Megosztás a következőn keresztül:

Microsoft Defender Office 365 biztonsági üzemeltetési útmutatóhoz

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender funkcióit Office 365 2. csomagban? Használja a 90 napos Defender for Office 365 próbaverziót a Microsoft Defender portal próbaverzióinak központjában. A Try Microsoft Defender for Office 365 című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbafeltételeket.

Ez a cikk áttekintést nyújt a szervezet Office 365 sikeresen működő Microsoft Defender követelményeiről és feladatairól. Ezek a feladatok biztosítják, hogy a biztonsági üzemeltetési központ (SOC) kiváló minőségű, megbízható megközelítést biztosítson az e-mailekkel és az együttműködéssel kapcsolatos biztonsági fenyegetések védelméhez, észleléséhez és megválaszolásához.

Az útmutató további része a SecOps személyzetének szükséges tevékenységeit ismerteti. A tevékenységek előíró napi, heti, havi és alkalmi feladatokba vannak csoportosítva.

Az útmutató kiegészítő cikke áttekintést nyújt a Defender for Office 365 incidenseinek és riasztásainak kezeléséről az Microsoft Defender portál Incidensek lapján.

A Microsoft Defender XDR biztonsági üzemeltetési útmutatója további információkat tartalmaz, amelyeket a tervezéshez és a fejlesztéshez használhat.

Erről az információról a következő videóban olvashat https://youtu.be/eQanpq9N1Ps: .

Napi tevékenységek

A Microsoft Defender XDR Incidensek üzenetsor figyelése

A Microsoft Defender portál https://security.microsoft.com/incidentsIncidensek lapja (más néven Incidensek üzenetsor) lehetővé teszi az alábbi források eseményeinek kezelését és monitorozását a Defender for Office 365-ben:

További információ az Incidensek üzenetsorról: Incidensek rangsorolása Microsoft Defender XDR.

Az Incidensek üzenetsor figyelésére szolgáló osztályozási tervnek a következő prioritási sorrendet kell használnia az incidensek esetében:

  1. A rendszer rosszindulatú URL-kattintást észlelt.
  2. A felhasználó nem küldhet e-maileket.
  3. Gyanús e-mail-küldési minták észlelhetők.
  4. Email a felhasználó kártevőként vagy adathalászként, a Több felhasználó pedig kártevőként vagy adathalászként jelentette az e-maileket.
  5. Email kézbesítés után eltávolított kártékony fájlokat tartalmazó üzeneteket, Email a kártékony URL-címeket tartalmazó üzeneteket a kézbesítés után, valamint Email üzeneteket a kézbesítés után eltávolított kampányból.
  6. ETR-felülbírálás miatt kézbesített adathalászat, adathalászat, mert a felhasználó Levélszemét mappája le van tiltva, és adathalászat egy IP-engedélyezési szabályzat miatt
  7. A kártevő nincs leképezve, mert a ZAP le van tiltva , az adathalászat pedig nincs leképezve, mert a ZAP le van tiltva.

Az incidenssor-kezelés és a felelős személyek leírása a következő táblázatban található:

Tevékenység Ritmus Leírás Felhasználótípus
Incidensek osztályozása az Incidensek sorban a következő helyen https://security.microsoft.com/incidents: . Napi Ellenőrizze, hogy a Defender for Office 365 összes közepes és magas súlyosságú incidense osztályozásra kerül-e. Biztonsági üzemeltetési csapat
Incidensek kivizsgálása és reagálási műveletek végrehajtása. Napi Vizsgálja meg az összes incidenst, és aktívan hajtsa végre az ajánlott vagy manuális reagálási műveleteket. Biztonsági üzemeltetési csapat
Incidensek megoldása. Napi Ha az incidenst kijavították, oldja meg az incidenst. Az incidens feloldása az összes csatolt és kapcsolódó aktív riasztást megoldja. Biztonsági üzemeltetési csapat
Incidensek besorolása. Napi Sorolja be az incidenseket igaznak vagy hamisnak. Valódi riasztások esetén adja meg a fenyegetés típusát. Ez a besorolás segít a biztonsági csapatnak a fenyegetési minták megtekintésében és a szervezet védelmében. Biztonsági üzemeltetési csapat

Téves pozitív és hamis negatív észlelések kezelése

Tipp

A Office 365-hoz készült Defenderben a következő helyeken kezelheti a vakriasztásokat (rosszként megjelölt jó levelek) és a hamis negatívakat (rossz levelek engedélyezettek):

További információt a cikk későbbi, Téves pozitív és hamis negatív észlelések kezelése című szakaszában talál.

A téves pozitív és hamis negatív kezelés és a felelős személyek leírása a következő táblázatban található:

Tevékenység Ritmus Leírás Felhasználótípus
Küldjön hamis pozitív és hamis negatív értékeket a Microsoftnak a címen https://security.microsoft.com/reportsubmission. Napi A helytelen e-mailek, URL-címek és fájlészlelések jelentésével küldjön jeleket a Microsoftnak. Biztonsági üzemeltetési csapat
Rendszergazdai beküldés részleteinek elemzése. Napi Ismerje meg a Következő tényezőket a Microsoftnak elküldött beadványok esetében:
  • Mi okozta a hamis pozitív vagy hamis negatív.
  • A Defender for Office 365 konfigurációjának állapota a beküldés időpontjában.
  • Szükség van-e a Defender for Office 365 konfigurációjának módosítására.
 Biztonsági üzemeltetési csapat

Biztonsági felügyelet
Adjon hozzá blokkbejegyzéseket a bérlő engedélyezési/blokkolási listájához a következő helyen: https://security.microsoft.com/tenantAllowBlockList. Napi A bérlő engedélyezési/letiltási listájával szükség szerint hozzáadhat blokkbejegyzéseket a hamis negatív URL-címekhez, fájlokhoz vagy feladókhoz. Biztonsági üzemeltetési csapat
Vakriasztás feloldása a karanténból. Napi Miután a címzett megerősítette, hogy az üzenet helytelenül lett karanténba helyezve, kiadási kérelmeket adhat ki vagy hagyhat jóvá a felhasználók számára.

Ha szabályozni szeretné, hogy a felhasználók mit tehetnek saját karanténba helyezett üzeneteikhez (beleértve a kiadást vagy a kérelem kiadását), tekintse meg a karanténszabályzatokat.		 Biztonsági üzemeltetési csapat

Üzenetkezelési csapat

A kézbesített e-maileket eredményező adathalász és kártevőkampányok áttekintése

Tevékenység Ritmus Leírás Felhasználótípus
Tekintse át az e-mail-kampányokat. Napi Tekintse át azokat az e-mail-kampányokat , amelyek a szervezetét célozták meg a címen https://security.microsoft.com/campaigns. A címzetteknek küldött üzeneteket eredményező kampányokra összpontosítson.

Üzenetek eltávolítása a felhasználói postaládákban található kampányokból. Erre a műveletre csak akkor van szükség, ha egy kampány olyan e-mailt tartalmaz, amelyet még nem javítottak incidensek, nullaórás automatikus végleges törlés (ZAP) vagy manuális szervizelés által.		 Biztonsági üzemeltetési csapat

Heti tevékenységek

A Defender for Office 365 az alábbi jelentésekkel tekintheti át a szervezet e-mail-észlelési trendjeit:

Tevékenység Ritmus Leírás Felhasználótípus
Tekintse át az e-mail-észlelési jelentéseket a következő helyen: Heti Tekintse át a kártevők, adathalászat és levélszemét észlelésének trendjeit a jó e-mailekhez képest. Az idő múlásával megfigyelheti a fenyegetési mintákat, és eldöntheti, hogy módosítania kell-e a Defendert Office 365 szabályzatokhoz. Biztonsági felügyelet

Biztonsági üzemeltetési csapat

A fenyegetések nyomon követése és az azokra való reagálás a Threat Analytics használatával

Használja a Fenyegetéselemzést az aktív, népszerű fenyegetések áttekintéséhez.

Tevékenység Ritmus Leírás Felhasználótípus
Tekintse át a fenyegetéseket a Fenyegetéselemzésben a következő címen: https://security.microsoft.com/threatanalytics3. Heti A fenyegetéselemzés részletes elemzést biztosít, beleértve a következő elemeket:
  • IOC-k.
  • Veszélyforrás-keresési lekérdezések az aktív veszélyforrás-szereplőkről és kampányaikról.
  • Népszerű és új támadási technikák.
  • Kritikus biztonsági rések.
  • Gyakori támadási felületek.
  • Elterjedt kártevők.
 Biztonsági üzemeltetési csapat

Veszélyforrás-keresési csapat

A kártevők és az adathalászat legcélzottbb felhasználóinak áttekintése

A Fenyegetéskezelő Minden e-mail, Kártevő és Adathalászat nézetének részletek területén található Leggyakoribb megcélzott felhasználók lap (nézet) segítségével felderítheti vagy megerősítheti azokat a felhasználókat, akik a kártevők és az adathalász e-mailek legfontosabb célpontjai.

Tevékenység Ritmus Leírás Felhasználótípus
Tekintse át a Leggyakoribb megcélzott felhasználók lapot a Threat Explorerben a következő címen: https://security.microsoft.com/threatexplorer. Heti Az információk alapján döntse el, hogy módosítania kell-e a házirendeket vagy a felhasználók védelmét. Adja hozzá az érintett felhasználókat a prioritási fiókokhoz a következő előnyök eléréséhez: Biztonsági felügyelet

Biztonsági üzemeltetési csapat

A szervezetet megcélzó leggyakoribb kártevők és adathalászati kampányok áttekintése

A kampánynézetek kártevőket és adathalász támadásokat tárnak fel a szervezet ellen. További információ: Kampánynézetek a Office 365 Microsoft Defender-ben.

Tevékenység Ritmus Leírás Felhasználótípus
A kampánynézetekhttps://security.microsoft.com/campaigns használatával áttekintheti az Önt érintő kártevőket és adathalászati támadásokat. Heti Megismerheti a támadásokat és technikákat, valamint azt, hogy a Defender for Office 365 mit tudott azonosítani és blokkolni.

A kampányokkal kapcsolatos részletes információkért használja a Veszélyforrás-jelentés letöltése a Kampánynézetekben című témakört.		 Biztonsági üzemeltetési csapat

Alkalmi tevékenységek

Tipp

A Office 365 Microsoft Defender e-mailjeinek vizsgálatáról az alábbi rövid videóban talál gyors áttekintést: https://youtu.be/5hA7VfaMvqs.

E-mailek manuális vizsgálata és eltávolítása

Tevékenység Ritmus Leírás Felhasználótípus
Vizsgálja meg és távolítsa el a hibás e-maileket a Threat Explorerben a https://security.microsoft.com/threatexplorer következő helyen: felhasználói kérések alapján. Alkalmi A Veszélyforrás-felderítőben a Trigger investigation művelettel automatikus vizsgálatot és válaszforgatókönyvet indíthat az elmúlt 30 nap bármely e-mailjén. A vizsgálat manuális aktiválása időt és energiát takarít meg központilag, beleértve a következőket:
  • Egy gyökérvizsgálat.
  • A fenyegetések azonosításának és korrelálásának lépései.
  • Javasolt műveletek a fenyegetések mérséklésére.

További információ : Példa: Egy felhasználó által jelentett adathalász üzenet elindít egy vizsgálati forgatókönyvet

Vagy használhatja a Threat Explorert a hatékony keresési és szűrési képességekkel rendelkező e-mailek manuális vizsgálatára , és közvetlenül ugyanabból a helyről hajthat végre manuális válaszműveletet . Elérhető manuális műveletek:
  • Áthelyezés a Beérkezett üzenetek mappába
  • Áthelyezés a Levélszemét mappába
  • Áthelyezés törölt elemekre
  • Helyreállítható törlés
  • Végleges törlés.
 Biztonsági üzemeltetési csapat

Proaktív veszélyforrás-keresés

Tevékenység Ritmus Leírás Felhasználótípus
Rendszeres, proaktív veszélyforrás-keresés a következő helyen: . Alkalmi Veszélyforrás-keresés a Veszélyforrás-felderítő és a Speciális veszélyforrás-keresés használatával. Biztonsági üzemeltetési csapat

Veszélyforrás-keresési csapat
Veszélyforrás-keresési lekérdezések megosztása. Alkalmi Aktívan ossza meg a gyakran használt, hasznos lekérdezéseket a biztonsági csapaton belül a gyorsabb manuális veszélyforrás-keresés és -szervizelés érdekében.

Veszélyforrás-követőket és megosztott lekérdezéseket használhat a speciális veszélyforrás-keresésben.		 Biztonsági üzemeltetési csapat

Veszélyforrás-keresési csapat
Hozzon létre egyéni észlelési szabályokat a címen https://security.microsoft.com/custom_detection. Alkalmi Egyéni észlelési szabályok létrehozásával proaktívan figyelheti az eseményeket, mintákat és fenyegetéseket a Defender for Office 365 adatok alapján az Előzetes veszélyforrás-keresésben. Az észlelési szabályok speciális veszélyforrás-keresési lekérdezéseket tartalmaznak, amelyek riasztásokat hoznak létre az egyező feltételek alapján. Biztonsági üzemeltetési csapat

Veszélyforrás-keresési csapat

Tekintse át a Defendert Office 365 szabályzatkonfigurációkhoz

Tevékenység Ritmus Leírás Felhasználótípus
Tekintse át a Defender for Office 365 szabályzatainak konfigurációját itt: https://security.microsoft.com/configurationAnalyzer. Alkalmi

Havi		 A Konfigurációelemző használatával hasonlítsa össze a meglévő szabályzatbeállításokat a Defender for Office 365 ajánlott Standard vagy Strict értékeivel. A Konfigurációelemző azonosítja azokat a véletlen vagy rosszindulatú módosításokat, amelyek csökkenthetik a szervezet biztonsági helyzetét.

Vagy használhatja a PowerShell-alapú ORCA eszközt.		 Biztonsági felügyelet

Üzenetkezelési csapat
Az észlelési felülbírálások áttekintése a Defender for Office 365-ben itt:https://security.microsoft.com/reports/TPSMessageOverrideReportATP Alkalmi

Havi		 A Veszélyforrások elleni védelem állapotjelentésÉben az Adatok megtekintése rendszer felülbírálási diagramok szerint bontásban áttekintheti az adathalászként észlelt, de a szabályzat vagy a felhasználó felülbírálási > beállításai miatt kézbesített e-maileket.

Aktívan vizsgálja meg, távolítsa el vagy finomhangolja a felülbírálásokat, hogy elkerülje a kártékonynak ítélt e-mailek kézbesítését.		 Biztonsági felügyelet

Üzenetkezelési csapat

Hamisítás és megszemélyesítés észlelésének áttekintése

Tevékenység Ritmus Leírás Felhasználótípus
Tekintse át a hamisintelligencia-megállapítást és a megszemélyesítés észlelésére vonatkozó megállapításokat a következő helyen: . Alkalmi

Havi		 Használja a hamisintelligencia-megállapítást és a megszemélyesítési megállapítást a hamis és megszemélyesítési észlelések szűrésének módosításához. Biztonsági felügyelet

Üzenetkezelési csapat

Prioritási fióktagság áttekintése

Tevékenység Ritmus Leírás Felhasználótípus
Tekintse át, hogy ki van prioritási fiókként definiálva a következő helyen: https://security.microsoft.com/securitysettings/userTags. Alkalmi Tartsa naprakészen a prioritási fiókok tagságát a szervezeti módosításokkal, hogy a következő előnyöket nyújthassa ezeknek a felhasználóknak:
  • Jobb láthatóság a jelentésekben.
  • Szűrés incidensekben és riasztásokban.
  • Személyre szabott heurisztika a vezetői e-mail-forgalom mintáihoz (kiemelt fiókvédelem).

Egyéni felhasználói címkék használata más felhasználók számára a következőhöz:
  • Jobb láthatóság a jelentésekben.
  • Szűrés incidensekben és riasztásokban.
 Biztonsági üzemeltetési csapat

Függelék

A Office 365 eszközök és folyamatok Microsoft Defender ismertetése

A biztonsági műveleteknek és a válaszcsapat tagjainak integrálniuk kell a Defender for Office 365 eszközöket és funkciókat a meglévő vizsgálatokba és válaszfolyamatokba. Az új eszközök és képességek megismerése időbe telhet, de ez a beszállási folyamat kritikus része. A SecOps és az e-mail biztonsági csapat tagjainak a legegyszerűbben úgy tájékozódhatnak a Defender for Office 365-ről, ha a ninja képzési tartalom részeként elérhető képzési tartalmakat használják a címenhttps://aka.ms/mdoninja.

A tartalom különböző tudásszintekhez (fundamentals, intermediate és advanced) van felépítve, szintenként több modullal.

Az egyes feladatokról készült rövid videók az Office 365 YouTube-csatorna Microsoft Defender is elérhetők.

A Defender engedélyei Office 365 tevékenységekhez és feladatokhoz

A Defender for Office 365 Microsoft Defender portálon és a PowerShellben való kezelésére vonatkozó engedélyek a szerepköralapú hozzáférés-vezérlési (RBAC) engedélymodellen alapulnak. Az RBAC ugyanaz az engedélymodell, amelyet a Microsoft 365 legtöbb szolgáltatása használ. További információ: Engedélyek a Microsoft Defender portálon.

Megjegyzés:

A Microsoft Entra ID Privileged Identity Management (PIM) is lehetővé teszi a szükséges engedélyek hozzárendelését a SecOps személyzetéhez. További információt a Privileged Identity Management (PIM) és a Office 365 Microsoft Defender használatával kapcsolatos cikkben talál.

A következő engedélyek (szerepkörök és szerepkörcsoportok) érhetők el a Defender for Office 365-ban, és a biztonsági csapattagok hozzáférésének megadására használhatók:

  • Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC): Egyetlen engedélykezelési felület, amely egyetlen központi helyet biztosít a rendszergazdáknak a felhasználói engedélyek különböző biztonsági megoldásokban való szabályozásához. További információ: Microsoft Defender XDR Unified RBAC.

    • Olvasási hozzáférés az e-mailek és a Teams üzenetfejléceihez: Biztonsági műveletek/Nyers adatok (e-mail & együttműködés)/Email & együttműködési metaadatok (olvasás).
    • E-mailek előnézete és letöltése: Biztonsági műveletek/Nyers adatok (e-mail & együttműködés)/Email & együttműködési tartalom (olvasás).
    • Rosszindulatú e-mailek szervizelése: Biztonsági műveletek/Biztonsági adatok/Email & együttműködés speciális műveletei (kezelése).

  • Microsoft Entra ID: Központosított szerepkörök, amelyek engedélyeket rendelnek az összes Microsoft 365-szolgáltatáshoz, beleértve a Office 365-hez készült Defendert is. A Microsoft Entra szerepköröket és a hozzárendelt felhasználókat a Microsoft Defender portálon tekintheti meg, de közvetlenül ott nem kezelheti őket. Ehelyett Microsoft Entra szerepköröket és tagokat a címen https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2Fkezelheti. A biztonsági csapatok által leggyakrabban használt szerepkörök a következők:

  • Exchange Online és Email & együttműködés: Olyan szerepkörök és szerepkörcsoportok, amelyek a Office 365 Microsoft Defender vonatkozó engedélyt adnak. A következő szerepkörök nem érhetők el Microsoft Entra ID, de fontosak lehetnek a biztonsági csapatok számára:

    • Előzetes verziójú szerepkör (Email & együttműködés): Rendelje hozzá ezt a szerepkört azokhoz a csapattagokhoz, akiknek a vizsgálati tevékenységek részeként meg kell tekinteniük vagy le kell tölteniük az e-maileket. Lehetővé teszi a felhasználók számára az e-mailek megtekintését és letöltését a felhőbeli postaládákból a Threat Explorer (Explorer) vagy a valós idejű észlelések és a Email entitáslap használatával.

      Alapértelmezés szerint az Előzetes verzió szerepkör csak a következő szerepkörcsoportokhoz van hozzárendelve:

      • Adatnyomozó
      • Elektronikus adatok feltárása kezelője

      Hozzáadhat felhasználókat ezekhez a szerepkörcsoportokhoz, vagy létrehozhat egy új szerepkörcsoportot az Előzetes verzió szerepkörrel, és hozzáadhatja a felhasználókat az egyéni szerepkörcsoporthoz.

    • Keresési és végleges törlési szerepkör (Email & együttműködés): Hagyja jóvá a kártékony üzenetek törlését az AIR által ajánlott módon, vagy manuális műveletet hajt végre az olyan veszélyforrás-keresési élményekben lévő üzeneteken, mint a Veszélyforrás-kezelő.

      Alapértelmezés szerint a Keresés és végleges törlés szerepkör csak a következő szerepkörcsoportokhoz van hozzárendelve:

      • Adatnyomozó
      • Szervezetfelügyelet

      Hozzáadhat felhasználókat ezekhez a szerepkörcsoportokhoz, vagy létrehozhat egy új szerepkörcsoportot a Hozzárendelt Keresés és végleges törlés szerepkörrel, és hozzáadhatja a felhasználókat az egyéni szerepkörcsoporthoz.

    • Tenant AllowBlockList Manager (Exchange Online): Az engedélyezési és letiltott bejegyzések kezelése a bérlők engedélyezési/tiltólistájában. Az URL-címek, fájlok (fájlkivonat használatával) vagy a feladók blokkolása hasznos válaszlépés a kézbesített rosszindulatú e-mailek vizsgálatakor.

      Alapértelmezés szerint ez a szerepkör csak a Biztonsági operátor szerepkörcsoporthoz van hozzárendelve a Exchange Online-ben, a Microsoft Entra ID nem. A Biztonsági operátor szerepkör tagsága a Microsoft Entra ID nem teszi lehetővé a bérlői engedélyezési/tiltólista bejegyzéseinek kezelését.

      A Microsoft Entra ID biztonsági rendszergazdai vagy szervezetfelügyeleti szerepköreinek vagy a Exchange Online megfelelő szerepkörcsoportjainak tagjai kezelhetik a bérlői engedélyezési/letiltáslistán szereplő bejegyzéseket.

SIEM/SOAR-integráció

A Defender for Office 365 a legtöbb adatát programozott API-k segítségével teszi elérhetővé. Ezek az API-k segítenek automatizálni a munkafolyamatokat, és teljes mértékben kihasználni a Defender for Office 365 képességeit. Az adatok az Microsoft Defender XDR API-kon keresztül érhetők el, és felhasználhatók a Defender for Office 365 meglévő SIEM/SOAR-megoldásokba való integrálásához.

  • Incidens API: A Defender for Office 365 riasztásai és az automatizált vizsgálatok az incidensek aktív részei a Microsoft Defender XDR. A biztonsági csapatok a teljes támadási hatókör és az összes érintett adategység csoportosításával a kritikus fontosságú dolgokra összpontosíthatnak.

  • Eseménystreamelési API: Lehetővé teszi valós idejű események és riasztások továbbítását egyetlen adatfolyamba, amikor azok történnek. A Defender for Office 365 támogatott eseménytípusai a következők:

    Az események az elmúlt 30 nap összes e-mailjének (beleértve a szervezeten belüli üzeneteket) feldolgozásából származó adatokat tartalmaznak.

  • Advance Hunting API: Lehetővé teszi a termékközi veszélyforrás-keresést.

  • Threat Assessment API: Használható arra, hogy közvetlenül a Microsoftnak jelentse a levélszeméteket, az adathalász URL-címeket vagy a kártevőmellékleteket.

A Defender Office 365 incidensekhez és nyers adatokhoz való csatlakoztatásához Microsoft Sentinel használhatja a Microsoft Defender XDR (M365D) összekötőt

Az alábbi "„Helló világ!” alkalmazás" példával tesztelheti Microsoft Defender API-k API-hozzáférését: „Helló világ!” alkalmazás Microsoft Defender XDR REST API-hoz.

További információ a SIEM-eszközök integrálásáról: SIEM-eszközök integrálása Microsoft Defender XDR.

A vakriasztások és a hamis negatívok kezelése a Defender for Office 365-ben

A felhasználó által jelentett üzenetek és az e-mailek rendszergazdai elküldése kritikus pozitív megerősítési jelek a gépi tanulási észlelési rendszerek számára. A beküldések segítenek a támadások áttekintésében, osztályozásában, gyors tanulásában és enyhítésében. A vakriasztások és a hamis negatívok aktívan való jelentése fontos tevékenység, amely visszajelzést küld a Defendernek Office 365, amikor hibákat követnek el az észlelés során.

A szervezetek több lehetőséget is használhatnak a felhasználók által jelentett üzenetek konfigurálására. A konfigurációtól függően előfordulhat, hogy a biztonsági csapatok aktívabbak lesznek, amikor a felhasználók hamis pozitív vagy hamis negatív adatokat küldenek a Microsoftnak:

  • A rendszer elemzés céljából elküldi a felhasználó által jelentett üzeneteket a Microsoftnak, ha a felhasználó által jelentett beállítások az alábbi beállítások valamelyikével vannak konfigurálva:

    • A jelentett üzeneteket csak a Microsoftnak küldje el.
    • Küldje el a jelentett üzeneteket a következő címre: Microsoft és saját jelentési postaláda.

    A biztonsági csapatok tagjainak eseti rendszergazdai beküldést kell végeznie, ha az üzemeltetési csapat hamis pozitív vagy hamis negatív értékeket észlel, amelyeket a felhasználók nem jelentettek.

  • Ha a felhasználó által jelentett üzenetek úgy vannak konfigurálva, hogy csak a szervezet postaládájába küldjenek üzeneteket, a biztonsági csapatoknak rendszergazdai beküldéseken keresztül aktívan kell elküldenie a felhasználók által jelentett hamis pozitív és hamis negatív üzeneteket a Microsoftnak.

Amikor egy felhasználó adathalászként jelent be egy üzenetet, a Defender for Office 365 riasztást hoz létre, és a riasztás egy AIR-forgatókönyvet aktivál. Az incidenslogika ezeket az információkat adott esetben más riasztásokkal és eseményekkel korrelálja. Az információk konszolidálása segít a biztonsági csapatoknak a felhasználók által jelentett üzenetek osztályozásában, kivizsgálásában és megválaszolásában.

A szolgáltatás beküldési folyamata szorosan integrált folyamatot követ, amikor a felhasználói jelentések üzenetei és a rendszergazdák elküldik az üzeneteket. Ez a folyamat a következőket foglalja magában:

  • Zajcsökkentés.
  • Automatizált osztályozás.
  • Osztályozás biztonsági elemzők és emberi partner által felügyelt gépi tanulási megoldások alapján.

További információ: Microsoft Defender Office 365 Blog – E-mailek jelentése a Defender for Office 365-ban.

A biztonsági csapat tagjai több helyről is beküldhetnek a Microsoft Defender portálon:https://security.microsoft.com

  • Rendszergazda beküldés: A Beküldések lapon levélszemétgyanús, adathalászati, URL-címeket és fájlokat küldhet a Microsoftnak.

  • Közvetlenül a Threat Explorerből az alábbi üzenetműveletek egyikével:

    • Jelentés tisztítása
    • Adathalászat jelentése
    • Kártevő bejelentése
    • Levélszemét jelentése

    Tömeges küldéshez legfeljebb 10 üzenetet választhat ki. Rendszergazda ezekkel a módszerekkel létrehozott beküldések a Beküldések lap megfelelő lapján láthatók.

A hamis negatívok rövid távú elhárítása érdekében a biztonsági csapatok közvetlenül kezelhetik a bérlői engedélyezési/letiltási listában található fájlok, URL-címek és tartományok vagy e-mail-címek blokkbejegyzéseit.

A téves riasztások rövid távú elhárítása érdekében a biztonsági csapatok nem kezelhetik közvetlenül a tartományok és e-mail-címek engedélyezési bejegyzéseit a bérlők engedélyezési/tiltólistájában. Ehelyett rendszergazdai beküldésekkel kell hamis pozitívként jelenteniük az e-mailt. Útmutatásért lásd: Jó e-mail küldése a Microsoftnak.

A Defender for Office 365 karanténba helyezése potenciálisan veszélyes vagy nemkívánatos üzeneteket és fájlokat tartalmaz. A biztonsági csapatok minden felhasználó számára megtekinthetik, feloldhatják és törölhetik a karanténba helyezett üzenetek összes típusát. Ez a képesség lehetővé teszi, hogy a biztonsági csapatok hatékonyan válaszoljanak, ha egy téves pozitív üzenet vagy fájl karanténba van helyezve.

Nem Microsoft jelentéskészítő eszközök integrálása a Defender for Office 365 felhasználó által jelentett üzenetekkel

Ha a szervezet olyan nem Microsoft jelentéskészítő eszközt használ, amely lehetővé teszi a felhasználók számára a gyanús e-mailek belső bejelentését, integrálhatja az eszközt a Defender for Office 365 felhasználói üzenetkezelési képességeivel. Ez az integráció a következő előnyöket nyújtja a biztonsági csapatok számára:

  • Integráció a Defender for Office 365 AIR képességeivel.
  • Egyszerűsített osztályozás.
  • Csökkentett vizsgálati és válaszidő.

Jelölje ki azt a jelentési postaládát, amelybe a felhasználó által jelentett üzeneteket a Microsoft Defender portál felhasználó által jelentett beállítások lapján küldi el a következő címen: https://security.microsoft.com/securitysettings/userSubmission. További információ: Felhasználó által jelentett beállítások.

Megjegyzés:

Amikor egy felhasználó jelentett üzenetet érkezik a jelentési postaládába, a Defender for Office 365 automatikusan létrehozza a felhasználó által kártevőként vagy adathalászként jelentett Email nevű riasztást. Ez a riasztás elindít egy AIR-forgatókönyvet. A forgatókönyv automatizált vizsgálati lépések sorozatát hajtja végre:

  • Gyűjtsön adatokat a megadott e-mail-címről.
  • Gyűjtsön adatokat az e-mailhez kapcsolódó fenyegetésekről és entitásokról (például fájlokról, URL-címekről és címzettekről).
  • Adja meg a secops-csapat számára a vizsgálati eredmények alapján végrehajtandó javasolt műveleteket.

Email a felhasználó által kártevőként vagy adathalászati riasztásként jelentett, az automatizált vizsgálatok és az általuk javasolt műveletek automatikusan összefüggnek a Microsoft Defender XDR incidenseivel. Ez a korreláció tovább egyszerűsíti a biztonsági csapatok osztályozási és reagálási folyamatát. Ha több felhasználó jelenti ugyanazt vagy hasonló üzeneteket, az összes felhasználó és üzenet ugyanabba az incidensbe van osztva.

A Defender for Office 365 riasztásaiból és vizsgálataiból származó adatokat a rendszer automatikusan összehasonlítja a többi Microsoft Defender XDR termék riasztásaival és vizsgálataival:

  • Végponthoz készült Microsoft Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Kapcsolat észlelése esetén a rendszer létrehoz egy incidenst, amely a teljes támadást áttekinti.

  • Last updated on