חקירת איום ותגובה

• חל על:

  ✅ Microsoft Defender for Office 365 Plan 2

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 תוכנית 2 ללא תשלום? השתמש בגירסת הניסיון של Defender for Office 365 ל- 90 יום במרכז הניסיון של פורטל Microsoft Defender. למד מי יכול להירשם ולתנאי ניסיון כאן.

יכולות חקירה ותגובה של איומים ב- Microsoft Defender עבור Office 365 עוזרות לאנליסטים ולמנהלי מערכת להגן על משתמשי Microsoft 365 לעסקים בארגון שלהם על-ידי:

• מקלים עליך לזהות, לנטר ולהבין מתקפות סייבר.
• סיוע לטפל במהירות באיומים ב- Exchange Online, SharePoint Online, OneDrive for Business ו- Microsoft Teams.
• מתן תובנות וידע כדי לעזור לפעולות אבטחה למנוע מתקפות סייבר נגד הארגון שלהם.
• שימוש בחקירה ותגובה אוטומטיות ב- Office 365 לאיומים קריטיים המבוססים על דואר אלקטרוני.

יכולות חקירה ותגובה של איומים מספקות תובנות לגבי איומים ופעולות תגובה קשורות הזמינות בפורטל Microsoft Defender. תובנות אלה יכולות לעזור לצוות האבטחה של הארגון שלך להגן על המשתמשים מפני תקיפות דואר אלקטרוני או מבוססות קובץ. היכולות עוזרות לנטר אותות ולאסוף נתונים ממקורות מרובים, כגון פעילות משתמשים, אימות, דואר אלקטרוני, מחשבים שנחשף לסכנה ותקריות אבטחה. מקבלי ההחלטות העסקיות וצוות פעולות האבטחה שלך יכולים להשתמש במידע זה כדי להבין ולהגיב לאיומים כנגד הארגון שלך ולהגן על הקניין הרוחני שלך.

היכרות עם חקירת איומים וכלי תגובה

יכולות חקירה ותגובה של איומים בפורטל Microsoft Defender נמצאות https://security.microsoft.com בקבוצה של זרימות עבודה של כלים ותגובות הכוללות:

• חוקר
• מקרים
• הדרכה בהדמיית התקפה
• חקירה ותגובה אוטומטיים

חוקר

השתמש בסייר (ובזיהויים בזמן אמת) כדי לנתח איומים, לראות את נפח המתקפות לאורך זמן ולנתח נתונים לפי משפחות איומים, תשתית תוקפים ועוד. Explorer (המכונה גם Threat Explorer) הוא המקום ההתחלתי עבור כל זרימת עבודה של חקירה של אנליסט אבטחה.

כדי להציג דוח זה ולהשתמש בו בפורטל Microsoft Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני וסייר & פעולה>. לחלופין, כדי לעבור ישירות לדף הסייר , השתמש ב- https://security.microsoft.com/threatexplorer.

חיבור בינת איומים של Office 365

תכונה זו זמינה רק אם יש לך מנוי פעיל של Office 365 E5 או G5 או Microsoft 365 E5 או G5 או ההרחבה Threat Intelligence. לקבלת מידע נוסף, עיין בדף המוצר של Office 365 Enterprise E5.

נתונים מ- Microsoft Defender עבור Office 365 משולבים ב- XDR של Microsoft Defender כדי לערוך חקירת אבטחה מקיפה בכל תיבות הדואר והמכשירים של Windows ב- Office 365.

מקרים

השתמש ברשימת האירועים (פעולה זו נקראת גם חקירות) כדי לראות רשימה של אירועי אבטחה של טיסה. אירועים משמשים למעקב אחר איומים כגון הודעות דואר אלקטרוני חשודות, ולצורך ביצוע חקירה ותיקון נוספים.

כדי להציג את רשימת האירועים הנוכחיים עבור הארגון שלך בפורטל Microsoft Defender https://security.microsoft.comב- , עבור אל אירועים &>אירועים. לחלופין, כדי לעבור ישירות לדף אירועים , השתמש ב- https://security.microsoft.com/incidents.

הדרכה בהדמיית התקפה

השתמש בהכשרת הדמיות תקיפה כדי להגדיר ולהפעיל מתקפות סייבר מציאותיות בארגון שלך, ולזהות אנשים פגיעים לפני מתקפת סייבר אמיתית משפיעה על העסק שלך. לקבלת מידע נוסף, ראה הדמיה של מתקפת דיוג.

כדי להציג תכונה זו ולהשתמש בה בפורטל Microsoft Defender https://security.microsoft.comב- , עבור אל הדרכה להדמיית & אלקטרוני ושיתוף>פעולה. לחלופין, כדי לעבור ישירות אל דף ההדרכה של הדמיות ההתקפה , השתמש ב- https://security.microsoft.com/attacksimulator?viewid=overview.

חקירה ותגובה אוטומטיים

השתמש ביכולות חקירה ותגובה אוטומטיות (AIR) כדי לחסוך זמן ומאמץ בתיאום תוכן, מכשירים ואנשים בסיכון מאיומים בארגון שלך. תהליכי AIR יכולים להתחיל בכל פעם שהתראות מסוימות מופעלות, או כאשר צוות פעולות האבטחה מתחיל תחילה. לקבלת מידע נוסף, ראה חקירה ותגובה אוטומטיות ב- Office 365.

רכיבים גרפיים של בינת איומים

כחלק מהצעת Microsoft Defender for Office 365 תוכנית 2, אנליסטי אבטחה יכולים לסקור פרטים אודות איום ידוע. פעולה זו שימושית כדי לקבוע אם קיימים מדידים/שלבים מונעים נוספים שניתן לנקוט כדי להגן על המשתמשים.

כיצד ניתן להשיג יכולות אלה?

יכולות חקירה ותגובה של איומים של Microsoft 365 כלולות ב- Microsoft Defender for Office 365 תוכנית 2, הכלולה ב- Enterprise E5 או כהרחבה למנויים מסוימים. לקבלת מידע נוסף, ראה Defender עבור Office 365 תוכנית 1 לעומת גיליון הוראות של תוכנית 2.

תפקידים והרשאות נדרשים

Microsoft Defender עבור Office 365 משתמש בפקד גישה מבוסס תפקידים. ההרשאות מוקצות באמצעות תפקידים מסוימים במזהה Microsoft, במרכז הניהול של Microsoft 365 או בפורטל Microsoft Defender.

עצה

למרות שניתן להקצות תפקידים מסוימים, כגון מנהל אבטחה, בפורטל Microsoft Defender, שקול להשתמש במקום זאת במרכז הניהול של Microsoft 365 או במזהה Entra של Microsoft. לקבלת מידע אודות תפקידים, קבוצות תפקידים והרשאות, עיין במשאבים הבאים:

• הרשאות בפורטל Microsoft Defender
• תפקידים מוכללים של Microsoft Entra

פעילות	תפקידים והרשאות
השתמש בלוח המחוונים של ניהול פגיעויות של Microsoft Defender הצגת מידע אודות איומים אחרונים או עדכניים	אחת מהאפשרויות הבאות: מנהל מערכת כללי* מנהל אבטחה קורא אבטחה ניתן להקצות תפקידים אלה במזהה Entra () של Microsoft אוhttps://portal.azure.com במרכז הניהול של Microsoft 365 (https://admin.microsoft.com).
השתמש בסייר (ובזיהויים בזמן אמת) כדי לנתח איומים	אחת מהאפשרויות הבאות: מנהל מערכת כללי* מנהל אבטחה קורא אבטחה ניתן להקצות תפקידים אלה במזהה Entra () של Microsoft אוhttps://portal.azure.com במרכז הניהול של Microsoft 365 (https://admin.microsoft.com).
הצגת אירועים (נקראים גם חקירות) הוספת הודעות דואר אלקטרוני למקריות	אחת מהאפשרויות הבאות: מנהל מערכת כללי* מנהל אבטחה קורא אבטחה ניתן להקצות תפקידים אלה במזהה Entra () של Microsoft אוhttps://portal.azure.com במרכז הניהול של Microsoft 365 (https://admin.microsoft.com).
הפעלת פעולות דואר אלקטרוני באירוע חיפוש ומחיקה של הודעות דואר אלקטרוני חשודות	אחת מהאפשרויות הבאות: מנהל מערכת כללי* מנהל אבטחה בנוסף לתפקיד 'חיפוש' ו'מחק לצמיתות ' ניתן להקצות את* תפקידי מנהל המערכת הכללי ומנהל האבטחה במזהה Microsoft (https://portal.azure.com) או במרכז הניהול של Microsoft 365 (https://admin.microsoft.com). יש להקצות את התפקיד 'חיפוש ופינוי' & דואר אלקטרוני בתפקידי שיתוף פעולה בפורטל Microsoft 36 Defender (https://security.microsoft.com).
שילוב Microsoft Defender עבור Office 365 תוכנית 2 עם Microsoft Defender for Endpoint שילוב Microsoft Defender עבור Office 365 תוכנית 2 עם שרת SIEM	תפקיד מנהל המערכת הכללי* או מנהל האבטחה שהוקצה במזהה Microsoft Entra (https://portal.azure.com) או במרכז הניהול של Microsoft 365 (https://admin.microsoft.com). --- פלוס --- תפקיד מתאים שהוקצה באפליקציות נוספות (כגון מרכז האבטחה של Microsoft Defender או שרת SIEM).

חשוב

^* Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. שימוש בחשבונות עם הרשאות נמוכות יותר עוזר לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

השלבים הבאים

• עוקבים אחר איומים ב- Microsoft Defender עבור Office 365 תוכנית 2
• חיפוש ובדיקה של דואר אלקטרוני זדוני שנמסר (Office 365 Threat Investigation and Response)
• הדמיה של מתקפת דיוג