Guida alle operazioni di sicurezza di Microsoft Defender per Office 365
Consiglio
Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Questo articolo offre una panoramica dei requisiti e delle attività per il corretto funzionamento delle Microsoft Defender per Office 365 nell'organizzazione. Queste attività consentono di garantire che il centro operativo di sicurezza (SOC) offra un approccio affidabile e di alta qualità per proteggere, rilevare e rispondere alle minacce alla sicurezza correlate alla posta elettronica e alla collaborazione.
Il resto di questa guida descrive le attività necessarie per il personale SecOps. Le attività sono raggruppate in attività prescrittive giornaliere, settimanali, mensili e ad hoc.
Un articolo complementare a questa guida offre una panoramica per gestire gli eventi imprevisti e gli avvisi da Defender per Office 365 nella pagina Eventi imprevisti del portale di Microsoft Defender.
Il Microsoft Defender XDR Security Operations Guide contiene informazioni aggiuntive che è possibile usare per la pianificazione e lo sviluppo.
Per un video su queste informazioni, vedere https://youtu.be/eQanpq9N1Ps.
Attività quotidiane
Monitorare la coda degli eventi imprevisti Microsoft Defender XDR
La pagina Eventi imprevisti nel portale di Microsoft Defender in https://security.microsoft.com/incidents-queue (nota anche come coda Eventi imprevisti) consente di gestire e monitorare gli eventi dalle origini seguenti in Defender per Office 365:
Per altre informazioni sulla coda Eventi imprevisti, vedere Assegnare priorità agli eventi imprevisti in Microsoft Defender XDR.
Il piano di valutazione per il monitoraggio della coda eventi imprevisti deve usare l'ordine di precedenza seguente per gli eventi imprevisti:
- È stato rilevato un clic url potenzialmente dannoso.
- Utente a cui è stato impedito di inviare messaggi di posta elettronica.
- Sono stati rilevati modelli di invio di messaggi di posta elettronica sospetti.
- Email segnalati dall'utente come malware o phishing e più utenti hanno segnalato la posta elettronica come malware o phishing.
- Email messaggi contenenti file dannosi rimossi dopo il recapito, Email messaggi contenenti URL dannosi rimossi dopo il recapito e Email messaggi da una campagna rimossi dopo il recapito.
- Phish recapitato a causa di un override ETR, Phish ha recapitato perché la cartella Posta indesiderata di un utente è disabilitata e Phish ha recapitato a causa di un criterio di autorizzazione IP
- Malware non zapped perché ZAP è disabilitato e Phish non zapped perché ZAP è disabilitato.
La gestione delle code degli eventi imprevisti e le persone responsabili sono descritte nella tabella seguente:
| Attività | Cadenza | Descrizione | Utente |
|---|---|---|---|
| Valutazione degli eventi imprevisti nella coda Eventi imprevisti in https://security.microsoft.com/incidents-queue. | Giornaliera | Verificare che tutti gli eventi imprevisti di gravità media e alta di Defender per Office 365 siano stati verificati. | Team delle operazioni di sicurezza |
| Analizzare e intraprendere azioni di risposta in caso di eventi imprevisti. | Giornaliera | Analizzare tutti gli eventi imprevisti e intraprendere attivamente le azioni di risposta consigliate o manuali. | Team delle operazioni di sicurezza |
| Risolvere gli eventi imprevisti. | Giornaliera | Se l'evento imprevisto è stato risolto, risolvere l'evento imprevisto. La risoluzione dell'evento imprevisto risolve tutti gli avvisi attivi collegati e correlati. | Team delle operazioni di sicurezza |
| Classificare gli eventi imprevisti. | Giornaliera | Classificare gli eventi imprevisti come true o false. Per gli avvisi true, specificare il tipo di minaccia. Questa classificazione consente al team di sicurezza di visualizzare i modelli di minaccia e di difenderne l'organizzazione. | Team delle operazioni di sicurezza |
Gestire i rilevamenti falsi positivi e falsi negativi
In Defender per Office 365, si gestiscono falsi positivi (posta buona contrassegnata come non valida) e falsi negativi (posta non valida consentita) nelle posizioni seguenti:
- Pagina Invii (invii di amministratori).The Submissions page (admin submissions).
- Elenco tenant consentiti/bloccati
- Esplora minacce
Per altre informazioni, vedere la sezione Gestire i rilevamenti falsi positivi e falsi negativi più avanti in questo articolo.
Nella tabella seguente vengono descritti i falsi positivi e i falsi negativi e i responsabili:
| Attività | Cadenza | Descrizione | Utente |
|---|---|---|---|
| Inviare falsi positivi e falsi negativi a Microsoft all'indirizzo https://security.microsoft.com/reportsubmission. | Giornaliera | Fornire segnali a Microsoft segnalando i rilevamenti di messaggi di posta elettronica, URL e file non corretti. | Team delle operazioni di sicurezza |
| Analizzare i dettagli dell'invio dell'amministratore. | Giornaliera | Comprendere i fattori seguenti per gli invii inviati a Microsoft:
|
Team delle operazioni di sicurezza Amministrazione della sicurezza |
| Aggiungere voci di blocco nell'elenco tenant consentiti/bloccati all'indirizzo https://security.microsoft.com/tenantAllowBlockList. | Giornaliera | Usare l'elenco tenant consentiti/bloccati per aggiungere voci di blocco per i rilevamenti falsi negativi di URL, file o mittenti in base alle esigenze. | Team delle operazioni di sicurezza |
| Rilasciare il falso positivo dalla quarantena. | Giornaliera | Dopo che il destinatario conferma che il messaggio è stato messo in quarantena in modo errato, è possibile rilasciare o approvare le richieste di rilascio per gli utenti. Per controllare le operazioni che gli utenti possono eseguire ai propri messaggi in quarantena (inclusa la versione o la richiesta di rilascio), vedere Criteri di quarantena. |
Team delle operazioni di sicurezza Team di messaggistica |
Esaminare le campagne di phishing e malware che hanno generato la posta recapitata
| Attività | Cadenza | Descrizione | Utente |
|---|---|---|---|
| Esaminare le campagne di posta elettronica. | Giornaliera |
Esaminare le campagne di posta elettronica destinate all'organizzazione all'indirizzo https://security.microsoft.com/campaigns. Concentrarsi sulle campagne che hanno portato a recapitare i messaggi ai destinatari. Rimuovere i messaggi dalle campagne presenti nelle cassette postali degli utenti. Questa azione è necessaria solo quando una campagna contiene messaggi di posta elettronica che non sono già stati corretti da azioni da eventi imprevisti, eliminazione automatica a zero ore (ZAP) o correzione manuale. |
Team delle operazioni di sicurezza |
Attività settimanali
Esaminare le tendenze di rilevamento della posta elettronica nei report Defender per Office 365
In Defender per Office 365 è possibile usare i report seguenti per esaminare le tendenze di rilevamento della posta elettronica nell'organizzazione:
| Attività | Cadenza | Descrizione | Utente |
|---|---|---|---|
| Esaminare i report di rilevamento della posta elettronica all'indirizzo: | Settimanale | Esaminare le tendenze di rilevamento della posta elettronica per malware, phishing e posta indesiderata rispetto alla posta elettronica valida. L'osservazione nel tempo consente di visualizzare i modelli di minaccia e determinare se è necessario modificare i criteri di Defender per Office 365. | Amministrazione della sicurezza Team delle operazioni di sicurezza |
Tenere traccia e rispondere alle minacce emergenti usando threat analitica
Usare Threat analitica per esaminare le minacce attive e di tendenza.
| Attività | Cadenza | Descrizione | Utente |
|---|---|---|---|
| Esaminare le minacce in Threat analitica all'indirizzo https://security.microsoft.com/threatanalytics3. | Settimanale | Threat analitica fornisce un'analisi dettagliata, inclusi gli elementi seguenti:
|
Team delle operazioni di sicurezza Team di ricerca delle minacce |
Esaminare gli utenti di destinazione principali per malware e phishing
Usare la scheda Utenti di destinazione principali (visualizzazione) nell'area dei dettagli delle visualizzazioni Tutti i messaggi di posta elettronica, Malware e Phish in Esplora minacce per individuare o confermare gli utenti che sono le destinazioni principali per malware e posta elettronica di phishing.
| Attività | Cadenza | Descrizione | Utente |
|---|---|---|---|
| Esaminare la scheda Utenti di destinazione principali in Esplora minacce all'indirizzo https://security.microsoft.com/threatexplorer. | Settimanale | Usare le informazioni per decidere se è necessario modificare i criteri o le protezioni per questi utenti. Aggiungere gli utenti interessati agli account Priority per ottenere i vantaggi seguenti:
|
Amministrazione della sicurezza Team delle operazioni di sicurezza |
Esaminare le principali campagne di malware e phishing destinate all'organizzazione
Le visualizzazioni campagna rivelano attacchi malware e phishing contro l'organizzazione. Per altre informazioni, vedere Visualizzazioni della campagna in Microsoft Defender per Office 365.
| Attività | Cadenza | Descrizione | Utente |
|---|---|---|---|
| Usare Le visualizzazioni campagna in https://security.microsoft.com/campaigns per esaminare gli attacchi di malware e phishing che interessano l'utente. | Settimanale | Informazioni su attacchi e tecniche e su quali Defender per Office 365 sono stati in grado di identificare e bloccare. Usare Scarica report sulle minacce nelle visualizzazioni campagna per informazioni dettagliate su una campagna. |
Team delle operazioni di sicurezza |
Attività ad hoc
Indagine manuale e rimozione della posta elettronica
| Attività | Cadenza | Descrizione | Utente |
|---|---|---|---|
| Analizzare e rimuovere messaggi di posta elettronica non validi in Esplora minacce in base alle https://security.microsoft.com/threatexplorer richieste degli utenti. | Ad hoc | Usare l'azione Attiva indagine in Esplora minacce per avviare un playbook di analisi e risposta automatizzato su qualsiasi messaggio di posta elettronica degli ultimi 30 giorni. L'attivazione manuale di un'indagine consente di risparmiare tempo e fatica includendo centralmente:
Per altre informazioni, vedere Esempio: Un messaggio di phishing segnalato dall'utente avvia un playbook di indagine In alternativa, è possibile usare Esplora minacce per analizzare manualmente la posta elettronica con potenti funzionalità di ricerca e filtro ed eseguire azioni di risposta manuale direttamente dalla stessa posizione. Azioni manuali disponibili:
|
Team delle operazioni di sicurezza |
Ricerca proattiva delle minacce
| Attività | Cadenza | Descrizione | Utente |
|---|---|---|---|
| Ricerca regolare e proattiva delle minacce all'indirizzo:. | Ad hoc | Cercare le minacce usando Esplora minacce e Ricerca avanzata. | Team delle operazioni di sicurezza Team di ricerca delle minacce |
| Condividere le query di ricerca. | Ad hoc | Condividere attivamente query utili e usate di frequente all'interno del team di sicurezza per una ricerca manuale più rapida delle minacce e la correzione. Usare i tracker delleminacce e le query condivise nella ricerca avanzata. |
Team delle operazioni di sicurezza Team di ricerca delle minacce |
| Creare regole di rilevamento personalizzate in https://security.microsoft.com/custom_detection. | Ad hoc | Creare regole di rilevamento personalizzate per monitorare in modo proattivo eventi, modelli e minacce in base ai dati Defender per Office 365 in Ricerca avanzata. Le regole di rilevamento contengono query di ricerca avanzate che generano avvisi in base ai criteri corrispondenti. | Team delle operazioni di sicurezza Team di ricerca delle minacce |
Esaminare le configurazioni dei criteri di Defender per Office 365
| Attività | Cadenza | Descrizione | Utente |
|---|---|---|---|
| Esaminare la configurazione dei criteri di Defender per Office 365 all'indirizzo https://security.microsoft.com/configurationAnalyzer. | Ad hoc Mensile |
Usare l'analizzatore di configurazione per confrontare le impostazioni dei criteri esistenti con i valori Standard o Strict consigliati per Defender per Office 365. L'analizzatore di configurazione identifica le modifiche accidentali o dannose che possono ridurre il comportamento di sicurezza dell'organizzazione. In alternativa, è possibile usare lo strumento ORCA basato su PowerShell. |
Amministrazione della sicurezza Team di messaggistica |
| Esaminare le sostituzioni di rilevamento in Defender per Office 365 all'indirizzohttps://security.microsoft.com/reports/TPSMessageOverrideReportATP | Ad hoc Mensile |
Usare la suddivisione Visualizza dati in base al sistema per la > suddivisione del grafico in base al motivo nel report sullo stato di Threat Protection per esaminare i messaggi di posta elettronica rilevati come phishing ma recapitati a causa delle impostazioni di sostituzione dei criteri o degli utenti. Analizzare, rimuovere o ottimizzare attivamente le sostituzioni per evitare il recapito di messaggi di posta elettronica che sono stati ritenuti dannosi. |
Amministrazione della sicurezza Team di messaggistica |
Esaminare i rilevamenti di spoofing e rappresentazione
| Attività | Cadenza | Descrizione | Utente |
|---|---|---|---|
| Esaminare le informazioni dettagliate sull'intelligence spoofing e le informazioni dettagliate sul rilevamento della rappresentazione all'indirizzo. | Ad hoc Mensile |
Usare le informazioni dettagliate di intelligence sullo spoofing e le informazioni dettagliate sulla rappresentazione per regolare i filtri per i rilevamenti di spoofing e rappresentazione. | Amministrazione della sicurezza Team di messaggistica |
Esaminare l'appartenenza all'account con priorità
| Attività | Cadenza | Descrizione | Utente |
|---|---|---|---|
| Verificare chi è definito come account prioritario in https://security.microsoft.com/securitysettings/userTags. | Ad hoc | Mantenere aggiornata l'appartenenza agli account con priorità con le modifiche dell'organizzazione per ottenere i vantaggi seguenti per tali utenti:
Usare tag utente personalizzati per altri utenti per ottenere:
|
Team delle operazioni di sicurezza |
Appendice
Informazioni su strumenti e processi Microsoft Defender per Office 365
Le operazioni di sicurezza e i membri del team di risposta devono integrare Defender per Office 365 strumenti e funzionalità nelle indagini e nei processi di risposta esistenti. L'apprendimento di nuovi strumenti e funzionalità può richiedere tempo, ma è una parte fondamentale del processo di onboarding. Il modo più semplice per i membri del team di sicurezza di SecOps e posta elettronica per conoscere Defender per Office 365 consiste nell'usare il contenuto di training disponibile come parte del contenuto di training ninja all'indirizzo https://aka.ms/mdoninja.
Il contenuto è strutturato per diversi livelli di conoscenza (nozioni di base, intermedie e avanzate) con più moduli per livello.
Brevi video per attività specifiche sono disponibili anche nel canale YouTube Microsoft Defender per Office 365.
Autorizzazioni per attività e attività Defender per Office 365
Le autorizzazioni per la gestione Defender per Office 365 nel portale di Microsoft Defender e in PowerShell si basano sul modello di autorizzazioni del controllo degli accessi in base al ruolo. Il controllo degli accessi in base al ruolo è lo stesso modello di autorizzazioni usato dalla maggior parte dei servizi di Microsoft 365. Per altre informazioni, vedere Autorizzazioni nel portale di Microsoft Defender.
Nota
Privileged Identity Management (PIM) in Microsoft Entra ID è anche un modo per assegnare le autorizzazioni necessarie al personale SecOps. Per altre informazioni, vedere Privileged Identity Management (PIM) e perché usarlo con Microsoft Defender per Office 365.
Le autorizzazioni seguenti (ruoli e gruppi di ruoli) sono disponibili in Defender per Office 365 e possono essere usate per concedere l'accesso ai membri del team di sicurezza:
Microsoft Entra ID: ruoli centralizzati che assegnano autorizzazioni per tutti i servizi di Microsoft 365, inclusi i Defender per Office 365. È possibile visualizzare i ruoli Microsoft Entra e gli utenti assegnati nel portale di Microsoft Defender, ma non è possibile gestirli direttamente. È invece possibile gestire Microsoft Entra ruoli e membri in https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. I ruoli più frequenti usati dai team di sicurezza sono:
collaborazione Exchange Online e Email &: ruoli e gruppi di ruoli che concedono l'autorizzazione specifica per Microsoft Defender per Office 365. I ruoli seguenti non sono disponibili in Microsoft Entra ID, ma possono essere importanti per i team di sicurezza:
Ruolo anteprima (collaborazione Email &): assegnare questo ruolo ai membri del team che devono visualizzare in anteprima o scaricare i messaggi di posta elettronica come parte delle attività di indagine. Consente agli utenti di visualizzare in anteprima e scaricare messaggi di posta elettronica dalle cassette postali cloud usando Esplora minacce (Esplora minacce) o rilevamenti in tempo reale e la pagina dell'entità Email.
Per impostazione predefinita, il ruolo Anteprima viene assegnato solo ai gruppi di ruoli seguenti:
- Data Investigator
- Gestione di eDiscovery
È possibile aggiungere utenti a tali gruppi di ruoli oppure creare un nuovo gruppo di ruoli con il ruolo Anteprima assegnato e aggiungere gli utenti al gruppo di ruoli personalizzato.
Ruolo di ricerca ed eliminazione (collaborazione Email &): approvare l'eliminazione di messaggi dannosi come consigliato da AIR o eseguire azioni manuali sui messaggi in esperienze di ricerca come Esplora minacce.
Per impostazione predefinita, il ruolo Ricerca ed eliminazione viene assegnato solo ai gruppi di ruoli seguenti:
- Data Investigator
- Gestione organizzazione
È possibile aggiungere utenti a tali gruppi di ruoli oppure creare un nuovo gruppo di ruoli con il ruolo Cerca ed elimina assegnato e aggiungere gli utenti al gruppo di ruoli personalizzato.
Tenant AllowBlockList Manager (Exchange Online): gestire le voci consenti e blocca nell'elenco tenant consentiti/bloccati. Il blocco di URL, file (tramite hash file) o mittenti è un'azione di risposta utile da eseguire durante l'analisi dei messaggi di posta elettronica dannosi recapitati.
Per impostazione predefinita, questo ruolo viene assegnato solo al gruppo di ruoli Operatore di sicurezza in Exchange Online, non in Microsoft Entra ID. L'appartenenza al ruolo Operatore di sicurezza in Microsoft Entra IDnon consente di gestire le voci dell'elenco tenant consentiti/bloccati.
I membri dei ruoli di gestione dell'amministratore della sicurezza o dell'organizzazione in Microsoft Entra ID o i gruppi di ruoli corrispondenti in Exchange Online sono in grado di gestire le voci nell'elenco tenant consentiti/bloccati.
Integrazione SIEM/SOAR
Defender per Office 365 espone la maggior parte dei dati tramite un set di API programmatiche. Queste API consentono di automatizzare i flussi di lavoro e di usare appieno le funzionalità di Defender per Office 365. I dati sono disponibili tramite le API Microsoft Defender XDR e possono essere usati per integrare Defender per Office 365 nelle soluzioni SIEM/SOAR esistenti.
API Eventi imprevisti: gli avvisi Defender per Office 365 e le indagini automatizzate sono parti attive degli eventi imprevisti in Microsoft Defender XDR. I team di sicurezza possono concentrarsi su ciò che è critico raggruppando l'ambito di attacco completo e tutti gli asset interessati.
API di streaming di eventi: consente la spedizione di eventi e avvisi in tempo reale in un singolo flusso di dati man mano che si verificano. I tipi di evento supportati in Defender per Office 365 includono:
Gli eventi contengono dati provenienti dall'elaborazione di tutti i messaggi di posta elettronica (inclusi i messaggi all'interno dell'organizzazione) negli ultimi 30 giorni.
API Di ricerca avanzata: consente la ricerca di minacce tra prodotti.
API Valutazione delle minacce: può essere usata per segnalare posta indesiderata, URL di phishing o allegati malware direttamente a Microsoft.
Per connettere Defender per Office 365 eventi imprevisti e dati non elaborati con Microsoft Sentinel, è possibile usare il connettore Microsoft Defender XDR (M365D)
È possibile usare l'esempio "Hello World" seguente per testare l'accesso api alle API Microsoft Defender: Hello World per Microsoft Defender XDR API REST.
Per altre informazioni sull'integrazione degli strumenti SIEM, vedere Integrare gli strumenti SIEM con Microsoft Defender XDR.
Risolvere i falsi positivi e i falsi negativi in Defender per Office 365
I messaggi segnalati dall'utente e gli invii di messaggi di posta elettronica sono segnali di rinforzo positivi critici per i sistemi di rilevamento di Machine Learning. Gli invii consentono di esaminare, valutare, apprendere rapidamente e attenuare gli attacchi. La segnalazione attiva di falsi positivi e falsi negativi è un'attività importante che fornisce feedback alle Defender per Office 365 quando si verificano errori durante il rilevamento.
Le organizzazioni hanno più opzioni per configurare i messaggi segnalati dall'utente. A seconda della configurazione, i team di sicurezza potrebbero avere un coinvolgimento più attivo quando gli utenti inviano falsi positivi o falsi negativi a Microsoft:
I messaggi segnalati dall'utente vengono inviati a Microsoft per l'analisi quando le impostazioni segnalate dall'utente sono configurate con una delle impostazioni seguenti:
- Inviare i messaggi segnalati solo a: Microsoft.
- Inviare i messaggi segnalati a: Microsoft e la cassetta postale di report.
I membri dei team di sicurezza devono eseguire invii di amministratori ad hoc quando il team operativo individua falsi positivi o falsi negativi che non sono stati segnalati dagli utenti.
Quando i messaggi segnalati dall'utente sono configurati per inviare messaggi solo alla cassetta postale dell'organizzazione, i team di sicurezza devono inviare attivamente falsi positivi segnalati dall'utente e falsi negativi a Microsoft tramite invii di amministratori.
Quando un utente segnala un messaggio come phishing, Defender per Office 365 genera un avviso e l'avviso attiva un playbook AIR. La logica degli eventi imprevisti correla queste informazioni ad altri avvisi ed eventi, ove possibile. Questo consolidamento delle informazioni consente ai team di sicurezza di valutare, analizzare e rispondere ai messaggi segnalati dall'utente.
La pipeline di invio nel servizio segue un processo strettamente integrato quando gli utenti segnalano i messaggi e gli amministratori inviano messaggi. Questo processo include:
- Riduzione del rumore.
- Valutazione automatizzata.
- Classificazione da parte di analisti della sicurezza e soluzioni basate su Machine Learning basate su partner umani.
Per altre informazioni, vedere Segnalazione di un messaggio di posta elettronica in Defender per Office 365 - Microsoft Tech Community.
I membri del team di sicurezza possono eseguire gli invii da più posizioni nel portale di Microsoft Defender all'indirizzo https://security.microsoft.com:
Amministrazione invio: usare la pagina Invii per inviare messaggi di posta indesiderata, phishing, URL e file sospetti a Microsoft.
Direttamente da Threat Explorer usando una delle azioni di messaggio seguenti:
- Pulizia del report
- Segnalare il phishing
- Segnalare malware
- Segnala posta indesiderata
È possibile selezionare fino a 10 messaggi per eseguire un invio bulk. Amministrazione gli invii creati con questi metodi sono visibili nelle rispettive schede nella pagina Invii.
Per la mitigazione a breve termine dei falsi negativi, i team di sicurezza possono gestire direttamente le voci di blocco per file, URL e domini o indirizzi di posta elettronica nell'elenco tenant consentiti/bloccati.
Per la mitigazione a breve termine dei falsi positivi, i team di sicurezza non possono gestire direttamente le voci consentite per domini e indirizzi di posta elettronica nell'elenco tenant consentiti/bloccati. Al contrario, devono usare gli invii di amministratore per segnalare il messaggio di posta elettronica come falso positivo. Per istruzioni, vedere Segnalare un messaggio di posta elettronica valido a Microsoft.
La quarantena in Defender per Office 365 contiene messaggi e file potenzialmente pericolosi o indesiderati. I team di sicurezza possono visualizzare, rilasciare ed eliminare tutti i tipi di messaggi in quarantena per tutti gli utenti. Questa funzionalità consente ai team di sicurezza di rispondere in modo efficace quando un file o un messaggio falso positivo viene messo in quarantena.
Integrare strumenti di report di terze parti con Defender per Office 365 messaggi segnalati dall'utente
Se l'organizzazione usa uno strumento di report di terze parti che consente agli utenti di segnalare internamente messaggi di posta elettronica sospetti, è possibile integrare lo strumento con le funzionalità dei messaggi segnalati dall'utente di Defender per Office 365. Questa integrazione offre i vantaggi seguenti per i team di sicurezza:
- Integrazione con le funzionalità AIR di Defender per Office 365.
- Valutazione semplificata.
- Riduzione del tempo di indagine e risposta.
Designare la cassetta postale di report in cui vengono inviati messaggi segnalati dall'utente nella pagina Impostazioni segnalate dall'utente nel portale di Microsoft Defender all'indirizzo https://security.microsoft.com/securitysettings/userSubmission. Per altre informazioni, vedere Impostazioni segnalate dall'utente.
Nota
- La cassetta postale di report deve essere una cassetta postale Exchange Online.
- Lo strumento di creazione di report di terze parti deve includere il messaggio segnalato originale come un oggetto non compresso. EML o . Allegato msg nel messaggio inviato alla cassetta postale di report (non solo inoltrare il messaggio originale alla cassetta postale di report). Per altre informazioni, vedere Formato di invio di messaggi per gli strumenti di creazione di report di terze parti.
- La cassetta postale di report richiede prerequisiti specifici per consentire il recapito di messaggi potenzialmente non validi senza essere filtrati o modificati. Per altre informazioni, vedere Requisiti di configurazione per la cassetta postale di report.
Quando un messaggio segnalato dall'utente arriva nella cassetta postale di report, Defender per Office 365 genera automaticamente l'avviso denominato Email segnalato dall'utente come malware o phishing. Questo avviso avvia un playbook AIR. Il playbook esegue una serie di passaggi di indagine automatizzati:
- Raccogliere dati sul messaggio di posta elettronica specificato.
- Raccogliere dati sulle minacce e sulle entità correlate al messaggio di posta elettronica, ad esempio file, URL e destinatari.
- Fornire le azioni consigliate per il team SecOps da intraprendere in base ai risultati dell'indagine.
Email segnalati dall'utente come avvisi di malware o phishing, le indagini automatizzate e le azioni consigliate sono automaticamente correlate agli eventi imprevisti in Microsoft Defender XDR. Questa correlazione semplifica ulteriormente il processo di valutazione e risposta per i team di sicurezza. Se più utenti segnalano gli stessi messaggi o simili, tutti gli utenti e i messaggi sono correlati allo stesso evento imprevisto.
I dati di avvisi e indagini in Defender per Office 365 vengono confrontati automaticamente con avvisi e indagini negli altri prodotti Microsoft Defender XDR:
- Microsoft Defender per endpoint
- Microsoft Defender for Cloud Apps
- Microsoft Defender per identità
Se viene individuata una relazione, il sistema crea un evento imprevisto che offre visibilità per l'intero attacco.