Automatizált vizsgálat és reagálás (AIR) a Office 365-höz készült Microsoft Defender

• A következőre érvényes::

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Office 365-höz készült Microsoft Defender hatékony automatizált vizsgálati és reagálási (AIR) képességeket tartalmaz, amelyekkel időt és energiát takaríthat meg a biztonsági üzemeltetési csapat számára. A riasztások aktivált állapotában a biztonsági üzemeltetési csapatnak kell áttekintenie, rangsorolnia és megválaszolnia ezeket a riasztásokat. A bejövő riasztások mennyiségének fenntartása túl sok lehet. Ezen feladatok némelyikének automatizálása segíthet.

Az AIR lehetővé teszi, hogy a biztonsági üzemeltetési csapat hatékonyabban és hatékonyabban működjön. Az AIR képességei közé tartoznak a ma már ismert fenyegetésekre reagáló automatizált vizsgálati folyamatok. A megfelelő javítási műveletek a jóváhagyásra várnak, így a biztonsági üzemeltetési csapat hatékonyan reagálhat az észlelt fenyegetésekre. Az AIR segítségével a biztonsági üzemeltetési csapat magasabb prioritású feladatokra összpontosíthat anélkül, hogy szem elől tévesztené az aktivált fontos riasztásokat.

Ez a cikk a következőket ismerteti:

• Az AIR teljes áramlása;
• Hogyan szerezhető be az AIR; És
• Az AIR-képességek konfigurálásához vagy használatához szükséges engedélyek .

Ez a cikk a következő lépéseket és további információkat tartalmazó forrásokat is tartalmaz.

Az AIR teljes áramlása

Egy riasztás aktiválódik, és egy biztonsági forgatókönyv elindít egy automatizált vizsgálatot, amely eredményekhez és javasolt műveletekhez vezet. Íme az AIR teljes folyamata, lépésről lépésre:

1. Az automatizált vizsgálat az alábbi módszerek egyikével indítható el:

   • A riasztást gyanús e-mailek (például üzenet, melléklet, URL-cím vagy feltört felhasználói fiók) aktiválják. Létrejön egy incidens, és megkezdődik az automatizált vizsgálat; Vagy
   • A biztonsági elemző automatikus vizsgálatot indít az Explorer használata közben.

2. Az automatizált vizsgálat futtatása közben adatokat gyűjt a szóban forgó e-mailről és az e-mailhez kapcsolódó entitásokról (például fájlokról, URL-címekről és címzettekről). A vizsgálat hatóköre az új és a kapcsolódó riasztások aktiválódásával nőhet.

3. Az automatizált vizsgálat során és után a részletek és az eredmények megtekinthetők. Az eredmények között szerepelhetnek olyan javasolt műveletek , amelyek a talált meglévő fenyegetések megválaszolására és elhárítására használhatók.

4. A biztonsági üzemeltetési csapat áttekinti a vizsgálati eredményeket és a javaslatokat, és jóváhagyja vagy elutasítja a javítási műveleteket.

5. A függőben lévő szervizelési műveletek jóváhagyása (vagy elutasítása) után az automatizált vizsgálat befejeződik.

Megjegyzés:

Ha a vizsgálat nem eredményez javasolt műveleteket, az automatizált vizsgálat lezárul, és az automatizált vizsgálat részeként áttekintett adatok továbbra is elérhetők lesznek a vizsgálat oldalán.

A Office 365-höz készült Microsoft Defender nem hajtja végre automatikusan a szervizelési műveleteket. A szervizelési műveleteket csak a szervezet biztonsági csapata jóváhagyásával hajthatja végre. Az AIR képességeivel időt takaríthat meg a biztonsági üzemeltetési csapat számára a szervizelési műveletek azonosításával és a megalapozott döntéshozatalhoz szükséges részletek megadásával.

Az egyes automatizált vizsgálatok során és után a biztonsági üzemeltetési csapat a következő műveleteket végezheti el:

• Vizsgálathoz kapcsolódó riasztás részleteinek megtekintése
• Vizsgálat eredményeinek megtekintése
• Műveletek áttekintése és jóváhagyása egy vizsgálat eredményeként

Tipp

Részletesebb áttekintést az Air működése című témakörben talál.

Hogyan szerezhető be az AIR?

Az AIR képességek Office 365-höz készült Microsoft Defender 2. csomag részét képezik, amennyiben a naplózás be van kapcsolva (alapértelmezés szerint be van kapcsolva).

Emellett mindenképpen tekintse át a szervezet riasztási szabályzatát, különösen a Fenyegetéskezelés kategóriában szereplő alapértelmezett szabályzatokat.

Mely riasztási szabályzatok váltanak ki automatikus vizsgálatokat?

A Microsoft 365 számos beépített riasztási szabályzatot biztosít, amelyek segítenek azonosítani az Exchange rendszergazdai engedélyekkel való visszaéléseit, a kártevők tevékenységeit, a lehetséges külső és belső fenyegetéseket, valamint az információirányítási kockázatokat. Az alapértelmezett riasztási szabályzatok közül több is elindíthat automatizált vizsgálatokat. Az alábbi táblázat ismerteti az automatizált vizsgálatokat kiváltó riasztásokat, azok súlyosságát a Microsoft Defender portálon, valamint a létrehozásuk módját:

Értesítés	Súlyossága	A riasztás létrehozásának menete
A rendszer rosszindulatú URL-kattintást észlelt	Magas	Ez a riasztás az alábbi esetekben jön létre: A szervezet biztonságos hivatkozásokkal védett felhasználója rosszindulatú hivatkozásra kattint Az URL-címek ítéletmódosításait a Office 365-höz készült Microsoft Defender A felhasználók felülbírálják a Biztonságos hivatkozások figyelmeztető lapokat (a szervezet Biztonságos hivatkozások szabályzata alapján). A riasztást kiváltó eseményekről további információt a Biztonságos hivatkozások házirendek beállítása című témakörben talál.
Az e-maileket a felhasználó kártevőként vagy adathalászként jelenti	Alacsony	Ez a riasztás akkor jön létre, ha a szervezet felhasználói adathalász e-mailként jelentik az üzeneteket a Microsoft Jelentésüzenet vagy a Jelentés adathalászati bővítmények használatával.
kártékony fájlokat tartalmazó üzenetek Email kézbesítés után eltávolítva	Információs	Ez a riasztás akkor jön létre, ha rosszindulatú fájlt tartalmazó üzenetek érkeznek a szervezet postaládáiba. Ha ez az esemény bekövetkezik, a Microsoft a nulla órás automatikus végleges törlés (ZAP) használatával eltávolítja a fertőzött üzeneteket Exchange Online postaládákból.
Email kártevőt tartalmazó üzenetek a kézbesítés után törlődnek	Információs	Ez a riasztás akkor jön létre, ha a szervezet postaládáiba kártevőt tartalmazó e-mailek érkeznek. Ha ez az esemény bekövetkezik, a Microsoft a nulla órás automatikus végleges törlés (ZAP) használatával eltávolítja a fertőzött üzeneteket Exchange Online postaládákból.
Email kártékony URL-címet tartalmazó üzenetek kézbesítés után el lettek távolítva	Információs	Ez a riasztás akkor jön létre, ha a szervezet postaládáiba rosszindulatú URL-címet tartalmazó üzenetek érkeznek. Ha ez az esemény bekövetkezik, a Microsoft a nulla órás automatikus végleges törlés (ZAP) használatával eltávolítja a fertőzött üzeneteket Exchange Online postaládákból.
Email adathalász URL-címeket tartalmazó üzenetek a kézbesítés után törlődnek	Információs	Ez a riasztás akkor jön létre, ha a szervezet postaládáiba adathalászatot tartalmazó üzenetek érkeznek. Ha ez az esemény bekövetkezik, a Microsoft a ZAP használatával eltávolítja a fertőzött üzeneteket Exchange Online postaládákból.
Gyanús e-mail-küldési minták észlelhetők	Közepes	Ez a riasztás akkor jön létre, ha a szervezet egyik tagja gyanús e-mailt küldött, és fennáll a veszélye annak, hogy korlátozva van az e-mailek küldése. A riasztás egy korai figyelmeztetés a viselkedésre, amely azt jelezheti, hogy a fiók biztonsága sérült, de nem elég súlyos ahhoz, hogy korlátozza a felhasználót. Bár ez ritkán fordul elő, a szabályzat által generált riasztások anomáliák lehetnek. Érdemes azonban ellenőrizni, hogy a felhasználói fiók biztonsága sérült-e.
A felhasználók nem küldhetnek e-maileket	Magas	Ez a riasztás akkor jön létre, ha a szervezet egyik tagja nem küld kimenő e-maileket. Ez a riasztás általában akkor jelenik meg, ha egy e-mail-fiók biztonsága sérül. A korlátozott felhasználókról további információt a Letiltott felhasználók eltávolítása a Korlátozott entitások lapról című témakörben talál.
az e-mailek manuális vizsgálatának Rendszergazda	Információs	Ez a riasztás akkor jön létre, amikor egy rendszergazda elindítja egy e-mail manuális vizsgálatát a Threat Explorerből. Ez a riasztás értesíti a szervezetet a vizsgálat indításáról.
Rendszergazda felhasználó feltörése által kiváltott vizsgálat	Közepes	Ez a riasztás akkor jön létre, amikor egy rendszergazda elindítja egy e-mail küldőjének vagy címzettjének manuális, a Veszélyforrás-felderítőből származó felhasználói sérülés kivizsgálását. Ez a riasztás értesíti a szervezetet arról, hogy megkezdődött a felhasználó feltörése kivizsgálása.

Tipp

A riasztási szabályzatokról és az alapértelmezett beállítások szerkesztéséről további információt a riasztási szabályzatok a Microsoft Defender portálon című témakörben talál.

Az AIR-képességek használatához szükséges engedélyek

Az AIR használatához engedélyeket kell hozzárendelnie. A következő lehetőségek közül választhat:

• Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (csak a Defender portált érinti, a PowerShellt nem):

  • Automatizált vizsgálat indítása vagy javasolt műveletek jóváhagyása vagy elutasítása: Biztonsági operátor/Email speciális javítási műveletek (kezelés).

• Email & együttműködési engedélyeket a Microsoft Defender portálon:

  • AIR-szolgáltatások beállítása: Tagság a Szervezetkezelés vagy a Biztonsági rendszergazda szerepkörcsoportban.
  • Automatizált vizsgálat indítása vagy javasolt műveletek jóváhagyása vagy elutasítása:
    • Tagság a Szervezetkezelés, a Biztonsági rendszergazda, a Biztonsági operátor, a Biztonsági olvasó vagy a Globális olvasó szerepkörcsoportban. és
    • Tagság egy szerepkörcsoportban, amelyhez a Keresés és a Végleges törlés szerepkör van hozzárendelve. Alapértelmezés szerint ez a szerepkör az Adatfelügyelő és a Szervezetkezelés szerepkörcsoporthoz van rendelve. Vagy létrehozhat egy egyéni szerepkörcsoportot a Keresés és a Végleges törlés szerepkör hozzárendeléséhez.

• Microsoft Entra engedélyek:

  • AIR-funkciók beállítása Tagság globális rendszergazdai vagy biztonsági rendszergazdai szerepkörökben.
  • Automatizált vizsgálat indítása vagy javasolt műveletek jóváhagyása vagy elutasítása:
    • Tagság a globális rendszergazda, a biztonsági rendszergazda, a biztonsági operátor, a biztonsági olvasó vagy a globális olvasó szerepkörben. és
    • Tagság egy Email & együttműködési szerepkörcsoportban, amelyhez a Keresés és a Végleges törlés szerepkör van hozzárendelve. Alapértelmezés szerint ez a szerepkör az Adatfelügyelő és a Szervezetkezelés szerepkörcsoporthoz van rendelve. Vagy létrehozhat egy egyéni Email & együttműködési szerepkörcsoportot a Keresés és a Végleges törlés szerepkör hozzárendeléséhez.

  Microsoft Entra engedélyek biztosítják a felhasználóknak a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.

Szükséges licencek

Office 365-höz készült Microsoft Defender 2. csomag licenceit a következőhöz kell hozzárendelni:

• Biztonsági rendszergazdák (beleértve a globális rendszergazdákat is)
• A szervezet biztonsági üzemeltetési csapata (beleértve a biztonsági olvasókat, valamint a Keresés és a Végleges törlés szerepkörrel rendelkezőket)
• Végfelhasználók

Következő lépések

• Az AIR használatának első lépései
• Automatizált vizsgálat részleteinek és eredményeinek megtekintése
• Függőben lévő műveletek áttekintése és jóváhagyása
• Függőben lévő vagy befejezett javítási műveletek megtekintése