automatisoitu tutkinta ja reagointi Microsoft Defender for Office 365

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.

Microsoft Defender for Office 365 sisältää tehokkaita automatisoituja tutkimus- ja reagointiominaisuuksia, jotka voivat säästää suojaustiimin aikaa ja vaivaa. Kun hälytyksiä käynnistetään, suojaustoimintaryhmäsi tarkistaa, priorisoi ja vastaa kyseisiin hälytyksiin. Saapuvien hälytysten määrän pysyminen voi olla ylivoimaista. Joidenkin näiden tehtävien automatisointi voi auttaa.

AIR-turvatiimisi voi toimia tehokkaammin ja tehokkaammin. AIR-ominaisuuksiin sisältyvät automatisoidut tutkintaprosessit, joilla vastataan nykyisiin tunnettuihin uhkiin. Asianmukaiset korjaustoiminnot odottavat hyväksyntää, jotta suojaustoimintatiimisi voi vastata tehokkaasti havaittuihin uhkiin. AIR:n avulla tietoturvatiimisi voi keskittyä tärkeisiin tehtäviin unohtamatta, että tärkeät hälytykset käynnistyvät.

Tässä artikkelissa kuvataan:

Tässä artikkelissa on myös seuraavat vaiheet ja resurssit, joiden avulla saat lisätietoja.

ILMAN yleinen virtaus

Hälytys käynnistyy, ja suojauksen toistokirja aloittaa automatisoidun tutkimuksen, joka johtaa havaintoihin ja suositeltuihin toimiin. Tässä on airin yleinen virtaus askel askeleelta:

  1. Automaattinen tutkimus aloitetaan jollakin seuraavista tavoista:

  2. Samalla kun automatisoitu tutkimus suoritetaan, se kerää tietoja kyseisestä sähköpostiviestistä ja kyseiseen sähköpostiin liittyvistä entiteeteistä (esimerkiksi tiedostot, URL-osoitteet ja vastaanottajat). Tutkimuksen laajuus voi kasvaa uusien ja liittyvien hälytysten käynnistyessä.

  3. Automaattisen tutkimuksen aikana ja sen jälkeen tarkemmat tiedot ja tulokset ovat tarkasteltavissa. Tulokset voivat sisältää suositeltuja toimia , joilla voidaan vastata löytyviin olemassa oleviin uhkiin ja korjata ne.

  4. Suojaustoimintaryhmäsi tarkistaa tutkimustulokset ja suositukset sekä hyväksyy tai hylkää korjaustoimet.

  5. Kun odottavat korjaustoimet hyväksytään (tai hylätään), automaattinen tutkimus valmistuu.

Huomautus

Jos tutkimus ei johda suositeltuihin toimiin, automatisoitu tutkimus suljetaan ja tiedot siitä, mitä on tarkistettu osana automatisoitua tutkimusta, ovat edelleen käytettävissä tutkimussivulla.

Microsoft Defender for Office 365 ei toteuteta korjaustoimia automaattisesti. Korjaustoimet toteutetaan vasta, kun organisaatiosi suojaustiimi on hyväksynyt ne. AIR-ominaisuudet säästävät tietoturvatiimin aikaa tunnistamalla korjaustoimet ja antamalla tarvittavat tiedot, jotta voit tehdä tietoon perustuvan päätöksen.

Kunkin automatisoidun tutkinnan aikana ja sen jälkeen suojaustoimintatiimisi voi:

Vihje

Tarkempi yleiskatsaus on kohdassa Miten AIR toimii.

Airin hankkiminen

AIR-ominaisuudet sisältyvät Microsoft Defender for Office 365 suunnitelmaan 2, kunhan valvontaloki on käytössä (se on oletusarvoisesti käytössä).

Varmista myös, että tarkistat organisaatiosi ilmoituskäytännöt, erityisesti oletusarvoiset käytännöt Uhkien hallinta -luokassa.

Mitkä ilmoituskäytännöt käynnistävät automatisoituja tutkimuksia?

Microsoft 365 tarjoaa monia sisäisiä hälytyskäytäntöjä, joiden avulla voidaan tunnistaa Exchange-järjestelmänvalvojan käyttöoikeuksien väärinkäyttö, haittaohjelmien toiminta, mahdolliset ulkoiset ja sisäiset uhat sekä tietojen hallinnan riskit. Useat oletusarvoiset ilmoituskäytännöt voivat käynnistää automatisoituja tutkimuksia. Seuraavassa taulukossa kuvataan hälytykset, jotka käynnistävät automatisoituja tutkimuksia, niiden vakavuutta Microsoft Defender portaalissa ja niiden luontitavan:

Ilmoitus Vakavuus Miten ilmoitus luodaan
Havaittiin mahdollisesti haitallinen URL-osoitteen napsautus Korkea Tämä ilmoitus luodaan, kun jokin seuraavista tapahtuu:
  • Organisaatiosi turvalliset linkit suojaama käyttäjä napsauttaa haitallista linkkiä
  • Microsoft Defender for Office 365 tunnistaa URL-osoitteiden tuomion muutokset
  • Käyttäjät ohittavat Turvalliset linkit -varoitussivut (jotka perustuvat organisaatiosi Turvalliset linkit -käytäntöön.

Lisätietoja tämän ilmoituksen käynnistävät tapahtumat ovat ohjeartikkelissa Turvallisten linkkien käytäntöjen määrittäminen.
Käyttäjä ilmoittaa sähköpostiviestin haittaohjelmaksi tai tietojenkalasteluksi Alhainen Tämä ilmoitus luodaan, kun organisaatiosi käyttäjät raportoivat sähköpostiviestejä tietojenkalastelusähköpostina Microsoftin raporttiviestin tai raportin tietojenkalasteluapuohjelmien avulla.
Haitallisen tiedoston sisältävät sähköpostiviestit poistettiin toimituksen jälkeen Tiedottava Tämä ilmoitus luodaan, kun haitallisia tiedostoja sisältävät viestit toimitetaan organisaation postilaatikoihin. Jos tämä tapahtuma ilmenee, Microsoft poistaa tartunnan saaneet viestit Exchange Online postilaatikoista käyttämällä nolla tunnin automaattista puhdistusta (ZAP).
Haittaohjelmia sisältävät sähköpostiviestit poistetaan toimituksen jälkeen Tiedottava Tämä ilmoitus luodaan, kun haittaohjelmia sisältävät sähköpostiviestit toimitetaan organisaation postilaatikoihin. Jos tämä tapahtuma ilmenee, Microsoft poistaa tartunnan saaneet viestit Exchange Online postilaatikoista käyttämällä nolla tunnin automaattista puhdistusta (ZAP).
Haitallisen URL-osoitteen sisältävät sähköpostiviestit poistettiin toimituksen jälkeen Tiedottava Tämä ilmoitus luodaan, kun kaikki haitallisen URL-osoitteen sisältävät viestit toimitetaan organisaation postilaatikoihin. Jos tämä tapahtuma ilmenee, Microsoft poistaa tartunnan saaneet viestit Exchange Online postilaatikoista käyttämällä nolla tunnin automaattista puhdistusta (ZAP).
Tietojenkalastelun URL-osoitteita sisältävät sähköpostiviestit poistetaan toimituksen jälkeen Tiedottava Tämä ilmoitus luodaan, kun tietojen kalastelua sisältävät viestit toimitetaan organisaation postilaatikoihin. Jos tämä tapahtuma ilmenee, Microsoft poistaa tartunnan saaneet viestit Exchange Online postilaatikoista ZAP:n avulla.
Havaitaan epäilyttäviä sähköpostin lähetysmalleja Normaali Tämä ilmoitus luodaan, kun joku organisaatiossasi on lähettänyt epäilyttävää sähköpostia ja on vaarassa joutua sähköpostin lähettämisen rajoittamiseen. Ilmoitus on ennakkovaroitus toiminnasta, joka saattaa tarkoittaa, että tili on vaarantunut, mutta ei niin vakava, että se rajoittaisi käyttäjää.

Vaikka se on harvinaista, tämän käytännön luoma hälytys voi olla poikkeama. On kuitenkin hyvä tarkistaa, onko käyttäjätili vaarantunut.
Käyttäjä ei voi lähettää sähköpostia Korkea Tämä ilmoitus luodaan, kun joku organisaatiossasi ei voi lähettää lähteviä viestejä. Tämä ilmoitus on yleensä tulos, kun sähköpostitili on vaarantunut.

Lisätietoja rajoitetuista käyttäjistä on rajoitetut entiteetit -sivun kohdassa Estettyjen käyttäjien poistaminen.
Hallinta käynnistivät sähköpostin manuaalisen tutkinnan Tiedottava Tämä ilmoitus luodaan, kun järjestelmänvalvoja käynnistää Threat Explorerin lähettämän sähköpostiviestin manuaalisen tutkimuksen. Tämä ilmoitus ilmoittaa organisaatiollesi tutkinnan aloittamisesta.
Hallinta käynnistetty käyttäjän kompromissitutkimus Normaali Tämä ilmoitus luodaan, kun järjestelmänvalvoja käynnistää manuaalisen käyttäjän kompromissitutkimuksen joko sähköpostin lähettäjästä tai vastaanottajasta Threat Explorerista. Tämä ilmoitus ilmoittaa organisaatiollesi, että käyttäjän kompromissitutkimus aloitettiin.

Vihje

Lisätietoja ilmoituskäytännöistä tai oletusasetusten muokkaamisesta on Microsoft Defender portaalin ilmoituskäytännöissä.

AIR-ominaisuuksien käytön vaaditut käyttöoikeudet

Sinulla on oltava airin käyttöoikeudet. Voit valita seuraavat vaihtoehdot:

  • Microsoft Defender XDR Yhdistetty roolipohjainen käyttöoikeuksien valvonta (RBAC) (vaikuttaa vain Defender-portaaliin, ei PowerShelliin):

    • Aloita automatisoitu tutkinta tai Hyväksy tai hylkää suositellut toiminnot: Suojausoperaattorin/sähköpostin lisäkorjaustoiminnot (hallitse).

  • Sähköpostin & yhteiskäyttöoikeudet Microsoft Defender portaalissa:

    • AIR-ominaisuuksien määrittäminen: Organisaatiohallinnan tai suojauksen järjestelmänvalvojan rooliryhmien jäsenyys.
    • Aloita automatisoitu tutkimus tai Hyväksy tai hylkää suositellut toimet:
      • Organisaation hallinnan, suojauksen järjestelmänvalvojan, suojausoperaattorin, suojauksenlukijan tai yleisen lukijan rooliryhmien jäsenyys. ja
      • Jäsenyys rooliryhmässä, jolle on määritetty Haku ja tyhjennysrooli. Oletusarvoisesti tämä rooli määritetään tietotutkija - ja organisaatiohallintarooliryhmille . Voit myös luoda mukautetun rooliryhmän, joka määrittää Haku- ja tyhjennysroolin.

  • Microsoft Entra käyttöoikeudet:

    • AIR-ominaisuuksien määrittäminen Yleisen järjestelmänvalvojan tai suojauksen järjestelmänvalvojan roolien jäsenyys.
    • Aloita automatisoitu tutkimus tai Hyväksy tai hylkää suositellut toimet:
      • Yleisen järjestelmänvalvojan, suojauksen järjestelmänvalvojan, suojausoperaattorin, suojauksenlukijan tai yleisen lukijan roolien jäsenyys. ja
      • Sähköposti-& yhteiskäyttörooliryhmän jäsenyys, jolle on määritetty Haku ja tyhjennysrooli. Oletusarvoisesti tämä rooli määritetään tietotutkija - ja organisaatiohallintarooliryhmille . Voit myös luoda mukautetun sähköpostin & yhteistyörooliryhmänHaku- ja tyhjennysroolin määrittämiseksi.

    Microsoft Entra käyttöoikeudet antavat käyttäjille Microsoft 365:n muiden ominaisuuksien käyttöoikeudet.

Vaaditut käyttöoikeudet

Microsoft Defender for Office 365 palvelupaketin 2 käyttöoikeudet tulee määrittää:

  • Suojauksen järjestelmänvalvojat (mukaan lukien yleiset järjestelmänvalvojat)
  • Organisaatiosi suojaustoimintaryhmä (mukaan lukien suojauslukijat ja Haku- ja tyhjennysroolissa olevat)
  • Loppukäyttäjät

Seuraavat vaiheet