Az Office 365-höz készült Microsoft Defender biztonsági üzemeltetési útmutatója
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft Defender XDR 2. csomag funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft Defender portál próbaverzióinak központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.
Ez a cikk áttekintést nyújt az Office 365-höz készült Microsoft Defender szervezeten belüli sikeres működtetésének követelményeiről és feladatairól. Ezek a feladatok biztosítják, hogy a biztonsági üzemeltetési központ (SOC) kiváló minőségű, megbízható megközelítést biztosítson az e-mailekkel és az együttműködéssel kapcsolatos biztonsági fenyegetések védelméhez, észleléséhez és megválaszolásához.
Az útmutató további része a SecOps személyzetének szükséges tevékenységeit ismerteti. A tevékenységek előíró napi, heti, havi és alkalmi feladatokba vannak csoportosítva.
Az útmutató kiegészítő cikke áttekintést nyújt az Office 365-höz készült Defender incidenseinek és riasztásainak kezeléséről a Microsoft Defender portál Incidensek lapján.
A Microsoft Defender XDR biztonsági üzemeltetési útmutatója további információkat tartalmaz, amelyeket a tervezéshez és a fejlesztéshez használhat.
Erről az információról a következő videóban olvashat https://youtu.be/eQanpq9N1Ps: .
Napi tevékenységek
A Microsoft Defender XDR Incidensek üzenetsor figyelése
A Microsoft Defender portál https://security.microsoft.com/incidents-queueincidensek lapja (más néven incidensek üzenetsora) lehetővé teszi az office 365-höz készült Defender következő forrásaiból származó események kezelését és monitorozását:
További információ az Incidensek üzenetsorról: Incidensek rangsorolása a Microsoft Defender XDR-ben.
Az Incidensek üzenetsor figyelésére szolgáló osztályozási tervnek a következő prioritási sorrendet kell használnia az incidensek esetében:
- A rendszer rosszindulatú URL-kattintást észlelt.
- A felhasználó nem küldhet e-maileket.
- Gyanús e-mail-küldési minták észlelhetők.
- A felhasználó által kártevőként vagy adathalászként jelentett e-mail, a Több felhasználó pedig kártevőként vagy adathalászként jelentette az e-maileket.
- A kézbesítés után eltávolított kártékony fájlt tartalmazó e-mailek, a kézbesítés után eltávolított kártékony URL-címet tartalmazó e-mailek és a kézbesítés után eltávolított kampányból származó e-mailek.
- ETR-felülbírálás miatt kézbesített adathalászat, adathalászat, mert a felhasználó Levélszemét mappája le van tiltva, és adathalászat egy IP-engedélyezési szabályzat miatt
- A kártevő nincs leképezve, mert a ZAP le van tiltva , az adathalászat pedig nincs leképezve, mert a ZAP le van tiltva.
Az incidenssor-kezelés és a felelős személyek leírása a következő táblázatban található:
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Incidensek osztályozása az Incidensek sorban a következő helyen https://security.microsoft.com/incidents-queue: . | Mindennapi | Ellenőrizze, hogy az Office 365-höz készült Defender összes közepes és nagy súlyosságú incidense osztályozott-e. | Biztonsági üzemeltetési csapat |
| Incidensek kivizsgálása és reagálási műveletek végrehajtása. | Mindennapi | Vizsgálja meg az összes incidenst, és aktívan hajtsa végre az ajánlott vagy manuális reagálási műveleteket. | Biztonsági üzemeltetési csapat |
| Incidensek megoldása. | Mindennapi | Ha az incidenst kijavították, oldja meg az incidenst. Az incidens feloldása az összes csatolt és kapcsolódó aktív riasztást megoldja. | Biztonsági üzemeltetési csapat |
| Incidensek besorolása. | Mindennapi | Sorolja be az incidenseket igaznak vagy hamisnak. Valódi riasztások esetén adja meg a fenyegetés típusát. Ez a besorolás segít a biztonsági csapatnak a fenyegetési minták megtekintésében és a szervezet védelmében. | Biztonsági üzemeltetési csapat |
Téves pozitív és hamis negatív észlelések kezelése
Az Office 365-höz készült Defenderben a következő helyeken kezelheti a hamis pozitív (rosszként megjelölt jó levelek) és a hamis negatív (rossz levél engedélyezett) üzeneteket:
- A Beküldések lap (rendszergazdai beküldések).
- A bérlő engedélyezési/blokkolási listája
- Veszélyforrás-felderítő
További információt a cikk későbbi, Téves pozitív és hamis negatív észlelések kezelése című szakaszában talál.
A téves pozitív és hamis negatív kezelés és a felelős személyek leírása a következő táblázatban található:
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Küldjön hamis pozitív és hamis negatív értékeket a Microsoftnak a címen https://security.microsoft.com/reportsubmission. | Mindennapi | A helytelen e-mailek, URL-címek és fájlészlelések jelentésével küldjön jeleket a Microsoftnak. | Biztonsági üzemeltetési csapat |
| Rendszergazdai beküldés részleteinek elemzése. | Mindennapi | Ismerje meg a Következő tényezőket a Microsoftnak elküldött beadványok esetében:
|
Biztonsági üzemeltetési csapat Biztonsági felügyelet |
| Adjon hozzá blokkbejegyzéseket a bérlő engedélyezési/blokkolási listájához a következő helyen: https://security.microsoft.com/tenantAllowBlockList. | Mindennapi | A bérlő engedélyezési/letiltási listájával szükség szerint hozzáadhat blokkbejegyzéseket a hamis negatív URL-címekhez, fájlokhoz vagy feladókhoz. | Biztonsági üzemeltetési csapat |
| Vakriasztás feloldása a karanténból. | Mindennapi | Miután a címzett megerősítette, hogy az üzenet helytelenül lett karanténba helyezve, kiadási kérelmeket adhat ki vagy hagyhat jóvá a felhasználók számára. Ha szabályozni szeretné, hogy a felhasználók mit tehetnek saját karanténba helyezett üzeneteikhez (beleértve a kiadást vagy a kérelem kiadását), tekintse meg a karanténszabályzatokat. |
Biztonsági üzemeltetési csapat Üzenetkezelési csapat |
A kézbesített e-maileket eredményező adathalász és kártevőkampányok áttekintése
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Tekintse át az e-mail-kampányokat. | Mindennapi |
Tekintse át azokat az e-mail-kampányokat , amelyek a szervezetét célozták meg a címen https://security.microsoft.com/campaigns. A címzetteknek küldött üzeneteket eredményező kampányokra összpontosítson. Üzenetek eltávolítása a felhasználói postaládákban található kampányokból. Erre a műveletre csak akkor van szükség, ha egy kampány olyan e-mailt tartalmaz, amelyet még nem javítottak incidensek, nullaórás automatikus végleges törlés (ZAP) vagy manuális szervizelés által. |
Biztonsági üzemeltetési csapat |
Heti tevékenységek
E-mail-észlelési trendek áttekintése az Office 365-höz készült Defender-jelentésekben
Az Office 365-höz készült Defenderben az alábbi jelentések segítségével áttekintheti a szervezet e-mail-észlelési trendjeit:
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Tekintse át az e-mail-észlelési jelentéseket a következő helyen: | Heti | Tekintse át a kártevők, adathalászat és levélszemét észlelésének trendjeit a jó e-mailekhez képest. Az idő múlásával megfigyelheti a fenyegetési mintákat, és eldöntheti, hogy módosítania kell-e az Office 365-höz készült Defender szabályzatait. | Biztonsági felügyelet Biztonsági üzemeltetési csapat |
A fenyegetések nyomon követése és az azokra való reagálás a Threat Analytics használatával
Használja a Fenyegetéselemzést az aktív, népszerű fenyegetések áttekintéséhez.
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Tekintse át a fenyegetéseket a Fenyegetéselemzésben a következő címen: https://security.microsoft.com/threatanalytics3. | Heti | A fenyegetéselemzés részletes elemzést biztosít, beleértve a következő elemeket:
|
Biztonsági üzemeltetési csapat Veszélyforrás-keresési csapat |
A kártevők és az adathalászat legcélzottbb felhasználóinak áttekintése
A Fenyegetéskezelő Minden e-mail, Kártevő és Adathalászat nézetének részletek területén található Leggyakoribb megcélzott felhasználók lap (nézet) segítségével felderítheti vagy megerősítheti azokat a felhasználókat, akik a kártevők és az adathalász e-mailek legfontosabb célpontjai.
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Tekintse át a Leggyakoribb megcélzott felhasználók lapot a Threat Explorerben a következő címen: https://security.microsoft.com/threatexplorer. | Heti | Az információk alapján döntse el, hogy módosítania kell-e a házirendeket vagy a felhasználók védelmét. Adja hozzá az érintett felhasználókat a prioritási fiókokhoz a következő előnyök eléréséhez:
|
Biztonsági felügyelet Biztonsági üzemeltetési csapat |
A szervezetet megcélzó leggyakoribb kártevők és adathalászati kampányok áttekintése
A kampánynézetek kártevőket és adathalász támadásokat tárnak fel a szervezet ellen. További információ: Kampánynézetek az Office 365-höz készült Microsoft Defenderben.
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| A kampánynézetekhttps://security.microsoft.com/campaigns használatával áttekintheti az Önt érintő kártevőket és adathalászati támadásokat. | Heti | Megismerheti a támadásokat és technikákat, valamint azt, hogy az Office 365-höz készült Defender mit tudott azonosítani és blokkolni. A kampányokkal kapcsolatos részletes információkért használja a Veszélyforrás-jelentés letöltése a Kampánynézetekben című témakört. |
Biztonsági üzemeltetési csapat |
Alkalmi tevékenységek
E-mailek manuális vizsgálata és eltávolítása
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Vizsgálja meg és távolítsa el a hibás e-maileket a Threat Explorerben a https://security.microsoft.com/threatexplorer következő helyen: felhasználói kérések alapján. | Alkalmi | A Veszélyforrás-felderítőben a Trigger investigation művelettel automatikus vizsgálatot és válaszforgatókönyvet indíthat az elmúlt 30 nap bármely e-mailjén. A vizsgálat manuális aktiválása időt és energiát takarít meg központilag, beleértve a következőket:
További információ : Példa: Egy felhasználó által jelentett adathalász üzenet elindít egy vizsgálati forgatókönyvet Vagy használhatja a Threat Explorert a hatékony keresési és szűrési képességekkel rendelkező e-mailek manuális vizsgálatára , és közvetlenül ugyanabból a helyről hajthat végre manuális válaszműveletet . Elérhető manuális műveletek:
|
Biztonsági üzemeltetési csapat |
Proaktív veszélyforrás-keresés
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Rendszeres, proaktív veszélyforrás-keresés a következő helyen:. | Alkalmi | Veszélyforrás-keresés a Veszélyforrás-felderítő és a Speciális veszélyforrás-keresés használatával. | Biztonsági üzemeltetési csapat Veszélyforrás-keresési csapat |
| Veszélyforrás-keresési lekérdezések megosztása. | Alkalmi | Aktívan ossza meg a gyakran használt, hasznos lekérdezéseket a biztonsági csapaton belül a gyorsabb manuális veszélyforrás-keresés és -szervizelés érdekében. Veszélyforrás-követőket és megosztott lekérdezéseket használhat a speciális veszélyforrás-keresésben. |
Biztonsági üzemeltetési csapat Veszélyforrás-keresési csapat |
| Hozzon létre egyéni észlelési szabályokat a címen https://security.microsoft.com/custom_detection. | Alkalmi | Egyéni észlelési szabályok létrehozásával proaktívan monitorozhat eseményeket, mintákat és fenyegetéseket az Office 365-höz készült Defender adatai alapján az előzetes veszélyforrás-keresésben. Az észlelési szabályok speciális veszélyforrás-keresési lekérdezéseket tartalmaznak, amelyek riasztásokat hoznak létre az egyező feltételek alapján. | Biztonsági üzemeltetési csapat Veszélyforrás-keresési csapat |
Tekintse át az Office 365-höz készült Defender szabályzatkonfigurációit
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Tekintse át az Office 365-höz készült Defender-szabályzatok konfigurációját a következő helyen: https://security.microsoft.com/configurationAnalyzer. | Alkalmi Havi |
A Konfigurációelemző használatával összehasonlíthatja a meglévő házirend-beállításokat az Office 365-höz készült Defender ajánlott Standard vagy Szigorú értékeivel. A Konfigurációelemző azonosítja azokat a véletlen vagy rosszindulatú módosításokat, amelyek csökkenthetik a szervezet biztonsági helyzetét. Vagy használhatja a PowerShell-alapú ORCA eszközt. |
Biztonsági felügyelet Üzenetkezelési csapat |
| Az Észlelési felülbírálások áttekintése az Office 365-höz készült Defenderben itt: https://security.microsoft.com/reports/TPSMessageOverrideReportATP | Alkalmi Havi |
A Veszélyforrások elleni védelem állapotjelentésÉben az Adatok megtekintése rendszer felülbírálási diagramok szerint bontásban áttekintheti az adathalászként észlelt, de a szabályzat vagy a felhasználó felülbírálási > beállításai miatt kézbesített e-maileket. Aktívan vizsgálja meg, távolítsa el vagy finomhangolja a felülbírálásokat, hogy elkerülje a kártékonynak ítélt e-mailek kézbesítését. |
Biztonsági felügyelet Üzenetkezelési csapat |
Hamisítás és megszemélyesítés észlelésének áttekintése
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Tekintse át a hamisintelligencia-megállapítást és a megszemélyesítés észlelésére vonatkozó megállapításokat a következő helyen:. | Alkalmi Havi |
Használja a hamisintelligencia-megállapítást és a megszemélyesítési megállapítást a hamis és megszemélyesítési észlelések szűrésének módosításához. | Biztonsági felügyelet Üzenetkezelési csapat |
Prioritási fióktagság áttekintése
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Tekintse át, hogy ki van prioritási fiókként definiálva a következő helyen: https://security.microsoft.com/securitysettings/userTags. | Alkalmi | Tartsa naprakészen a prioritási fiókok tagságát a szervezeti módosításokkal, hogy a következő előnyöket nyújthassa ezeknek a felhasználóknak:
Egyéni felhasználói címkék használata más felhasználók számára a következőhöz:
|
Biztonsági üzemeltetési csapat |
Vakbél
Tudnivalók az Office 365-höz készült Microsoft Defender eszközeiről és folyamatairól
A biztonsági műveleteknek és a válaszcsapat tagjainak integrálniuk kell az Office 365-höz készült Defender eszközeit és funkcióit a meglévő vizsgálatokba és válaszfolyamatokba. Az új eszközök és képességek megismerése időbe telhet, de ez a beszállási folyamat kritikus része. A SecOps és az e-mail biztonsági csapattagok legegyszerűbben az Office 365-höz készült Defenderről tanulhatnak, ha a nindzsa képzési tartalmak részeként elérhető képzési tartalmakat használják a címen https://aka.ms/mdoninja.
A tartalom különböző tudásszintekhez (fundamentals, intermediate és advanced) van felépítve, szintenként több modullal.
Az egyes feladatokról szóló rövid videók az Office 365-höz készült Microsoft Defender YouTube-csatornán is elérhetők.
Engedélyek az Office 365-höz készült Defender tevékenységeihez és feladataihoz
Az Office 365-höz készült Defender a Microsoft Defender portálon és a PowerShellben való kezeléséhez szükséges engedélyek a szerepköralapú hozzáférés-vezérlési (RBAC) engedélymodellen alapulnak. Az RBAC ugyanaz az engedélymodell, amelyet a Microsoft 365 legtöbb szolgáltatása használ. További információ: Engedélyek a Microsoft Defender portálon.
Megjegyzés:
A Microsoft Entra ID-ban a Privileged Identity Management (PIM) is lehetővé teszi a szükséges engedélyek hozzárendelését a SecOps-munkatársakhoz. További információ: Privileged Identity Management (PIM) és annak használata az Office 365-höz készült Microsoft Defenderrel.
A következő engedélyek (szerepkörök és szerepkörcsoportok) érhetők el az Office 365-höz készült Defenderben, és a biztonsági csapattagok hozzáférésének megadására használhatók:
Microsoft Entra ID: Központosított szerepkörök, amelyek engedélyeket rendelnek az összes Microsoft 365-szolgáltatáshoz, beleértve az Office 365-höz készült Defendert is. A Microsoft Entra szerepköröket és a hozzájuk rendelt felhasználókat a Microsoft Defender portálon tekintheti meg, de közvetlenül ott nem kezelheti őket. Ehelyett a Microsoft Entra szerepköröket és tagokat a címen https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2Fkezelheti. A biztonsági csapatok által leggyakrabban használt szerepkörök a következők:
Exchange Online és e-mail & együttműködés: Szerepkörök és szerepkörcsoportok, amelyek az Office 365-höz készült Microsoft Defenderre vonatkozó engedélyt adnak. A következő szerepkörök nem érhetők el a Microsoft Entra ID-ban, de fontosak lehetnek a biztonsági csapatok számára:
Előzetes verziójú szerepkör (e-mail & együttműködés): Rendelje hozzá ezt a szerepkört azokhoz a csapattagokhoz, akiknek a vizsgálati tevékenységek részeként meg kell tekinteniük vagy le kell tölteniük az e-maileket. Lehetővé teszi a felhasználók számára az e-mailek megtekintését és letöltését a felhőbeli postaládákból a Threat Explorer (Explorer) vagy a valós idejű észlelések és az E-mail entitás lap használatával.
Alapértelmezés szerint az Előzetes verzió szerepkör csak a következő szerepkörcsoportokhoz van hozzárendelve:
- Adatnyomozó
- Elektronikus adatok feltárása kezelője
Hozzáadhat felhasználókat ezekhez a szerepkörcsoportokhoz, vagy létrehozhat egy új szerepkörcsoportot az Előzetes verzió szerepkörrel, és hozzáadhatja a felhasználókat az egyéni szerepkörcsoporthoz.
Keresési és végleges törlési szerepkör (e-mail & együttműködés): Hagyja jóvá a kártékony üzenetek törlését az AIR által ajánlott módon, vagy manuális műveletet hajt végre az olyan veszélyforrás-keresési élményekben, mint a Veszélyforrás-kezelő.
Alapértelmezés szerint a Keresés és végleges törlés szerepkör csak a következő szerepkörcsoportokhoz van hozzárendelve:
- Adatnyomozó
- Szervezetfelügyelet
Hozzáadhat felhasználókat ezekhez a szerepkörcsoportokhoz, vagy létrehozhat egy új szerepkörcsoportot a Hozzárendelt Keresés és végleges törlés szerepkörrel, és hozzáadhatja a felhasználókat az egyéni szerepkörcsoporthoz.
Tenant AllowBlockList Manager (Exchange Online): Az engedélyezési és blokkolási bejegyzések kezelése a bérlők engedélyezési/tiltólistájában. Az URL-címek, fájlok (fájlkivonat használatával) vagy a feladók blokkolása hasznos válaszlépés a kézbesített rosszindulatú e-mailek vizsgálatakor.
Alapértelmezés szerint ez a szerepkör csak a Biztonsági operátor szerepkörcsoporthoz van hozzárendelve az Exchange Online-ban, a Microsoft Entra-azonosítóban nem. A Microsoft Entra ID Biztonsági operátor szerepkörének tagsága nem teszi lehetővé a bérlői engedélyezési/tiltólista bejegyzéseinek kezelését.
A Microsoft Entra ID biztonsági rendszergazdai vagy szervezetfelügyeleti szerepköreinek vagy az Exchange Online megfelelő szerepkörcsoportjainak tagjai kezelhetik a bérlői engedélyezési/tiltólistán szereplő bejegyzéseket.
SIEM/SOAR-integráció
Az Office 365-höz készült Defender programozott API-k segítségével teszi elérhetővé az adatok nagy részét. Ezek az API-k segítenek automatizálni a munkafolyamatokat, és teljes mértékben kihasználni az Office 365-höz készült Defender képességeit. Az adatok a Microsoft Defender XDR API-kon keresztül érhetők el, és az Office 365-höz készült Defender meglévő SIEM/SOAR-megoldásokba való integrálására használhatók.
Incidens API: Az Office 365-höz készült Defender riasztásai és automatizált vizsgálatai az incidensek aktív részei a Microsoft Defender XDR-ben. A biztonsági csapatok a teljes támadási hatókör és az összes érintett adategység csoportosításával a kritikus fontosságú dolgokra összpontosíthatnak.
Eseménystreamelési API: Lehetővé teszi valós idejű események és riasztások továbbítását egyetlen adatfolyamba, amikor azok történnek. Az Office 365-höz készült Defender támogatott eseménytípusai a következők:
Az események az elmúlt 30 nap összes e-mailjének (beleértve a szervezeten belüli üzeneteket) feldolgozásából származó adatokat tartalmaznak.
Advance Hunting API: Lehetővé teszi a termékközi veszélyforrás-keresést.
Threat Assessment API: Használható arra, hogy közvetlenül a Microsoftnak jelentse a levélszeméteket, az adathalász URL-címeket vagy a kártevőmellékleteket.
Az Office 365-höz készült Defender incidenseinek és nyers adatainak a Microsoft Sentinelhez való csatlakoztatásához használhatja a Microsoft Defender XDR (M365D) összekötőt
A következő "Hello World" példával tesztelheti az API-hozzáférést a Microsoft Defender API-khoz: Hello World a Microsoft Defender XDR REST API-hoz.
További információ a SIEM-eszközök integrációjáról: SIEM-eszközök integrálása a Microsoft Defender XDR-sel.
Téves pozitív és hamis negatív értékek kezelése az Office 365-höz készült Defenderben
A felhasználó által jelentett üzenetek és az e-mailek rendszergazdai elküldése kritikus pozitív megerősítési jelek a gépi tanulási észlelési rendszerek számára. A beküldések segítenek a támadások áttekintésében, osztályozásában, gyors tanulásában és enyhítésében. A vakriasztások és a hamis negatívok aktív jelentése fontos tevékenység, amely visszajelzést küld az Office 365-höz készült Defendernek az észlelés során elkövetett hibákról.
A szervezetek több lehetőséget is használhatnak a felhasználók által jelentett üzenetek konfigurálására. A konfigurációtól függően előfordulhat, hogy a biztonsági csapatok aktívabbak lesznek, amikor a felhasználók hamis pozitív vagy hamis negatív adatokat küldenek a Microsoftnak:
A rendszer elemzés céljából elküldi a felhasználó által jelentett üzeneteket a Microsoftnak, ha a felhasználó által jelentett beállítások az alábbi beállítások valamelyikével vannak konfigurálva:
- A jelentett üzeneteket csak a Microsoftnak küldje el.
- Küldje el a jelentett üzeneteket a következő címre: Microsoft és saját jelentési postaláda.
A biztonsági csapatok tagjainak eseti rendszergazdai beküldést kell végeznie, ha az üzemeltetési csapat hamis pozitív vagy hamis negatív értékeket észlel, amelyeket a felhasználók nem jelentettek.
Ha a felhasználó által jelentett üzenetek úgy vannak konfigurálva, hogy csak a szervezet postaládájába küldjenek üzeneteket, a biztonsági csapatoknak rendszergazdai beküldéseken keresztül aktívan kell elküldenie a felhasználók által jelentett hamis pozitív és hamis negatív üzeneteket a Microsoftnak.
Amikor egy felhasználó adathalászként jelent be egy üzenetet, az Office 365-höz készült Defender riasztást hoz létre, és a riasztás elindít egy AIR-forgatókönyvet. Az incidenslogika ezeket az információkat adott esetben más riasztásokkal és eseményekkel korrelálja. Az információk konszolidálása segít a biztonsági csapatoknak a felhasználók által jelentett üzenetek osztályozásában, kivizsgálásában és megválaszolásában.
A szolgáltatás beküldési folyamata szorosan integrált folyamatot követ, amikor a felhasználói jelentések üzenetei és a rendszergazdák elküldik az üzeneteket. Ez a folyamat a következőket foglalja magában:
- Zajcsökkentés.
- Automatizált osztályozás.
- Osztályozás biztonsági elemzők és emberi partner által felügyelt gépi tanulási megoldások alapján.
További információ: E-mailek jelentése az Office 365-höz készült Defenderben – Microsoft Tech Community.
A biztonsági csapat tagjai több helyről is beküldhetnek a Microsoft Defender portálon:https://security.microsoft.com
Rendszergazdai beküldés: A Beküldések lapon gyanús levélszemét, adathalászat, URL-címek és fájlok küldhetők a Microsoftnak.
Közvetlenül a Threat Explorerből az alábbi üzenetműveletek egyikével:
- Jelentés tisztítása
- Adathalászat jelentése
- Kártevő bejelentése
- Levélszemét jelentése
Tömeges küldéshez legfeljebb 10 üzenetet választhat ki. Az ezekkel a módszerekkel létrehozott rendszergazdai beküldések a Beküldések lap megfelelő lapján láthatók.
A hamis negatívok rövid távú elhárítása érdekében a biztonsági csapatok közvetlenül kezelhetik a bérlői engedélyezési/letiltási listában található fájlok, URL-címek és tartományok vagy e-mail-címek blokkbejegyzéseit.
A téves riasztások rövid távú elhárítása érdekében a biztonsági csapatok nem kezelhetik közvetlenül a tartományok és e-mail-címek engedélyezési bejegyzéseit a bérlők engedélyezési/tiltólistájában. Ehelyett rendszergazdai beküldésekkel kell hamis pozitívként jelenteniük az e-mailt. Útmutatásért lásd: Jó e-mail küldése a Microsoftnak.
Az Office 365-höz készült Defender karanténba helyezése potenciálisan veszélyes vagy nemkívánatos üzeneteket és fájlokat tartalmaz. A biztonsági csapatok minden felhasználó számára megtekinthetik, feloldhatják és törölhetik a karanténba helyezett üzenetek összes típusát. Ez a képesség lehetővé teszi, hogy a biztonsági csapatok hatékonyan válaszoljanak, ha egy téves pozitív üzenet vagy fájl karanténba van helyezve.
Külső jelentéskészítő eszközök integrálása az Office 365-höz készült Defender felhasználói jelentett üzeneteivel
Ha a szervezet olyan külső jelentéskészítő eszközt használ, amely lehetővé teszi a felhasználók számára a gyanús e-mailek belső bejelentését, integrálhatja az eszközt az Office 365-höz készült Defender felhasználói üzenetkezelési képességeivel. Ez az integráció a következő előnyöket nyújtja a biztonsági csapatok számára:
- Integráció az Office 365-höz készült Defender AIR képességeivel.
- Egyszerűsített osztályozás.
- Csökkentett vizsgálati és válaszidő.
Jelölje ki azt a jelentési postaládát, amelybe a felhasználó által jelentett üzeneteket a Microsoft Defender portálJának Felhasználói jelentett beállítások lapján küldi el a következő helyen: https://security.microsoft.com/securitysettings/userSubmission. További információ: Felhasználó által jelentett beállítások.
Megjegyzés:
- A jelentési postaládának Exchange Online-postaládának kell lennie.
- A külső jelentéskészítő eszköznek az eredeti jelentett üzenetet tömörítetlenként kell tartalmaznia. EML vagy . MSG-melléklet a jelentési postaládába küldött üzenetben (ne csak az eredeti üzenetet továbbítja a jelentési postaládába). További információ: Üzenetküldési formátum külső jelentéskészítő eszközökhöz.
- A jelentési postaláda speciális előfeltételeket követel meg ahhoz, hogy a potenciálisan hibás üzenetek szűrés vagy módosítás nélkül érkezhessenek meg. További információ: A jelentési postaláda konfigurációs követelményei.
Amikor egy felhasználó jelentett üzenetet érkezik a jelentési postaládába, az Office 365-höz készült Defender automatikusan létrehozza a felhasználó által kártevőként vagy adathalászként jelentett e-mail nevű riasztást. Ez a riasztás elindít egy AIR-forgatókönyvet. A forgatókönyv automatizált vizsgálati lépések sorozatát hajtja végre:
- Gyűjtsön adatokat a megadott e-mail-címről.
- Gyűjtsön adatokat az e-mailhez kapcsolódó fenyegetésekről és entitásokról (például fájlokról, URL-címekről és címzettekről).
- Adja meg a secops-csapat számára a vizsgálati eredmények alapján végrehajtandó javasolt műveleteket.
A felhasználó által kártevőként vagy adathalászként jelentett e-mailek , az automatizált vizsgálatok és a javasolt műveletek automatikusan összefüggnek a Microsoft Defender XDR incidenseivel. Ez a korreláció tovább egyszerűsíti a biztonsági csapatok osztályozási és reagálási folyamatát. Ha több felhasználó jelenti ugyanazt vagy hasonló üzeneteket, az összes felhasználó és üzenet ugyanabba az incidensbe van osztva.
Az Office 365-höz készült Defender riasztásokból és vizsgálatokból származó adatokat a rendszer automatikusan összehasonlítja a többi Microsoft Defender XDR-termék riasztásaival és vizsgálataival:
- Végponthoz készült Microsoft Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
Kapcsolat észlelése esetén a rendszer létrehoz egy incidenst, amely a teljes támadást áttekinti.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: