Automatiseret undersøgelse og reaktion (AIR) i Microsoft Defender for Office 365
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender for Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
Microsoft Defender for Office 365 indeholder effektive funktioner til automatiseret undersøgelse og svar (AIR), der kan spare dit team for sikkerhedshandlinger tid og kræfter. Når beskeder udløses, er det op til dit team af sikkerhedshandlinger at gennemse, prioritere og svare på disse beskeder. Det kan være overvældende at holde styr på mængden af indgående beskeder. Det kan hjælpe at automatisere nogle af disse opgaver.
AIR gør det muligt for dit sikkerhedsteam at arbejde mere effektivt og effektivt. AIR-funktioner omfatter automatiserede undersøgelsesprocesser som svar på velkendte trusler, der findes i dag. Passende afhjælpningshandlinger venter på godkendelse, hvilket gør det muligt for dit team af sikkerhedshandlinger at reagere effektivt på registrerede trusler. Med AIR kan dit team af sikkerhedshandlinger fokusere på opgaver med højere prioritet uden at miste vigtige beskeder, der udløses, af syne.
I denne artikel beskrives:
- Luftstrømmens samlede strøm;
- Sådan får du LUFT; og
- De nødvendige tilladelser til at konfigurere eller bruge AIR-funktioner.
Denne artikel indeholder også næste trin og ressourcer til at få mere at vide.
En besked udløses, og en sikkerhedslegebog starter en automatisk undersøgelse, som resulterer i resultater og anbefalede handlinger. Her er den overordnede flow for AIR, trin for trin:
En automatiseret undersøgelse startes på en af følgende måder:
- En besked udløses enten af noget mistænkeligt i en mail (f.eks. en meddelelse, vedhæftet fil, URL-adresse eller kompromitteret brugerkonto). Der oprettes en hændelse, og en automatisk undersøgelse starter. eller
- En sikkerhedsanalytiker starter en automatisk undersøgelse , mens der bruges Stifinder.
Mens en automatiseret undersøgelse kører, indsamles der data om den pågældende mail og enheder , der er relateret til den pågældende mail (f.eks. filer, URL-adresser og modtagere). Undersøgelsens omfang kan øges, når nye og relaterede beskeder udløses.
Under og efter en automatiseret undersøgelse er detaljer og resultater tilgængelige for at få vist. Resultaterne kan omfatte anbefalede handlinger , der kan udføres for at reagere på og afhjælpe eventuelle eksisterende trusler, der blev fundet.
Teamet for sikkerhedshandlinger gennemgår undersøgelsesresultaterne og -anbefalingerne og godkender eller afviser afhjælpningshandlinger.
Da ventende afhjælpningshandlinger godkendes (eller afvises), fuldføres den automatiserede undersøgelse.
Bemærk
Hvis undersøgelsen ikke resulterer i anbefalede handlinger, lukkes den automatiserede undersøgelse, og detaljerne om, hvad der blev gennemgået som en del af den automatiserede undersøgelse, vil stadig være tilgængelige på undersøgelsessiden.
I Microsoft Defender for Office 365 udføres der ingen afhjælpningshandlinger automatisk. Afhjælpningshandlinger udføres kun efter godkendelse af organisationens sikkerhedsteam. AIR-funktioner sparer tid for dit team for sikkerhedshandlinger ved at identificere afhjælpningshandlinger og angive de oplysninger, der er nødvendige for at træffe en informeret beslutning.
Under og efter hver automatiseret undersøgelse kan dit team for sikkerhedshandlinger:
- Få vist oplysninger om en besked, der er relateret til en undersøgelse
- Vis resultaterne af en undersøgelse
- Gennemse og godkend handlinger som et resultat af en undersøgelse
Tip
Du kan få en mere detaljeret oversigt under Sådan fungerer AIR.
AIR-funktioner er inkluderet i Microsoft Defender for Office 365 Plan 2, så længe logføring af overvågning er slået til (den er som standard slået til).
Derudover skal du sørge for at gennemse organisationens politikker for beskeder, især standardpolitikkerne i kategorien Trusselsadministration.
Microsoft 365 indeholder mange indbyggede beskedpolitikker, der hjælper med at identificere misbrug af Exchange-administratortilladelser, malwareaktivitet, potentielle eksterne og interne trusler og risici for styring af oplysninger. Flere af standardpolitikkerne for beskeder kan udløse automatiserede undersøgelser. Hvis disse beskeder deaktiveres eller erstattes af brugerdefinerede beskeder, udløses AIR ikke.
I følgende tabel beskrives de beskeder, der udløser automatiserede undersøgelser, deres alvorsgrad på Microsoft Defender-portalen, og hvordan de genereres:
Besked | Alvorlighed | Sådan genereres beskeden |
---|---|---|
Der blev registreret et potentielt skadeligt klik på URL-adressen | Høj | Denne besked genereres, når en af følgende opstår:
Du kan få flere oplysninger om hændelser, der udløser denne besked, under Konfigurer politikker for sikre links. |
En mail rapporteres af en bruger som malware eller phish | Lav | Denne besked genereres, når brugere i organisationen rapporterer meddelelser som phishing-mail ved hjælp af tilføjelsesprogrammet Microsoft Report Message eller Report Phishing. |
Mails, der indeholder skadelig fil, er fjernet efter levering | Informative | Denne besked genereres, når meddelelser, der indeholder en skadelig fil, leveres til postkasser i din organisation. Hvis denne hændelse indtræffer, fjerner Microsoft de inficerede meddelelser fra Exchange Online postkasser ved hjælp af automatisk tømning på nul timer (ZAP). |
Mails, der indeholder malware, fjernes efter levering | Informative | Denne besked genereres, når alle mails, der indeholder malware, leveres til postkasser i din organisation. Hvis denne hændelse indtræffer, fjerner Microsoft de inficerede meddelelser fra Exchange Online postkasser ved hjælp af automatisk tømning på nul timer (ZAP). |
Mails, der indeholder skadelig URL-adresse, er fjernet efter levering | Informative | Denne besked genereres, når meddelelser, der indeholder en skadelig URL-adresse, leveres til postkasser i din organisation. Hvis denne hændelse indtræffer, fjerner Microsoft de inficerede meddelelser fra Exchange Online postkasser ved hjælp af automatisk tømning på nul timer (ZAP). |
Mails, der indeholder phish-URL-adresser, fjernes efter levering | Informative | Denne besked genereres, når alle meddelelser, der indeholder phish, leveres til postkasser i din organisation. Hvis denne hændelse opstår, fjerner Microsoft de inficerede meddelelser fra Exchange Online postkasser ved hjælp af ZAP. |
Der registreres mistænkelige mønstre for afsendelse af mail | Middel | Denne besked genereres, når en person i din organisation har sendt mistænkelig mail og er i fare for at blive begrænset fra at sende mail. Beskeden er en tidlig advarsel om funktionsmåde, der kan indikere, at kontoen er kompromitteret, men ikke alvorlig nok til at begrænse brugeren. Selvom det er sjældent, kan en besked, der genereres af denne politik, være en uregelmæssighed. Det er dog en god idé at kontrollere, om brugerkontoen er kompromitteret. |
En bruger er begrænset til at sende mail | Høj | Denne besked genereres, når en person i din organisation er begrænset til at sende udgående mails. Denne besked opstår typisk, når en mailkonto kompromitteres. Du kan få flere oplysninger om begrænsede brugere under Fjern blokerede brugere fra siden Begrænsede enheder. |
Administration udløst manuel undersøgelse af mail | Informative | Denne besked genereres, når en administrator udløser den manuelle undersøgelse af en mail fra Threat Explorer. Denne besked giver din organisation besked om, at undersøgelsen blev startet. |
Administration udløste en undersøgelse af brugerens kompromis | Middel | Denne besked genereres, når en administrator udløser den manuelle bruger kompromitterende undersøgelse af enten en mail afsender eller modtager fra Threat Explorer. Denne besked giver din organisation besked om, at undersøgelsen af bruger kompromitteret blev startet. |
Tip
Hvis du vil vide mere om politikker for beskeder eller redigere standardindstillingerne, skal du se Beskedpolitikker på Microsoft Defender-portalen.
Du skal have tildelt tilladelser for at bruge AIR. Du har følgende muligheder:
Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) (Hvis mail & samarbejde>Defender for Office 365 tilladelser er aktive. Påvirker kun Defender-portalen, ikke PowerShell):
- Start en automatiseret undersøgelse,eller godkend eller afvis anbefalede handlinger: Avancerede afhjælpningshandlinger for sikkerhedsoperatør/mail (administrer).
Mail & samarbejdstilladelser på Microsoft Defender-portalen:
- Konfigurer AIR-funktioner: Medlemskab i rollegrupperne Organisationsadministration eller Sikkerhedsadministrator .
-
Start en automatisk undersøgelse,eller godkend eller afvis anbefalede handlinger:
- Medlemskab af rollegrupperne Organisationsadministration, Sikkerhedsadministrator, Sikkerhedsoperatør, Sikkerhedslæser eller Global Læser . og
- Medlemskab af en rollegruppe med rollen Søg og Fjern tildelt. Denne rolle tildeles som standard til rollegrupperne Dataefterforsker og Organisationsadministration . Du kan også oprette en brugerdefineret rollegruppe for at tildele rollen Søg og Fjern .
-
- Konfigurer AIR-funktioner Medlemskab af rollerne Global administrator eller Sikkerhedsadministrator .
-
Start en automatisk undersøgelse,eller godkend eller afvis anbefalede handlinger:
- Medlemskab af rollerne Global administrator, Sikkerhedsadministrator, Sikkerhedsoperatør, Sikkerhedslæser eller Global læser . og
- Medlemskab i en mail & rollegruppe for samarbejde med rollen Søg og Fjern tildelt. Denne rolle tildeles som standard til rollegrupperne Dataefterforsker og Organisationsadministration . Du kan også oprette en brugerdefineret mail & rollegruppe for samarbejde for at tildele rollen Søg og Fjern .
Microsoft Entra tilladelser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.
Microsoft Defender for Office 365 Plan 2-licenser skal tildeles til:
- Sikkerhedsadministratorer (herunder globale administratorer)
- Organisationens team for sikkerhedshandlinger (herunder sikkerhedslæsere og dem med rollen Søg og Fjern )
- Slutbrugere