Del via

Automatiseret afhjælpning i AIR (Automated Investigation and Response)

Afhjælpningshandlinger, der identificeres af automatiseret undersøgelse og svar (AIR) i Microsoft Defender for Office 365 Plan 2, kræver som standard godkendelse af sikkerhedshandlinger (SecOps)-teams. Du kan få flere oplysninger om AIR under Automatiseret undersøgelse og svar (AIR) i Microsoft Defender for Office 365 Plan 2

Administratorer kan nu også angive visse handlinger, der automatisk skal afhjælpes. Automatisk afhjælpning af meddelelser, der er identificeret som ondsindede i AIR-undersøgelser, har følgende fordele:

  • Øger kundebeskyttelsen ved at fremskynde afhjælpningen af flere trusler.
  • Sparer tid for SecOps-teams ved at reducere behovet for godkendelse.

I resten af denne artikel beskrives det, hvordan du konfigurerer automatiseret afhjælpning i AIR, og hvordan du identificerer meddelelser, der blev løst automatisk.

Konfigurer automatiseret afhjælpning

AIR opretter en klynge omkring en registreret skadelig fil eller URL-adresse, og derefter kontrollerer den automatiserede undersøgelse placeringen af meddelelser i klyngen. Hvis meddelelserne er i postkasser, opretter AIR en afhjælpningshandling.

Når du har valgt de klyngetyper, der automatisk skal afhjælpes, sker den valgte afhjælpningshandling uden behov for SecOps-godkendelse.

Tip

Klynger, der er produceret af AIR, og som ikke automatisk afhjælper, vises stadig som Ventende handling , som de gør i dag.

Klynger, der er større end 10.000 meddelelser, afhjælpes ikke automatisk og vises som Ventende handling til gennemsyn.

Brug følgende trin til at vælge de klyngetyper, der automatisk skal afhjælpes:

I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Indstillinger>Mail & samarbejde>MDO automatiseringsindstillinger.

Følgende indstillinger er tilgængelige på siden Automatiseringsindstillinger :

  • Afsnittet Meddelelsesklynger: Angiver de typer meddelelsesklynger, der afhjælpes automatisk. Vælg en eller flere af følgende indstillinger:

  • Lignende filer: Når den automatiserede undersøgelse genkender en skadelig fil, oprettes der en klynge omkring den skadelige fil. Klyngen grupperer alle meddelelser, der indeholder filen, i klyngen. Hvis du vælger denne indstilling, vælger organisationen automatisk afhjælpning for disse skadelige filklynger.

  • Lignende URL-adresser: Når den automatiserede undersøgelse genkender en skadelig URL-adresse, oprettes der en klynge omkring den skadelige URL-adresse. Klyngen grupperer alle meddelelser, der indeholder URL-adressen, i klyngen. Hvis du vælger denne indstilling, vælger organisationen automatisk afhjælpning for disse skadelige URL-klynger.

    Tip

    Følg køreplanen for at holde dig informeret om, når der er flere meddelelsesklynger tilgængelige til automatisk afhjælpning.

  • Afsnittet Afhjælpningshandling: Angiver den handling, der skal udføres på de meddelelsesklyngtyper, der er angivet i afsnittet Meddelelsesklynger.

    I øjeblikket er Blød sletning den eneste tilgængelige handling. Du kan finde flere oplysninger om meddelelser med blød sletning i mappen Elementer, der kan gendannes i Exchange Online.

    Vigtigt!

    Muligheden for at gendanne bløde slettede meddelelser afhænger af opbevaringspolitikken for meddelelser med blød sletning i hver postkasse. Bekræft dine juridiske forpligtelser i forbindelse med opbevaring af mail, herunder meddelelser, der er markeret som skadelige. Du kan få flere oplysninger om opbevaring af meddelelser med blød sletning under Rediger, hvor længe elementer, der slettes permanent, opbevares i en Exchange Online postkasse i Exchange Online.

Når du er færdig på siden Automatiseringsindstillinger , skal du vælge Gem.

Skærmbillede af automatiseret afhjælpning af konfiguration af ondsindede objektklynger på Defender-portalen på Indstillinger \> Mail & samarbejde \> MDO automatiseringsindstillinger.

Gennemse automatisk afhjælpede meddelelser

I følgende undersektion kan du se, hvordan du bruger Defender-portalen til at gennemse automatiserede afhjælpningshandlinger.

Automatiseret afhjælpning resulterer i Løsningscenter

I Løsningscenter på https://security.microsoft.com/action-center/vises automatisk afhjælpede klynger under fanen Oversigt . Brug filteret Besluttet af med værdien Automation til at returnere klynger, der blev automatisk afhjælpet.

Du kan få flere oplysninger om Løsningscenter i Løsningscenter.

Skærmbillede af fanen Oversigt i Løsningscenter med automatisk afhjælpede klynger, der er filtreret af handlingen Besluttet efter værdi Automatisering og handlingen Handlingskildeværdi Automatiseret mail.

Automatiseret afhjælpning resulterer i undersøgelser

I en undersøgelse i AIR vises automatisk afhjælpede klynger under fanen Ventende handlingshistorik i undersøgelsen med Automation-værdien Håndteret af.

Du kan finde flere oplysninger om air-undersøgelsesresultater under Detaljer om og resultater af automatiseret undersøgelse og svar (AIR) i Microsoft Defender for Office 365 Plan 2.

Skærmbillede af fanen Oversigt over ventende handlinger i en undersøgelse med automatisk afhjælpede klynger med automationen Håndteret af værdi.

Automatiseret afhjælpning resulterer i Threat Explorer

I Threat Explorer (Explorer) har automatisk afhjælpede meddelelser værdien Yderligerehandlingsværdien Automatiseret afhjælpning:automatiseret.

Du kan få flere oplysninger om Threat Explorer under Om Threat Explorer og registreringer i realtid i Microsoft Defender for Office 365.

Skærmbillede af Threat Explorer, der viser meddelelser om, at automatiseret afhjælpning er slettet fra postkassen af automatiseret afhjælpning (filtreret af værdien For yderligere handling Automatiseret afhjælpning).

Automatiseret afhjælpning resulterer i avanceret jagt

I Avanceret jagt findes automatisk afhjælpede meddelelser i EmailPostDeliveryEvents tabellen med begge følgende egenskabsværdier:

  • ActionType er lig med Automatiseret afhjælpning
  • ActionTrigger er lig med Automation.

Du kan finde flere oplysninger om avanceret jagt under Proaktiv jagt efter trusler med avanceret jagt i Microsoft Defender.

Skærmbillede af avanceret søgning efter meddelelser, der er fjernet fra postkasser af automatiseret afhjælpning (tabellen EmailPostDeliveryEvents, hvor værdien ActionType er Automatiseret afhjælpning, og værdien ActionTrigger er Automation).

Gendan automatiserede afhjælpningshandlinger for meddelelser

Bemærk!

Muligheden for at gendanne meddelelser afhænger af, at dataene stadig er tilgængelige i Defender, og at indstillingerne for opbevaring af postkasser for meddelelser, der er slettet, er bløde. Du kan finde flere oplysninger i følgende artikler:

Følgende metoder er tilgængelige til at gendanne automatiserede afhjælpningshandlinger og gendanne meddelelser til postkasser:

  • Udfør handlinger på meddelelsen i Threat Explorer eller Avanceret jagt. Du kan få oplysninger om guiden Udfør handling i Guiden Tiltag handling.

  • Pop op-vinduet Flyt til indbakke eller >Flyt til uønsket i klyngeegenskabsdetaljer under fanen Oversigt i Løsningscenter som vist på følgende skærmbillede:

    Skærmbillede af pop op-vinduet med detaljer for en automatisk afhjælpet mailklynge, der viser den tilgængelige handling Flyt til indbakke for at fortryde den automatiserede afhjælpningshandling og gendanne meddelelser til postkasser.

Se også