Sådan fungerer automatiseret undersøgelse og svar i Microsoft Defender for Office 365
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
Når sikkerhedsbeskeder udløses, er det op til dit team af sikkerhedshandlinger at undersøge disse beskeder og tage skridt til at beskytte din organisation. Nogle gange kan teams for sikkerhedshandlinger føle sig overvældet over mængden af beskeder, der udløses. Automatiserede air-funktioner (investigation and response) i Microsoft Defender for Office 365 kan hjælpe.
AIR gør det muligt for dit sikkerhedsteam at arbejde mere effektivt og effektivt. AIR-funktioner omfatter automatiserede undersøgelsesprocesser som svar på velkendte trusler, der findes i dag. Passende afhjælpningshandlinger afventer godkendelse, hvilket gør det muligt for dit team af sikkerhedshandlinger at reagere på registrerede trusler.
I denne artikel beskrives det, hvordan AIR fungerer gennem flere eksempler. Når du er klar til at komme i gang med at bruge AIR, skal du se Undersøg og reager automatisk på trusler.
- Eksempel 1: En brugerrapporteret phishmeddelelse starter en undersøgelseslegebog
- Eksempel 2: En sikkerhedsadministrator udløser en undersøgelse fra Threat Explorer
- Eksempel 3: Et team af sikkerhedshandlinger integrerer AIR med deres SIEM ved hjælp af API'en til administration af Office 365
Eksempel: En brugerrapporteret phishmeddelelse starter en undersøgelses legebog
Lad os antage, at en bruger i din organisation modtager en mail, som de mener er et forsøg på phishing. Den bruger, der er oplært til at rapportere sådanne meddelelser, bruger tilføjelsesprogrammerne Microsoft Report Message eller Report Phishing til at sende den til Microsoft til analyse. Indsendelsen sendes også til dit system og er synlig i Stifinder i visningen Indsendelser (tidligere kaldet den brugerrapporterede visning). Desuden udløser den brugerrapporterede meddelelse nu en systembaseret informationsadvarsel, som automatisk starter undersøgelsens playbook.
Under den grundlæggende undersøgelsesfase vurderes forskellige aspekter af mailen. Disse aspekter omfatter:
- En beslutsomhed om, hvilken type trussel det kan være;
- Hvem sendte den;
- Hvor mailen blev sendt fra (sender infrastruktur);
- Om andre forekomster af mailen blev leveret eller blokeret;
- En vurdering fra vores analytikere;
- Om mailen er knyttet til kendte kampagner;
- og meget mere.
Når rodundersøgelsen er fuldført, indeholder playbooken en liste over anbefalede handlinger, der skal udføres på den oprindelige mail og de enheder , der er knyttet til den (f.eks. filer, URL-adresser og modtagere).
Derefter udføres flere trusselsundersøgelser og jagttrin:
- Lignende mails identificeres via e-mailklyngesøgninger.
- Signalet deles med andre platforme, f.eks. Microsoft Defender for Endpoint.
- Der træffes beslutning om, hvorvidt nogen brugere har klikket gennem skadelige links i mistænkelige mails.
- En kontrol udføres på tværs af Exchange Online Protection (EOP) og Microsoft Defender for Office 365 for at se, om der er andre lignende meddelelser rapporteret af brugere.
- Der foretages en kontrol for at se, om en bruger er blevet kompromitteret. Denne kontrol udnytter signaler på tværs af Office 365, Microsoft Defender for Cloud Apps og Microsoft Entra ID og korrelerer eventuelle relaterede uregelmæssigheder i brugeraktivitet.
I jagtfasen tildeles risici og trusler forskellige jagttrin.
Afhjælpning er den sidste fase af playbook. I denne fase udføres afhjælpningsforanstaltninger baseret på undersøgelses- og jagtfaser.
Eksempel: En sikkerhedsadministrator udløser en undersøgelse fra Threat Explorer
Ud over automatiserede undersøgelser, der udløses af en besked, kan organisationens team for sikkerhedshandlinger udløse en automatisk undersøgelse fra en visning i Threat Explorer. Denne undersøgelse opretter også en besked, så Microsoft Defender XDR hændelser og eksterne SIEM-værktøjer kan se, at denne undersøgelse blev udløst.
Lad os f.eks. antage, at du bruger visningen Malware i Stifinder. Ved hjælp af fanerne under diagrammet skal du vælge fanen Mail . Hvis du vælger et eller flere elementer på listen, aktiveres knappen + handlinger .
Ved hjælp af menuen Handlinger kan du vælge Undersøgelse af udløser.
På samme måde som med playbooks, der udløses af en besked, omfatter automatiske undersøgelser, der udløses fra en visning i Stifinder, en rodundersøgelse, trin til at identificere og korrelere trusler og anbefalede handlinger til at afhjælpe disse trusler.
Eksempel: Et team af sikkerhedshandlinger integrerer AIR med deres SIEM ved hjælp af API'en til administration af Office 365
AIR-funktioner i Microsoft Defender for Office 365 omfatter rapporter & oplysninger, som sikkerhedsteams kan bruge til at overvåge og håndtere trusler. Men du kan også integrere AIR-funktioner med andre løsninger. Eksempler omfatter et SIEM-system (Security Information and Event Management), et sagsstyringssystem eller en brugerdefineret rapporteringsløsning. Disse typer integrationer kan udføres ved hjælp af API'en Office 365 managementaktivitet.
For nylig har en organisation f.eks. konfigureret en måde for deres team for sikkerhedshandlinger på for at få vist brugerrapporterede phish-beskeder, der allerede er behandlet af AIR. Deres løsning integrerer relevante beskeder med organisationens SIEM-server og deres sagsstyringssystem. Løsningen reducerer antallet af falske positiver markant, så deres sikkerhedsteam kan fokusere deres tid og kræfter på reelle trusler. Hvis du vil vide mere om denne brugerdefinerede løsning, skal du se Tech Community-bloggen: Gør din SOC mere effektiv med Microsoft Defender for Office 365 og O365 Management API.