Gestire eventi imprevisti e avvisi da Microsoft Defender per Office 365 in Microsoft Defender XDR

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Un evento imprevisto in Microsoft Defender XDR è una raccolta di avvisi correlati e dati associati che definiscono la storia completa di un attacco. Defender per Office 365 avvisi, l'analisi e la risposta automatizzate (AIR) e il risultato delle indagini sono integrati in modo nativo e correlati nella pagina Eventi imprevisti in Microsoft Defender XDR all'indirizzo https://security.microsoft.com/incidents-queue. Questa pagina viene definita coda eventi imprevisti.

Gli avvisi vengono creati quando un'attività dannosa o sospetta influisce su un'entità ( ad esempio, posta elettronica, utenti o cassette postali). Gli avvisi forniscono informazioni dettagliate utili sugli attacchi in corso o completati. Tuttavia, un attacco in corso può influire su più entità, generando più avvisi da origini diverse. Alcuni avvisi predefiniti attivano automaticamente i playbook AIR. Questi playbook eseguono una serie di passaggi di indagine per cercare altre entità interessate o attività sospette.

Guardare questo breve video su come gestire gli avvisi Microsoft Defender per Office 365 in Microsoft Defender XDR.

Defender per Office 365 gli avvisi, le indagini e i relativi dati vengono automaticamente correlati. Quando viene determinata una relazione, il sistema crea un evento imprevisto per dare visibilità ai team di sicurezza per l'intero attacco.

È consigliabile che i team SecOps gestino gli eventi imprevisti e gli avvisi da Defender per Office 365 nella coda Eventi imprevisti in https://security.microsoft.com/incidents-queue. Questo approccio presenta i vantaggi seguenti:

• Più opzioni per la gestione:

  • Priorità
  • Filtro
  • Classificazione
  • Gestione dei tag

  È possibile prendere gli eventi imprevisti direttamente dalla coda o assegnarli a un utente. I commenti e la cronologia dei commenti possono aiutare a tenere traccia dello stato di avanzamento.

• Se l'attacco influisce su altri carichi di lavoro protetti da Microsoft Defender^*, anche gli avvisi, le indagini e i relativi dati correlati sono correlati allo stesso evento imprevisto.

  ^*Microsoft Defender per endpoint, Microsoft Defender per identità e Microsoft Defender for Cloud Apps.

• La logica di correlazione complessa non è necessaria, perché la logica viene fornita dal sistema.

• Se la logica di correlazione non soddisfa completamente le proprie esigenze, è possibile aggiungere avvisi agli eventi imprevisti esistenti o creare nuovi eventi imprevisti.

• Gli avvisi correlati Defender per Office 365, le indagini AIR e le azioni in sospeso delle indagini vengono aggiunti automaticamente agli eventi imprevisti.

• Se l'indagine AIR non rileva alcuna minaccia, il sistema risolve automaticamente gli avvisi correlati Se tutti gli avvisi all'interno di un evento imprevisto vengono risolti, anche lo stato dell'evento imprevisto viene modificato in Risolto.

• Le azioni di prova e risposta correlate vengono aggregate automaticamente nella scheda Evidenza e risposta dell'evento imprevisto.

• I membri del team di sicurezza possono intraprendere azioni di risposta direttamente dagli eventi imprevisti. Ad esempio, possono eliminare temporaneamente la posta elettronica nelle cassette postali o rimuovere le regole sospette della posta in arrivo dalle cassette postali.

• Le azioni di posta elettronica consigliate vengono create solo quando la posizione di recapito più recente di un messaggio di posta elettronica dannoso è una cassetta postale cloud.

• Le azioni di posta elettronica in sospeso vengono aggiornate in base alla posizione di recapito più recente. Se il messaggio di posta elettronica è già stato corretto da un'azione manuale, lo stato lo riflette.

• Le azioni consigliate vengono create solo per i cluster di posta elettronica e di posta elettronica che sono determinati come le minacce più critiche:

  • Malware
  • Messaggio di phishing altamente riservato
  • URL dannosi
  • File dannosi

Nota

Gli eventi imprevisti non rappresentano solo eventi statici. Rappresentano anche storie di attacco che si verificano nel tempo. Man mano che l'attacco avanza, nuovi avvisi Defender per Office 365, indagini AIR e i relativi dati vengono aggiunti continuamente all'evento imprevisto esistente.

Gestire gli eventi imprevisti nella pagina Eventi imprevisti nel portale di Microsoft Defender all'indirizzo https://security.microsoft.com/incidents-queue:

Gestire gli eventi imprevisti nella pagina Eventi imprevisti in Microsoft Sentinel all'indirizzo https://portal.azure.com/#blade/HubsExtension/BrowseResource/resourceType/microsoft.securityinsightsarg%2Fsentinel:

Azioni di risposta da eseguire

I team di sicurezza possono eseguire un'ampia gamma di azioni di risposta tramite posta elettronica usando Defender per Office 365 strumenti:

• È possibile eliminare i messaggi, ma è anche possibile eseguire le azioni seguenti nella posta elettronica:

  • Passare alla posta in arrivo
  • Passare alla posta indesiderata
  • Sposta negli elementi eliminati
  • Elimina temporaneamente
  • Eliminazione rigido.

  È possibile eseguire queste azioni dalle posizioni seguenti:

  • La scheda Evidenza e risposta dei dettagli dell'evento imprevisto nella pagina Eventi imprevisti ** all'indirizzo https://security.microsoft.com/incidents-queue (scelta consigliata).
  • Esplora minacce in https://security.microsoft.com/threatexplorer.
  • Centro notifiche unificato all'indirizzo https://security.microsoft.com/action-center/pending.

• È possibile avviare manualmente un playbook AIR in qualsiasi messaggio di posta elettronica usando l'azione Di indagine trigger in Esplora minacce.

• È possibile segnalare rilevamenti falsi positivi o falsi negativi direttamente a Microsoft usando Threat Explorer o gli invii di amministratori.

• È possibile bloccare file dannosi non rilevati, URL o mittenti usando l'elenco tenant consentiti/bloccati.

Le azioni in Defender per Office 365 sono perfettamente integrate nelle esperienze di ricerca e la cronologia delle azioni è visibile nella scheda Cronologia del Centro notifiche unificato all'indirizzo https://security.microsoft.com/action-center/history.

Il modo più efficace per intervenire consiste nell'usare l'integrazione predefinita con gli eventi imprevisti in Microsoft Defender XDR. È possibile approvare le azioni consigliate da AIR in Defender per Office 365 nella scheda Evidenza e risposta di un evento imprevisto in Microsoft Defender XDR. Questo metodo di azione di tacking è consigliato per i motivi seguenti:

• Si analizza la storia completa dell'attacco.
• È possibile trarre vantaggio dalla correlazione predefinita con altri carichi di lavoro: Microsoft Defender per endpoint, Microsoft Defender per identità e Microsoft Defender for Cloud Apps.
• Si eserciscono azioni sulla posta elettronica da un'unica posizione.

Si interviene sulla posta elettronica in base al risultato di un'indagine manuale o di un'attività di ricerca. Esplora minacce consente ai membri del team di sicurezza di intervenire su tutti i messaggi di posta elettronica che potrebbero ancora esistere nelle cassette postali cloud. Possono intervenire sui messaggi all'interno dell'organizzazione inviati tra gli utenti dell'organizzazione. I dati di Esplora minacce sono disponibili per gli ultimi 30 giorni.

Guardare questo breve video per informazioni su come Microsoft Defender XDR combina gli avvisi di varie origini di rilevamento, ad esempio Defender per Office 365, in eventi imprevisti.