Indagine e risposta automatizzate (AIR) nel piano Microsoft Defender per Office 365 2
Suggerimento
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Quando gli avvisi di sicurezza vengono visualizzati in un'organizzazione di Microsoft 365 in https://security.microsoft.com/alerts, spetta al team delle operazioni di sicurezza (SecOps) esaminare, assegnare priorità e rispondere a tali avvisi. Tenere il passo con il volume degli avvisi in ingresso può essere travolgente. L'automazione di alcune di queste attività può essere utile.
Microsoft Defender per Office 365 Piano 2 (incluso nelle licenze di Microsoft 365 come E5 o come sottoscrizione autonoma) include potenti funzionalità di analisi e risposta automatizzata (AIR) che consentono di risparmiare tempo e impegno per i team SecOps.
AIR analizza gli avvisi ad alto impatto e volumi elevati completando le indagini a livello di organizzazione. Le indagini AIR si espandono sui rilevamenti o forniscono analisi aggiuntive per determinare lo stato della minaccia per l'organizzazione. Quando AIR identifica le minacce, accoda le azioni di correzione delle minacce per il personale SecOps da approvare. AIR offre i vantaggi seguenti:
- Processi di indagine automatizzati in risposta a minacce note.
- Azioni correttive appropriate in attesa di approvazione, consentendo al team SecOps di rispondere in modo efficace alle minacce rilevate.
- Il team SecOps è in grado di concentrarsi su attività con priorità superiore senza perdere di vista gli avvisi importanti attivati.
AIR in Defender per Office 365 Piano 2 richiede che la registrazione di controllo sia attivata (è attivata per impostazione predefinita).
Viene attivato un avviso e un playbook di sicurezza avvia un'indagine automatizzata, che comporta risultati e azioni consigliate. Ecco il flusso complessivo di AIR, passo dopo passo:
Viene avviata un'indagine automatizzata in uno dei modi seguenti:
Avvisi specifici progettati per avviare AIR. Questi avvisi includono:
Un elemento sospetto viene identificato nel messaggio di posta elettronica, ad esempio il messaggio stesso, un allegato, un URL o un account utente compromesso.
Invii utente.
L'utente fa clic sugli avvisi.
Comportamento sospetto della cassetta postale.
Suggerimento
Assicurarsi di esaminare regolarmente gli avvisi dell'organizzazione. Per altre informazioni sui criteri di avviso che attivano indagini automatizzate, vedere i criteri di avviso predefiniti nella categoria Gestione delle minacce. Le voci che contengono il valore Sì per l'indagine automatizzata possono attivare indagini automatizzate. Se questi avvisi sono disabilitati o sostituiti da avvisi personalizzati, AIR non viene attivato.
Un analista della sicurezza attiva manualmente l'indagine selezionando Esegui azione in Esplora minacce, Ricerca avanzata, rilevamento personalizzato, la pagina dell'entità Email o il pannello di riepilogo Email. Per altre informazioni, vedere Ricerca di minacce: Email correzione. Per esempi, vedere Esempi di analisi e risposta automatizzata (AIR) in Microsoft Defender per Office 365 Piano 2.
L'indagine automatizzata valuta e analizza la natura dell'avviso, il messaggio coinvolto e altre prove che circondano il messaggio. L'ambito dell'indagine può aumentare in base alle prove individuate e raccolte durante l'indagine.
Durante e dopo un'indagine automatizzata, sono disponibili dettagli e risultati . I risultati potrebbero includere azioni consigliate per il personale SecOps per correggere le minacce rilevate.
Il team SecOps esamina i risultati e le raccomandazioni dell'indagine (nell'indagine stessa, nell'evento imprevisto o nel Centro notifiche) e approva o rifiuta le azioni correttive.
Suggerimento
Nessuna azione correttiva viene eseguita automaticamente. Le azioni di correzione richiedono l'approvazione manuale da parte del personale SecOps. Le funzionalità AIR consentono di risparmiare tempo passando alle azioni correttive consigliate con tutti i dettagli per prendere una decisione informata.
AIR consente inoltre di risparmiare tempo valutando e risolvendo automaticamente gli avvisi e gli eventi imprevisti in cui non sono state rilevate minacce. Questo risultato è molto comune negli scenari di invio degli utenti. AIR chiude l'indagine se non sono state trovate minacce o se sono state trovate minacce nei messaggi che sono già stati corretti. Tipicamente
Poiché le azioni di correzione in sospeso vengono approvate o rifiutate, l'indagine automatizzata viene completata.
L'indagine automatizzata viene chiusa automaticamente se non vengono identificate azioni consigliate. I dettagli dell'indagine sono ancora disponibili nella pagina Indagini all'indirizzo https://security.microsoft.com/airinvestigation.
Durante e dopo ogni indagine automatizzata, il team SecOps può eseguire le attività seguenti:
- Visualizzare i dettagli su un avviso correlato a un'indagine
- Visualizzare i dettagli dei risultati di un'indagine
- Esaminare e approvare le azioni a seguito di un'indagine
È necessario avere le autorizzazioni necessarie per usare AIR. Sono disponibili le opzioni seguenti:
-
Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender, non su PowerShell:
- Avviare un'indagine automatizzata o approvare o rifiutare le azioni consigliate: operazioni di sicurezza/Email azioni correttive avanzate (gestione).Start an automated investigation or Approve or reject recommended actions: Security operations/Email advanced remediation actions (manage).
-
Email & le autorizzazioni di collaborazione nel portale di Microsoft Defender:
- Configurare le funzionalità AIR: appartenenza ai gruppi di ruoli Gestione organizzazione o Amministratore della sicurezza .
-
Avviare un'indagine automatizzata o approvare o rifiutare le azioni consigliate:
- Appartenenza ai gruppi di ruoli Gestione organizzazione, Amministratore della sicurezza, Operatore di sicurezza, Lettore di sicurezza o Lettore globale . e
- Il ruolo Ricerca ed eliminazione , assegnato solo ai gruppi di ruoli Data Investigator o Organization Management per impostazione predefinita. In alternativa, è possibile creare un nuovo gruppo di ruoli con il ruolo Ricerca ed eliminazione assegnato e aggiungere gli utenti al gruppo di ruoli personalizzato.
-
Microsoft Entra autorizzazioni: concedere agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365:
- Configurare le funzionalità AIR Appartenenza ai ruoli Amministratore globale o Amministratore della sicurezza .
-
Avviare un'indagine automatizzata o approvare o rifiutare le azioni consigliate:
- Appartenenza ai ruoli Amministratore globale, Amministratore della sicurezza, Operatore di sicurezza, Lettore di sicurezza o Lettore globale . e
- Appartenenza a un gruppo di ruoli di collaborazione Email & con il ruolo Ricerca ed eliminazione assegnato come descritto in precedenza.
Per usare AIR, è necessario disporre di una licenza per Defender per Office 365 Piano 2 (incluso nella sottoscrizione o in una licenza del componente aggiuntivo).