Vyšetřování hrozeb a reakce na ně

• Platí pro:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Možnosti vyšetřování hrozeb a reakce na ně v Microsoft Defender pro Office 365 pomáhají analytikům zabezpečení a správcům chránit Microsoft 365 pro firemní uživatele v organizaci:

• Usnadňuje identifikaci, monitorování a pochopení kybernetických útoků.
• Pomáhá rychle řešit hrozby v Exchange Online, SharePointu Online, OneDrive pro firmy a Microsoft Teams.
• Poskytování přehledů a znalostí, které pomáhají bezpečnostním operacím předcházet kybernetickým útokům na jejich organizaci.
• Využití automatizovaného vyšetřování a reakce v Office 365 pro kritické e-mailové hrozby.

Funkce pro zkoumání hrozeb a reakce na ně poskytují přehled o hrozbách a souvisejících akcích reakce, které jsou k dispozici na portálu Microsoft Defender. Tyto přehledy můžou pomoct bezpečnostnímu týmu vaší organizace chránit uživatele před e-mailovými nebo souborovými útoky. Tyto funkce pomáhají monitorovat signály a shromažďovat data z různých zdrojů, jako jsou aktivity uživatelů, ověřování, e-maily, ohrožené počítače a incidenty zabezpečení. Pracovníci s rozhodovací pravomocí ve firmě a váš provozní tým zabezpečení můžou tyto informace použít k pochopení hrozeb, které jsou vůči vaší organizaci ohroženy, k reakci na ně a k ochraně vašeho duševního vlastnictví.

Seznamte se s nástroji pro šetření hrozeb a reakce na ně

Funkce pro zkoumání hrozeb a reakce na portálu Microsoft Defender na adrese https://security.microsoft.com jsou sada nástrojů a pracovních postupů reakce, které zahrnují:

• Explorer
• Incidenty
• Trénování simulace útoku
• Automatizované vyšetřování a reakce (Automated Investigation and Response)

Explorer

Pomocí Průzkumníka (a detekce v reálném čase) můžete analyzovat hrozby, zobrazit objem útoků v průběhu času a analyzovat data podle skupin hrozeb, infrastruktury útočníků a dalších možností. Průzkumník (označovaný také jako Průzkumník hrozeb) je výchozím místem pro pracovní postup vyšetřování jakéhokoli analytika zabezpečení.

Pokud chcete tuto sestavu zobrazit a používat na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte do průzkumníka Email & spolupráce>. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorer

Office 365 připojení analýzy hrozeb

Tato funkce je dostupná jenom v případě, že máte aktivní předplatné Office 365 E5, G5, Microsoft 365 E5, G5 nebo doplněk Analýza hrozeb. Další informace najdete na stránce produktu Office 365 Enterprise E5.

Data z Microsoft Defender pro Office 365 jsou začleněna do Microsoft Defender XDR, aby se provedlo komplexní šetření zabezpečení Office 365 poštovních schránek a zařízení s Windows.

Incidenty

Seznam bezpečnostních incidentů v testovacích verzích zobrazíte pomocí seznamu Incidenty (označuje se také jako vyšetřování). Incidenty se používají ke sledování hrozeb, jako jsou podezřelé e-mailové zprávy, a k dalšímu šetření a nápravě.

Pokud chcete zobrazit seznam aktuálních incidentů pro vaši organizaci na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte na Incidenty & výstrahy>Incidenty. Pokud chcete přejít přímo na stránku Incidenty, použijte .https://security.microsoft.com/incidents

Trénování simulace útoku

Použijte Simulační nácvik útoku k nastavení a spuštění realistických kybernetických útoků ve vaší organizaci a k identifikaci ohrožených osob dříve, než skutečný kybernetický útok ovlivní vaši firmu. Další informace najdete v tématu Simulace útoku phishing.

Pokud chcete tuto funkci zobrazit a používat na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte na Email & spolupráce>Simulační nácvik útoku. Nebo pokud chcete přejít přímo na stránku Simulační nácvik útoku, použijte .https://security.microsoft.com/attacksimulator?viewid=overview

Automatizované vyšetřování a reakce (Automated Investigation and Response)

Využijte funkce automatizovaného vyšetřování a reakce (AIR) k úspoře času a úsilí při korelaci obsahu, zařízení a osob ohrožených hrozbami ve vaší organizaci. Procesy AIR můžou začít vždy, když se aktivují určité výstrahy nebo když je spustí váš tým pro operace zabezpečení. Další informace najdete v tématu automatizované šetření a reakce v Office 365.

Widgety analýzy hrozeb

V rámci nabídky Microsoft Defender pro Office 365 Plan 2 můžou analytici zabezpečení zkontrolovat podrobnosti o známé hrozbě. To je užitečné, pokud chcete zjistit, jestli existují další preventivní opatření nebo kroky, které je možné přijmout, aby uživatelé zůstali v bezpečí.

Jak tyto funkce získáme?

Funkce microsoft 365 pro zkoumání hrozeb a reakce na ně jsou součástí plánu Microsoft Defender pro Office 365 Plan 2, který je součástí Enterprise E5 nebo jako doplněk k určitým předplatným. Další informace najdete v stručné nápovědě Defender pro Office 365 Plán 1 vs. Plán 2.

Požadované role a oprávnění

Microsoft Defender pro Office 365 používá řízení přístupu na základě role. Oprávnění se přiřazují prostřednictvím určitých rolí v Microsoft Entra ID, Centrum pro správu Microsoftu 365 nebo portálu Microsoft Defender.

Tip

I když je možné některé role, například Správce zabezpečení, přiřadit na portálu Microsoft Defender, zvažte použití Centrum pro správu Microsoftu 365 nebo Microsoft Entra ID. Informace o rolích, skupinách rolí a oprávněních najdete v následujících zdrojích informací:

• Oprávnění na portálu Microsoft Defender
• Microsoft Entra předdefinovaných rolí

Activity	Role a oprávnění
Použití řídicího panelu Microsoft Defender Správa zranitelností Zobrazení informací o nedávných nebo aktuálních hrozbách	Jedna z následujících možností: Globální správce Správce zabezpečení Čtenář zabezpečení Tyto role je možné přiřadit v Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com).
Použití Průzkumníka (a detekce v reálném čase) k analýze hrozeb	Jedna z následujících možností: Globální správce Správce zabezpečení Čtenář zabezpečení Tyto role je možné přiřadit v Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com).
Zobrazit incidenty (označované také jako šetření) Přidání e-mailových zpráv k incidentu	Jedna z následujících možností: Globální správce Správce zabezpečení Čtenář zabezpečení Tyto role je možné přiřadit v Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com).
Aktivace e-mailových akcí v incidentu Vyhledání a odstranění podezřelých e-mailových zpráv	Jedna z následujících možností: Globální správce Správce zabezpečení a role Search a vyprázdnění Role globálního správce a správce zabezpečení je možné přiřadit v Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com). Role Search a Vymazání musí být přiřazené v rolích Email & spolupráce na portálu Microsoft 36 Defender (https://security.microsoft.com).
Integrace Microsoft Defender pro Office 365 Plan 2 s Microsoft Defender for Endpoint Integrace Microsoft Defender pro Office 365 Plan 2 se serverem SIEM	Roli globálního správce nebo správce zabezpečení přiřazenou Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com). --- Plus --- Odpovídající role přiřazená v dalších aplikacích (například Centrum zabezpečení v programu Microsoft Defender nebo serveru SIEM).

Další kroky

• Sledování hrozeb v plánu Microsoft Defender pro Office 365 Plan 2
• Vyhledání a prošetření doručených škodlivých e-mailů (Office 365 vyšetřování hrozeb a reakce na ně)
• Simulace útoku phishing