Indagine e risposta automatizzate (AIR) in Microsoft Defender per Office 365

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Microsoft Defender per Office 365 include potenti funzionalità AIR (Automated Investigation and Response) che consentono di risparmiare tempo e fatica al team addetto alle operazioni di sicurezza. Quando vengono attivati gli avvisi, spetta al team delle operazioni di sicurezza esaminare, assegnare priorità e rispondere a tali avvisi. Tenere il passo con il volume degli avvisi in ingresso può essere travolgente. L'automazione di alcune di queste attività può essere utile.

AIR consente al team delle operazioni di sicurezza di operare in modo più efficiente ed efficace. Le funzionalità AIR includono processi di indagine automatizzati in risposta a minacce note che esistono attualmente. Le azioni correttive appropriate attendono l'approvazione, consentendo al team delle operazioni di sicurezza di rispondere in modo efficace alle minacce rilevate. Con AIR, il team delle operazioni di sicurezza può concentrarsi su attività con priorità superiore senza perdere di vista gli avvisi importanti attivati.

In questo articolo viene descritto:

• Il flusso complessivo di AIR;
• Come ottenere AIR; E
• Autorizzazioni necessarie per configurare o usare le funzionalità AIR.

Questo articolo include anche i passaggi successivi e le risorse per altre informazioni.

Il flusso complessivo di AIR

Viene attivato un avviso e un playbook di sicurezza avvia un'indagine automatizzata, che comporta risultati e azioni consigliate. Ecco il flusso complessivo di AIR, passo dopo passo:

1. Un'indagine automatizzata viene avviata in uno dei modi seguenti:

   • Un avviso viene attivato da un messaggio di posta elettronica sospetto,ad esempio un messaggio, un allegato, un URL o un account utente compromesso. Viene creato un evento imprevisto e viene avviata un'indagine automatizzata; O
   • Un analista della sicurezza avvia un'indagine automatizzata durante l'uso di Explorer.

2. Durante l'esecuzione di un'indagine automatizzata, raccoglie dati sul messaggio di posta elettronica in questione e sulle entità correlate a tale messaggio di posta elettronica,ad esempio file, URL e destinatari. L'ambito dell'indagine può aumentare man mano che vengono attivati avvisi nuovi e correlati.

3. Durante e dopo un'indagine automatizzata, i dettagli e i risultati sono disponibili per la visualizzazione. I risultati potrebbero includere azioni consigliate che è possibile eseguire per rispondere e correggere eventuali minacce esistenti rilevate.

4. Il team delle operazioni di sicurezza esamina i risultati e le raccomandazioni dell'indagine e approva o rifiuta le azioni correttive.

5. Poiché le azioni di correzione in sospeso vengono approvate (o rifiutate), l'indagine automatizzata viene completata.

Nota

Se l'indagine non comporta azioni consigliate, l'indagine automatizzata verrà chiusa e i dettagli di ciò che è stato esaminato come parte dell'indagine automatizzata saranno comunque disponibili nella pagina dell'indagine.

In Microsoft Defender per Office 365 non vengono eseguite automaticamente azioni correttive. Le azioni di correzione vengono eseguite solo dopo l'approvazione da parte del team di sicurezza dell'organizzazione. Le funzionalità AIR consentono di risparmiare tempo al team delle operazioni di sicurezza identificando le azioni correttive e fornendo i dettagli necessari per prendere una decisione informata.

Durante e dopo ogni indagine automatizzata, il team delle operazioni di sicurezza può:

• Visualizzare i dettagli su un avviso correlato a un'indagine
• Visualizzare i dettagli dei risultati di un'indagine
• Esaminare e approvare le azioni a seguito di un'indagine

Consiglio

Per una panoramica più dettagliata, vedere Funzionamento di AIR.

Come ottenere AIR

Le funzionalità AIR sono incluse in Microsoft Defender per Office 365 Piano 2, purché la registrazione di controllo sia attivata (è attivata per impostazione predefinita).

Assicurarsi inoltre di esaminare i criteri di avviso dell'organizzazione, in particolare i criteri predefiniti nella categoria Gestione delle minacce.

Quali criteri di avviso attivano indagini automatizzate?

Microsoft 365 offre molti criteri di avviso predefiniti che consentono di identificare gli abusi delle autorizzazioni di amministratore di Exchange, le attività di malware, le potenziali minacce esterne e interne e i rischi di governance delle informazioni. Molti dei criteri di avviso predefiniti possono attivare indagini automatizzate. Nella tabella seguente vengono descritti gli avvisi che attivano indagini automatizzate, la relativa gravità nel portale di Microsoft Defender e il modo in cui vengono generati:

Avviso	Gravità	Come viene generato l'avviso
È stato rilevato un clic url potenzialmente dannoso	High	Questo avviso viene generato quando si verifica una delle seguenti operazioni: Un utente protetto da collegamenti sicuri nell'organizzazione fa clic su un collegamento dannoso Le modifiche al verdetto per gli URL sono identificate da Microsoft Defender per Office 365 Gli utenti eseguono l'override delle pagine di avviso dei collegamenti sicuri (in base ai criteri di collegamenti sicuri dell'organizzazione. Per altre informazioni sugli eventi che attivano questo avviso, vedere Configurare i criteri di collegamenti sicuri.
Un messaggio di posta elettronica viene segnalato da un utente come malware o phish	Basso	Questo avviso viene generato quando gli utenti dell'organizzazione segnalano i messaggi come posta elettronica di phishing usando i componenti aggiuntivi Microsoft Report Message o Report Phishing.
Dei messaggi di posta elettronica contenenti file dannosi sono stati rimossi dopo il recapito	Informativa	Questo avviso viene generato quando tutti i messaggi contenenti un file dannoso vengono recapitati alle cassette postali dell'organizzazione. Se si verifica questo evento, Microsoft rimuove i messaggi infetti dalle cassette postali Exchange Online usando l'eliminazione automatica a zero ore (ZAP).
Email messaggi contenenti malware vengono rimossi dopo il recapito	Informativa	Questo avviso viene generato quando tutti i messaggi di posta elettronica contenenti malware vengono recapitati alle cassette postali dell'organizzazione. Se si verifica questo evento, Microsoft rimuove i messaggi infetti dalle cassette postali Exchange Online usando l'eliminazione automatica a zero ore (ZAP).
Dei messaggi di posta elettronica contenenti URL dannosi sono stati rimossi dopo il recapito	Informativa	Questo avviso viene generato quando tutti i messaggi contenenti un URL dannoso vengono recapitati alle cassette postali dell'organizzazione. Se si verifica questo evento, Microsoft rimuove i messaggi infetti dalle cassette postali Exchange Online usando l'eliminazione automatica a zero ore (ZAP).
Email messaggi contenenti URL di phishing vengono rimossi dopo il recapito	Informativa	Questo avviso viene generato quando tutti i messaggi contenenti phish vengono recapitati alle cassette postali dell'organizzazione. Se si verifica questo evento, Microsoft rimuove i messaggi infetti dalle cassette postali Exchange Online tramite ZAP.
Vengono rilevati modelli di invio di messaggi di posta elettronica sospetti	Medium	Questo avviso viene generato quando un utente dell'organizzazione ha inviato messaggi di posta elettronica sospetti ed è a rischio di essere limitato dall'invio di posta elettronica. L'avviso è un avviso rapido per il comportamento che potrebbe indicare che l'account è compromesso, ma non abbastanza grave da limitare l'utente. Anche se è raro, un avviso generato da questo criterio può essere un'anomalia. Tuttavia, è consigliabile verificare se l'account utente è compromesso.
Un utente non può inviare messaggi di posta elettronica	High	Questo avviso viene generato quando a un utente dell'organizzazione viene impedito di inviare posta in uscita. Questo avviso viene in genere generato quando un account di posta elettronica viene compromesso. Per altre informazioni sugli utenti con restrizioni, vedere Rimuovere gli utenti bloccati dalla pagina Entità con restrizioni.
Amministrazione attivato l'analisi manuale della posta elettronica	Informativa	Questo avviso viene generato quando un amministratore attiva l'analisi manuale di un messaggio di posta elettronica da Esplora minacce. Questo avviso notifica all'organizzazione che l'indagine è stata avviata.
Amministrazione ha attivato l'indagine sulla compromissione degli utenti	Medium	Questo avviso viene generato quando un amministratore attiva l'analisi manuale della compromissione dell'utente di un mittente di posta elettronica o di un destinatario da Esplora minacce. Questo avviso notifica all'organizzazione che è stata avviata l'indagine sulla compromissione dell'utente.

Consiglio

Per altre informazioni sui criteri di avviso o modificare le impostazioni predefinite, vedere Criteri di avviso nel portale di Microsoft Defender.

Autorizzazioni necessarie per l'uso delle funzionalità AIR

È necessario avere le autorizzazioni necessarie per usare AIR. Sono disponibili le opzioni seguenti:

• Microsoft Defender XDR controllo degli accessi in base al ruolo unificato (influisce solo sul portale di Defender e non su PowerShell):

  • Avviare un'indagine automatizzata o approvare o rifiutare le azioni consigliate: Operatore di sicurezza/Email azioni correttive avanzate (gestione).Start an automated investigation or Approve or reject recommended actions: Security Operator/Email advanced remediation actions (manage).

• Email & le autorizzazioni di collaborazione nel portale di Microsoft Defender:

  • Configurare le funzionalità AIR: appartenenza ai gruppi di ruoli Gestione organizzazione o Amministratore della sicurezza .
  • Avviare un'indagine automatizzata o approvare o rifiutare le azioni consigliate:
    • Appartenenza ai gruppi di ruoli Gestione organizzazione, Amministratore della sicurezza, Operatore di sicurezza, Lettore di sicurezza o Lettore globale . e
    • Appartenenza a un gruppo di ruoli con il ruolo Search ed Eliminazione assegnato. Per impostazione predefinita, questo ruolo viene assegnato ai gruppi di ruoli Data Investigator e Organization Management . In alternativa, è possibile creare un gruppo di ruoli personalizzato per assegnare il ruolo di Search ed eliminazione.

• Microsoft Entra autorizzazioni:

  • Configurare le funzionalità AIR Appartenenza ai ruoli Amministratore globale o Amministratore della sicurezza .
  • Avviare un'indagine automatizzata o approvare o rifiutare le azioni consigliate:
    • Appartenenza ai ruoli Amministratore globale, Amministratore della sicurezza, Operatore di sicurezza, Lettore di sicurezza o Lettore globale . e
    • Appartenenza a un gruppo di ruoli di collaborazione Email & con il ruolo di Search ed eliminazione assegnato. Per impostazione predefinita, questo ruolo viene assegnato ai gruppi di ruoli Data Investigator e Organization Management . In alternativa, è possibile creare un gruppo di ruoli di collaborazione Email & personalizzato per assegnare il ruolo di Search ed eliminazione.

  Microsoft Entra autorizzazioni offrono agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.

Licenze necessarie

Microsoft Defender per Office 365 licenze del piano 2 devono essere assegnate a:

• Amministratori della sicurezza (inclusi gli amministratori globali)
• Team delle operazioni di sicurezza dell'organizzazione (inclusi i lettori della sicurezza e quelli con il ruolo di Search ed eliminazione)
• Utenti finali

Passaggi successivi

• Introduzione all'uso di AIR
• Visualizzare i dettagli e i risultati di un'indagine automatizzata
• Esaminare e approvare le azioni in sospeso
• Visualizzare le azioni di correzione in sospeso o completate