Microsoft Defender for Office 365 Security Operations Guide

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages prøveversion af Defender til Office 365 i prøveversionshubben til Microsoft Defender Portal. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Denne artikel indeholder en oversigt over kravene og opgaverne for at kunne køre Microsoft Defender til Office 365 i din organisation. Disse opgaver er med til at sikre, at dit SOC (Security Operations Center) leverer en pålidelig tilgang af høj kvalitet til at beskytte, registrere og reagere på mail- og samarbejdsrelaterede sikkerhedstrusler.

I resten af denne vejledning beskrives de påkrævede aktiviteter for SecOps-personale. Aktiviteterne er grupperet i præskriptive daglige, ugentlige, månedlige og ad hoc-opgaver.

En medfølgende artikel til denne vejledning indeholder en oversigt over , hvordan du administrerer hændelser og beskeder fra Defender for Office 365 på siden Hændelser på Microsoft Defender-portalen.

Microsoft Defender XDR Security Operations Guide indeholder yderligere oplysninger, som du kan bruge til planlægning og udvikling.

Du kan få en video om disse oplysninger under https://youtu.be/eQanpq9N1Ps.

Daglige aktiviteter

Overvåg Køen Microsoft Defender XDR-hændelser

Siden Hændelser på Microsoft Defender-portalen på https://security.microsoft.com/incidents-queue (også kendt som køen Hændelser) giver dig mulighed for at administrere og overvåge hændelser fra følgende kilder i Defender til Office 365:

• Beskeder.
• Automatiseret undersøgelse og svar (AIR).

Du kan få flere oplysninger om køen Hændelser under Prioriter hændelser i Microsoft Defender XDR.

Din triageplan til overvågning af hændelseskøen skal bruge følgende rækkefølge for hændelser:

1. Der blev fundet en potentielt skadelig URL-adresse.
2. Brugeren er begrænset til at sende mail.
3. Mistænkelige mail afsendelse mønstre opdaget.
4. Mail, der er rapporteret af brugeren som malware eller phish, og Flere brugere rapporterede mail som malware eller phish.
5. Mails, der indeholder skadelig fil, som er fjernet efter levering, Mails, der indeholder skadelig URL-adresse fjernet efter levering, og Mails fra en kampagne, der er fjernet efter levering.
6. Phish leveret på grund af en TILSIDESÆTTELSE AF ETR, Phish leveret, fordi en brugers mappe med uønsket mail er deaktiveret, og Phish leveres på grund af en politik for ip-tilladelse
7. Malware ikke zapped fordi ZAP er deaktiveret og Phish ikke zapped fordi ZAP er deaktiveret.

Administration af hændelseskøen og de ansvarlige personer er beskrevet i følgende tabel:

Aktivitet	Kadence	Beskrivelse	Karakter
Triage hændelser i køen Hændelser på https://security.microsoft.com/incidents-queue.	Daglig	Bekræft, at alle hændelser med mellemstor og høj alvorsgrad fra Defender for Office 365 er triaged.	Team for sikkerhedshandlinger
Undersøg og udfør svarhandlinger på hændelser.	Daglig	Undersøg alle hændelser, og udfør aktivt de anbefalede eller manuelle svarhandlinger.	Team for sikkerhedshandlinger
Løs hændelser.	Daglig	Hvis hændelsen er blevet afhjælpet, skal du løse hændelsen. Løsning af hændelsen løser alle sammenkædede og relaterede aktive beskeder.	Team for sikkerhedshandlinger
Klassificer hændelser.	Daglig	Klassificer hændelser som true eller false. Angiv trusselstypen for true-beskeder. Denne klassificering hjælper dit sikkerhedsteam med at se trusselsmønstre og forsvare din organisation mod dem.	Team for sikkerhedshandlinger

Administrer registreringer af falske positive og falske negative

I Defender til Office 365 kan du administrere falske positiver (gode mails markeret som dårlige) og falske negativer (forkerte mails er tilladt) på følgende placeringer:

• Siden Indsendelser (administratorindsendelser).
• Listen over tilladte/blokerede lejere
• Trusselsoversigt

Du kan få flere oplysninger i afsnittet Administrer falske positive og falske negative registreringer senere i denne artikel.

Falsk positiv og falsk negativ administration og de ansvarlige personer er beskrevet i følgende tabel:

Aktivitet	Kadence	Beskrivelse	Karakter
Send falske positiver og falske negativer til Microsoft på https://security.microsoft.com/reportsubmission.	Daglig	Angiv signaler til Microsoft ved at rapportere forkerte mails, URL-adresser og filregistreringer.	Team for sikkerhedshandlinger
Analysér oplysninger om indsendelse af administrator.	Daglig	Forstå følgende faktorer for de indsendelser, du indsender til Microsoft: Det, der forårsagede falsk positiv eller falsk negativ. Tilstanden for din Defender for Office 365-konfiguration på tidspunktet for indsendelsen. Uanset om du har brug for at foretage ændringer i din Defender for Office 365-konfiguration.	Team for sikkerhedshandlinger Sikkerhedsadministration
Tilføj blokposter på listen over tilladte/blokerede lejere på https://security.microsoft.com/tenantAllowBlockList.	Daglig	Brug listen over tilladte/blokerede lejere til at tilføje blokposter for registreringer af falske negative URL-adresser, filer eller afsendere efter behov.	Team for sikkerhedshandlinger
Frigiv falsk positiv fra karantæne.	Daglig	Når modtageren har bekræftet, at meddelelsen er sat i karantæne forkert, kan du frigive eller godkende anmodninger om frigivelse for brugere. Hvis du vil styre, hvad brugerne kan gøre med deres egne karantænemeddelelser (herunder frigivelse eller anmodning om frigivelse), skal du se Karantænepolitikker.	Team for sikkerhedshandlinger Meddelelsesteam

Gennemse phishing- og malwarekampagner, der resulterede i leverede mails

Aktivitet	Kadence	Beskrivelse	Karakter
Gennemse mailkampagner.	Daglig	Gennemse mailkampagner , der er målrettet din organisation på https://security.microsoft.com/campaigns. Fokuser på kampagner, der resulterede i, at meddelelser blev leveret til modtagere. Fjern meddelelser fra kampagner, der findes i brugerpostkasser. Denne handling er kun påkrævet, når en kampagne indeholder mail, der ikke allerede er blevet afhjælpet af handlinger fra hændelser, automatisk sletning på nul timer (ZAP) eller manuel afhjælpning.	Team for sikkerhedshandlinger

Ugentlige aktiviteter

Gennemse tendenser for registrering af mail i Defender for Office 365-rapporter

I Defender til Office 365 kan du bruge følgende rapporter til at gennemse tendenser for registrering af mails i din organisation:

• Statusrapporten Mailflow
• Statusrapporten trusselsbeskyttelse

Aktivitet	Kadence	Beskrivelse	Karakter
Gennemse rapporter til registrering af mail på: https://security.microsoft.com/reports/TPSAggregateReportATP https://security.microsoft.com/mailflowStatusReport?viewid=type	Ugentlig	Gennemse tendenser for registrering af mail for malware, phishing og spam sammenlignet med god mail. Observation over tid giver dig mulighed for at se trusselsmønstre og afgøre, om du har brug for at justere din Defender for Office 365-politikker.	Sikkerhedsadministration Team for sikkerhedshandlinger

Spor og reager på nye trusler ved hjælp af Threat-analyse

Brug Threat Analytics til at gennemse aktive, mest populære trusler.

Aktivitet	Kadence	Beskrivelse	Karakter
Gennemse trusler i Threat Analytics på https://security.microsoft.com/threatanalytics3.	Ugentlig	Trusselsanalyse giver detaljeret analyse, herunder følgende elementer: IOCs. Jagtforespørgsler om aktive trusselsaktører og deres kampagner. Populære og nye angrebsteknikker. Kritiske sikkerhedsrisici. Almindelige angrebsoverflader. Udbredt malware.	Team for sikkerhedshandlinger Trusselsjagtteam

Gennemse de mest målrettede brugere for malware og phishing

Brug fanen Topmålbrugere (visning) i detaljeområdet i visningerne Alle mails, Malware og Phish i Threat Explorer for at finde eller bekræfte de brugere, der er de vigtigste mål for malware- og phishing-mail.

Aktivitet	Kadence	Beskrivelse	Karakter
Gennemse fanen Topmålbrugere i Threat Explorer på https://security.microsoft.com/threatexplorer.	Ugentlig	Brug oplysningerne til at beslutte, om du har brug for at justere politikker eller beskyttelse for disse brugere. Føj de berørte brugere til prioritetskonti for at få følgende fordele: Yderligere synlighed, når hændelser påvirker dem. Skræddersyet heuristik til mønstre for administration af mailflow (prioriteret kontobeskyttelse). Rapport over mailproblemer for prioritetskonti	Sikkerhedsadministration Team for sikkerhedshandlinger

Gennemse de mest populære malware- og phishing-kampagner, der er målrettet din organisation

Kampagnevisninger viser malware- og phishingangreb mod din organisation. Du kan få flere oplysninger under Kampagnevisninger i Microsoft Defender til Office 365.

Aktivitet	Kadence	Beskrivelse	Karakter
Brug Kampagnevisninger på https://security.microsoft.com/campaigns til at gennemse malware- og phishing-angreb, der påvirker dig.	Ugentlig	Få mere at vide om angreb og teknikker, og hvad Defender for Office 365 kunne identificere og blokere. Brug Download trusselsrapport i kampagnevisninger for at få detaljerede oplysninger om en kampagne.	Team for sikkerhedshandlinger

Ad hoc-aktiviteter

Manuel undersøgelse og fjernelse af mail

Aktivitet	Kadence	Beskrivelse	Karakter
Undersøg og fjern dårlig mail i Threat Explorer på baseret på https://security.microsoft.com/threatexplorer brugeranmodninger.	Ad hoc	Brug handlingen Trigger investigation i Threat Explorer til at starte en automatiseret undersøgelses- og svarlegebog for alle mails fra de sidste 30 dage. Manuel udløsning af en undersøgelse sparer tid og kræfter ved centralt at inkludere: En rodundersøgelse. Trin til at identificere og korrelere trusler. Anbefalede handlinger til at afhjælpe disse trusler. Du kan få flere oplysninger under Eksempel: En brugerrapporteret phishmeddelelse starter en undersøgelseslogbog Eller du kan bruge Threat Explorer til manuelt at undersøge mail med effektive søge- og filtreringsfunktioner og udføre manuel svarhandling direkte fra det samme sted. Tilgængelige manuelle handlinger: Flyt til Indbakke Flyt til uønsket mail Flyt til Slettede elementer Blød sletning Slet hårdt.	Team for sikkerhedshandlinger

Proaktiv jagt på trusler

Aktivitet	Kadence	Beskrivelse	Karakter
Regelmæssig, proaktiv jagt på trusler på: https://security.microsoft.com/threatexplorer https://security.microsoft.com/v2/advanced-hunting .	Ad hoc	Søg efter trusler ved hjælp af Threat Explorer og avanceret jagt.	Team for sikkerhedshandlinger Trusselsjagtteam
Del jagtforespørgsler.	Ad hoc	Del aktivt ofte anvendte, nyttige forespørgsler i sikkerhedsteamet for at få hurtigere manuel trusselsjagt og -afhjælpning. Brug Trusselssporing ogdelte forespørgsler i Avanceret jagt.	Team for sikkerhedshandlinger Trusselsjagtteam
Opret brugerdefinerede regler for registrering på https://security.microsoft.com/custom_detection.	Ad hoc	Opret regler for brugerdefineret registrering for proaktivt at overvåge hændelser, mønstre og trusler baseret på Defender for Office 365-data i Advance Hunting. Registreringsregler indeholder avancerede jagtforespørgsler, der genererer beskeder baseret på de matchende kriterier.	Team for sikkerhedshandlinger Trusselsjagtteam

Gennemse Defender for konfigurationer af Office 365-politikker

Aktivitet	Kadence	Beskrivelse	Karakter
Gennemse konfigurationen af Defender for Office 365-politikker på https://security.microsoft.com/configurationAnalyzer.	Ad hoc Månedlig	Brug Konfigurationsanalyse til at sammenligne dine eksisterende politikindstillinger med de anbefalede Standard- eller Strict-værdier for Defender for Office 365. Konfigurationsanalysen identificerer utilsigtede eller skadelige ændringer, der kan reducere din organisations sikkerhedsholdning. Eller du kan bruge det PowerShell-baserede ORCA-værktøj.	Sikkerhedsadministration Meddelelsesteam
Gennemse tilsidesættelser af registrering i Defender for Office 365 på https://security.microsoft.com/reports/TPSMessageOverrideReportATP	Ad hoc Månedlig	Brug Vis data efter system til at tilsidesætte > diagramopdeling efter årsagsvisning i statusrapporten Trusselsbeskyttelse til at gennemse mails, der blev registreret som phishing, men leveret på grund af indstillinger for tilsidesættelse af politik eller bruger. Undersøg, fjern eller finjuster tilsidesættelser aktivt for at undgå levering af mails, der blev bestemt til at være skadelige.	Sikkerhedsadministration Meddelelsesteam

Gennemse registreringer af spoof og repræsentation

Aktivitet	Kadence	Beskrivelse	Karakter
Gennemse Spoof Intelligence-indsigten og indsigten Repræsentationsregistrering på https://security.microsoft.com/spoofintelligence https://security.microsoft.com/impersonationinsight .	Ad hoc Månedlig	Brug indsigt i spoof intelligence og repræsentationsindsigt til at justere filtrering for spoof- og repræsentationsregistreringer.	Sikkerhedsadministration Meddelelsesteam

Gennemse medlemskab af prioritetskonto

Aktivitet	Kadence	Beskrivelse	Karakter
Gennemse, hvem der er defineret som en prioritetskonto på https://security.microsoft.com/securitysettings/userTags.	Ad hoc	Hold medlemskabet af prioriterede konti opdateret med organisatoriske ændringer for at få følgende fordele for disse brugere: Bedre synlighed i rapporter. Filtrering i hændelser og beskeder. Skræddersyet heuristik til mønstre for administration af mailflow (prioriteret kontobeskyttelse). Brug brugerdefinerede brugerkoder til andre brugere for at få: Bedre synlighed i rapporter. Filtrering i hændelser og beskeder.	Team for sikkerhedshandlinger

Blindtarm

Få mere at vide om Microsoft Defender til Office 365-værktøjer og -processer

Medlemmer af sikkerhedshandlinger og svarteam skal integrere Defender for Office 365-værktøjer og -funktioner i eksisterende undersøgelser og svarprocesser. Det kan tage tid at lære om nye værktøjer og funktioner, men det er en vigtig del af ombordstigningsprocessen. Den nemmeste måde for medlemmer af SecOps- og mailsikkerhedsteamet at få mere at vide om Defender for Office 365 på er at bruge det træningsindhold, der er tilgængeligt som en del af Ninja-træningsindholdet på https://aka.ms/mdoninja.

Indholdet er struktureret til forskellige videnniveauer (Grundlæggende, Mellemliggende og Avanceret) med flere moduler pr. niveau.

Korte videoer til bestemte opgaver er også tilgængelige i Microsoft Defender for Office 365 YouTube-kanalen.

Tilladelser til Defender for Office 365-aktiviteter og -opgaver

Tilladelser til administration af Defender til Office 365 på Microsoft Defender-portalen og PowerShell er baseret på den rollebaserede RBAC-tilladelsesmodel (Access Control). RBAC er den samme tilladelsesmodel, der bruges af de fleste Microsoft 365-tjenester. Du kan få flere oplysninger under Tilladelser på Microsoft Defender-portalen.

Bemærk!

Privilegeret identitetsstyring (PIM) i Microsoft Entra ID er også en måde at tildele påkrævede tilladelser til SecOps-personale. Du kan få flere oplysninger under Privilegeret identitetsstyring (PIM), og hvorfor du bruger den sammen med Microsoft Defender til Office 365.

Følgende tilladelser (roller og rollegrupper) er tilgængelige i Defender for Office 365 og kan bruges til at give adgang til medlemmer af sikkerhedsteamet:

• Microsoft Entra ID: Centraliserede roller, der tildeler tilladelser til alle Microsoft 365-tjenester, herunder Defender for Office 365. Du kan få vist Microsoft Entra-rollerne og tildelte brugere på Microsoft Defender-portalen, men du kan ikke administrere dem direkte der. Du kan i stedet administrere Microsoft Entra-roller og -medlemmer på https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. De hyppigste roller, der bruges af sikkerhedsteams, er:

  • Sikkerhedsadministrator
  • Sikkerhedslæser

• Exchange Online og Mail & samarbejde: Roller og rollegrupper, der giver tilladelse, der er specifikke for Microsoft Defender til Office 365. Følgende roller er ikke tilgængelige i Microsoft Entra ID, men kan være vigtige for sikkerhedsteams:

  • Eksempelrolle (mail & samarbejde): Tildel denne rolle til teammedlemmer, der skal have vist eller downloade mails som en del af undersøgelsesaktiviteterne. Giver brugerne mulighed for at få vist og downloade mails fra cloudpostkasser ved hjælp af Trusselsstifinder (Explorer) eller registreringer i realtid og enhedssiden Mail.

    Som standard tildeles eksempelrollen kun til følgende rollegrupper:

    • Datadetektiv
    • eDiscovery Manager

    Du kan føje brugere til disse rollegrupper, eller du kan oprette en ny rollegruppe med rollen Eksempel tildelt og føje brugerne til den brugerdefinerede rollegruppe.

  • Rollen Søg og Fjern (mail & samarbejde): Godkend sletning af skadelige meddelelser som anbefalet af AIR, eller udfør manuel handling på meddelelser i jagtoplevelser som Threat Explorer.

    Rollen Søg og Fjern er som standard kun tildelt til følgende rollegrupper:

    • Datadetektiv
    • Organisationsadministration

    Du kan føje brugere til disse rollegrupper, eller du kan oprette en ny rollegruppe med rollen Søg og Fjern tildelt og føje brugerne til den brugerdefinerede rollegruppe.

  • Lejer AllowBlockList Manager (Exchange Online): Administrer tilladte og blokerede poster på lejerlisten tillad/bloker. Blokering af URL-adresser, filer (ved hjælp af filhash) eller afsendere er en nyttig svarhandling, der skal udføres, når du undersøger skadelige mails, der blev leveret.

    Denne rolle tildeles som standard kun til rollegruppen Sikkerhedsoperator i Exchange Online, ikke i Microsoft Entra-id. Medlemskab af rollen sikkerhedsoperatør i Microsoft Entra-id giver dig ikke mulighed for at administrere poster på listen over tilladte/blokerede lejere.

    Medlemmer af rollerne Sikkerhedsadministrator eller Organisation i Microsoft Entra ID eller de tilsvarende rollegrupper i Exchange Online kan administrere poster på listen over tilladte/blokerede lejere.

SIEM-/SOAR-integration

Defender for Office 365 fremviser de fleste af dataene via et sæt programmatiske API'er. Disse API'er hjælper dig med at automatisere arbejdsprocesser og gøre fuld brug af Defender for Office 365-funktioner. Data er tilgængelige via Microsoft Defender XDR-API'er og kan bruges til at integrere Defender for Office 365 i eksisterende SIEM/SOAR-løsninger.

• Hændelses-API: Defender for Office 365-beskeder og automatiserede undersøgelser er aktive dele af hændelser i Microsoft Defender XDR. Sikkerhedsteams kan fokusere på det, der er vigtigt, ved at gruppere det fulde angrebsomfang og alle berørte aktiver samlet.

• API til hændelsesstreaming: Gør det muligt at sende hændelser og beskeder i realtid til en enkelt datastream, efterhånden som de sker. Understøttede hændelsestyper i Defender til Office 365 omfatter:

  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo

  Hændelserne indeholder data fra behandling af alle mails (herunder meddelelser internt i organisationen) inden for de sidste 30 dage.

• Advance Hunting API: Tillader trusselsjagt på tværs af produkter.

• Threat Assessment API: Kan bruges til at rapportere spam, phishing-URL-adresser eller vedhæftede filer til malware direkte til Microsoft.

Hvis du vil oprette forbindelse mellem Defender for Office 365-hændelser og rådata med Microsoft Sentinel, kan du bruge Connectoren Microsoft Defender XDR (M365D)

Du kan bruge følgende eksempel på "Hello World" til at teste API-adgang til Microsoft Defender API'er: Hello World for Microsoft Defender XDR REST API.

Du kan finde flere oplysninger om integration af SIEM-værktøjer under Integrer dine SIEM-værktøjer med Microsoft Defender XDR.

Løs falske positiver og falske negativer i Defender for Office 365

Brugerrapporterede meddelelser og administratorindsendelser af mails er vigtige positive forstærkningssignaler til vores systemer til registrering af maskinel indlæring. Indsendelser hjælper os med at gennemse, triage, lære hurtigt og afhjælpe angreb. Aktiv rapportering af falske positiver og falske negativer er en vigtig aktivitet, der giver feedback til Defender for Office 365, når der opstår fejl under registreringen.

Organisationer har flere muligheder for at konfigurere brugerrapporterede meddelelser. Afhængigt af konfigurationen kan sikkerhedsteams have mere aktiv involvering, når brugerne sender falske positiver eller falske negativer til Microsoft:

• Brugerrapporterede meddelelser sendes til Microsoft til analyse, når de rapporterede indstillinger for brugeren er konfigureret med en af følgende indstillinger:

  • Send de rapporterede meddelelser til: Kun Microsoft.
  • Send de rapporterede meddelelser til: Microsoft og min rapporteringspostkasse.

  Medlemmer af sikkerhedsteams skal indsende tilføjelsesadministratorer , når handlingsteamet finder falske positiver eller falske negativer, der ikke blev rapporteret af brugere.

• Når brugerrapporterede meddelelser er konfigureret til kun at sende meddelelser til organisationens postkasse, skal sikkerhedsteams aktivt sende brugerrapporterede falske positiver og falske negativer til Microsoft via administratorindsendelser.

Når en bruger rapporterer en meddelelse som phishing, genererer Defender for Office 365 en besked, og beskeden udløser en AIR-playbook. Hændelseslogikken korrelerer disse oplysninger med andre beskeder og hændelser, hvor det er muligt. Denne konsolidering af oplysninger hjælper sikkerhedsteams med at sortere, undersøge og besvare brugerrapporterede meddelelser.

Indsendelsespipelinen i tjenesten følger en tæt integreret proces, når brugerrapporteringsmeddelelser og administratorer sender meddelelser. Denne proces omfatter:

• Støjreduktion.
• Automatiseret triage.
• Klassificering af sikkerhedsanalytikere og løsninger baseret på maskinel indlæring baseret på menneskeskabte partnere.

Du kan få flere oplysninger under Rapportering af en mail i Defender til Office 365 – Microsoft Tech Community.

Medlemmer af sikkerhedsteamet kan foretage indsendelser fra flere placeringer på Microsoft Defender-portalen på https://security.microsoft.com:

• Administratorindsendelse: Brug siden Indsendelser til at sende mistanke om spam, phishing, URL-adresser og filer til Microsoft.

• Direkte fra Threat Explorer ved hjælp af en af følgende meddelelseshandlinger:

  • Rapport ren
  • Rapport phishing
  • Rapportér malware
  • Rapportér spam

  Du kan vælge op til 10 meddelelser for at udføre en masseindsendelse. Administratorindsendelser, der er oprettet ved hjælp af disse metoder, er synlige under de respektive faner på siden Indsendelser .

I forbindelse med kortsigtet afhjælpning af falske negativer kan sikkerhedsteams administrere blokeringsposter direkte for filer, URL-adresser og domæner eller mailadresser på listen over tilladte/blokerede lejere.

I forbindelse med kortsigtet afhjælpning af falske positiver kan sikkerhedsteams ikke direkte administrere tilladte poster for domæner og mailadresser på listen over tilladte/blokerede lejere. De skal i stedet bruge administratorindsendelser til at rapportere mailen som falsk positiv. Du kan finde instruktioner under Rapportér en god mail til Microsoft.

Karantæne i Defender til Office 365 indeholder potentielt farlige eller uønskede meddelelser og filer. Sikkerhedsteams kan få vist, frigive og slette alle typer af karantænemeddelelser for alle brugere. Denne funktion gør det muligt for sikkerhedsteams at reagere effektivt, når en falsk positiv meddelelse eller fil er sat i karantæne.

Integrer rapporteringsværktøjer fra tredjepart med rapporter fra Defender til Office 365-brugere

Hvis din organisation bruger et rapporteringsværktøj fra tredjepart, der giver brugerne mulighed for at rapportere mistænkelige mails internt, kan du integrere værktøjet med de brugerrapporterede meddelelsesfunktioner i Defender for Office 365. Denne integration giver følgende fordele for sikkerhedsteams:

• Integration med AIR-funktionerne i Defender for Office 365.
• Forenklet triage.
• Reduceret undersøgelses- og svartid.

Angiv den postkasse til rapportering, hvor brugerrapporterede meddelelser sendes på siden Brugerrapporterede indstillinger på Microsoft Defender-portalen på https://security.microsoft.com/securitysettings/userSubmission. Du kan få flere oplysninger under Brugerrapporterede indstillinger.

Bemærk!

• Postkassen til rapportering skal være en Exchange Online-postkasse.
• Rapporteringsværktøjet fra tredjepart skal indeholde den oprindeligt rapporterede meddelelse som en dekomprimeret . EML eller . Den vedhæftede MSG-fil i den meddelelse, der sendes til rapporteringspostkassen (videresend ikke kun den oprindelige meddelelse til rapporteringspostkassen). Du kan få flere oplysninger under Format for afsendelse af meddelelser for rapporteringsværktøjer fra tredjepart.
• Rapporteringspostkassen kræver specifikke forudsætninger for at tillade, at potentielt forkerte meddelelser leveres uden at blive filtreret eller ændret. Du kan få flere oplysninger under Konfigurationskrav til rapporteringspostkassen.

Når en bruger har rapporteret en meddelelse i rapporteringspostkassen, genererer Defender til Office 365 automatisk den besked med navnet Mail, der rapporteres af brugeren som malware eller phish. Denne besked starter en air playbook. I playbooken udføres en række automatiserede undersøgelsestrin:

• Indsaml data om den angivne mail.
• Indsaml data om de trusler og enheder , der er relateret til denne mail (f.eks. filer, URL-adresser og modtagere).
• Angiv anbefalede handlinger, som SecOps-teamet skal udføre på baggrund af undersøgelsesresultaterne.

Mail, der rapporteres af brugeren som malware- eller phishbeskeder , automatiserede undersøgelser og deres anbefalede handlinger, korreleres automatisk til hændelser i Microsoft Defender XDR. Denne korrelation forenkler yderligere triage- og svarprocessen for sikkerhedsteams. Hvis flere brugere rapporterer de samme eller lignende meddelelser, korreleres alle brugere og meddelelser til den samme hændelse.

Data fra beskeder og undersøgelser i Defender for Office 365 sammenlignes automatisk med beskeder og undersøgelser i de andre Microsoft Defender XDR-produkter:

• Microsoft Defender for Endpoint
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Identity

Hvis der opdages en relation, opretter systemet en hændelse, der giver synlighed for hele angrebet.