Priorisieren und Verwalten von automatisierten Untersuchungen und Reaktionen (AIR)
Die automatisierte Untersuchung und Reaktion (Automated Investigation and Response, AIR) spart Ihrem Sicherheitsteam Zeit und Aufwand.
- Wenn Warnungen ausgelöst werden, bestimmt die automatisierte Untersuchung den Umfang der Auswirkungen einer Bedrohung in Ihrem organization und bietet empfohlene Abhilfemaßnahmen.
- Sicherheitsteams können Zeit sparen, indem sie die AIR-Automatisierung nutzen, um den Bedarf an manueller Suche zu reduzieren.
- Diese Untersuchungen können E-Mails identifizieren, die nicht durch zero-hour Auto Purge (ZAP) oder andere Korrekturen bereinigt wurden.
- AIR-Untersuchungen identifizieren auch Postfachkonfigurationen, die riskant sind oder auf ein kompromittiertes Postfach hinweisen können.
Auf Untersuchungsaktionen (und Untersuchungen) kann über verschiedene Punkte im Microsoft-Sicherheitsportal zugegriffen werden: über Incidents, warnungen oder über das Info-Center. Welche Administratoren verwenden, basiert auf dem Workflow, den ein Administrator verfolgt.
Gründe für die Verwendung des Info-Center-Workflows
Da automatisierte Untersuchungen zu Email & Zusammenarbeitsinhalten zu Urteilen führen, z. B. böswillig oder verdächtig, werden bestimmte Abhilfemaßnahmen erstellt. Die vorgeschlagenen Wiederherstellungsaktionen werden nicht automatisch ausgeführt. SecOps muss zu jeder Untersuchung navigieren, um diese vorgeschlagenen Aktionen zu genehmigen . Im Info-Center werden alle ausstehenden Aktionen zur schnellen Genehmigung aggregiert.
Was Sie benötigen
- Microsoft Defender for Office 365 Plan 2 oder höher (in E5 enthalten)
- Ausreichende Berechtigungen (Sicherheitsleseberechtigter, Sicherheitsvorgänge oder Sicherheitsadministrator sowie Search und Bereinigungsrolle)
Schritte zum Analysieren und Genehmigen von AIR-Aktionen direkt über das Info-Center
- Navigieren Sie zu Microsoft Defender Portal, und melden Sie sich an.
- Wenn das Info-Center geladen wird, filtern und priorisieren Sie, indem Sie auf Spalten klicken, um die Aktionen zu sortieren, oder drücken Sie Filter , um einen Filter wie Entitätstyp (für eine bestimmte URL) oder Aktionstyp (z. B. vorläufiges Löschen von E-Mails) anzuwenden.
- Sobald auf eine Aktion geklickt wird, wird ein Flyout geöffnet. Es wird zur Überprüfung auf der rechten Seite des Bildschirms angezeigt.
- Wenn Sie weitere Informationen dazu erhalten möchten, warum eine Aktion angefordert wird, wählen Sie Untersuchungsseite öffnen im Flyout aus, um mehr über die Untersuchung oder warnungen zu erfahren, die mit dieser Aktion verknüpft sind. (Administratoren können auch Aktionen genehmigen, die auf der Untersuchungsseite angezeigt werden, indem sie die Registerkarte Ausstehende Aktionen auswählen.)
- Wählen Sie andernfalls Genehmigen aus, um die empfohlene Aktion direkt im Info-Center auszuführen.
- Lehnen Sie die Aktion ab, wenn Sie feststellen, dass sie nicht erforderlich ist.
Überprüfen des AIR-Verlaufs
- Navigieren Sie zum Microsoft Defender-Portal, und melden Sie sich an.
- Erweitern Sie im linken Navigationsbereich Aktion & Übermittlungen , und klicken Sie dann auf Info-Center.
- Wenn das Info-Center geladen wird, klicken Sie auf die Registerkarte Verlauf .
- Zeigen Sie den Verlauf von AIR an, einschließlich der getroffenen Entscheidungen, der Aktionsquelle und des Administrators, der die Entscheidung getroffen hat, falls zutreffend.
Weitere Informationen
Informationen zum Genehmigen und Ablehnen ausstehender Aktionen auf der Seite "Untersuchung"