Vyšetřování hrozeb a reakce na ně
Tip
Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defenderu XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defenderu pro Office 365 v centru zkušebních verzí portálu Microsoft Defender. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.
Možnosti vyšetřování hrozeb a reakce na ně v Microsoft Defenderu pro Office 365 pomáhají analytikům zabezpečení a správcům chránit Microsoft 365 pro firemní uživatele v organizaci pomocí:
- Usnadňuje identifikaci, monitorování a pochopení kybernetických útoků.
- Pomáhá rychle řešit hrozby v Exchangi Online, SharePointu Online, OneDrivu pro firmy a Microsoft Teams.
- Poskytování přehledů a znalostí, které pomáhají bezpečnostním operacím předcházet kybernetickým útokům na jejich organizaci.
- Využívá automatizované prověřování a reakce v Office 365 na kritické e-mailové hrozby.
Funkce pro zkoumání hrozeb a reakce na ně poskytují přehled o hrozbách a souvisejících akcích reakce, které jsou k dispozici na portálu Microsoft Defender. Tyto přehledy můžou pomoct bezpečnostnímu týmu vaší organizace chránit uživatele před e-mailovými nebo souborovými útoky. Tyto funkce pomáhají monitorovat signály a shromažďovat data z různých zdrojů, jako jsou aktivity uživatelů, ověřování, e-maily, ohrožené počítače a incidenty zabezpečení. Pracovníci s rozhodovací pravomocí ve firmě a váš provozní tým zabezpečení můžou tyto informace použít k pochopení hrozeb, které jsou vůči vaší organizaci ohroženy, k reakci na ně a k ochraně vašeho duševního vlastnictví.
Seznamte se s nástroji pro šetření hrozeb a reakce na ně
Možnosti vyšetřování hrozeb a reakce na portálu Microsoft Defender na adrese https://security.microsoft.com jsou sada nástrojů a pracovních postupů reakce, které zahrnují:
- Průzkumník
- Incidenty
- Trénování simulace útoku
- Automatizované vyšetřování a reakce (Automated Investigation and Response)
Průzkumník
Pomocí Průzkumníka (a detekce v reálném čase) můžete analyzovat hrozby, zobrazit objem útoků v průběhu času a analyzovat data podle skupin hrozeb, infrastruktury útočníků a dalších možností. Průzkumník (označovaný také jako Průzkumník hrozeb) je výchozím místem pro pracovní postup vyšetřování jakéhokoli analytika zabezpečení.
Pokud chcete tuto sestavu zobrazit a používat na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte naPrůzkumníka spolupráce >& e-mailem. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorer
Připojení analýzy hrozeb Office 365
Tato funkce je dostupná jenom v případě, že máte aktivní předplatné Office 365 E5 nebo G5, Předplatné Microsoftu 365 E5 nebo G5 nebo doplněk Analýza hrozeb. Další informace najdete na stránce produktu Office 365 Enterprise E5.
Data z Microsoft Defenderu pro Office 365 jsou začleněná do XDR v programu Microsoft Defender, aby se provedlo komplexní šetření zabezpečení poštovních schránek Office 365 a zařízení s Windows.
Incidenty
Seznam bezpečnostních incidentů v testovacích verzích zobrazíte pomocí seznamu Incidenty (označuje se také jako vyšetřování). Incidenty se používají ke sledování hrozeb, jako jsou podezřelé e-mailové zprávy, a k dalšímu šetření a nápravě.
Pokud chcete zobrazit seznam aktuálních incidentů pro vaši organizaci na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte na Incidenty & výstrahy>Incidenty. Pokud chcete přejít přímo na stránku Incidenty, použijte .https://security.microsoft.com/incidents
Trénování simulace útoku
Využijte školení simulace útoku k nastavení a spuštění realistických kybernetických útoků ve vaší organizaci a identifikaci ohrožených osob dříve, než skutečný kybernetický útok ovlivní vaši firmu. Další informace najdete v tématu Simulace útoku phishing.
Pokud chcete tuto funkci zobrazit a používat na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte natrénování simulace útokue-mailem & spolupráci>. Pokud chcete přejít přímo na stránku trénování simulace útoku , použijte https://security.microsoft.com/attacksimulator?viewid=overview.
Automatizované vyšetřování a reakce (Automated Investigation and Response)
Využijte funkce automatizovaného vyšetřování a reakce (AIR) k úspoře času a úsilí při korelaci obsahu, zařízení a osob ohrožených hrozbami ve vaší organizaci. Procesy AIR můžou začít vždy, když se aktivují určité výstrahy nebo když je spustí váš tým pro operace zabezpečení. Další informace najdete v článku Automatizované šetření a reakce v Office 365.
Widgety analýzy hrozeb
V rámci nabídky Microsoft Defender for Office 365 Plan 2 můžou analytici zabezpečení zkontrolovat podrobnosti o známé hrozbě. To je užitečné, pokud chcete zjistit, jestli existují další preventivní opatření nebo kroky, které je možné přijmout, aby uživatelé zůstali v bezpečí.
Jak tyto funkce získáme?
Microsoft Defender for Office 365 Plan 2, který je součástí Enterprise E5, nebo jako doplněk k určitým předplatným, jsou součástí Microsoft Defenderu pro Office 365 Plan 365 a možnosti reakce na hrozby. Další informace najdete v stručné nápovědě k programu Defender for Office 365 Plan 1 vs. Plan 2.
Požadované role a oprávnění
Microsoft Defender pro Office 365 používá řízení přístupu na základě role. Oprávnění se přiřazují prostřednictvím určitých rolí v Microsoft Entra ID, v Centru pro správu Microsoftu 365 nebo na portálu Microsoft Defender.
Tip
I když je možné na portálu Microsoft Defender přiřadit některé role, například správce zabezpečení, zvažte místo toho použití Centra pro správu Microsoftu 365 nebo Microsoft Entra ID. Informace o rolích, skupinách rolí a oprávněních najdete v následujících zdrojích informací:
Activity | Role a oprávnění |
---|---|
Použití řídicího panelu správy ohrožení zabezpečení v programu Microsoft Defender Zobrazení informací o nedávných nebo aktuálních hrozbách |
Jedna z následujících možností:
Tyto role je možné přiřadit buď v Microsoft Entra ID (https://portal.azure.com), nebo v Centru pro správu Microsoftu 365 (https://admin.microsoft.com). |
Použití Průzkumníka (a detekce v reálném čase) k analýze hrozeb | Jedna z následujících možností:
Tyto role je možné přiřadit buď v Microsoft Entra ID (https://portal.azure.com), nebo v Centru pro správu Microsoftu 365 (https://admin.microsoft.com). |
Zobrazit incidenty (označované také jako šetření) Přidání e-mailových zpráv k incidentu |
Jedna z následujících možností:
Tyto role je možné přiřadit buď v Microsoft Entra ID (https://portal.azure.com), nebo v Centru pro správu Microsoftu 365 (https://admin.microsoft.com). |
Aktivace e-mailových akcí v incidentu Vyhledání a odstranění podezřelých e-mailových zpráv |
Jedna z následujících možností:
Role globálního správce* a správce zabezpečení je možné přiřadit buď v Microsoft Entra ID (https://portal.azure.com), nebo v Centru pro správu Microsoftu 365 (https://admin.microsoft.com). Role Hledat a vyprázdnit musí být přiřazená v rolích spolupráce e-mailu & na portálu Microsoft 36 Defender (https://security.microsoft.com). |
Integrace Microsoft Defenderu pro Office 365 Plan 2 s Microsoft Defenderem for Endpoint Integrace Microsoft Defenderu pro Office 365 Plan 2 se serverem SIEM |
Roli globálního správce* nebo správce zabezpečení přiřazenou v Microsoft Entra ID (https://portal.azure.com) nebo Centru pro správu Microsoftu 365 (https://admin.microsoft.com). --- plus --- Příslušná role přiřazená v dalších aplikacích (jako je Centrum zabezpečení v programu Microsoft Defender nebo server SIEM). |
Důležité
* Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Další kroky
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro