Del via


Automatiseret undersøgelse og reaktion (AIR) i Microsoft Defender for Office 365

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

Microsoft Defender for Office 365 indeholder effektive funktioner til automatiseret undersøgelse og svar (AIR), der kan spare dit team for sikkerhedshandlinger tid og kræfter. Når beskeder udløses, er det op til dit team af sikkerhedshandlinger at gennemse, prioritere og svare på disse beskeder. Det kan være overvældende at holde styr på mængden af indgående beskeder. Det kan hjælpe at automatisere nogle af disse opgaver.

AIR gør det muligt for dit sikkerhedsteam at arbejde mere effektivt og effektivt. AIR-funktioner omfatter automatiserede undersøgelsesprocesser som svar på velkendte trusler, der findes i dag. Passende afhjælpningshandlinger venter på godkendelse, hvilket gør det muligt for dit team af sikkerhedshandlinger at reagere effektivt på registrerede trusler. Med AIR kan dit team af sikkerhedshandlinger fokusere på opgaver med højere prioritet uden at miste vigtige beskeder, der udløses, af syne.

I denne artikel beskrives:

Denne artikel indeholder også næste trin og ressourcer til at få mere at vide.

Den samlede luftstrøm

En besked udløses, og en sikkerhedslegebog starter en automatisk undersøgelse, som resulterer i resultater og anbefalede handlinger. Her er den overordnede flow for AIR, trin for trin:

  1. En automatiseret undersøgelse startes på en af følgende måder:

    • En besked udløses enten af noget mistænkeligt i en mail (f.eks. en meddelelse, vedhæftet fil, URL-adresse eller kompromitteret brugerkonto). Der oprettes en hændelse, og en automatisk undersøgelse starter. eller
    • En sikkerhedsanalytiker starter en automatisk undersøgelse , mens der bruges Stifinder.
  2. Mens en automatiseret undersøgelse kører, indsamles der data om den pågældende mail og enheder , der er relateret til den pågældende mail (f.eks. filer, URL-adresser og modtagere). Undersøgelsens omfang kan øges, når nye og relaterede beskeder udløses.

  3. Under og efter en automatiseret undersøgelse er detaljer og resultater tilgængelige for at få vist. Resultaterne kan omfatte anbefalede handlinger , der kan udføres for at reagere på og afhjælpe eventuelle eksisterende trusler, der blev fundet.

  4. Teamet for sikkerhedshandlinger gennemgår undersøgelsesresultaterne og -anbefalingerne og godkender eller afviser afhjælpningshandlinger.

  5. Da ventende afhjælpningshandlinger godkendes (eller afvises), fuldføres den automatiserede undersøgelse.

Bemærk!

Hvis undersøgelsen ikke resulterer i anbefalede handlinger, lukkes den automatiserede undersøgelse, og detaljerne om, hvad der blev gennemgået som en del af den automatiserede undersøgelse, vil stadig være tilgængelige på undersøgelsessiden.

I Microsoft Defender for Office 365 udføres der ingen afhjælpningshandlinger automatisk. Afhjælpningshandlinger udføres kun efter godkendelse af organisationens sikkerhedsteam. AIR-funktioner sparer tid for dit team for sikkerhedshandlinger ved at identificere afhjælpningshandlinger og angive de oplysninger, der er nødvendige for at træffe en informeret beslutning.

Under og efter hver automatiseret undersøgelse kan dit team for sikkerhedshandlinger:

Tip

Du kan få en mere detaljeret oversigt under Sådan fungerer AIR.

Sådan får du LUFT

AIR-funktioner er inkluderet i Microsoft Defender for Office 365 Plan 2, så længe logføring af overvågning er slået til (den er som standard slået til).

Derudover skal du sørge for at gennemse organisationens politikker for beskeder, især standardpolitikkerne i kategorien Trusselsadministration.

Hvilke beskedpolitikker udløser automatiserede undersøgelser?

Microsoft 365 indeholder mange indbyggede beskedpolitikker, der hjælper med at identificere misbrug af Exchange-administratortilladelser, malwareaktivitet, potentielle eksterne og interne trusler og risici for styring af oplysninger. Flere af standardpolitikkerne for beskeder kan udløse automatiserede undersøgelser. I følgende tabel beskrives de beskeder, der udløser automatiserede undersøgelser, deres alvorsgrad på Microsoft Defender-portalen, og hvordan de genereres:

Besked Alvorlighed Sådan genereres beskeden
Der blev registreret et potentielt skadeligt klik på URL-adressen Høj Denne besked genereres, når en af følgende opstår:
  • En bruger, der er beskyttet af sikre links i din organisation, klikker på et skadeligt link
  • Ændringer af dom for URL-adresser identificeres af Microsoft Defender for Office 365
  • Brugere tilsidesætter advarselssider for Sikre links (baseret på organisationens politik for sikre links.

Du kan få flere oplysninger om hændelser, der udløser denne besked, under Konfigurer politikker for sikre links.
En mail rapporteres af en bruger som malware eller phish Lav Denne besked genereres, når brugere i organisationen rapporterer meddelelser som phishing-mail ved hjælp af tilføjelsesprogrammet Microsoft Report Message eller Report Phishing.
Mails, der indeholder skadelig fil, er fjernet efter levering Informative Denne besked genereres, når meddelelser, der indeholder en skadelig fil, leveres til postkasser i din organisation. Hvis denne hændelse indtræffer, fjerner Microsoft de inficerede meddelelser fra Exchange Online postkasser ved hjælp af automatisk tømning på nul timer (ZAP).
Mails, der indeholder malware, fjernes efter levering Informative Denne besked genereres, når alle mails, der indeholder malware, leveres til postkasser i din organisation. Hvis denne hændelse indtræffer, fjerner Microsoft de inficerede meddelelser fra Exchange Online postkasser ved hjælp af automatisk tømning på nul timer (ZAP).
Mails, der indeholder skadelig URL-adresse, er fjernet efter levering Informative Denne besked genereres, når meddelelser, der indeholder en skadelig URL-adresse, leveres til postkasser i din organisation. Hvis denne hændelse indtræffer, fjerner Microsoft de inficerede meddelelser fra Exchange Online postkasser ved hjælp af automatisk tømning på nul timer (ZAP).
Mails, der indeholder phish-URL-adresser, fjernes efter levering Informative Denne besked genereres, når alle meddelelser, der indeholder phish, leveres til postkasser i din organisation. Hvis denne hændelse opstår, fjerner Microsoft de inficerede meddelelser fra Exchange Online postkasser ved hjælp af ZAP.
Der registreres mistænkelige mønstre for afsendelse af mail Middel Denne besked genereres, når en person i din organisation har sendt mistænkelig mail og er i fare for at blive begrænset fra at sende mail. Beskeden er en tidlig advarsel om funktionsmåde, der kan indikere, at kontoen er kompromitteret, men ikke alvorlig nok til at begrænse brugeren.

Selvom det er sjældent, kan en besked, der genereres af denne politik, være en uregelmæssighed. Det er dog en god idé at kontrollere, om brugerkontoen er kompromitteret.

En bruger er begrænset til at sende mail Høj Denne besked genereres, når en person i din organisation er begrænset til at sende udgående mails. Denne besked opstår typisk, når en mailkonto kompromitteres.

Du kan få flere oplysninger om begrænsede brugere under Fjern blokerede brugere fra siden Begrænsede enheder.

Administration udløst manuel undersøgelse af mail Informative Denne besked genereres, når en administrator udløser den manuelle undersøgelse af en mail fra Threat Explorer. Denne besked giver din organisation besked om, at undersøgelsen blev startet.
Administration udløste en undersøgelse af brugerens kompromis Middel Denne besked genereres, når en administrator udløser den manuelle bruger kompromitterende undersøgelse af enten en mail afsender eller modtager fra Threat Explorer. Denne besked giver din organisation besked om, at undersøgelsen af bruger kompromitteret blev startet.

Tip

Hvis du vil vide mere om politikker for beskeder eller redigere standardindstillingerne, skal du se Beskedpolitikker på Microsoft Defender-portalen.

Påkrævede tilladelser til at bruge AIR-funktioner

Du skal have tildelt tilladelser for at bruge AIR. Du har følgende muligheder:

  • Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) (Hvis mail & samarbejde>Defender for Office 365 tilladelser er aktive. Påvirker kun Defender-portalen, ikke PowerShell):

    • Start en automatiseret undersøgelse,eller godkend eller afvis anbefalede handlinger: Avancerede afhjælpningshandlinger for sikkerhedsoperatør/mail (administrer).
  • Mail & samarbejdstilladelser på Microsoft Defender-portalen:

    • Konfigurer AIR-funktioner: Medlemskab i rollegrupperne Organisationsadministration eller Sikkerhedsadministrator .
    • Start en automatisk undersøgelse,eller godkend eller afvis anbefalede handlinger:
      • Medlemskab af rollegrupperne Organisationsadministration, Sikkerhedsadministrator, Sikkerhedsoperatør, Sikkerhedslæser eller Global Læser . og
      • Medlemskab af en rollegruppe med rollen Søg og Fjern tildelt. Denne rolle tildeles som standard til rollegrupperne Dataefterforsker og Organisationsadministration . Du kan også oprette en brugerdefineret rollegruppe for at tildele rollen Søg og Fjern .
  • Microsoft Entra tilladelser:

    • Konfigurer AIR-funktioner Medlemskab af rollerne Global administrator eller Sikkerhedsadministrator .
    • Start en automatisk undersøgelse,eller godkend eller afvis anbefalede handlinger:
      • Medlemskab af rollerne Global administrator, Sikkerhedsadministrator, Sikkerhedsoperatør, Sikkerhedslæser eller Global læser . og
      • Medlemskab i en mail & rollegruppe for samarbejde med rollen Søg og Fjern tildelt. Denne rolle tildeles som standard til rollegrupperne Dataefterforsker og Organisationsadministration . Du kan også oprette en brugerdefineret mail & rollegruppe for samarbejde for at tildele rollen Søg og Fjern .

    Microsoft Entra tilladelser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.

Påkrævede licenser

Microsoft Defender for Office 365 Plan 2-licenser skal tildeles til:

  • Sikkerhedsadministratorer (herunder globale administratorer)
  • Organisationens team for sikkerhedshandlinger (herunder sikkerhedslæsere og dem med rollen Søg og Fjern )
  • Slutbrugere

Næste trin