
| Kontrola e-mailových kampaní | Denně |
Zkontrolujte e-mailové kampaně , které cílí na vaši organizaci na adrese https://security.microsoft.com/campaigns. Zaměřte se na kampaně, které vedly k doručení zpráv příjemcům. Odeberte zprávy z kampaní, které existují v poštovních schránkách uživatelů. Tato akce se vyžaduje jenom v případě, že kampaň obsahuje e-maily, které ještě nebyly napraveny akcemi z incidentů, automatického vymazání (ZAP) nulou po hodinách nebo ruční nápravy. |
Tým pro operace zabezpečení |
Týdenní aktivity
Kontrola trendů detekce e-mailů v sestavách Defender pro Office 365
V Defender pro Office 365 můžete pomocí následujících sestav zkontrolovat trendy detekce e-mailů ve vaší organizaci:
| Activity | Kadence | Popis | Persona |
|---|---|---|---|
| Zkontrolujte sestavy detekce e-mailů na adrese: | Týdně | Zkontrolujte trendy detekce malwaru, phishingu a spamu v porovnání s dobrým e-mailem. Pozorování v průběhu času umožňuje zobrazit vzory hrozeb a určit, jestli je potřeba upravit zásady Defender pro Office 365. | Správa zabezpečení Tým pro operace zabezpečení |
Sledování nově vznikajících hrozeb a reakce na ně pomocí analýzy hrozeb
Pomocí analýzy hrozeb můžete zkontrolovat aktivní a populární hrozby.
| Activity | Kadence | Popis | Persona |
|---|---|---|---|
| Projděte si hrozby v analýze hrozeb na adrese https://security.microsoft.com/threatanalytics3. | Týdně | Analýza hrozeb poskytuje podrobnou analýzu, včetně následujících položek:
|
Tým pro operace zabezpečení Tým proaktivního vyhledávání hrozeb |
Kontrola malwaru a phishingu u uživatelů s nejvyšším cílem
Pomocí karty (zobrazení Nejcílí uživatelé ) v oblasti podrobností zobrazení Veškerý e-mail, Malware a Phish v Průzkumníku hrozeb můžete zjistit nebo potvrdit uživatele, kteří jsou hlavním cílem malwaru a phishingových e-mailů.
| Activity | Kadence | Popis | Persona |
|---|---|---|---|
| V Průzkumníku hrozeb zkontrolujte kartu Top targeted users (Uživatelé s nejvyšším cílem ) na adrese https://security.microsoft.com/threatexplorer. | Týdně | Pomocí těchto informací se můžete rozhodnout, jestli potřebujete upravit zásady nebo ochranu pro tyto uživatele. Přidejte ovlivněné uživatele do prioritních účtů , abyste získali následující výhody:
|
Správa zabezpečení Tým pro operace zabezpečení |
Kontrola nejčastějších malwarových a phishingových kampaní, které cílí na vaši organizaci
Zobrazení kampaní odhalí malwarové a phishingové útoky na vaši organizaci. Další informace najdete v tématu Zobrazení kampaně v Microsoft Defender pro Office 365.
| Activity | Kadence | Popis | Persona |
|---|---|---|---|
| Pomocí zobrazení kampaní na webu https://security.microsoft.com/campaigns můžete zkontrolovat malwarové a phishingové útoky, které se vás týkají. | Týdně | Přečtěte si o útocích a technikách a o tom, co Defender pro Office 365 dokázal identifikovat a blokovat. Podrobné informace o kampaních získáte v části Stažení sestavy hrozeb v zobrazeních kampaní. |
Tým pro operace zabezpečení |
Ad hoc aktivity
Ruční šetření a odebrání e-mailu
| Activity | Kadence | Popis | Persona |
|---|---|---|---|
| Prošetřete a odeberte chybné e-maily v Průzkumníku hrozeb na https://security.microsoft.com/threatexplorer základě požadavků uživatelů. | Ad hoc | Pomocí akce Trigger investigation (Aktivovat šetření ) v Průzkumníku hrozeb můžete spustit automatizovaný playbook pro vyšetřování a odpovědi na libovolný e-mail za posledních 30 dnů. Ruční spuštění šetření šetří čas a úsilí tím, že centrálně zahrnuje:
Další informace najdete v tématu Příklad: Uživatelem nahlášená zpráva o phish spustí playbook pro šetření. Nebo můžete pomocí Průzkumníka hrozeb ručně prozkoumat e-maily s výkonnými funkcemi vyhledávání a filtrování a provést ruční reakci přímo ze stejného místa. Dostupné ruční akce:
|
Tým pro operace zabezpečení |
Proaktivní vyhledávání hrozeb
| Activity | Kadence | Popis | Persona |
|---|---|---|---|
| Pravidelné proaktivní vyhledávání hrozeb:. | Ad hoc | Hledejte hrozby pomocí Průzkumníka hrozeb a rozšířeného proaktivního vyhledávání. | Tým pro operace zabezpečení Tým proaktivního vyhledávání hrozeb |
| Sdílení dotazů proaktivního vyhledávání | Ad hoc | Aktivně sdílejte často používané a užitečné dotazy v rámci bezpečnostního týmu pro rychlejší ruční proaktivní vyhledávání a nápravu hrozeb. Používejte sledování hrozeb a sdílené dotazy v rozšířeném proaktivním vyhledávání. |
Tým pro operace zabezpečení Tým proaktivního vyhledávání hrozeb |
| Vytvořte vlastní pravidla detekce na adrese https://security.microsoft.com/custom_detection. | Ad hoc | Vytvořte vlastní pravidla detekce pro aktivní monitorování událostí, vzorů a hrozeb na základě Defender pro Office 365 dat v rozšířeném proaktivním vyhledávání. Pravidla detekce obsahují pokročilé dotazy proaktivního vyhledávání, které generují výstrahy na základě odpovídajících kritérií. | Tým pro operace zabezpečení Tým proaktivního vyhledávání hrozeb |
Kontrola konfigurací zásad Defender pro Office 365
| Activity | Kadence | Popis | Persona |
|---|---|---|---|
| Zkontrolujte konfiguraci zásad Defender pro Office 365 na adrese https://security.microsoft.com/configurationAnalyzer. | Ad hoc Měsíčně |
Pomocí analyzátoru konfigurace můžete porovnat stávající nastavení zásad s doporučenými standardními nebo striktními hodnotami pro Defender pro Office 365. Analyzátor konfigurace identifikuje náhodné nebo škodlivé změny, které můžou snížit stav zabezpečení vaší organizace. Nebo můžete použít nástroj ORCA založený na PowerShellu. |
Správa zabezpečení Tým pro zasílání zpráv |
| Kontrola přepsání detekce v Defender pro Office 365 na adresehttps://security.microsoft.com/reports/TPSMessageOverrideReportATP | Ad hoc Měsíčně |
Pomocí zobrazení Zobrazit data podle přepsání > systému rozpis grafů podle důvodu v sestavě stavu ochrany před hrozbami můžete zkontrolovat e-maily, které byly zjištěny jako phishing, ale doručené kvůli zásadám nebo nastavením přepsání uživatele. Aktivně prošetřujte, odstraňujte nebo vylaďte přepsání, abyste se vyhnuli doručování e-mailů, u které bylo zjištěno, že jsou škodlivé. |
Správa zabezpečení Tým pro zasílání zpráv |
Kontrola detekcí falšování a zosobnění
| Activity | Kadence | Popis | Persona |
|---|---|---|---|
| Projděte si přehled informací o falšování identity a přehledy detekce zosobnění na stránce. | Ad hoc Měsíčně |
Pomocí přehledu falšování azosobnění můžete upravit filtrování pro detekci falšování a zosobnění. | Správa zabezpečení Tým pro zasílání zpráv |
Kontrola členství v účtu s prioritou
| Activity | Kadence | Popis | Persona |
|---|---|---|---|
| Zkontrolujte, kdo je definovaný jako prioritní účet na adrese https://security.microsoft.com/securitysettings/userTags. | Ad hoc | Udržujte členství v prioritních účtech aktuální s organizačními změnami, abyste pro tyto uživatele získali následující výhody:
Pomocí vlastních značek uživatelů můžete ostatním uživatelům získat:
|
Tým pro operace zabezpečení |
Dodatek
Informace o Microsoft Defender pro Office 365 nástrojích a procesech
Členové týmu pro operace zabezpečení a reakce musí integrovat Defender pro Office 365 nástroje a funkce do stávajících procesů vyšetřování a reakce. Seznámení s novými nástroji a možnostmi může nějakou dobu trvat, ale je to důležitá součást procesu připojování. Nejjednodušší způsob, jak se členové týmu SecOps a týmu zabezpečení e-mailem dozvědět o Defender pro Office 365, je použít školicí obsah, který je k dispozici jako součást školicího obsahu ninja na adrese https://aka.ms/mdoninja.
Obsah je strukturován pro různé úrovně znalostí (Základy, Středně pokročilí a Pokročilí) s několika moduly na úrovni.
V kanálu Microsoft Defender pro Office 365 YouTube jsou k dispozici také krátká videa ke konkrétním úkolům.
Oprávnění pro Defender pro Office 365 aktivity a úkoly
Oprávnění pro správu Defender pro Office 365 na portálu Microsoft Defender a v PowerShellu jsou založená na modelu oprávnění řízení přístupu na základě role (RBAC). RBAC je stejný model oprávnění, který používá většina služeb Microsoftu 365. Další informace najdete v tématu Oprávnění na portálu Microsoft Defender.
Poznámka
Privileged Identity Management (PIM) v Microsoft Entra ID je také způsob, jak přiřadit požadovaná oprávnění pracovníkům secOps. Další informace najdete v tématu Privileged Identity Management (PIM) a proč ho používat s Microsoft Defender pro Office 365.
Následující oprávnění (role a skupiny rolí) jsou k dispozici v Defender pro Office 365 a dají se použít k udělení přístupu členům týmu zabezpečení:
Microsoft Entra ID: Centralizované role, které přiřazují oprávnění pro všechny služby Microsoft 365, včetně Defender pro Office 365. Role Microsoft Entra a přiřazené uživatele můžete zobrazit na portálu Microsoft Defender, ale nemůžete je tam přímo spravovat. Místo toho můžete spravovat role a členy Microsoft Entra na adrese https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. Mezi nejčastější role používané bezpečnostními týmy patří:
Exchange Online a Email & spolupráce: Role a skupiny rolí, které uděluje oprávnění specifická pro Microsoft Defender pro Office 365. Následující role nejsou v Microsoft Entra ID dostupné, ale můžou být důležité pro bezpečnostní týmy:
Role preview (Email & spolupráce): Přiřaďte tuto roli členům týmu, kteří potřebují zobrazit náhled nebo stáhnout e-mailové zprávy v rámci aktivit šetření. Umožňuje uživatelům zobrazit náhled a stáhnout e-mailové zprávy z cloudových poštovních schránek pomocí Průzkumníka hrozeb (Průzkumník) nebo detekce v reálném čase a stránky Email entit.
Ve výchozím nastavení je role Preview přiřazená jenom následujícím skupinám rolí:
- Zkoušející data
- Manažer eDiscovery
Do těchto skupin rolí můžete přidat uživatele nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Preview a přidat uživatele do vlastní skupiny rolí.
Role hledání a vymazání (Email & spolupráce): Schvalte odstranění škodlivých zpráv podle doporučení air nebo proveďte ruční akci se zprávami v prostředích proaktivního vyhledávání, jako je Průzkumník hrozeb.
Ve výchozím nastavení je role Hledat a Vyprázdnit přiřazena pouze k následujícím skupinám rolí:
- Zkoušející data
- Správa organizace
Do těchto skupin rolí můžete přidat uživatele nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Hledat a Vymazat a přidat uživatele do vlastní skupiny rolí.
Tenant AllowBlockList Manager (Exchange Online): Umožňuje spravovat položky povolených a blokovaných položek v seznamu povolených/blokovaných tenantů. Blokování adres URL, souborů (pomocí hodnoty hash souboru) nebo odesílatelů je užitečná akce, kterou je třeba provést při vyšetřování doručených škodlivých e-mailů.
Ve výchozím nastavení je tato role přiřazena pouze skupině rolí Operátor zabezpečení v Exchange Online, nikoli ve Microsoft Entra ID. Členství v roli operátora zabezpečení v Microsoft Entra IDvám neumožňuje spravovat položky seznamu povolených/blokovaných tenantů.
Členové rolí správce zabezpečení nebo správy organizace v Microsoft Entra ID nebo odpovídajících skupin rolí v Exchange Online můžou spravovat položky v seznamu povolených nebo blokovaných tenantů.
Integrace SIEM/SOAR
Defender pro Office 365 zveřejňuje většinu svých dat prostřednictvím sady programových rozhraní API. Tato rozhraní API pomáhají automatizovat pracovní postupy a plně využívat možnosti Defender pro Office 365. Data jsou k dispozici prostřednictvím rozhraní API Microsoft Defender XDR a dají se použít k integraci Defender pro Office 365 do stávajících řešení SIEM/SOAR.
Rozhraní API pro incidenty: Výstrahy Defender pro Office 365 a automatizovaná šetření jsou aktivními součástmi incidentů v Microsoft Defender XDR. Bezpečnostní týmy se můžou zaměřit na to, co je důležité, tím, že seskupí celý rozsah útoku a všechny ovlivněné prostředky dohromady.
Rozhraní API pro streamování událostí: Umožňuje odesílání událostí a výstrah v reálném čase do jednoho datového proudu, jakmile k nim dojde. Mezi podporované typy událostí v Defender pro Office 365 patří:
Události obsahují data ze zpracování všech e-mailů (včetně zpráv v organizaci) za posledních 30 dnů.
Rozhraní API pro pokročilé proaktivního vyhledávání: Umožňuje proaktivní vyhledávání hrozeb mezi produkty.
Rozhraní API pro posouzení hrozeb: Můžete ho použít k hlášení spamu, adres URL útoků phishing nebo malwarových příloh přímo microsoftu.
Pokud chcete pomocí Microsoft Sentinel připojit incidenty Defender pro Office 365 a nezpracovaná data, můžete použít konektor Microsoft Defender XDR (M365D).
K otestování přístupu rozhraní API k rozhraním API pro Microsoft Defender můžete použít následující příklad "Hello World": Hello World pro Microsoft Defender XDR REST API.
Další informace o integraci nástrojů SIEM najdete v tématu Integrace nástrojů SIEM s Microsoft Defender XDR.
Řešení falešně pozitivních výsledků a falešně negativních výsledků v Defender pro Office 365
Zprávy hlášené uživateli a odeslání e-mailových zpráv správcem jsou důležitými pozitivními signály pro naše systémy detekce strojového učení. Odeslání nám pomáhají kontrolovat, analyzovat, rychle se učit a zmírnit útoky. Aktivní hlášení falešně pozitivních a falešně negativních výsledků je důležitá aktivita, která poskytuje zpětnou vazbu Defender pro Office 365 při zjišťování chyb.
Organizace mají několik možností, jak nakonfigurovat zprávy hlášené uživateli. V závislosti na konfiguraci můžou mít bezpečnostní týmy aktivnější zapojení, když uživatelé odesílali do Microsoftu falešně pozitivní nebo falešně negativní výsledky:
Zprávy nahlášené uživatelem se posílají do Microsoftu k analýze, když je v nastavení Nahlášený uživatel nakonfigurované některé z následujících nastavení:
- Nahlášené zprávy můžete odesílatpouze microsoftu.
- Odešlete nahlášené zprávy na adresu: Microsoft a moje poštovní schránka pro vytváření sestav.
Když provozní tým zjistí falešně pozitivní nebo falešně negativní výsledky, které uživatelé nenahlásili, členové týmů zabezpečení by měli provádět příspěvky správců ad hoc.
Pokud jsou zprávy nahlášené uživatelem nakonfigurované tak, aby odesílaly zprávy jenom do poštovní schránky organizace, měly by bezpečnostní týmy aktivně odesílat společnosti Microsoft falešně pozitivní výsledky hlášené uživateli a falešně negativní zprávy prostřednictvím příspěvků správců.
Když uživatel nahlásí zprávu jako phishing, Defender pro Office 365 vygeneruje upozornění a výstraha aktivuje playbook AIR. Logika incidentu koreluje tyto informace s dalšími výstrahami a událostmi, pokud je to možné. Tato konsolidace informací pomáhá bezpečnostním týmům s určením priorit, zkoumáním a reagování na zprávy nahlášené uživateli.
Kanál odesílání ve službě se řídí úzce integrovaným procesem, když uživatel hlásí zprávy a správci odesílané zprávy. Tento proces zahrnuje:
- Snížení šumu.
- Automatizované třídění.
- Hodnocení podle analytiků zabezpečení a řešení založených na strojovém učení s lidmi
Další informace najdete v tématu Hlášení e-mailu v Defender pro Office 365 – Microsoft Tech Community.
Členové týmu zabezpečení můžou provádět odeslání z více umístění na portálu Microsoft Defender na adrese https://security.microsoft.com:
Správa odeslání: Na stránce Odesílané zprávy můžete microsoftu odeslat podezřelý spam, phishing, adresy URL a soubory.
Přímo z Průzkumníka hrozeb pomocí jedné z následujících akcí zprávy:
- Vyčištění sestavy
- Nahlásit útok phishing
- Nahlásit malware
- Nahlásit spam
K hromadnému odeslání můžete vybrat až 10 zpráv. Správa odeslání vytvořená těmito metodami jsou zobrazena na příslušných kartách na stránce Odeslání.
V rámci krátkodobého zmírnění falešně negativních výsledků můžou bezpečnostní týmy přímo spravovat položky bloků pro soubory, adresy URL a domény nebo e-mailové adresy v seznamu povolených/blokovaných klientů.
V rámci krátkodobého zmírnění falešně pozitivních výsledků nemůžou bezpečnostní týmy přímo spravovat položky povolení pro domény a e-mailové adresy v seznamu povolených/blokovaných klientů. Místo toho musí použít odeslání správce k nahlášení e-mailové zprávy jako falešně pozitivní. Pokyny najdete v tématu Nahlášení dobrého e-mailu microsoftu.
Karanténa v Defender pro Office 365 obsahuje potenciálně nebezpečné nebo nežádoucí zprávy a soubory. Bezpečnostní týmy můžou zobrazovat, vydávat a odstraňovat všechny typy zpráv v karanténě pro všechny uživatele. Tato funkce umožňuje týmům zabezpečení efektivně reagovat, když je falešně pozitivní zpráva nebo soubor v karanténě.
Integrace nástrojů pro vytváření sestav třetích stran s Defender pro Office 365 zprávami nahlášenými uživateli
Pokud vaše organizace používá nástroj pro vytváření sestav od jiného výrobce, který umožňuje uživatelům interně hlásit podezřelé e-maily, můžete ho integrovat se schopnostmi zpráv nahlášených uživatelem Defender pro Office 365. Tato integrace poskytuje bezpečnostním týmům následující výhody:
- Integrace s funkcemi AIR Defender pro Office 365.
- Zjednodušené třídění.
- Zkrácení doby šetření a odezvy.
Určete poštovní schránku sestav, do které se odesílají zprávy nahlášené uživatelem, na stránce Nastavení nahlášených uživatelem na portálu Microsoft Defender na adrese https://security.microsoft.com/securitysettings/userSubmission. Další informace najdete v tématu Nastavení nahlášená uživatelem.
Poznámka
- Poštovní schránka sestav musí být Exchange Online poštovní schránka.
- Nástroj pro vytváření sestav třetích stran musí obsahovat původní nahlášenou zprávu jako nekomprimovanou . EML nebo . Příloha msg ve zprávě, která je odeslána do poštovní schránky sestav (nepředávejte původní zprávu do poštovní schránky sestavy). Další informace najdete v tématu Formát odesílání zpráv pro nástroje pro vytváření sestav třetích stran.
- Poštovní schránka sestav vyžaduje konkrétní požadavky, aby bylo možné doručovat potenciálně chybné zprávy bez filtrování nebo změny. Další informace najdete v tématu Požadavky na konfiguraci pro poštovní schránku sestav.
Když do poštovní schránky pro sestavy dorazí zpráva nahlášená uživatelem, Defender pro Office 365 automaticky vygeneruje výstrahu s názvem Email nahlásil uživatel jako malware nebo phish. Toto upozornění spustí playbook AIR. Playbook provede řadu automatizovaných kroků prošetření:
- Shromážděte data o zadaném e-mailu.
- Shromážděte data o hrozbách a entitách souvisejících s daným e-mailem (například soubory, adresy URL a příjemce).
- Poskytněte doporučené akce, které má tým SecOps provést na základě zjištění šetření.
Email nahlášené uživatelem jako upozornění na malware nebo phish, automatizované vyšetřování a jejich doporučené akce jsou automaticky korelovány s incidenty v Microsoft Defender XDR. Tato korelace dále zjednodušuje proces posouzení a odezvy pro bezpečnostní týmy. Pokud stejné nebo podobné zprávy hlásí více uživatelů, jsou všichni uživatelé a zprávy korelovány do stejného incidentu.
Data z výstrah a šetření v Defender pro Office 365 se automaticky porovnávala s výstrahami a šetřeními v ostatních Microsoft Defender XDR produktech:
- Microsoft Defender for Endpoint
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
Pokud se zjistí relace, systém vytvoří incident, který zviditelní celý útok.