Guida alle operazioni di sicurezza di Microsoft Defender per Office 365

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Questo articolo offre una panoramica dei requisiti e delle attività per il corretto funzionamento delle Microsoft Defender per Office 365 nell'organizzazione. Queste attività consentono di garantire che il centro operativo di sicurezza (SOC) offra un approccio affidabile e di alta qualità per proteggere, rilevare e rispondere alle minacce alla sicurezza correlate alla posta elettronica e alla collaborazione.

Il resto di questa guida descrive le attività necessarie per il personale SecOps. Le attività sono raggruppate in attività prescrittive giornaliere, settimanali, mensili e ad hoc.

Un articolo complementare a questa guida offre una panoramica per gestire gli eventi imprevisti e gli avvisi da Defender per Office 365 nella pagina Eventi imprevisti del portale di Microsoft Defender.

Il Microsoft Defender XDR Security Operations Guide contiene informazioni aggiuntive che è possibile usare per la pianificazione e lo sviluppo.

Per un video su queste informazioni, vedere https://youtu.be/eQanpq9N1Ps.

Attività quotidiane

Monitorare la coda degli eventi imprevisti Microsoft Defender XDR

La pagina Eventi imprevisti nel portale di Microsoft Defender in https://security.microsoft.com/incidents-queue (nota anche come coda Eventi imprevisti) consente di gestire e monitorare gli eventi dalle origini seguenti in Defender per Office 365:

• Avvisi.
• Indagine e risposta automatizzate (AIR).

Per altre informazioni sulla coda Eventi imprevisti, vedere Assegnare priorità agli eventi imprevisti in Microsoft Defender XDR.

Il piano di valutazione per il monitoraggio della coda eventi imprevisti deve usare l'ordine di precedenza seguente per gli eventi imprevisti:

1. È stato rilevato un clic url potenzialmente dannoso.
2. Utente a cui è stato impedito di inviare messaggi di posta elettronica.
3. Sono stati rilevati modelli di invio di messaggi di posta elettronica sospetti.
4. Email segnalati dall'utente come malware o phishing e più utenti hanno segnalato la posta elettronica come malware o phishing.
5. Email messaggi contenenti file dannosi rimossi dopo il recapito, Email messaggi contenenti URL dannosi rimossi dopo il recapito e Email messaggi da una campagna rimossi dopo il recapito.
6. Phish recapitato a causa di un override ETR, Phish ha recapitato perché la cartella Posta indesiderata di un utente è disabilitata e Phish ha recapitato a causa di un criterio di autorizzazione IP
7. Malware non zapped perché ZAP è disabilitato e Phish non zapped perché ZAP è disabilitato.

La gestione delle code degli eventi imprevisti e le persone responsabili sono descritte nella tabella seguente:

Attività	Cadenza	Descrizione	Utente
Valutazione degli eventi imprevisti nella coda Eventi imprevisti in https://security.microsoft.com/incidents-queue.	Giornaliera	Verificare che tutti gli eventi imprevisti di gravità media e alta di Defender per Office 365 siano stati verificati.	Team delle operazioni di sicurezza
Analizzare e intraprendere azioni di risposta in caso di eventi imprevisti.	Giornaliera	Analizzare tutti gli eventi imprevisti e intraprendere attivamente le azioni di risposta consigliate o manuali.	Team delle operazioni di sicurezza
Risolvere gli eventi imprevisti.	Giornaliera	Se l'evento imprevisto è stato risolto, risolvere l'evento imprevisto. La risoluzione dell'evento imprevisto risolve tutti gli avvisi attivi collegati e correlati.	Team delle operazioni di sicurezza
Classificare gli eventi imprevisti.	Giornaliera	Classificare gli eventi imprevisti come true o false. Per gli avvisi true, specificare il tipo di minaccia. Questa classificazione consente al team di sicurezza di visualizzare i modelli di minaccia e di difenderne l'organizzazione.	Team delle operazioni di sicurezza

Gestire i rilevamenti falsi positivi e falsi negativi

In Defender per Office 365, si gestiscono falsi positivi (posta buona contrassegnata come non valida) e falsi negativi (posta non valida consentita) nelle posizioni seguenti:

• Pagina Invii (invii di amministratori).The Submissions page (admin submissions).
• Elenco tenant consentiti/bloccati
• Esplora minacce

Per altre informazioni, vedere la sezione Gestire i rilevamenti falsi positivi e falsi negativi più avanti in questo articolo.

Nella tabella seguente vengono descritti i falsi positivi e i falsi negativi e i responsabili:

Attività	Cadenza	Descrizione	Utente
Inviare falsi positivi e falsi negativi a Microsoft all'indirizzo https://security.microsoft.com/reportsubmission.	Giornaliera	Fornire segnali a Microsoft segnalando i rilevamenti di messaggi di posta elettronica, URL e file non corretti.	Team delle operazioni di sicurezza
Analizzare i dettagli dell'invio dell'amministratore.	Giornaliera	Comprendere i fattori seguenti per gli invii inviati a Microsoft: Cosa ha causato il falso positivo o il falso negativo. Stato della configurazione Defender per Office 365 al momento dell'invio. Se è necessario apportare modifiche alla configurazione Defender per Office 365.	Team delle operazioni di sicurezza Amministrazione della sicurezza
Aggiungere voci di blocco nell'elenco tenant consentiti/bloccati all'indirizzo https://security.microsoft.com/tenantAllowBlockList.	Giornaliera	Usare l'elenco tenant consentiti/bloccati per aggiungere voci di blocco per i rilevamenti falsi negativi di URL, file o mittenti in base alle esigenze.	Team delle operazioni di sicurezza
Rilasciare il falso positivo dalla quarantena.	Giornaliera	Dopo che il destinatario conferma che il messaggio è stato messo in quarantena in modo errato, è possibile rilasciare o approvare le richieste di rilascio per gli utenti. Per controllare le operazioni che gli utenti possono eseguire ai propri messaggi in quarantena (inclusa la versione o la richiesta di rilascio), vedere Criteri di quarantena.	Team delle operazioni di sicurezza Team di messaggistica

Esaminare le campagne di phishing e malware che hanno generato la posta recapitata

Attività	Cadenza	Descrizione	Utente
Esaminare le campagne di posta elettronica.	Giornaliera	Esaminare le campagne di posta elettronica destinate all'organizzazione all'indirizzo https://security.microsoft.com/campaigns. Concentrarsi sulle campagne che hanno portato a recapitare i messaggi ai destinatari. Rimuovere i messaggi dalle campagne presenti nelle cassette postali degli utenti. Questa azione è necessaria solo quando una campagna contiene messaggi di posta elettronica che non sono già stati corretti da azioni da eventi imprevisti, eliminazione automatica a zero ore (ZAP) o correzione manuale.	Team delle operazioni di sicurezza

Attività settimanali

Esaminare le tendenze di rilevamento della posta elettronica nei report Defender per Office 365

In Defender per Office 365 è possibile usare i report seguenti per esaminare le tendenze di rilevamento della posta elettronica nell'organizzazione:

• Report sullo stato del flusso di posta
• Report sullo stato di Threat Protection

Attività	Cadenza	Descrizione	Utente
Esaminare i report di rilevamento della posta elettronica all'indirizzo: https://security.microsoft.com/reports/TPSAggregateReportATP https://security.microsoft.com/mailflowStatusReport?viewid=type	Settimanale	Esaminare le tendenze di rilevamento della posta elettronica per malware, phishing e posta indesiderata rispetto alla posta elettronica valida. L'osservazione nel tempo consente di visualizzare i modelli di minaccia e determinare se è necessario modificare i criteri di Defender per Office 365.	Amministrazione della sicurezza Team delle operazioni di sicurezza

Tenere traccia e rispondere alle minacce emergenti usando l'analisi delle minacce

Usare Analisi delle minacce per esaminare le minacce attive e di tendenza.

Attività	Cadenza	Descrizione	Utente
Esaminare le minacce in Analisi delle minacce all'indirizzo https://security.microsoft.com/threatanalytics3.	Settimanale	Analisi delle minacce fornisce un'analisi dettagliata, inclusi gli elementi seguenti: IOC. Ricerca di query sugli attori attivi delle minacce e sulle relative campagne. Tecniche di attacco nuove e popolari. Vulnerabilità critiche. Superfici di attacco comuni. Malware prevalente.	Team delle operazioni di sicurezza Team di ricerca delle minacce

Esaminare gli utenti di destinazione principali per malware e phishing

Usare la scheda Utenti di destinazione principali (visualizzazione) nell'area dei dettagli delle visualizzazioni Tutti i messaggi di posta elettronica, Malware e Phish in Esplora minacce per individuare o confermare gli utenti che sono le destinazioni principali per malware e posta elettronica di phishing.

Attività	Cadenza	Descrizione	Utente
Esaminare la scheda Utenti di destinazione principali in Esplora minacce all'indirizzo https://security.microsoft.com/threatexplorer.	Settimanale	Usare le informazioni per decidere se è necessario modificare i criteri o le protezioni per questi utenti. Aggiungere gli utenti interessati agli account Priority per ottenere i vantaggi seguenti: Visibilità aggiuntiva quando gli eventi imprevisti li interessano. Euristica personalizzata per i modelli di flusso di posta executive (protezione dell'account prioritario). Email problemi per il report degli account con priorità	Amministrazione della sicurezza Team delle operazioni di sicurezza

Esaminare le principali campagne di malware e phishing destinate all'organizzazione

Le visualizzazioni campagna rivelano attacchi malware e phishing contro l'organizzazione. Per altre informazioni, vedere Visualizzazioni della campagna in Microsoft Defender per Office 365.

Attività	Cadenza	Descrizione	Utente
Usare Le visualizzazioni campagna in https://security.microsoft.com/campaigns per esaminare gli attacchi di malware e phishing che interessano l'utente.	Settimanale	Informazioni su attacchi e tecniche e su quali Defender per Office 365 sono stati in grado di identificare e bloccare. Usare Scarica report sulle minacce nelle visualizzazioni campagna per informazioni dettagliate su una campagna.	Team delle operazioni di sicurezza

Attività ad hoc

Indagine manuale e rimozione della posta elettronica

Attività	Cadenza	Descrizione	Utente
Analizzare e rimuovere messaggi di posta elettronica non validi in Esplora minacce in base alle https://security.microsoft.com/threatexplorer richieste degli utenti.	Ad hoc	Usare l'azione Attiva indagine in Esplora minacce per avviare un playbook di analisi e risposta automatizzato su qualsiasi messaggio di posta elettronica degli ultimi 30 giorni. L'attivazione manuale di un'indagine consente di risparmiare tempo e fatica includendo centralmente: Un'indagine radice. Passaggi per identificare e correlare le minacce. Azioni consigliate per mitigare tali minacce. Per altre informazioni, vedere Esempio: Un messaggio di phishing segnalato dall'utente avvia un playbook di indagine In alternativa, è possibile usare Esplora minacce per analizzare manualmente la posta elettronica con potenti funzionalità di ricerca e filtro ed eseguire azioni di risposta manuale direttamente dalla stessa posizione. Azioni manuali disponibili: Passare alla posta in arrivo Passare alla posta indesiderata Passare a Elementi eliminati Elimina temporaneamente Eliminazione rigido.	Team delle operazioni di sicurezza

Ricerca proattiva delle minacce

Attività	Cadenza	Descrizione	Utente
Ricerca regolare e proattiva delle minacce all'indirizzo: https://security.microsoft.com/threatexplorer https://security.microsoft.com/v2/advanced-hunting .	Ad hoc	Search per le minacce tramite Esplora minacce e Ricerca avanzata.	Team delle operazioni di sicurezza Team di ricerca delle minacce
Condividere le query di ricerca.	Ad hoc	Condividere attivamente query utili e usate di frequente all'interno del team di sicurezza per una ricerca manuale più rapida delle minacce e la correzione. Usare i tracker delleminacce e le query condivise nella ricerca avanzata.	Team delle operazioni di sicurezza Team di ricerca delle minacce
Create regole di rilevamento personalizzate in https://security.microsoft.com/custom_detection.	Ad hoc	Create regole di rilevamento personalizzate per monitorare in modo proattivo eventi, modelli e minacce in base ai dati Defender per Office 365 in Ricerca avanzata. Le regole di rilevamento contengono query di ricerca avanzate che generano avvisi in base ai criteri corrispondenti.	Team delle operazioni di sicurezza Team di ricerca delle minacce

Esaminare le configurazioni dei criteri di Defender per Office 365

Attività	Cadenza	Descrizione	Utente
Esaminare la configurazione dei criteri di Defender per Office 365 all'indirizzo https://security.microsoft.com/configurationAnalyzer.	Ad hoc Mensile	Usare l'analizzatore di configurazione per confrontare le impostazioni dei criteri esistenti con i valori Standard o Strict consigliati per Defender per Office 365. L'analizzatore di configurazione identifica le modifiche accidentali o dannose che possono ridurre il comportamento di sicurezza dell'organizzazione. In alternativa, è possibile usare lo strumento ORCA basato su PowerShell.	Amministrazione della sicurezza Team di messaggistica
Esaminare le sostituzioni di rilevamento in Defender per Office 365 all'indirizzohttps://security.microsoft.com/reports/TPSMessageOverrideReportATP	Ad hoc Mensile	Usare la suddivisione Visualizza dati in base al sistema per la > suddivisione del grafico in base al motivo nel report sullo stato di Threat Protection per esaminare i messaggi di posta elettronica rilevati come phishing ma recapitati a causa delle impostazioni di sostituzione dei criteri o degli utenti. Analizzare, rimuovere o ottimizzare attivamente le sostituzioni per evitare il recapito di messaggi di posta elettronica che sono stati ritenuti dannosi.	Amministrazione della sicurezza Team di messaggistica

Esaminare i rilevamenti di spoofing e rappresentazione

Attività	Cadenza	Descrizione	Utente
Esaminare le informazioni dettagliate sull'intelligence spoofing e le informazioni dettagliate sul rilevamento della rappresentazione all'indirizzo https://security.microsoft.com/spoofintelligence https://security.microsoft.com/impersonationinsight .	Ad hoc Mensile	Usare le informazioni dettagliate di intelligence sullo spoofing e le informazioni dettagliate sulla rappresentazione per regolare i filtri per i rilevamenti di spoofing e rappresentazione.	Amministrazione della sicurezza Team di messaggistica

Esaminare l'appartenenza all'account con priorità

Attività	Cadenza	Descrizione	Utente
Verificare chi è definito come account prioritario in https://security.microsoft.com/securitysettings/userTags.	Ad hoc	Mantenere aggiornata l'appartenenza agli account con priorità con le modifiche dell'organizzazione per ottenere i vantaggi seguenti per tali utenti: Maggiore visibilità nei report. Filtro in eventi imprevisti e avvisi. Euristica personalizzata per i modelli di flusso di posta executive (protezione dell'account prioritario). Usare tag utente personalizzati per altri utenti per ottenere: Maggiore visibilità nei report. Filtro in eventi imprevisti e avvisi.	Team delle operazioni di sicurezza

Appendice

Informazioni su strumenti e processi Microsoft Defender per Office 365

Le operazioni di sicurezza e i membri del team di risposta devono integrare Defender per Office 365 strumenti e funzionalità nelle indagini e nei processi di risposta esistenti. L'apprendimento di nuovi strumenti e funzionalità può richiedere tempo, ma è una parte fondamentale del processo di onboarding. Il modo più semplice per i membri del team di sicurezza di SecOps e posta elettronica per conoscere Defender per Office 365 consiste nell'usare il contenuto di training disponibile come parte del contenuto di training ninja all'indirizzo https://aka.ms/mdoninja.

Il contenuto è strutturato per diversi livelli di conoscenza (nozioni di base, intermedie e avanzate) con più moduli per livello.

Brevi video per attività specifiche sono disponibili anche nel canale YouTube Microsoft Defender per Office 365.

Autorizzazioni per attività e attività Defender per Office 365

Le autorizzazioni per la gestione Defender per Office 365 nel portale di Microsoft Defender e in PowerShell si basano sul modello di autorizzazioni del controllo degli accessi in base al ruolo. Il controllo degli accessi in base al ruolo è lo stesso modello di autorizzazioni usato dalla maggior parte dei servizi di Microsoft 365. Per altre informazioni, vedere Autorizzazioni nel portale di Microsoft Defender.

Nota

Privileged Identity Management (PIM) in Microsoft Entra ID è anche un modo per assegnare le autorizzazioni necessarie al personale SecOps. Per altre informazioni, vedere Privileged Identity Management (PIM) e perché usarlo con Microsoft Defender per Office 365.

Le autorizzazioni seguenti (ruoli e gruppi di ruoli) sono disponibili in Defender per Office 365 e possono essere usate per concedere l'accesso ai membri del team di sicurezza:

• Microsoft Entra ID: ruoli centralizzati che assegnano autorizzazioni per tutti i servizi di Microsoft 365, inclusi i Defender per Office 365. È possibile visualizzare i ruoli Microsoft Entra e gli utenti assegnati nel portale di Microsoft Defender, ma non è possibile gestirli direttamente. È invece possibile gestire Microsoft Entra ruoli e membri in https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. I ruoli più frequenti usati dai team di sicurezza sono:

  • Amministratore della sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza

• collaborazione Exchange Online e Email &: ruoli e gruppi di ruoli che concedono l'autorizzazione specifica per Microsoft Defender per Office 365. I ruoli seguenti non sono disponibili in Microsoft Entra ID, ma possono essere importanti per i team di sicurezza:

  • Ruolo anteprima (collaborazione Email &): assegnare questo ruolo ai membri del team che devono visualizzare in anteprima o scaricare i messaggi di posta elettronica come parte delle attività di indagine. Consente agli utenti di visualizzare in anteprima e scaricare messaggi di posta elettronica dalle cassette postali cloud usando Esplora minacce (Esplora minacce) o rilevamenti in tempo reale e la pagina dell'entità Email.

    Per impostazione predefinita, il ruolo Anteprima viene assegnato solo ai gruppi di ruoli seguenti:

    • Data Investigator
    • Gestione di eDiscovery

    È possibile aggiungere utenti a tali gruppi di ruoli oppure creare un nuovo gruppo di ruoli con il ruolo Anteprima assegnato e aggiungere gli utenti al gruppo di ruoli personalizzato.

  • Search e ruolo di eliminazione (collaborazione Email &): approvare l'eliminazione di messaggi dannosi come consigliato da AIR o eseguire azioni manuali sui messaggi in esperienze di ricerca come Threat Explorer.

    Per impostazione predefinita, il ruolo Search ed Eliminazione viene assegnato solo ai gruppi di ruoli seguenti:

    • Data Investigator
    • Gestione organizzazione

    È possibile aggiungere utenti a tali gruppi di ruoli oppure creare un nuovo gruppo di ruoli con il ruolo Search e Ripulisci assegnato e aggiungere gli utenti al gruppo di ruoli personalizzato.

  • Tenant AllowBlockList Manager (Exchange Online): gestire le voci consenti e blocca nell'elenco tenant consentiti/bloccati. Il blocco di URL, file (tramite hash file) o mittenti è un'azione di risposta utile da eseguire durante l'analisi dei messaggi di posta elettronica dannosi recapitati.

    Per impostazione predefinita, questo ruolo viene assegnato solo al gruppo di ruoli Operatore di sicurezza in Exchange Online, non in Microsoft Entra ID. L'appartenenza al ruolo Operatore di sicurezza in Microsoft Entra IDnon consente di gestire le voci dell'elenco tenant consentiti/bloccati.

    I membri dei ruoli di gestione dell'amministratore della sicurezza o dell'organizzazione in Microsoft Entra ID o i gruppi di ruoli corrispondenti in Exchange Online sono in grado di gestire le voci nell'elenco tenant consentiti/bloccati.

Integrazione SIEM/SOAR

Defender per Office 365 espone la maggior parte dei dati tramite un set di API programmatiche. Queste API consentono di automatizzare i flussi di lavoro e di usare appieno le funzionalità di Defender per Office 365. I dati sono disponibili tramite le API Microsoft Defender XDR e possono essere usati per integrare Defender per Office 365 nelle soluzioni SIEM/SOAR esistenti.

• API Eventi imprevisti: gli avvisi Defender per Office 365 e le indagini automatizzate sono parti attive degli eventi imprevisti in Microsoft Defender XDR. I team di sicurezza possono concentrarsi su ciò che è critico raggruppando l'ambito di attacco completo e tutti gli asset interessati.

• API di streaming di eventi: consente la spedizione di eventi e avvisi in tempo reale in un singolo flusso di dati man mano che si verificano. I tipi di evento supportati in Defender per Office 365 includono:

  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo

  Gli eventi contengono dati provenienti dall'elaborazione di tutti i messaggi di posta elettronica (inclusi i messaggi all'interno dell'organizzazione) negli ultimi 30 giorni.

• API Di ricerca avanzata: consente la ricerca di minacce tra prodotti.

• API Valutazione delle minacce: può essere usata per segnalare posta indesiderata, URL di phishing o allegati malware direttamente a Microsoft.

Per connettere Defender per Office 365 eventi imprevisti e dati non elaborati con Microsoft Sentinel, è possibile usare il connettore Microsoft Defender XDR (M365D)

È possibile usare l'esempio "Hello World" seguente per testare l'accesso api alle API Microsoft Defender: Hello World per Microsoft Defender XDR API REST.

Per altre informazioni sull'integrazione degli strumenti SIEM, vedere Integrare gli strumenti SIEM con Microsoft Defender XDR.

Risolvere i falsi positivi e i falsi negativi in Defender per Office 365

I messaggi segnalati dall'utente e gli invii di messaggi di posta elettronica sono segnali di rinforzo positivi critici per i sistemi di rilevamento di Machine Learning. Gli invii consentono di esaminare, valutare, apprendere rapidamente e attenuare gli attacchi. La segnalazione attiva di falsi positivi e falsi negativi è un'attività importante che fornisce feedback alle Defender per Office 365 quando si verificano errori durante il rilevamento.

Le organizzazioni hanno più opzioni per configurare i messaggi segnalati dall'utente. A seconda della configurazione, i team di sicurezza potrebbero avere un coinvolgimento più attivo quando gli utenti inviano falsi positivi o falsi negativi a Microsoft:

• I messaggi segnalati dall'utente vengono inviati a Microsoft per l'analisi quando le impostazioni segnalate dall'utente sono configurate con una delle impostazioni seguenti:

  • Inviare i messaggi segnalati solo a: Microsoft.
  • Inviare i messaggi segnalati a: Microsoft e la cassetta postale di report.

  I membri dei team di sicurezza devono eseguire invii di amministratori ad hoc quando il team operativo individua falsi positivi o falsi negativi che non sono stati segnalati dagli utenti.

• Quando i messaggi segnalati dall'utente sono configurati per inviare messaggi solo alla cassetta postale dell'organizzazione, i team di sicurezza devono inviare attivamente falsi positivi segnalati dall'utente e falsi negativi a Microsoft tramite invii di amministratori.

Quando un utente segnala un messaggio come phishing, Defender per Office 365 genera un avviso e l'avviso attiva un playbook AIR. La logica degli eventi imprevisti correla queste informazioni ad altri avvisi ed eventi, ove possibile. Questo consolidamento delle informazioni consente ai team di sicurezza di valutare, analizzare e rispondere ai messaggi segnalati dall'utente.

La pipeline di invio nel servizio segue un processo strettamente integrato quando gli utenti segnalano i messaggi e gli amministratori inviano messaggi. Questo processo include:

• Riduzione del rumore.
• Valutazione automatizzata.
• Classificazione da parte di analisti della sicurezza e soluzioni basate su Machine Learning basate su partner umani.

Per altre informazioni, vedere Segnalazione di un messaggio di posta elettronica in Defender per Office 365 - Microsoft Tech Community.

I membri del team di sicurezza possono eseguire gli invii da più posizioni nel portale di Microsoft Defender all'indirizzo https://security.microsoft.com:

• Amministrazione invio: usare la pagina Invii per inviare messaggi di posta indesiderata, phishing, URL e file sospetti a Microsoft.

• Direttamente da Threat Explorer usando una delle azioni di messaggio seguenti:

  • Pulizia del report
  • Segnalare il phishing
  • Segnalare malware
  • Segnala posta indesiderata

  È possibile selezionare fino a 10 messaggi per eseguire un invio bulk. Amministrazione gli invii creati con questi metodi sono visibili nelle rispettive schede nella pagina Invii.

Per la mitigazione a breve termine dei falsi negativi, i team di sicurezza possono gestire direttamente le voci di blocco per file, URL e domini o indirizzi di posta elettronica nell'elenco tenant consentiti/bloccati.

Per la mitigazione a breve termine dei falsi positivi, i team di sicurezza non possono gestire direttamente le voci consentite per domini e indirizzi di posta elettronica nell'elenco tenant consentiti/bloccati. Al contrario, devono usare gli invii di amministratore per segnalare il messaggio di posta elettronica come falso positivo. Per istruzioni, vedere Segnalare un messaggio di posta elettronica valido a Microsoft.

La quarantena in Defender per Office 365 contiene messaggi e file potenzialmente pericolosi o indesiderati. I team di sicurezza possono visualizzare, rilasciare ed eliminare tutti i tipi di messaggi in quarantena per tutti gli utenti. Questa funzionalità consente ai team di sicurezza di rispondere in modo efficace quando un file o un messaggio falso positivo viene messo in quarantena.

Integrare strumenti di report di terze parti con Defender per Office 365 messaggi segnalati dall'utente

Se l'organizzazione usa uno strumento di report di terze parti che consente agli utenti di segnalare internamente messaggi di posta elettronica sospetti, è possibile integrare lo strumento con le funzionalità dei messaggi segnalati dall'utente di Defender per Office 365. Questa integrazione offre i vantaggi seguenti per i team di sicurezza:

• Integrazione con le funzionalità AIR di Defender per Office 365.
• Valutazione semplificata.
• Riduzione del tempo di indagine e risposta.

Designare la cassetta postale di report in cui vengono inviati messaggi segnalati dall'utente nella pagina Impostazioni segnalate dall'utente nel portale di Microsoft Defender all'indirizzo https://security.microsoft.com/securitysettings/userSubmission. Per altre informazioni, vedere Impostazioni segnalate dall'utente.

Nota

• La cassetta postale di report deve essere una cassetta postale Exchange Online.
• Lo strumento di creazione di report di terze parti deve includere il messaggio segnalato originale come un oggetto non compresso. EML o . Allegato msg nel messaggio inviato alla cassetta postale di report (non solo inoltrare il messaggio originale alla cassetta postale di report). Per altre informazioni, vedere Formato di invio di messaggi per gli strumenti di creazione di report di terze parti.
• La cassetta postale di report richiede prerequisiti specifici per consentire il recapito di messaggi potenzialmente non validi senza essere filtrati o modificati. Per altre informazioni, vedere Requisiti di configurazione per la cassetta postale di report.

Quando un messaggio segnalato dall'utente arriva nella cassetta postale di report, Defender per Office 365 genera automaticamente l'avviso denominato Email segnalato dall'utente come malware o phishing. Questo avviso avvia un playbook AIR. Il playbook esegue una serie di passaggi di indagine automatizzati:

• Raccogliere dati sul messaggio di posta elettronica specificato.
• Raccogliere dati sulle minacce e sulle entità correlate al messaggio di posta elettronica, ad esempio file, URL e destinatari.
• Fornire le azioni consigliate per il team SecOps da intraprendere in base ai risultati dell'indagine.

Email segnalati dall'utente come avvisi di malware o phishing, le indagini automatizzate e le azioni consigliate sono automaticamente correlate agli eventi imprevisti in Microsoft Defender XDR. Questa correlazione semplifica ulteriormente il processo di valutazione e risposta per i team di sicurezza. Se più utenti segnalano gli stessi messaggi o simili, tutti gli utenti e i messaggi sono correlati allo stesso evento imprevisto.

I dati di avvisi e indagini in Defender per Office 365 vengono confrontati automaticamente con avvisi e indagini negli altri prodotti Microsoft Defender XDR:

• Microsoft Defender per endpoint
• Microsoft Defender for Cloud Apps
• Microsoft Defender per identità

Se viene individuata una relazione, il sistema crea un evento imprevisto che offre visibilità per l'intero attacco.