Fenyegetések vizsgálata és reagálás
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.
Az Office 365-höz készült Microsoft Defender fenyegetésvizsgálati és reagálási képességei az alábbiakkal segítik a biztonsági elemzőket és rendszergazdákat a szervezet Üzleti Microsoft 365-felhasználóinak védelmében:
- Megkönnyíti a kibertámadások azonosítását, monitorozását és megértését.
- Segítség a Exchange Online, a SharePoint Online, a OneDrive Vállalati verzió és a Microsoft Teams fenyegetéseinek gyors kezeléséhez.
- Elemzések és ismeretek biztosítása, amelyek segítenek a biztonsági műveleteknek megakadályozni a szervezet ellen elkövetett kibertámadásokat.
- Automatizált vizsgálat és reagálás alkalmazása a Office 365 kritikus e-mail-alapú fenyegetések esetén.
A fenyegetésvizsgálati és reagálási képességek betekintést nyújtanak az Microsoft Defender portálon elérhető fenyegetésekbe és a kapcsolódó reagálási műveletekbe. Ezek az elemzések segíthetnek a szervezet biztonsági csapatának megvédeni a felhasználókat az e-mail- vagy fájlalapú támadásoktól. A képességek segítenek a jelek monitorozásában és több forrásból, például felhasználói tevékenységből, hitelesítésből, e-mailből, feltört számítógépekből és biztonsági incidensekből származó adatok gyűjtésében. Az üzleti döntéshozók és a biztonsági üzemeltetési csapat ezeket az információkat arra használhatják, hogy megértsék és reagáljanak a szervezet elleni fenyegetésekre, és megvédjék szellemi tulajdonát.
Ismerkedés a fenyegetésvizsgálati és reagálási eszközökkel
A Microsoft Defender portál https://security.microsoft.com fenyegetésvizsgálati és reagálási képességei a következő eszközöket és válasz-munkafolyamatokat tartalmazzák:
Explorer
Az Explorerrel (és a valós idejű észlelésekkel) elemezheti a fenyegetéseket, megtekintheti a támadások időbeli mennyiségét, és elemezheti az adatokat a fenyegetéscsaládok, a támadó infrastruktúrája és egyebek szerint. Az Explorer (más néven Fenyegetéskezelő) a biztonsági elemzők vizsgálati munkafolyamatának kiindulási pontja.
A jelentés Microsoft Defender portálon https://security.microsoft.comvaló megtekintéséhez és használatához nyissa meg Email & együttműködési>kezelőt. Vagy ha közvetlenül az Explorer oldalára szeretne lépni, használja a következőt https://security.microsoft.com/threatexplorer: .
fenyegetésfelderítési kapcsolat Office 365
Ez a funkció csak akkor érhető el, ha aktív Office 365 E5 csomag, G5- vagy Microsoft 365 E5- vagy G5-előfizetéssel vagy a Fenyegetésfelderítés bővítménysel rendelkezik. További információ: Office 365 Nagyvállalati verzió E5 termékoldal.
A Office 365-höz készült Microsoft Defender adatai a Microsoft Defender XDR-be épülnek, és átfogó biztonsági vizsgálatot végeznek Office 365 postaládákban és Windows-eszközökön.
Incidensek
Használja az Incidensek listát (ezt vizsgálatnak is nevezik) a repülésbiztonsági incidensek listájának megtekintéséhez. Az incidensek olyan fenyegetések nyomon követésére szolgálnak, mint a gyanús e-mailek, valamint további vizsgálatok és szervizelés.
Ha meg szeretné tekinteni a szervezet aktuális incidenseinek listáját a Microsoft Defender portálon a címenhttps://security.microsoft.com, lépjen az Incidensek & riasztások>Incidensek elemre. Vagy ha közvetlenül az Incidensek oldalra szeretne lépni, használja a következőt https://security.microsoft.com/incidents: .
Támadásszimulációs betanítás
A Támadási szimulációs tréning használatával reális kibertámadásokat állíthat be és futtathat a szervezetében, és azonosíthatja a sebezhető személyeket, mielőtt egy valódi kibertámadás hatással lesz az üzletére. További információ: Adathalászati támadás szimulálása.
Ha meg szeretné tekinteni és használni szeretné ezt a funkciót a Microsoft Defender portálon a címenhttps://security.microsoft.com, lépjen Email & együttműködéshez>Támadási szimulációs tréning. Vagy ha közvetlenül a Támadási szimulációs tréning lapra szeretne lépni, használja a parancsothttps://security.microsoft.com/attacksimulator?viewid=overview.
Automatizált vizsgálat és reagálás
Az automatizált vizsgálati és reagálási (AIR) képességek használatával időt és energiát takaríthat meg a tartalmak, eszközök és a szervezet fenyegetései által veszélyeztetett személyek korrelációjában. Az AIR-folyamatok akkor kezdődhetnek, amikor bizonyos riasztások aktiválódnak, vagy amikor a biztonsági üzemeltetési csapat elindítja. További információ: Automatizált vizsgálat és reagálás Office 365.
Fenyegetésfelderítési vezérlők
A Office 365-höz készült Microsoft Defender 2. csomagjának részeként a biztonsági elemzők áttekinthetik egy ismert fenyegetés részleteit. Ez hasznos annak meghatározásához, hogy vannak-e további megelőző intézkedések/lépések, amelyek a felhasználók biztonságának megőrzésére használhatók.
Hogyan szerezhetjük be ezeket a képességeket?
A Microsoft 365 fenyegetésvizsgálati és reagálási funkcióit Office 365-höz készült Microsoft Defender 2. csomag tartalmazza, amely a Nagyvállalati E5 csomag része, vagy bizonyos előfizetések bővítményeként. További információ: Office 365-höz készült Defender 1. terv és a 2. terv – hasznos tanácsok.
Szükséges szerepkörök és engedélyek
Office 365-höz készült Microsoft Defender szerepköralapú hozzáférés-vezérlést használ. Az engedélyek hozzárendelése bizonyos szerepkörökön keresztül történik a Microsoft Entra ID, a Microsoft 365 Felügyeleti központ vagy a Microsoft Defender portálon.
Tipp
Bár egyes szerepkörök, például a Biztonsági rendszergazda, hozzárendelhetők a Microsoft Defender portálon, érdemes lehet inkább a Microsoft 365 Felügyeleti központ vagy Microsoft Entra ID használni. A szerepkörökről, szerepkörcsoportokról és engedélyekről a következő forrásanyagokban talál további információt:
| Tevékenység | Szerepkörök és engedélyek |
|---|---|
| Az Microsoft Defender biztonságirés-kezelés irányítópult használata A legutóbbi vagy az aktuális fenyegetésekkel kapcsolatos információk megtekintése |
Az alábbiak egyike:
Ezek a szerepkörök Microsoft Entra ID (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központ (https://admin.microsoft.com) rendelhetők hozzá. |
| Az Explorer (és a valós idejű észlelések) használata a fenyegetések elemzéséhez | Az alábbiak egyike:
Ezek a szerepkörök Microsoft Entra ID (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központ (https://admin.microsoft.com) rendelhetők hozzá. |
| Incidensek megtekintése (más néven vizsgálatok) E-mail-üzenetek hozzáadása incidenshez |
Az alábbiak egyike:
Ezek a szerepkörök Microsoft Entra ID (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központ (https://admin.microsoft.com) rendelhetők hozzá. |
| E-mail-műveletek aktiválása incidensben Gyanús e-mailek keresése és törlése |
Az alábbiak egyike:
A globális rendszergazdai és biztonsági rendszergazdai szerepkörök Microsoft Entra ID (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központ (https://admin.microsoft.com) rendelhetők hozzá. A Keresés és a Végleges törlés szerepkört a Microsoft 36 Defender portál Email & együttműködési szerepköreiben (https://security.microsoft.com) kell hozzárendelni. |
| Office 365-höz készült Microsoft Defender 2. csomag integrálása a Végponthoz készült Microsoft Defender Office 365-höz készült Microsoft Defender 2. csomag integrálása SIEM-kiszolgálóval |
Vagy a globális rendszergazda vagy a biztonsági rendszergazda szerepkör van hozzárendelve a Microsoft Entra ID (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központ (https://admin.microsoft.com). --- Plusz --- Megfelelő szerepkör hozzárendelése további alkalmazásokhoz (például Microsoft Defender biztonsági központ vagy az SIEM-kiszolgálóhoz). |
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: