Vyšetřování hrozeb a reakce na ně

Článek
06/25/2024
Platí pro:

✅ Microsoft Defender for Office 365 Plan 2

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defenderu XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defenderu pro Office 365 v centru zkušebních verzí portálu Microsoft Defender. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Možnosti vyšetřování hrozeb a reakce na ně v Microsoft Defenderu pro Office 365 pomáhají analytikům zabezpečení a správcům chránit Microsoft 365 pro firemní uživatele v organizaci pomocí:

Usnadňuje identifikaci, monitorování a pochopení kybernetických útoků.
Pomáhá rychle řešit hrozby v Exchangi Online, SharePointu Online, OneDrivu pro firmy a Microsoft Teams.
Poskytování přehledů a znalostí, které pomáhají bezpečnostním operacím předcházet kybernetickým útokům na jejich organizaci.
Využívá automatizované prověřování a reakce v Office 365 na kritické e-mailové hrozby.

Funkce pro zkoumání hrozeb a reakce na ně poskytují přehled o hrozbách a souvisejících akcích reakce, které jsou k dispozici na portálu Microsoft Defender. Tyto přehledy můžou pomoct bezpečnostnímu týmu vaší organizace chránit uživatele před e-mailovými nebo souborovými útoky. Tyto funkce pomáhají monitorovat signály a shromažďovat data z různých zdrojů, jako jsou aktivity uživatelů, ověřování, e-maily, ohrožené počítače a incidenty zabezpečení. Pracovníci s rozhodovací pravomocí ve firmě a váš provozní tým zabezpečení můžou tyto informace použít k pochopení hrozeb, které jsou vůči vaší organizaci ohroženy, k reakci na ně a k ochraně vašeho duševního vlastnictví.

Seznamte se s nástroji pro šetření hrozeb a reakce na ně

Možnosti vyšetřování hrozeb a reakce na portálu Microsoft Defender na adrese https://security.microsoft.com jsou sada nástrojů a pracovních postupů reakce, které zahrnují:

Průzkumník

Pomocí Průzkumníka (a detekce v reálném čase) můžete analyzovat hrozby, zobrazit objem útoků v průběhu času a analyzovat data podle skupin hrozeb, infrastruktury útočníků a dalších možností. Průzkumník (označovaný také jako Průzkumník hrozeb) je výchozím místem pro pracovní postup vyšetřování jakéhokoli analytika zabezpečení.

Pokud chcete tuto sestavu zobrazit a používat na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte naPrůzkumníka spolupráce >& e-mailem. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorer

Připojení analýzy hrozeb Office 365

Tato funkce je dostupná jenom v případě, že máte aktivní předplatné Office 365 E5 nebo G5, Předplatné Microsoftu 365 E5 nebo G5 nebo doplněk Analýza hrozeb. Další informace najdete na stránce produktu Office 365 Enterprise E5.

Data z Microsoft Defenderu pro Office 365 jsou začleněná do XDR v programu Microsoft Defender, aby se provedlo komplexní šetření zabezpečení poštovních schránek Office 365 a zařízení s Windows.

Incidenty

Seznam bezpečnostních incidentů v testovacích verzích zobrazíte pomocí seznamu Incidenty (označuje se také jako vyšetřování). Incidenty se používají ke sledování hrozeb, jako jsou podezřelé e-mailové zprávy, a k dalšímu šetření a nápravě.

Pokud chcete zobrazit seznam aktuálních incidentů pro vaši organizaci na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte na Incidenty & výstrahy>Incidenty. Pokud chcete přejít přímo na stránku Incidenty, použijte .https://security.microsoft.com/incidents

Trénování simulace útoku

Využijte školení simulace útoku k nastavení a spuštění realistických kybernetických útoků ve vaší organizaci a identifikaci ohrožených osob dříve, než skutečný kybernetický útok ovlivní vaši firmu. Další informace najdete v tématu Simulace útoku phishing.

Pokud chcete tuto funkci zobrazit a používat na portálu Microsoft Defender na adrese https://security.microsoft.com, přejděte natrénování simulace útokue-mailem & spolupráci>. Pokud chcete přejít přímo na stránku trénování simulace útoku , použijte https://security.microsoft.com/attacksimulator?viewid=overview.

Automatizované vyšetřování a reakce (Automated Investigation and Response)

Využijte funkce automatizovaného vyšetřování a reakce (AIR) k úspoře času a úsilí při korelaci obsahu, zařízení a osob ohrožených hrozbami ve vaší organizaci. Procesy AIR můžou začít vždy, když se aktivují určité výstrahy nebo když je spustí váš tým pro operace zabezpečení. Další informace najdete v článku Automatizované šetření a reakce v Office 365.

Widgety analýzy hrozeb

V rámci nabídky Microsoft Defender for Office 365 Plan 2 můžou analytici zabezpečení zkontrolovat podrobnosti o známé hrozbě. To je užitečné, pokud chcete zjistit, jestli existují další preventivní opatření nebo kroky, které je možné přijmout, aby uživatelé zůstali v bezpečí.

Jak tyto funkce získáme?

Microsoft Defender for Office 365 Plan 2, který je součástí Enterprise E5, nebo jako doplněk k určitým předplatným, jsou součástí Microsoft Defenderu pro Office 365 Plan 365 a možnosti reakce na hrozby. Další informace najdete v stručné nápovědě k programu Defender for Office 365 Plan 1 vs. Plan 2.

Požadované role a oprávnění

Microsoft Defender pro Office 365 používá řízení přístupu na základě role. Oprávnění se přiřazují prostřednictvím určitých rolí v Microsoft Entra ID, v Centru pro správu Microsoftu 365 nebo na portálu Microsoft Defender.

Tip

I když je možné na portálu Microsoft Defender přiřadit některé role, například správce zabezpečení, zvažte místo toho použití Centra pro správu Microsoftu 365 nebo Microsoft Entra ID. Informace o rolích, skupinách rolí a oprávněních najdete v následujících zdrojích informací:

Activity	Role a oprávnění
Použití řídicího panelu správy ohrožení zabezpečení v programu Microsoft Defender Zobrazení informací o nedávných nebo aktuálních hrozbách	Jedna z následujících možností: Globální správce^* Správce zabezpečení Čtenář zabezpečení Tyto role je možné přiřadit buď v Microsoft Entra ID (https://portal.azure.com), nebo v Centru pro správu Microsoftu 365 (https://admin.microsoft.com).
Použití Průzkumníka (a detekce v reálném čase) k analýze hrozeb	Jedna z následujících možností: Globální správce^* Správce zabezpečení Čtenář zabezpečení Tyto role je možné přiřadit buď v Microsoft Entra ID (https://portal.azure.com), nebo v Centru pro správu Microsoftu 365 (https://admin.microsoft.com).
Zobrazit incidenty (označované také jako šetření) Přidání e-mailových zpráv k incidentu	Jedna z následujících možností: Globální správce^* Správce zabezpečení Čtenář zabezpečení Tyto role je možné přiřadit buď v Microsoft Entra ID (https://portal.azure.com), nebo v Centru pro správu Microsoftu 365 (https://admin.microsoft.com).
Aktivace e-mailových akcí v incidentu Vyhledání a odstranění podezřelých e-mailových zpráv	Jedna z následujících možností: Globální správce^* Správce zabezpečení a role Hledat a vyprázdnit Role globálního správce^* a správce zabezpečení je možné přiřadit buď v Microsoft Entra ID (https://portal.azure.com), nebo v Centru pro správu Microsoftu 365 (https://admin.microsoft.com). Role Hledat a vyprázdnit musí být přiřazená v rolích spolupráce e-mailu & na portálu Microsoft 36 Defender (https://security.microsoft.com).
Integrace Microsoft Defenderu pro Office 365 Plan 2 s Microsoft Defenderem for Endpoint Integrace Microsoft Defenderu pro Office 365 Plan 2 se serverem SIEM	Roli globálního správce^* nebo správce zabezpečení přiřazenou v Microsoft Entra ID (https://portal.azure.com) nebo Centru pro správu Microsoftu 365 (https://admin.microsoft.com). --- plus --- Příslušná role přiřazená v dalších aplikacích (jako je Centrum zabezpečení v programu Microsoft Defender nebo server SIEM).

Důležité

^* Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Sdílet prostřednictvím