Automatizált vizsgálat és reagálás (AIR) a Office 365-höz készült Microsoft Defender
Tipp.
Tudta, hogy ingyenesen kipróbálhatja Office 365-höz készült Microsoft Defender 2. csomag funkcióit? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
Office 365-höz készült Microsoft Defender hatékony automatizált vizsgálati és reagálási (AIR) képességeket tartalmaz, amelyekkel időt és energiát takaríthat meg a biztonsági üzemeltetési csapat számára. A riasztások aktivált állapotában a biztonsági üzemeltetési csapatnak kell áttekintenie, rangsorolnia és megválaszolnia ezeket a riasztásokat. A bejövő riasztások mennyiségének fenntartása túl sok lehet. Ezen feladatok némelyikének automatizálása segíthet.
Az AIR lehetővé teszi, hogy a biztonsági üzemeltetési csapat hatékonyabban és hatékonyabban működjön. Az AIR képességei közé tartoznak a ma már ismert fenyegetésekre reagáló automatizált vizsgálati folyamatok. A megfelelő javítási műveletek a jóváhagyásra várnak, így a biztonsági üzemeltetési csapat hatékonyan reagálhat az észlelt fenyegetésekre. Az AIR segítségével a biztonsági üzemeltetési csapat magasabb prioritású feladatokra összpontosíthat anélkül, hogy szem elől tévesztené az aktivált fontos riasztásokat.
Ez a cikk a következőket ismerteti:
- Az AIR teljes áramlása;
- Hogyan szerezhető be az AIR; és
- Az AIR-képességek konfigurálásához vagy használatához szükséges engedélyek .
Ez a cikk a következő lépéseket és további információkat tartalmazó forrásokat is tartalmaz.
Egy riasztás aktiválódik, és egy biztonsági forgatókönyv elindít egy automatizált vizsgálatot, amely eredményekhez és javasolt műveletekhez vezet. Íme az AIR teljes folyamata, lépésről lépésre:
Az automatizált vizsgálat az alábbi módszerek egyikével indítható el:
- A riasztást gyanús e-mailek (például üzenet, melléklet, URL-cím vagy feltört felhasználói fiók) aktiválják. Létrejön egy incidens, és megkezdődik az automatizált vizsgálat; vagy
- A biztonsági elemző automatikus vizsgálatot indít az Explorer használata közben.
Az automatizált vizsgálat futtatása közben adatokat gyűjt a szóban forgó e-mailről és az e-mailhez kapcsolódó entitásokról (például fájlokról, URL-címekről és címzettekről). A vizsgálat hatóköre az új és a kapcsolódó riasztások aktiválódásával nőhet.
Az automatizált vizsgálat során és után a részletek és az eredmények megtekinthetők. Az eredmények között szerepelhetnek olyan javasolt műveletek , amelyek a talált meglévő fenyegetések megválaszolására és elhárítására használhatók.
A biztonsági üzemeltetési csapat áttekinti a vizsgálati eredményeket és a javaslatokat, és jóváhagyja vagy elutasítja a javítási műveleteket.
A függőben lévő szervizelési műveletek jóváhagyása (vagy elutasítása) után az automatizált vizsgálat befejeződik.
Megjegyzés
Ha a vizsgálat nem eredményez javasolt műveleteket, az automatizált vizsgálat lezárul, és az automatizált vizsgálat részeként áttekintett adatok továbbra is elérhetők lesznek a vizsgálat oldalán.
A Office 365-höz készült Microsoft Defender nem hajtja végre automatikusan a szervizelési műveleteket. A szervizelési műveleteket csak a szervezet biztonsági csapata jóváhagyásával hajthatja végre. Az AIR képességeivel időt takaríthat meg a biztonsági üzemeltetési csapat számára a szervizelési műveletek azonosításával és a megalapozott döntéshozatalhoz szükséges részletek megadásával.
Az egyes automatizált vizsgálatok során és után a biztonsági üzemeltetési csapat a következő műveleteket végezheti el:
- Vizsgálathoz kapcsolódó riasztás részleteinek megtekintése
- Vizsgálat eredményeinek megtekintése
- Műveletek áttekintése és jóváhagyása egy vizsgálat eredményeként
Tipp.
Részletesebb áttekintést az Air működése című témakörben talál.
Az AIR képességek Office 365-höz készült Microsoft Defender 2. csomag részét képezik, amennyiben a naplózás be van kapcsolva (alapértelmezés szerint be van kapcsolva).
Emellett mindenképpen tekintse át a szervezet riasztási szabályzatát, különösen a Fenyegetéskezelés kategóriában szereplő alapértelmezett szabályzatokat.
A Microsoft 365 számos beépített riasztási szabályzatot biztosít, amelyek segítenek azonosítani az Exchange rendszergazdai engedélyekkel való visszaéléseit, a kártevők tevékenységeit, a lehetséges külső és belső fenyegetéseket, valamint az információirányítási kockázatokat. Az alapértelmezett riasztási szabályzatok közül több is elindíthat automatizált vizsgálatokat. Ha ezek a riasztások le vannak tiltva, vagy egyéni riasztások váltják fel őket, az AIR nem aktiválódik.
Az alábbi táblázat ismerteti az automatizált vizsgálatokat kiváltó riasztásokat, azok súlyosságát a Microsoft Defender portálon, valamint a létrehozásuk módját:
Értesítés | Súlyosság | A riasztás létrehozásának menete |
---|---|---|
A rendszer rosszindulatú URL-kattintást észlelt | Magas | Ez a riasztás az alábbi esetekben jön létre:
A riasztást kiváltó eseményekről további információt a Biztonságos hivatkozások házirendek beállítása című témakörben talál. |
Az e-maileket a felhasználó kártevőként vagy adathalászként jelenti | Alacsony | Ez a riasztás akkor jön létre, ha a szervezet felhasználói adathalász e-mailként jelentik az üzeneteket a Microsoft Jelentésüzenet vagy a Jelentés adathalászati bővítmények használatával. |
kártékony fájlokat tartalmazó üzenetek Email kézbesítés után eltávolítva | Információs | Ez a riasztás akkor jön létre, ha rosszindulatú fájlt tartalmazó üzenetek érkeznek a szervezet postaládáiba. Ha ez az esemény bekövetkezik, a Microsoft a nulla órás automatikus végleges törlés (ZAP) használatával eltávolítja a fertőzött üzeneteket Exchange Online postaládákból. |
Email kártevőt tartalmazó üzenetek a kézbesítés után törlődnek | Információs | Ez a riasztás akkor jön létre, ha a szervezet postaládáiba kártevőt tartalmazó e-mailek érkeznek. Ha ez az esemény bekövetkezik, a Microsoft a nulla órás automatikus végleges törlés (ZAP) használatával eltávolítja a fertőzött üzeneteket Exchange Online postaládákból. |
Email kártékony URL-címet tartalmazó üzenetek kézbesítés után el lettek távolítva | Információs | Ez a riasztás akkor jön létre, ha a szervezet postaládáiba rosszindulatú URL-címet tartalmazó üzenetek érkeznek. Ha ez az esemény bekövetkezik, a Microsoft a nulla órás automatikus végleges törlés (ZAP) használatával eltávolítja a fertőzött üzeneteket Exchange Online postaládákból. |
Email adathalász URL-címeket tartalmazó üzenetek a kézbesítés után törlődnek | Információs | Ez a riasztás akkor jön létre, ha a szervezet postaládáiba adathalászatot tartalmazó üzenetek érkeznek. Ha ez az esemény bekövetkezik, a Microsoft a ZAP használatával eltávolítja a fertőzött üzeneteket Exchange Online postaládákból. |
Gyanús e-mail-küldési minták észlelhetők | Közepes | Ez a riasztás akkor jön létre, ha a szervezet egyik tagja gyanús e-mailt küldött, és fennáll a veszélye annak, hogy korlátozva van az e-mailek küldése. A riasztás egy korai figyelmeztetés a viselkedésre, amely azt jelezheti, hogy a fiók biztonsága sérült, de nem elég súlyos ahhoz, hogy korlátozza a felhasználót. Bár ez ritkán fordul elő, a szabályzat által generált riasztások anomáliák lehetnek. Érdemes azonban ellenőrizni, hogy a felhasználói fiók biztonsága sérült-e. |
A felhasználók nem küldhetnek e-maileket | Magas | Ez a riasztás akkor jön létre, ha a szervezet egyik tagja nem küld kimenő e-maileket. Ez a riasztás általában akkor jelenik meg, ha egy e-mail-fiók biztonsága sérül. A korlátozott felhasználókról további információt a Letiltott felhasználók eltávolítása a Korlátozott entitások lapról című témakörben talál. |
az e-mailek manuális vizsgálatának Rendszergazda | Információs | Ez a riasztás akkor jön létre, amikor egy rendszergazda elindítja egy e-mail manuális vizsgálatát a Threat Explorerből. Ez a riasztás értesíti a szervezetet a vizsgálat indításáról. |
Rendszergazda felhasználó feltörése által kiváltott vizsgálat | Közepes | Ez a riasztás akkor jön létre, amikor egy rendszergazda elindítja egy e-mail küldőjének vagy címzettjének manuális, a Veszélyforrás-felderítőből származó felhasználói sérülés kivizsgálását. Ez a riasztás értesíti a szervezetet arról, hogy megkezdődött a felhasználó feltörése kivizsgálása. |
Tipp.
A riasztási szabályzatokról és az alapértelmezett beállítások szerkesztéséről további információt a riasztási szabályzatok a Microsoft Defender portálon című témakörben talál.
Az AIR használatához engedélyeket kell hozzárendelnie. Az alábbi lehetőségek közül választhat:
Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha Email & együttműködést>Office 365-höz készült Defender az engedélyek Aktívak. Csak a Defender portált érinti, a PowerShellt nem):
- Automatizált vizsgálat indítása vagy javasolt műveletek jóváhagyása vagy elutasítása: Biztonsági operátor/Email speciális javítási műveletek (kezelés).
Email & együttműködési engedélyeket a Microsoft Defender portálon:
- AIR-szolgáltatások beállítása: Tagság a Szervezetkezelés vagy a Biztonsági rendszergazda szerepkörcsoportban.
-
Automatizált vizsgálat indítása vagy javasolt műveletek jóváhagyása vagy elutasítása:
- Tagság a Szervezetkezelés, a Biztonsági rendszergazda, a Biztonsági operátor, a Biztonsági olvasó vagy a Globális olvasó szerepkörcsoportban. és
- Tagság egy szerepkörcsoportban a Hozzárendelt Keresés és végleges törlés szerepkörrel. Alapértelmezés szerint ez a szerepkör az Adatfelügyelő és a Szervezetkezelés szerepkörcsoporthoz van rendelve. Vagy létrehozhat egy egyéni szerepkörcsoportot a Keresési és végleges törlési szerepkör hozzárendeléséhez.
-
- AIR-funkciók beállítása Tagság globális rendszergazdai vagy biztonsági rendszergazdai szerepkörökben.
-
Automatizált vizsgálat indítása vagy javasolt műveletek jóváhagyása vagy elutasítása:
- Tagság a globális rendszergazda, a biztonsági rendszergazda, a biztonsági operátor, a biztonsági olvasó vagy a globális olvasó szerepkörben. és
- Tagság egy Email & együttműködési szerepkörcsoportban a Hozzárendelt Keresés és végleges törlés szerepkörrel. Alapértelmezés szerint ez a szerepkör az Adatfelügyelő és a Szervezetkezelés szerepkörcsoporthoz van rendelve. Vagy létrehozhat egy egyéni Email & együttműködési szerepkörcsoportot a Keresési és végleges törlési szerepkör hozzárendeléséhez.
Microsoft Entra engedélyek biztosítják a felhasználóknak a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.
Office 365-höz készült Microsoft Defender 2. csomag licenceit a következőhöz kell hozzárendelni:
- Biztonsági rendszergazdák (beleértve a globális rendszergazdákat is)
- A szervezet biztonsági üzemeltetési csapata (beleértve a biztonsági olvasókat és a Keresési és végleges törlési szerepkörrel rendelkezőket)
- Végfelhasználók