Trusselundersøkelse og respons
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk 90-dagers prøveversjonen av Defender for Office 365 på prøveversjonen av Microsoft Defender-portalen. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.
Trusselundersøkelser og svarfunksjoner i Microsoft Defender for Office 365 hjelper sikkerhetsanalytikere og administratorer med å beskytte organisasjonens Brukere av Microsoft 365 for bedrifter ved å:
- Gjør det enkelt å identifisere, overvåke og forstå cyberangrep.
- Bidrar til raskt å håndtere trusler i Exchange Online, SharePoint Online, OneDrive for Business og Microsoft Teams.
- Gi innsikt og kunnskap for å hjelpe sikkerhetsoperasjoner med å forhindre cyberangrep mot organisasjonen.
- Bruke automatisert undersøkelse og respons i Office 365 for kritiske e-postbaserte trusler.
Trusselundersøkelser og responsfunksjoner gir innsikt i trusler og relaterte responshandlinger som er tilgjengelige i Microsoft Defender-portalen. Denne innsikten kan hjelpe organisasjonens sikkerhetsteam med å beskytte brukere mot e-post- eller filbaserte angrep. Funksjonene bidrar til å overvåke signaler og samle inn data fra flere kilder, for eksempel brukeraktivitet, godkjenning, e-post, kompromitterte PC-er og sikkerhetshendelser. Beslutningstakere og sikkerhetsteamet ditt kan bruke denne informasjonen til å forstå og svare på trusler mot organisasjonen og beskytte immaterielle rettigheter.
Bli kjent med trusselundersøkelser og responsverktøy
Trusselundersøkelser og svarfunksjoner i Microsoft Defender-portalen er https://security.microsoft.com et sett med verktøy og responsarbeidsflyter som inkluderer:
Utforsker
Bruk Explorer (og sanntidsregistreringer) til å analysere trusler, se volumet av angrep over tid og analysere data etter trusselfamilier, angriperinfrastruktur og mer. Explorer (også kalt Trusselutforsker) er utgangspunktet for alle sikkerhetsanalytikernes undersøkelsesarbeidsflyt.
Hvis du vil vise og bruke denne rapporten i Microsoft Defender-portalen på https://security.microsoft.com, kan du gå til E-& samarbeidsutforsker>. Du kan også gå direkte til Explorer-siden ved å bruke https://security.microsoft.com/threatexplorer.
Office 365 Threat Intelligence-tilkobling
Denne funksjonen er bare tilgjengelig hvis du har et aktivt Office 365 E5- eller G5- eller Microsoft 365 E5- eller G5-abonnement eller Threat Intelligence-tillegget. Hvis du vil ha mer informasjon, kan du se produktsiden for Office 365 Enterprise E5.
Data fra Microsoft Defender for Office 365 er innlemmet i Microsoft Defender XDR for å gjennomføre en omfattende sikkerhetsundersøkelse på tvers av Office 365-postbokser og Windows-enheter.
Hendelser
Bruk Hendelser-listen (dette kalles også Undersøkelser) for å se en liste over hendelser med flysikkerhet. Hendelser brukes til å spore trusler som mistenkelige e-postmeldinger, og til å gjennomføre videre undersøkelser og utbedring.
Hvis du vil vise listen over gjeldende hendelser for organisasjonen i Microsoft Defender-portalen på https://security.microsoft.com, kan du gå til Hendelser & varsler hendelser>. Hvis du vil gå direkte til Hendelser-siden , kan du bruke https://security.microsoft.com/incidents.
Opplæring i angrepssimulering
Bruk opplæring for angrepssimulering til å konfigurere og kjøre realistiske cyberangrep i organisasjonen, og identifiser sårbare personer før et ekte cyberangrep påvirker bedriften din. Hvis du vil ha mer informasjon, kan du se Simulere et phishing-angrep.
Hvis du vil vise og bruke denne funksjonen i Microsoft Defender-portalen på https://security.microsoft.com, kan du gå til E-& samarbeid>– Angrepssimuleringsopplæring. Eller, for å gå direkte til Attack simulering trening siden, bruk https://security.microsoft.com/attacksimulator?viewid=overview.
Automatisert undersøkelse og svar
Bruk automatiserte undersøkelses- og responsfunksjoner (AIR) for å spare tid og krefter på å relatere innhold, enheter og personer som er utsatt for trusler i organisasjonen. AIR-prosesser kan starte når bestemte varsler utløses, eller når de startes av sikkerhetsoperasjonsteamet. Hvis du vil ha mer informasjon, kan du se automatisert undersøkelse og svar i Office 365.
Kontrollprogrammer for trusselintelligens
Som en del av Microsoft Defender for Office 365 Plan 2-tilbudet kan sikkerhetsanalytikere se gjennom detaljer om en kjent trussel. Dette er nyttig for å finne ut om det finnes flere forebyggende tiltak/trinn som kan utføres for å holde brukerne trygge.
Hvordan får vi tak i disse funksjonene?
Trusselundersøkelser og svarfunksjoner for Microsoft 365 er inkludert i Microsoft Defender for Office 365 Plan 2, som er inkludert i Enterprise E5 eller som et tillegg til bestemte abonnementer. Hvis du vil ha mer informasjon, kan du se Defender for Office 365 Plan 1 kontra Jukselapp for plan 2.
Obligatoriske roller og tillatelser
Microsoft Defender for Office 365 bruker rollebasert tilgangskontroll. Tillatelser tilordnes gjennom bestemte roller i Microsoft Entra ID, administrasjonssenteret for Microsoft 365 eller Microsoft Defender-portalen.
Tips
Selv om noen roller, for eksempel sikkerhetsadministrator, kan tilordnes i Microsoft Defender-portalen, bør du vurdere å bruke enten administrasjonssenteret for Microsoft 365 eller Microsoft Entra ID i stedet. Hvis du vil ha informasjon om roller, rollegrupper og tillatelser, kan du se følgende ressurser:
Aktivitet | Roller og tillatelser |
---|---|
Bruke instrumentbordet for Behandling av sikkerhetsproblemer i Microsoft Defender Vis informasjon om nylige eller gjeldende trusler |
Ett av følgende:
Disse rollene kan tilordnes enten i Microsoft Entra ID (https://portal.azure.com) eller administrasjonssenteret for Microsoft 365 (https://admin.microsoft.com). |
Bruke Explorer (og sanntidsregistreringer) til å analysere trusler | Ett av følgende:
Disse rollene kan tilordnes enten i Microsoft Entra ID (https://portal.azure.com) eller administrasjonssenteret for Microsoft 365 (https://admin.microsoft.com). |
Vis hendelser (også referert til som undersøkelser) Legge til e-postmeldinger i en hendelse |
Ett av følgende:
Disse rollene kan tilordnes enten i Microsoft Entra ID (https://portal.azure.com) eller administrasjonssenteret for Microsoft 365 (https://admin.microsoft.com). |
Utløse e-posthandlinger i en hendelse Finne og slette mistenkelige e-postmeldinger |
Ett av følgende:
Rollene global administrator* og sikkerhetsadministrator kan tilordnes i enten Microsoft Entra ID (https://portal.azure.com) eller administrasjonssenteret for Microsoft 365 (https://admin.microsoft.com). Søke - og tømmingsrollen må tilordnes i e-& samarbeidsroller i Microsoft 36 Defender-portalen (https://security.microsoft.com). |
Integrer Microsoft Defender for Office 365 Plan 2 med Microsoft Defender for Endpoint Integrer Microsoft Defender for Office 365 Plan 2 med en SIEM-server |
Enten den globale administratoren* eller sikkerhetsadministratorrollen som er tilordnet enten Microsoft Entra ID (https://portal.azure.com) eller administrasjonssenteret for Microsoft 365 (https://admin.microsoft.com). --- pluss --- En passende rolle tilordnet i flere programmer (for eksempel Microsoft Defender Sikkerhetssenter eller SIEM-serveren). |
Viktig
* Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.
Neste trinn
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for