Prioriter og administrer automatiserede undersøgelser og svar (AIR)
Air (Automated Investigation and Response) sparer tid og kræfter på dit sikkerhedsteam.
- Når beskeder udløses, bestemmer den automatiserede undersøgelse omfanget af en trussels indvirkning i din organisation og giver anbefalede afhjælpningshandlinger.
- Sikkerhedsteams kan spare tid ved at udnytte AIR automation til at reducere behovet for manuel jagt.
- Disse undersøgelser kan identificere mails, der ikke er blevet renset af ZAP (Auto Purge) eller anden afhjælpning på nul timer.
- AIR-undersøgelser identificerer også postkassekonfigurationer, der kan være risikable eller angive en kompromitteret postkasse.
Undersøgelseshandlinger (og undersøgelser) er tilgængelige fra flere punkter på Microsoft Security-portalen: via hændelser, via beskeder eller via Handlingscenter. Hvilke administratorer der bruger er baseret på den arbejdsproces, som en administrator følger.
Hvorfor bruge arbejdsprocessen i Løsningscenter
I takt med at automatiserede undersøgelser af mail & resulterer samarbejdsindhold i domme, f.eks . ondsindet eller mistænkeligt, oprettes der visse afhjælpningshandlinger. De foreslåede afhjælpningshandlinger udføres ikke automatisk. SecOps skal navigere til hver undersøgelse for at godkende disse foreslåede handlinger. I Løsningscenter samles alle ventende handlinger til hurtig godkendelse.
Det skal du bruge
- Microsoft Defender for Office 365 Plan 2 eller nyere (inkluderet med E5)
- Tilstrækkelige tilladelser (sikkerhedslæser, sikkerhedshandlinger eller sikkerhedsadministrator samt rollen Søg og fjern rolle)
Trin til at analysere og godkende AIR-handlinger direkte fra Løsningscenter
- Gå til Microsoft Defender portal, og log på.
- Når Løsningscenter indlæser, skal du filtrere og prioritere ved at klikke på kolonner for at sortere handlingerne eller trykke på Filtre for at anvende et filter, f.eks. objekttype (for en bestemt URL-adresse) eller handlingstype (f.eks. blød sletning af mail).
- Et pop op-vindue åbnes, når der klikkes på en handling. Den vises til højre på skærmen til gennemsyn.
- Du kan finde flere oplysninger om, hvorfor der anmodes om en handling, ved at vælge Åbn undersøgelsesside i pop op-vinduet for at få mere at vide om den undersøgelse eller de beskeder, der er knyttet til denne handling. Administratorer kan også godkende handlinger, der vises på undersøgelsessiden, ved at vælge fanen Ventende handlinger .
- Ellers skal du vælge Godkend for at udføre den anbefalede handling direkte fra Løsningscenter.
- Afvis handlingen, hvis du finder den unødvendig.
Kontrollér AIR-historik
- Gå til Microsoft Defender-portalen, og log på.
- I navigationsruden til venstre skal du udvide Handling & indsendelser og derefter klikke på Løsningscenter.
- Når Handlingscenter indlæses, skal du trykke på fanen Oversigt .
- Få vist historikken for AIR, herunder de beslutninger, der er truffet, kilden til handlingen og den administrator, der har truffet beslutningen, hvis det er relevant.
Flere oplysninger
Få vist resultaterne af en automatiseret undersøgelse i Microsoft 365 – Office 365 | Microsoft Docs
Få mere at vide om godkendelse og afvisning af ventende handlinger fra siden Undersøgelse