Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender til Office 365 Plan 2 gratis? Brug den 90-dages Defender til Office 365 prøveversion på Microsoft Defender Portal-prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkårene på Prøv Microsoft Defender til Office 365.
Når sikkerhedsbeskeder vises i en Microsoft 365-organisation på https://security.microsoft.com/alerts, er det op til secOps-teamet (Security Operations) at gennemse, prioritere og svare på disse beskeder. Det kan være overvældende at holde styr på mængden af indgående beskeder. Det kan hjælpe at automatisere nogle af disse opgaver.
Microsoft Defender til Office 365 Plan 2 (inkluderet i Microsoft 365-licenser som E5 eller som et separat abonnement) indeholder effektive funktioner til automatiseret undersøgelse og svar (AIR), der sparer tid og kræfter for SecOps-teams.
AIR triages high impact, high volume alerts ved at gennemføre undersøgelser på organisationsniveau. AIR-undersøgelser udvider registreringer eller giver ekstra analyse for at fastslå trusselsstatus for organisationen. Når AIR identificerer trusler, sættes handlinger til afhjælpning af trusler i kø, som SecOps-personale skal godkende. AIR resulterer i følgende fordele:
- Automatiserede undersøgelsesprocesser som svar på velkendte trusler.
- Passende afhjælpningshandlinger, der afventer godkendelse, så dit SecOps-team kan reagere effektivt på registrerede trusler.
- Dit SecOps-team kan fokusere på opgaver med højere prioritet uden at miste vigtige beskeder, der udløses, af syne.
AIR i Defender for Office 365 Plan 2 kræver, at logføring af overvågning er slået til (den er som standard slået til).
Den samlede luftstrøm
En besked udløses, og en sikkerhedslegebog starter en automatisk undersøgelse, som resulterer i resultater og anbefalede handlinger. Her er den overordnede flow for AIR, trin for trin:
En automatiseret undersøgelse startes på en af følgende måder:
Specifikke beskeder, der er designet til at starte AIR. Disse beskeder omfatter:
Noget mistænkeligt identificeres i en mail (f.eks. selve meddelelsen, en vedhæftet fil, en URL-adresse eller en kompromitteret brugerkonto).
Brugerindsendelser.
Brugeren klikker på beskeder.
Mistænkelig funktionsmåde for postkasse.
Tip
Sørg for regelmæssigt at gennemse de beskeder, din organisation har. Du kan få flere oplysninger om beskedpolitikker, der udløser automatiserede undersøgelser, i standardpolitikker for beskeder i kategorien Trusselsstyring. De poster, der indeholder værdien Ja for automatiseret undersøgelse , kan udløse automatiserede undersøgelser. LUFT udløses ikke, når:
- Disse beskeder er deaktiveret.
- Disse beskeder erstattes af brugerdefinerede beskeder.
En sikkerhedsanalytiker udløser manuelt undersøgelsen ved at vælge
Udfør handling i Threat Explorer, Avanceret jagt, brugerdefineret registrering, siden Mailobjekt eller panelet Mailoversigt. Du kan finde flere oplysninger under Trusselsjagt: E-mailafhjælpning. Du kan se eksempler under Eksempler under Eksempler på automatiseret undersøgelse og svar (AIR) i Microsoft Defender for Office 365 Plan 2.
Den automatiserede undersøgelse evaluerer og analyserer advarslens art, den involverede meddelelse og flere beviser omkring meddelelsen. Omfanget af undersøgelsen kan øges på grundlag af de beviser, der afdækkes og indsamles under undersøgelsen.
Under og efter en automatiseret undersøgelse er detaljer og resultater tilgængelige. Resultaterne kan omfatte anbefalede handlinger for SecOps-personale til afhjælpning af de trusler, der blev fundet.
SecOps-teamet gennemgår undersøgelsesresultater og -anbefalinger i selve undersøgelsen, hændelsen eller i Løsningscenter og godkender eller afviser afhjælpningshandlingerne.
Tip
Der sker ingen afhjælpningshandlinger automatisk. Afhjælpningshandlinger kræver manuel godkendelse af SecOps-personale. AIR-funktioner sparer tid ved at gå til de anbefalede afhjælpningshandlinger med alle detaljer for at træffe en informeret beslutning.
AIR sparer også tid ved at evaluere og automatisk løse beskeder og hændelser, hvor der ikke blev fundet nogen trusler. Dette resultat er almindeligt i scenarier med brugerindsendelse. AIR lukker undersøgelsen, hvis der ikke blev fundet nogen trusler, eller der blev fundet trusler i meddelelser, der allerede var afhjælpet. Typisk
Da ventende afhjælpningshandlinger godkendes eller afvises, fuldføres den automatiserede undersøgelse.
Den automatiserede undersøgelse lukkes automatisk, hvis der ikke identificeres nogen anbefalede handlinger. Oplysningerne om undersøgelsen er stadig tilgængelige på siden Undersøgelser på https://security.microsoft.com/airinvestigation.
Under og efter hver automatiseret undersøgelse kan SecOps-teamet udføre følgende opgaver:
- Få vist oplysninger om en besked, der er relateret til en undersøgelse
- Vis resultaterne af en undersøgelse
- Gennemse og godkend handlinger som et resultat af en undersøgelse
Indbyggede regler for justering af beskeder
Bemærk!
Denne funktion er i øjeblikket tilgængelig som prøveversion, er ikke tilgængelig i alle organisationer og kan ændres.
Microsoft Defender XDR omfatter indbyggede regler for justering af beskeder, der hjælper med at reducere rapporteringsstøj fra almindelig godartet aktivitet. Disse indbyggede regler undertrykker beskeder uden at påvirke andre funktioner, f.eks. AIR-undersøgelser og mailmeddelelser. Hvis AIR-undersøgelsen registrerer ondsindet eller mistænkelig aktivitet, genaktiveres den nye besked.
Hvis du vil se de indbyggede regler for justering af beskeder på Microsoft Defender-portalen, skal du gå til Systemindstillinger>>Microsoft Defender XDR> Afsnittet Regler for >justering af beskeder eller direkte på siden Beskedjustering på https://security.microsoft.com/securitysettings/defender/alert_suppression.
Sørg for at gennemse disse regler for at forstå, hvordan de kan påvirke, hvilke beskeder der vises på Microsoft Defender portalen.
Påkrævede tilladelser og licenser til AIR
Du skal have tildelt tilladelser for at bruge AIR. Du har følgende muligheder:
-
Microsoft Defender XDR RBAC (Unified Role Based Access Control) (Hvis Mail & samarbejds>defender for Office 365 tilladelser er
Aktiv. Påvirker kun Defender-portalen, ikke PowerShell): - Start en automatisk undersøgelse,eller godkend eller afvis anbefalede handlinger: Sikkerhedshandlinger/Handlinger til avanceret afhjælpning via mail (administrer).
-
Mail & samarbejdstilladelser på Microsoft Defender-portalen:
- Konfigurer AIR-funktioner: Medlemskab i rollegrupperne Organisationsadministration eller Sikkerhedsadministrator .
-
Start en automatisk undersøgelse,eller godkend eller afvis anbefalede handlinger:
- Medlemskab af rollegrupperne Organisationsadministration, Sikkerhedsadministrator, Sikkerhedsoperatør, Sikkerhedslæser eller Global Læser . Og
- Rollen Søg og Fjern , som som standard kun er tildelt rollegrupperne Dataforsker eller Organisationsadministration . Du kan også oprette en ny rollegruppe med rollen Søg og Fjern tildelt og føje brugerne til den brugerdefinerede rollegruppe.
-
Microsoft Entra tilladelser: Giv brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365:
- Konfigurer AIR-funktioner Medlemskab af rollerne Global administrator eller Sikkerhedsadministrator .
-
Start en automatisk undersøgelse,eller godkend eller afvis anbefalede handlinger:
- Medlemskab af rollerne Global administrator, Sikkerhedsadministrator, Sikkerhedsoperatør, Sikkerhedslæser eller Global læser . Og
- Medlemskab i en mail & rollegruppe for samarbejde med rollen Søg og Fjern tildelt som tidligere beskrevet.
Hvis du vil bruge AIR, skal du have tildelt en licens til Defender for Office 365 Plan 2 (inkluderet i dit abonnement eller en licens til et tilføjelsesprogram).