Administrer hændelser og beskeder fra Microsoft Defender for Office 365 i Microsoft Defender XDR

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

En hændelse i Microsoft Defender XDR er en samling korrelerede beskeder og tilknyttede data, der definerer den komplette historie om et angreb. Defender for Office 365 beskeder, automatiseret undersøgelse og svar (AIR) og resultatet af undersøgelserne er indbygget integreret og korreleret på siden Hændelser i Microsoft Defender XDR på https://security.microsoft.com/incidents-queue. Vi refererer til denne side som køen Hændelser.

Der oprettes beskeder, når ondsindet eller mistænkelig aktivitet påvirker en enhed (f.eks. mail, brugere eller postkasser). Beskeder giver værdifuld indsigt i igangværende eller fuldførte angreb. Et igangværende angreb kan dog påvirke flere enheder, hvilket resulterer i flere beskeder fra forskellige kilder. Nogle indbyggede beskeder udløser automatisk AIR-playbooks. Disse playbooks udfører en række undersøgelsestrin for at søge efter andre påvirkede enheder eller mistænkelig aktivitet.

Se denne korte video om, hvordan du administrerer Microsoft Defender for Office 365 beskeder i Microsoft Defender XDR.

Defender for Office 365 beskeder, undersøgelser og deres data korreleres automatisk. Når en relation bestemmes, opretter systemet en hændelse for at give sikkerhedsteams synlighed for hele angrebet.

Vi anbefaler på det kraftigste, at SecOps-teams administrerer hændelser og beskeder fra Defender for Office 365 i køen Hændelser på https://security.microsoft.com/incidents-queue. Denne fremgangsmåde har følgende fordele:

• Flere indstillinger for administration:

  • Prioritering
  • Filtrering
  • Klassificering
  • Kodeadministration

  Du kan tage hændelser direkte fra køen eller tildele dem til nogen. Kommentarer og historik over kommentarer kan hjælpe med at spore status.

• Hvis angrebet påvirker andre arbejdsbelastninger, der er beskyttet af Microsoft Defender^*, korreleres de relaterede beskeder, undersøgelser og deres data også med den samme hændelse.

  ^*Microsoft Defender for Endpoint, Microsoft Defender for Identity og Microsoft Defender for Cloud Apps.

• Kompleks korrelationslogik er ikke påkrævet, fordi logikken leveres af systemet.

• Hvis korrelationslogikken ikke fuldt ud opfylder dine behov, kan du føje beskeder til eksisterende hændelser eller oprette nye hændelser.

• Relaterede Defender for Office 365 beskeder, AIR-undersøgelser og ventende handlinger fra undersøgelser føjes automatisk til hændelser.

• Hvis AIR-undersøgelsen ikke finder nogen trussel, løser systemet automatisk de relaterede beskeder Hvis alle beskeder i en hændelse løses, ændres hændelsesstatussen også til Løst.

• Relaterede beviser og svarhandlinger samles automatisk under fanen Beviser og svar i hændelsen.

• Medlemmer af sikkerhedsteamet kan foretage svarhandlinger direkte fra hændelserne. De kan f.eks. slette mails i postkasser eller fjerne mistænkelige indbakkeregler fra postkasser.

• Anbefalede mailhandlinger oprettes kun, når den seneste leveringsplacering for en skadelig mail er en cloudpostkasse.

• Ventende mailhandlinger opdateres baseret på den seneste leveringsplacering. Hvis mailen allerede er blevet afhjulpet med en manuel handling, afspejles det i statussen.

• Anbefalede handlinger oprettes kun for mail- og mailklynger, der er besluttet på at være de mest kritiske trusler:

  • Malware
  • Phishing med høj genkendelsessikkerhed
  • Skadelige URL-adresser
  • Skadelige filer

Bemærk!

Hændelser repræsenterer ikke kun statiske hændelser. De repræsenterer også angrebshistorier, der sker over tid. Efterhånden som angrebet skrider frem, føjes nye Defender for Office 365 beskeder, AIR-undersøgelser og deres data løbende til den eksisterende hændelse.

Administrer hændelser på siden Hændelser på portalen Microsoft Defender på https://security.microsoft.com/incidents-queue:

Administrer hændelser på siden Hændelser i Microsoft Sentinel på https://portal.azure.com/#blade/HubsExtension/BrowseResource/resourceType/microsoft.securityinsightsarg%2Fsentinel:

Svarhandlinger, der skal udføres

Sikkerhedsteams kan foretage en lang række svarhandlinger på mail ved hjælp af Defender for Office 365 værktøjer:

• Du kan slette meddelelser, men du kan også foretage følgende handlinger på mail:

  • Flyt til Indbakke
  • Flyt til uønsket mail
  • Flyt til Slettede elementer
  • Blød sletning
  • Slet hårdt.

  Du kan foretage disse handlinger fra følgende placeringer:

  • Fanen Beviser og svar fra oplysningerne om hændelsen på siden Hændelser ** på https://security.microsoft.com/incidents-queue (anbefales).
  • Threat Explorer på https://security.microsoft.com/threatexplorer.
  • Det samlede handlingscenter på https://security.microsoft.com/action-center/pending.

• Du kan starte en AIR-playbook manuelt på en hvilken som helst mail ved hjælp af handlingen Udløs undersøgelse i Threat Explorer.

• Du kan rapportere falske positive eller falske negative registreringer direkte til Microsoft ved hjælp af Threat Explorer eller administratorindsendelser.

• Du kan blokere uopdagede skadelige filer, URL-adresser eller afsendere ved hjælp af listen over tilladte/blokerede lejere.

Handlinger i Defender for Office 365 integreres problemfrit i jagtoplevelser, og handlingshistorikken er synlig under fanen Historik i unified Action Center på https://security.microsoft.com/action-center/history.

Den mest effektive måde at gribe ind på er ved at bruge den indbyggede integration med Incidents i Microsoft Defender XDR. Du kan godkende de handlinger, der blev anbefalet af AIR, i Defender for Office 365 under fanen Beviser og svar i en hændelse i Microsoft Defender XDR. Denne metode til tacking-handling anbefales af følgende årsager:

• Du undersøger hele angrebshistorien.
• Du kan drage fordel af den indbyggede korrelation med andre arbejdsbelastninger: Microsoft Defender for Endpoint, Microsoft Defender for Identity og Microsoft Defender for Cloud Apps.
• Du foretager handlinger på mail fra et enkelt sted.

Du foretager handlinger på mail baseret på resultatet af en manuel undersøgelse eller jagtaktivitet. Threat Explorer gør det muligt for medlemmer af sikkerhedsteamet at reagere på alle mails, der stadig findes i cloudpostkasser. De kan udføre handlinger på meddelelser i organisationen, der blev sendt mellem brugere i din organisation. Threat Explorer-data er tilgængelige for de sidste 30 dage.

Se denne korte video for at få mere at vide om, hvordan Microsoft Defender XDR kombinerer beskeder fra forskellige registreringskilder, f.eks. Defender for Office 365, til hændelser.