Miten automatisoitu tutkinta ja reagointi toimivat Microsoft Defender for Office 365

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.

Suojaushälytysten käynnistyessä suojaustoimintaryhmäsi voi tutkia näitä ilmoituksia ja ryhtyä toimiin organisaatiosi suojaamiseksi. Joskus suojaustoimintatiimit saattavat tuntea olevansa hukkua käynnistettyjen hälytysten määrään. Microsoft Defender for Office 365 automatisoidut tutkimus- ja reagointiominaisuudet voivat auttaa.

AIR-turvatiimisi voi toimia tehokkaammin ja tehokkaammin. AIR-ominaisuuksiin sisältyvät automatisoidut tutkintaprosessit, joilla vastataan nykyisiin tunnettuihin uhkiin. Asianmukaiset korjaustoiminnot odottavat hyväksyntää, jotta suojaustoimintatiimisi voi vastata havaittuihin uhkiin.

Tässä artikkelissa kuvataan, miten AIR toimii useiden esimerkkien kautta. Kun olet valmis aloittamaan AIR-käytön, katso Kohta Tutki automaattisesti ja vastaa uhkiin.

Esimerkki: Käyttäjän ilmoittama tietojenkalasteluviesti käynnistää tutkimusvedon

Oletetaan, että organisaatiosi käyttäjä saa sähköpostiviestin, joka on hänen mielestään tietojenkalasteluyritys. Käyttäjä, joka on koulutettu ilmoittamaan tällaisista viesteistä, käyttää Microsoftin raporttiviesti- tai raportin tietojenkalasteluapuohjelmia lähettääkseen sen Microsoftille analyysia varten. Lähetys lähetetään myös järjestelmääsi, ja se näkyy Explorerissa Lähetykset-näkymässä (aiemmin kutsutaan käyttäjän raportoiduksi näkymäksi). Lisäksi käyttäjän ilmoittama viesti käynnistää nyt järjestelmäpohjaisen tietohälytyksen, joka käynnistää automaattisesti tutkimuksen pelikirjan.

Päätutkimusvaiheessa arvioidaan sähköpostin eri näkökohtia. Näitä näkökohtia ovat esimerkiksi seuraavat:

  • Päätös siitä, millainen uhka se voisi olla;
  • Kuka sen lähetti?
  • Mistä sähköposti lähetettiin (infrastruktuurin lähettäminen);
  • Onko sähköpostiviestin muut esiintymät toimitettu tai estetty;
  • Analyytikoidemme arvio;
  • Onko sähköposti liitetty tunnettuihin kampanjoihin;
  • ja paljon muuta.

Kun päätutkimus on valmis, toistokirja sisältää luettelon suositelluista toiminnoista alkuperäiselle sähköpostille ja siihen liittyville entiteeteille (esimerkiksi tiedostot, URL-osoitteet ja vastaanottajat).

Seuraavaksi suoritetaan useita uhkatutkinta- ja metsästysvaiheita:

Metsästysvaiheen aikana riskit ja uhat osoitetaan erilaisiin metsästysvaiheisiin.

Korjaus on pelikirjan viimeinen vaihe. Tämän vaiheen aikana suoritetaan korjaustoimia tutkimus- ja metsästysvaiheiden perusteella.

Esimerkki: Suojauksen järjestelmänvalvoja käynnistää tutkimuksen Threat Explorerista

Hälytyksen käynnistämien automatisoitujen tutkimusten lisäksi organisaatiosi suojaustoimintatiimi voi käynnistää automatisoidun tutkimuksen Threat Explorerin näkymästä. Tämä tutkimus luo myös hälytyksen, joten Microsoft Defender XDR tapaukset ja ulkoiset SIEM-työkalut näkevät, että tämä tutkimus käynnistettiin.

Oletetaan esimerkiksi, että käytät Resurssienhallinnassa Haittaohjelma-näkymää . Kaavion alla olevien välilehtien avulla valitset Sähköposti-välilehden . Jos valitset luettelosta yhden tai useamman kohteen, + Toiminnot -painike aktivoituu.

Resurssienhallinta, jossa on valitut viestit

Toiminnot-valikon avulla voit valita Käynnistä tutkimus.

Valittujen viestien Toiminnot-valikko

Kuten hälytyksen käynnistämät pelikirjat, Explorerin näkymästä käynnistyvät automaattiset tutkimukset sisältävät päätutkimuksen, vaiheet uhkien tunnistamiseksi ja korreloimiseksi sekä suositellut toimet näiden uhkien lieventämiseksi.

Esimerkki: Suojaustoimintaryhmä integroi ILMAN SIEM:nsä Office 365 Hallintatoimintojen ohjelmointirajapinnan avulla

Microsoft Defender for Office 365 AIR-ominaisuudet sisältävät raportteja & tietoja, joita suojaustoimintaryhmät voivat käyttää uhkien tarkkailemiseen ja käsittelemiseen. Voit myös integroida AIR-ominaisuuksia muihin ratkaisuihin. Tällaisia ovat esimerkiksi suojaustiedot ja tapahtumienhallintajärjestelmä (SIEM), tapauksenhallintajärjestelmä tai mukautettu raportointiratkaisu. Tällaisia integrointeja voi tehdä käyttämällä Office 365 -hallintatoiminnon ohjelmointirajapintaa.

Esimerkiksi äskettäin organisaatio on määrittänyt tavan, jolla tietoturvatiimi voi tarkastella käyttäjän ilmoittamia tietojenkalasteluilmoituksia, jotka AIR on jo käsitellyt. Heidän ratkaisunsa integroi asianmukaiset hälytykset organisaation SIEM-palvelimeen ja niiden tapauksenhallintajärjestelmään. Ratkaisu vähentää huomattavasti epätosipositiivisten positiivisten määrää, jotta niiden tietoturvatiimi voi keskittää aikansa ja ponnistelunsa todellisiin uhkiin. Lisätietoja tästä mukautetusta ratkaisusta on Tech Community -blogissa: SoC:n tehokkuuden parantaminen Microsoft Defender for Office 365 ja O365:n hallinnan ohjelmointirajapinnan avulla.

Seuraavat vaiheet