Microsoft Defender עבור Office 365 לפעולות אבטחה
עצה
הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.
מאמר זה מספק מבט כולל על הדרישות והמשימות לפעולות מוצלחות Microsoft Defender עבור Office 365 בארגון שלך. משימות אלה עוזרות להבטיח שמרכז פעולות האבטחה (SOC) שלך מספק גישה באיכות גבוהה ומהימנה כדי להגן על איומי אבטחה הקשורים לדואר אלקטרוני ולשיתוף פעולה, לזהות אותם ולהגיב להם.
שאר המדריך מתאר את הפעילויות הנדרשות עבור צוות SecOps. הפעילויות מקובצות למשימות תיאוריות יומיות, שבועיות, חודשיות ומשימות אד-הוק.
מאמר נלווה למדריך זה מספק מבט כולל לניהול אירועים והתראות Defender עבור Office 365 בדף אירועים בפורטל Microsoft Defender.
מדריך Microsoft Defender XDR האבטחה שלך מכיל מידע נוסף שניתן להשתמש בו לתכנון ופיתוח.
לקבלת סרטון וידאו אודות מידע זה, ראה https://youtu.be/eQanpq9N1Ps.
פעילויות יומיות
ניטור Microsoft Defender XDR האירועים
הדף אירועים בפורטל Microsoft Defender https://security.microsoft.com/incidents-queue של (המכונה גם תור האירועים) מאפשר לך לנהל ולנטר אירועים מהמקורות הבאים Defender עבור Office 365:
לקבלת מידע נוסף אודות תור האירועים, ראה קביעת סדרי עדיפויות של אירועים Microsoft Defender XDR.
תוכנית קביעת סדר העדיפויות שלך לניטור תור האירועים צריכה להשתמש בסדר הקדימות הבא עבור אירועים:
- זוהתה לחיצה על כתובת URL שעלולה להיות זדונית.
- המשתמש הגביל את שליחת הדואר האלקטרוני.
- זוהו תבניות שליחת דואר אלקטרוני חשודות.
- דואר אלקטרוני שדווח על-ידי המשתמש כתוכנות זדוניות או כתוכנות דיוג, ומשתמשים מרובים דיווחו על דואר אלקטרוני כתוכנות זדוניות או כהודעת דיוג.
- הודעות דואר אלקטרוני המכילות קובץ זדוני הוסרו לאחר המסירה, הודעות דואר אלקטרוני המכילות כתובת URL זדונית הוסרו לאחר המסירה, והודעות דואר אלקטרוני מקמפיין שהוסרו לאחר המסירה.
- דיוג נמסר עקב עקיפת ETR, דיוג נמסר מכיוון שהתיקיה 'דואר זבל' של משתמש אינה זמינה, ודיוג נמסר עקב מדיניות היתרי IP
- תוכנות זדוניות לא תותפו מכיוון ש- ZAP אינו זמין ודיוג לא בוטל מכיוון ש- ZAP אינו זמין.
ניהול תור אירועים והאדם האחראי מתוארים בטבלה הבאה:
| פעילות | קדנצה | תיאור | אישיות |
|---|---|---|---|
| קביעת סדר עדיפויות של אירועים בתור אירועים ב- https://security.microsoft.com/incidents-queue. | יומי | ודא שכל אירועי החומרה'בינונית' ו'גבוהה' Defender עבור Office 365 תקינות. | צוות תפעול אבטחה |
| בדוק ובצע פעולות תגובה לגבי אירועים. | יומי | בדוק את כל האירועים ובצע באופן פעיל את פעולות התגובה המומלצות או הידני. | צוות תפעול אבטחה |
| פתור אירועים. | יומי | אם התקרית תוקנה, פתור את המקרה. פתרון המקרה פותר את כל ההתראות הפעילות המקושרות וה קשורות. | צוות תפעול אבטחה |
| סיווג אירועים. | יומי | סיווג אירועים כ- True או False. לקבלת התראות True, ציין את סוג האיום. סיווג זה עוזר לצוות האבטחה שלך לראות דפוסי איומים ולהגן על הארגון שלך מפניהם. | צוות תפעול אבטחה |
ניהול זיהויים שליליים מוטעים וחיוביים מוטעים
ב Defender עבור Office 365, אתה מנהל תוצאות חיוביות מוטעות (דואר טוב המסומן כערך שגוי) ושליליות מוטעית (דואר שגוי מותר) במיקומים הבאים:
לקבלת מידע נוסף, עיין בסעיף ניהול זיהויים שליליים מוטעים וחיוביים מוטעים בהמשך מאמר זה.
ניהול חיובי מוטעה ושלילי מוטעה והאדם האחראי מתוארים בטבלה הבאה:
| פעילות | קדנצה | תיאור | אישיות |
|---|---|---|---|
| שלח תוצאות חיוביות מוטעות ושליליות מוטעות ל- Microsoft בכתובת https://security.microsoft.com/reportsubmission. | יומי | ספק אותות ל- Microsoft על-ידי דיווח על זיהויים שגויים של דואר אלקטרוני, כתובת URL וקובץ. | צוות תפעול אבטחה |
| נתח את פרטי שליחת מנהל המערכת. | יומי | הבן את הגורמים הבאים עבור ההגשות שאתה מבצע ב- Microsoft:
|
צוות תפעול אבטחה ניהול אבטחה |
| הוסף ערכי בלוק ברשימת התרה/חסימה של דייר ב- https://security.microsoft.com/tenantAllowBlockList. | יומי | השתמש ברשימת התרה/חסימה של דייר כדי להוסיף ערכי חסימה עבור זיהויים שגויים של כתובת URL, קובץ או שולח כנדרש. | צוות תפעול אבטחה |
| שחרר תוצאות חיוביות מוטעות מהסגר. | יומי | לאחר שהנמען מאשר שההודעה הועברה להסגר באופן שגוי, באפשרותך לשחרר או לאשר בקשות הפצה עבור משתמשים. כדי לקבוע מה משתמשים יכולים לעשות להודעות ההסגר שלהם (כולל הפצה או הפצה לבקשה), ראה מדיניות הסגר. |
צוות תפעול אבטחה צוות העברת הודעות |
סקור קמפיינים של דיוג ותוכנות זדוניות שגרמו לדואר שנמסר
| פעילות | קדנצה | תיאור | אישיות |
|---|---|---|---|
| סקור קמפיינים בדואר אלקטרוני. | יומי | סקור קמפיינים בדואר אלקטרוני שיעדו את הארגון שלך ב- https://security.microsoft.com/campaigns. התמקד בקמפיינים שגרמו לכך שהודעות יועברו לנמענים. הסר הודעות מקמפיינים הקיימים בתיבות דואר של משתמשים. פעולה זו נדרשת רק כאשר קמפיין מכיל דואר אלקטרוני שעדיין לא תוקנה על-ידי פעולות מתקריות, מחיקה אוטומטית של אפס שעות (ZAP) או תיקון ידני. |
צוות תפעול אבטחה |
פעילויות שבועית
סקירת מגמות זיהוי דואר אלקטרוני בדוחות Defender עבור Office 365 אלה
ב Defender עבור Office 365, באפשרותך להשתמש בדוחות הבאים כדי לסקור מגמות של זיהוי דואר אלקטרוני בארגון שלך:
| פעילות | קדנצה | תיאור | אישיות |
|---|---|---|---|
| סקור דוחות זיהוי דואר אלקטרוני ב: | שבועי | סקור מגמות בזיהוי דואר אלקטרוני לאיתור תוכנות זדוניות, דיוג והודעות זבל בהשוואה לדואר אלקטרוני טוב. תצפית לאורך זמן מאפשרת לך לראות דפוסי איומים ולברר אם עליך להתאים את Defender עבור Office 365 שלך. | ניהול אבטחה צוות תפעול אבטחה |
מעקב אחר איומים מתפתחים ומענה עליה באמצעות ניתוח איומים
השתמש בניתוח איומים כדי לסקור איומים פעילים וטרנדיים.
| פעילות | קדנצה | תיאור | אישיות |
|---|---|---|---|
| סקור איומים בניתוח איומים ב- https://security.microsoft.com/threatanalytics3. | שבועי | ניתוח איומים מספק ניתוח מפורט, כולל הפריטים הבאים:
|
צוות תפעול אבטחה צוות ציד איומים |
סקור משתמשים מובילים ייעודיים לאיתור תוכנות זדוניות ודיוג
השתמש בכרטיסיה משתמשים ייעודיים מובילים (תצוגה) באזור הפרטים של התצוגות 'כל הדואר האלקטרוני', 'תוכנות זדוניות' ו'דיוג' בסייר האיומים כדי לגלות או לאשר את המשתמשים המהווים את היעדים המובילים עבור תוכנות זדוניות והודעות דואר אלקטרוני של דיוג.
| פעילות | קדנצה | תיאור | אישיות |
|---|---|---|---|
| סקור את הכרטיסיה משתמשים ייעודיים מובילים בסייר האיומים ב- https://security.microsoft.com/threatexplorer. | שבועי | השתמש במידע כדי להחליט אם עליך להתאים פריטי מדיניות או הגנות עבור משתמשים אלה. הוסף את המשתמשים המושפעים ל'חשבונות עדיפות ' כדי לקבל את היתרונות הבאים:
|
ניהול אבטחה צוות תפעול אבטחה |
סקור תוכנות זדוניות וקמפיינים מובילים של דיוג שממקדים את הארגון שלך
תצוגות קמפיין חושפות תוכנות זדוניות ומתקפות דיוג כנגד הארגון שלך. לקבלת מידע נוסף, ראה תצוגות קמפיין ב- Microsoft Defender עבור Office 365.
| פעילות | קדנצה | תיאור | אישיות |
|---|---|---|---|
| השתמש בתצוגות קמפיין ב https://security.microsoft.com/campaigns - כדי לסקור תוכנות זדוניות ומתקפות דיוג המשפיעות עליך. | שבועי | למד על ההתקפות והטכניקות Defender עבור Office 365 הצליח לזהות ולחסום. השתמש בהורדת דוח איומים בתצוגות קמפיין לקבלת מידע מפורט אודות קמפיין. |
צוות תפעול אבטחה |
פעילויות אד הוק
חקירה והסרה ידנית של דואר אלקטרוני
| פעילות | קדנצה | תיאור | אישיות |
|---|---|---|---|
| לחקור ולהסיר דואר אלקטרוני שגוי ב- Threat Explorer ב https://security.microsoft.com/threatexplorer בהתבסס על בקשות משתמשים. | אד הוק | השתמש בפעולה של חקירת גורם מפעיל ב- Threat Explorer כדי להתחיל חוברת הפעלה אוטומטית של חקירה ותגובה בכל דואר אלקטרוני מ- 30 הימים האחרונים. הפעלה ידנית של חקירה חוסך זמן ומאמץ על-ידי הכללה מרכזית:
לקבלת מידע נוסף, ראה דוגמה: הודעת דיוג שדווחה על-ידי המשתמש מפעילה ספר הפעלות חקירה לחלופין, באפשרותך להשתמש ב- Threat Explorer כדי לחקור באופן ידני דואר אלקטרוני עם יכולות חיפוש וסינון רבות-עוצמה ולבצע פעולת תגובה ידנית ישירות מאותו מקום. פעולות ידניות זמינות:
|
צוות תפעול אבטחה |
חפש איומים באופן יזום
| פעילות | קדנצה | תיאור | אישיות |
|---|---|---|---|
| באופן קבוע, ציד יזום לאיומים ב:. | אד הוק | חיפוש איומים המשתמשים ב- Threat Explorer וב- Advanced Hunting. | צוות תפעול אבטחה צוות ציד איומים |
| שיתוף שאילתות ציד. | אד הוק | שתף באופן פעיל שאילתות בשימוש תכוף, שימושיות בתוך צוות האבטחה לצורך ציד ותיקון מהירים יותר של איומים ידניים. השתמש בעוקבים אחראיומים ובהשאילתות המשותפות בשלבי ציד מתקדמים. |
צוות תפעול אבטחה צוות ציד איומים |
| Create זיהוי מותאמים אישית ב- https://security.microsoft.com/custom_detection. | אד הוק | Create כללי זיהוי מותאמים אישית כדי לנטר באופן יזום אירועים, דפוסים ואיומים בהתבסס על Defender עבור Office 365 הנתונים ב'ציד מתקדם'. כללי זיהוי מכילים שאילתות ציד מתקדמות שמפיקות התראות בהתבסס על הקריטריונים התואמים. | צוות תפעול אבטחה צוות ציד איומים |
סקירת Defender עבור Office 365 המדיניות
| פעילות | קדנצה | תיאור | אישיות |
|---|---|---|---|
| סקור את התצורה של Defender עבור Office 365 המדיניות בכתובת https://security.microsoft.com/configurationAnalyzer. | אד הוק חודשי |
השתמש במנתח התצורה כדי להשוות את הגדרות המדיניות הקיימות שלך לערכים הרגילים או הקפדנים המומלצים עבור Defender עבור Office 365. מנתח התצורה מזהה שינויים מקריים או זדוניים שעלולים להוריד את תציבת האבטחה של הארגון שלך. לחלופין, באפשרותך להשתמש בכלי ORCA המבוסס על PowerShell. |
ניהול אבטחה צוות העברת הודעות |
| סקור עקיפות זיהוי ב- Defender עבור Office 365 תחתhttps://security.microsoft.com/reports/TPSMessageOverrideReportATP | אד הוק חודשי |
השתמש בתצוגה > הצג נתונים לפי מערכת עקיפת תרשים לפי תצוגת סיבה בדוח המצב של הגנה מפני איומים כדי לסקור דואר אלקטרוני שזוהה כהודעת דיוג אך נמסר עקב הגדרות עקיפת מדיניות או משתמש. חקור, הסר או כוונן עקיפות באופן פעיל כדי להימנע ממסירה של דואר אלקטרוני שנקבע זד זדוני. |
ניהול אבטחה צוות העברת הודעות |
סקירת זיהוי התחזות וה התחזות
| פעילות | קדנצה | תיאור | אישיות |
|---|---|---|---|
| סקור את תובנות בינת התחזות ואת תובנות הזיהוי של התחזות ב-. | אד הוק חודשי |
השתמש בתובנות של בינת התחזות ובתובנות התחזות כדי להתאים את הסינון לאיתור התחזות וה התחזות. | ניהול אבטחה צוות העברת הודעות |
סקור חברות בחשבון עדיפות
| פעילות | קדנצה | תיאור | אישיות |
|---|---|---|---|
| סקור את המשתמשים המוגדרים כחשבון עדיפות ב- https://security.microsoft.com/securitysettings/userTags. | אד הוק | שמור על עדכניות החברות בחשבונות עדיפות עם שינויים ארגוניים כדי לקבל את היתרונות הבאים עבור משתמשים אלה:
השתמש בתגיות משתמש מותאמות אישית עבור משתמשים אחרים כדי לקבל:
|
צוות תפעול אבטחה |
נספח
קבל מידע Microsoft Defender עבור Office 365 כלים ותהליכים
פעולות אבטחה וחברי צוות התגובה צריכים לשלב Defender עבור Office 365 כלים ותכונות קיימים בחקירות ותהליכי תגובה קיימים. למידה על כלים ויכולות חדשים עשויה להימשך זמן מה, אך זהו חלק קריטי מתהליך העלייה למטוס. הדרך הפשוטה ביותר עבור חברי צוות אבטחת דואר אלקטרוני ו- SecOps Defender עבור Office 365 היא להשתמש בתוכן ההדרכה הזמין כחלק מתוכן ההדרכה של Ninja בכתובת https://aka.ms/mdoninja.
התוכן בנוי עבור רמות ידע שונות (יסודות, ביניים ומתקדם) עם מודולים מרובים לכל רמה.
סרטוני וידאו קצרים עבור משימות ספציפיות זמינים גם בערוץ Microsoft Defender עבור Office 365 YouTube.
הרשאות Defender עבור Office 365 פעילות ומשימות
ההרשאות לניהול Defender עבור Office 365 ב- Microsoft Defender וב- PowerShell מבוססות על מודל ההרשאות של בקרת גישה מבוססת תפקיד (RBAC). RBAC הוא אותו מודל הרשאות המשמש את רוב שירותי Microsoft 365. לקבלת מידע נוסף, ראה הרשאות בפורטל Microsoft Defender שלך.
הערה
Privileged Identity Management (PIM) ב- Microsoft Entra מזהה היא גם דרך להקצות הרשאות נדרשות לצוות SecOps. לקבלת מידע נוסף, ראה Privileged Identity Management (PIM) ומדוע להשתמש בו עם Microsoft Defender עבור Office 365.
ההרשאות הבאות (תפקידים וקבוצות תפקידים) זמינות Defender עבור Office 365 ובאפשרותך להשתמש הבאות כדי להעניק גישה לחברי צוות האבטחה:
Microsoft Entra מזהה: תפקידים מרוכזים המקצה הרשאות עבור כל שירותי Microsoft 365, כולל Defender עבור Office 365. באפשרותך להציג את Microsoft Entra והמשתמשים שהוקצו להם בפורטל Microsoft Defender, אך לא ניתן לנהל אותם ישירות שם. במקום זאת, Microsoft Entra תפקידים וחברים ב- https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. התפקידים הנפוצים ביותר המשמשים צוותי אבטחה הם:
Exchange Online ושיתוףפעולה & אלקטרוני: תפקידים וקבוצות תפקידים המעניקים הרשאה ספציפית Microsoft Defender עבור Office 365. התפקידים הבאים אינם זמינים ב- Microsoft Entra מזהה, אך הם יכולים להיות חשובים לצוותי אבטחה:
תפקיד תצוגה מקדימה (שיתוף & דואר אלקטרוני): הקצה תפקיד זה לחברי צוות שצריכים להציג בתצוגה מקדימה או להוריד הודעות דואר אלקטרוני כחלק מפעילויות חקירה. מאפשר למשתמשים להציג בתצוגה מקדימה ולהוריד הודעות דואר אלקטרוני מתיבות דואר בענן באמצעות Threat Explorer (Explorer) או זיהויים בזמן אמת והדף ' ישות דואר אלקטרוני'.
כברירת מחדל, התפקיד תצוגה מקדימה מוקצה רק לקבוצות התפקידים הבאות:
- חוקר נתונים
- מנהל גילוי אלקטרוני
באפשרותך להוסיף משתמשים לקבוצות תפקידים אלה, או ליצור קבוצת תפקידים חדשה שהוקצה לה תפקיד Preview ולהוסיף את המשתמשים לקבוצת התפקידים המותאמת אישית.
חיפוש ולבצע מחיקה לצמיתות (שיתוף פעולה באמצעות דואר אלקטרוני &): אשר את המחיקה של הודעות זדוניות כפי שמומלץ על-ידי AIR או בצע פעולה ידנית על הודעות בחוויות ציד כגון Threat Explorer.
כברירת מחדל, חיפוש התפקיד 'מחק' ו'מחק' מוקצה רק לקבוצות התפקידים הבאות:
- חוקר נתונים
- ניהול הארגון
באפשרותך להוסיף משתמשים לקבוצות תפקידים אלה, או ליצור קבוצת תפקידים חדשה שהוקצתה לה חיפוש ו'מחק לצמיתות', ולהוסיף את המשתמשים לקבוצת התפקידים המותאמת אישית.
Tenant AllowBlockList Manager (Exchange Online): נהל ערכי התרה וחסום ברשימת התרה/חסימה של דייר. חסימת כתובות URL, קבצים (באמצעות קוד Hash של קבצים) או שולחים היא פעולת תגובה שימושית שיש לבצע בעת חקירה של דואר אלקטרוני זדוני שנשלח.
כברירת מחדל, תפקיד זה מוקצה רק לקבוצת התפקידים 'אופרטור אבטחה' Exchange Online, ולא Microsoft Entra מזהה. חברות בתפקיד 'אופרטור אבטחה' Microsoft Entra מזהה לא מאפשרת לך לנהל ערכים ברשימת התרה/חסימה של דייר.
חברים בתפקידי מנהל האבטחה או ניהול הארגון ב- Microsoft Entra מזהה או בקבוצות התפקידים התואמות ב- Exchange Online יכולים לנהל ערכים ברשימת התרה/חסימה של דיירים.
שילוב SIEM/SOAR
Defender עבור Office 365 לחשוף את רוב הנתונים שלו באמצעות קבוצה של ממשקי API תיכנותיים. ממשקי API אלה עוזרים לך להפוך זרימות עבודה לאוטומטיות ולהשתמש באופן Defender עבור Office 365 המלאות. הנתונים זמינים באמצעות ממשקי Microsoft Defender XDR API ובאפשרותך להשתמש בהם כדי לשלב Defender עבור Office 365 בפתרונות קיימים של SIEM/SOAR.
API של מקרי Defender עבור Office 365: התראות אוטומטיות וחקירות אוטומטיות הן חלקים פעילים של אירועים Microsoft Defender XDR. צוותי אבטחה יכולים להתמקד בפריטים הקריטיים על-ידי קיבוץ טווח התקיפה המלא וכל הנכסים המושפעים יחד.
API של זרימת אירועים: מאפשר משלוח של אירועים והתראות בזמן אמת אל זרם נתונים יחיד בזמן שהם מתרחשים. סוגי האירועים הנתמכים ב- Defender עבור Office 365 כוללים:
האירועים מכילים נתונים לעיבוד כל הדואר האלקטרוני (כולל הודעות אינטרא-ארגוניות) ב- 30 הימים האחרונים.
API ציד מראש: מאפשר ציד איום בין מוצרים.
API להערכת איומים: ניתן להשתמש בו כדי לדווח ישירות ל- Microsoft על הודעות זבל, כתובות URL של דיוג או קבצים מצורפים של תוכנות זדוניות.
כדי לחבר Defender עבור Office 365 נתונים גולמיים ותקריות עם Microsoft Sentinel, באפשרותך להשתמש במחבר Microsoft Defender XDR (M365D)
באפשרותך להשתמש בדוגמה הבאה של "Hello World" כדי לבדוק גישת API לממשקי API של Microsoft Defender: Hello World for Microsoft Defender XDR REST API.
לקבלת מידע נוסף על שילוב כלי SIEM, ראה שילוב כלי SIEM עם Microsoft Defender XDR.
טופלו תוצאות חיוביות מוטעות ושליליות מוטעות Defender עבור Office 365
הודעות שדווחו על-ידי המשתמש ושלוחות מנהלי מערכת של הודעות דואר אלקטרוני הם אותות קריטיים של חיזוק חיובי עבור מערכות זיהוי למידת המכונה שלנו. הגשות עוזרות לנו לסקור, לקבוע סדר עדיפויות, ללמוד במהירות ולצמצם מתקפות. דיווח פעיל על תוצאות חיוביות מוטעות ושליליות מוטעות הוא פעילות חשובה המספקת משוב Defender עבור Office 365 כאשר טעויות בוצעו במהלך הזיהוי.
לארגונים יש אפשרויות מרובות לקביעת התצורה של הודעות שמשתמשים דיווחו עליהן. בהתאם לתצורה, ייתכן שלקבוצות אבטחה יהיו מעורבות פעילה יותר כאשר משתמשים שולחים תוצאות חיוביות מוטעות או תוצאות שליליות מוטעות ל- Microsoft:
הודעות המדווחות על-ידי המשתמש נשלחות ל- Microsoft לצורך ניתוח כאשר הגדרות המשתמש שדווח נקבעו עם אחת מההגדרות הבאות:
- שלח את ההודעות שדווחו אל: Microsoft בלבד.
- שלח את ההודעות שדווחו אל: Microsoft ותיבת הדואר שלי לדיווח.
חברי צוות האבטחה צריכים לבצע הגשות של מנהלי מערכת של Add-hoc כאשר צוות הפעולות מציין תוצאות חיוביות מוטעות או תוצאות שליליות מוטעות שלא דווחו על-ידי משתמשים.
כאשר התצורה של הודעות שדווחו על-ידי המשתמש נקבעה לשליחת הודעות לתיבת הדואר של הארגון בלבד, צוותי אבטחה צריכים לשלוח באופן פעיל תוצאות חיוביות מוטעות ושליליות מוטעות שדווחו על-ידי המשתמש ל- Microsoft באמצעות שליחות מנהל מערכת.
כאשר משתמש מדווח על הודעה כהודעת דיוג, Defender עבור Office 365 יוצר התראה, וההתראה מפעילה ספר הפעלות AIR. לוגיקת מקרה מתאם מידע זה להתראות ולאירועים אחרים כאשר הדבר אפשרי. איחוד זה של מידע עוזר לצוותי אבטחה לקבוע סדר עדיפויות, לחקור ולהגיב להודעות שהמשתמשים דיווחו עליהן.
צינור ההגשה בשירות פועל בהתאם לתהליך משולב באופן הדוק כאשר המשתמש מדווח על הודעות ומנהלי מערכת שולחים הודעות. תהליך זה כולל:
- צמצום רעשים.
- סדר עדיפויות אוטומטי.
- מתן דרגות על-ידי אנליסטי אבטחה ופתרונות מבוססי למידת מכונה בשותף אנושי.
לקבלת מידע נוסף, ראה דיווח על הודעת דואר אלקטרוני ב- Defender עבור Office 365 - Microsoft Tech Community.
חברי צוות האבטחה יכולים לבצע הגשות ממיקומים מרובים בפורטל Microsoft Defender ב:https://security.microsoft.com
מרכז הניהול: השתמש בדף 'הגשות' כדי לשלוח הודעות זבל חשודות, דיוג, כתובות URL וקבצים ל- Microsoft.
ישירות מתוך Threat Explorer באמצעות אחת מפעולות ההודעות הבאות:
- דווח נקי
- דיווח על דיוג
- דווח על תוכנות זדוניות
- דיווח על דואר זבל
באפשרותך לבחור עד 10 הודעות לביצוע שליחה בצובר. מרכז הניהול שליחות שנוצרו באמצעות שיטות אלה גלויות בכרטיסיות המתאימות בדף הגשות.
עבור צמצום סיכונים לטווח קצר של תוצאות שליליות מוטעות, צוותי אבטחה יכולים לנהל באופן ישיר ערכי חסימה עבור קבצים, כתובות URL, תחומים או כתובות דואר אלקטרוני ברשימת הדיירים אפשר /חסום.
עבור צמצום סיכונים לטווח קצר של תוצאות חיוביות מוטעות, צוותי אבטחה לא יכולים לנהל באופן ישיר ערכי התרה עבור תחומים וכתובות דואר אלקטרוני ברשימת הדיירים אפשר/חסום. במקום זאת, עליהם להשתמש בשליחה של מנהלי מערכת כדי לדווח על הודעת הדואר האלקטרוני כתוצאה חיובית מוטעית. לקבלת הוראות, ראה דיווח על דואר אלקטרוני טוב ל- Microsoft.
העבר להסגר Defender עבור Office 365 מחזיק קבצים והודעות והודעות שעלולים להיות מסוכנים או בלתי רצויים. צוותי אבטחה יכולים להציג, לשחרר ולמחוק את כל הסוגים של הודעות בהסגר עבור כל המשתמשים. יכולת זו מאפשרת לצוותי אבטחה להגיב ביעילות כאשר הודעה חיובית מוטעית או קובץ בהסגר.
שילוב כלי דיווח של ספקים חיצוניים עם הודעות Defender עבור Office 365 המשתמש שדווחו
אם הארגון שלך משתמש בכלי דיווח של ספק חיצוני המאפשר למשתמשים לדווח באופן פנימי על דואר אלקטרוני חשוד, באפשרותך לשלב את הכלי עם המשתמש שדווח על יכולות ההודעה של Defender עבור Office 365. שילוב זה מספק את היתרונות הבאים לצוותי אבטחה:
- שילוב עם יכולות AIR של Defender עבור Office 365.
- סדר עדיפויות פשוט יותר.
- חקירה מופחתת ות זמן תגובה.
הקצה את תיבת הדואר לדיווח שבה נשלחות הודעות שדווחו על-ידי המשתמש בדף ההגדרות שדווחו על-ידי המשתמש Microsoft Defender בפורטל בכתובת https://security.microsoft.com/securitysettings/userSubmission. לקבלת מידע נוסף, ראה הגדרות המשתמש שדווחו.
הערה
- תיבת הדואר של הדיווח חייבת להיות Exchange Online הדואר.
- כלי הדיווח של ספק חיצוני חייב לכלול את ההודעה המקורית שדווחה כהודעה לא דחוסה. EML או . קובץ מצורף של MSG בהודעה שנשלחת לתיבת הדואר של הדיווח (אל תעביר רק את ההודעה המקורית לתיבת הדואר של הדיווח). לקבלת מידע נוסף, ראה תבנית שליחת הודעות עבור כלי דיווח של ספקים חיצוניים.
- תיבת הדואר של הדיווח דורשת דרישות מוקדמות ספציפיות כדי לאפשר העברת הודעות שעלולות להיות שגויות מבלי להיות מסוננים או עשויים להשתנה. לקבלת מידע נוסף, ראה דרישות תצורה עבור תיבת הדואר של הדיווח.
כאשר משתמש דיווח על הודעה מגיע לתיבת הדואר של הדיווח, Defender עבור Office 365 באופן אוטומטי את ההתראה שנקראת דואר אלקטרוני שדווח על-ידי המשתמש כתוכנות זדוניות או כהודעת דיוג. התראה זו מפעילה ספר הפעלות AIR. ספר הפעולות מבצע סידרה של שלבי חקירות אוטומטיים:
- אסוף נתונים אודות הדואר האלקטרוני שצוין.
- אסוף נתונים אודות האיומים והישויות הקשורים לדואר אלקטרוני זה (לדוגמה, קבצים, כתובות URL ונמענים).
- ספק פעולות מומלצות לצוות SecOps שיש לבצע בהתבסס על ממצאי החקירה.
דואר אלקטרוני שדווח על-ידי המשתמש כתוכנות זדוניות או כהתראות דיוג, חקירות אוטומטיות והפעולות המומלצות שלהן מותאמות באופן אוטומטי לתקריות Microsoft Defender XDR. מתאם זה מפשט עוד יותר את סדר העדיפויות ותהליך התגובה עבור צוותי אבטחה. אם משתמשים מרובים מדווחים על הודעות זהות או דומות, כל המשתמשים וההודעות מותכים לאותו מקרה.
נתונים מהתראות וחקירות ב- Defender עבור Office 365 מושווים באופן אוטומטי להתראות ולחקירות במוצרים Microsoft Defender XDR הבאים:
- Microsoft Defender עבור נקודת קצה
- Microsoft Defender עבור יישומי ענן
- Microsoft Defender עבור זהות
אם מתגלה קשר גומלין, המערכת יוצרת מקרה המעניק ניראות לתקיפה כולה.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור