Trusselundersøkelse og respons
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.
Trusselundersøkelser og svarfunksjoner i Microsoft Defender for Office 365 hjelpe sikkerhetsanalytikere og administratorer med å beskytte organisasjonens Microsoft 365 for forretningsbrukere ved å:
- Gjør det enkelt å identifisere, overvåke og forstå cyberangrep.
- Bidrar til raskt å håndtere trusler i Exchange Online, SharePoint Online, OneDrive for Business og Microsoft Teams.
- Gi innsikt og kunnskap for å hjelpe sikkerhetsoperasjoner med å forhindre cyberangrep mot organisasjonen.
- Bruke automatisert undersøkelse og respons i Office 365 for kritiske e-postbaserte trusler.
Trusselundersøkelser og responsfunksjoner gir innsikt i trusler og relaterte responshandlinger som er tilgjengelige i Microsoft Defender-portalen. Denne innsikten kan hjelpe organisasjonens sikkerhetsteam med å beskytte brukere mot e-post- eller filbaserte angrep. Funksjonene bidrar til å overvåke signaler og samle inn data fra flere kilder, for eksempel brukeraktivitet, godkjenning, e-post, kompromitterte PC-er og sikkerhetshendelser. Beslutningstakere og sikkerhetsteamet ditt kan bruke denne informasjonen til å forstå og svare på trusler mot organisasjonen og beskytte immaterielle rettigheter.
Bli kjent med trusselundersøkelser og responsverktøy
Trusselundersøkelser og svarfunksjoner i Microsoft Defender-portalen på https://security.microsoft.com er et sett med verktøy og responsarbeidsflyter som inkluderer:
Utforsker
Bruk Explorer (og sanntidsregistreringer) til å analysere trusler, se volumet av angrep over tid og analysere data etter trusselfamilier, angriperinfrastruktur og mer. Explorer (også kalt Trusselutforsker) er utgangspunktet for alle sikkerhetsanalytikernes undersøkelsesarbeidsflyt.
Hvis du vil vise og bruke denne rapporten i Microsoft Defender-portalen på https://security.microsoft.com, kan du gå til E-post & samarbeidsutforsker>. Du kan også gå direkte til Explorer-siden ved å bruke https://security.microsoft.com/threatexplorer.
tilkobling til Office 365 trusselintelligens
Denne funksjonen er bare tilgjengelig hvis du har et aktivt Office 365 E5- eller G5- eller Microsoft 365 E5- eller G5-abonnement eller Threat Intelligence-tillegget. Hvis du vil ha mer informasjon, kan du se produktsiden for Office 365 Enterprise E5.
Data fra Microsoft Defender for Office 365 er innlemmet i Microsoft Defender XDR for å gjennomføre en omfattende sikkerhetsundersøkelse på tvers av Office 365 postbokser og Windows-enheter.
Hendelser
Bruk Hendelser-listen (dette kalles også Undersøkelser) for å se en liste over hendelser med flysikkerhet. Hendelser brukes til å spore trusler som mistenkelige e-postmeldinger, og til å gjennomføre videre undersøkelser og utbedring.
Hvis du vil vise listen over gjeldende hendelser for organisasjonen i Microsoft Defender-portalen på https://security.microsoft.com, kan du gå til Hendelser & varsler hendelser>. Hvis du vil gå direkte til Hendelser-siden , kan du bruke https://security.microsoft.com/incidents.
Opplæring i angrepssimulering
Bruk Opplæring med simulert angrep til å konfigurere og kjøre realistiske cyberangrep i organisasjonen, og identifiser sårbare personer før et ekte cyberangrep påvirker bedriften din. Hvis du vil ha mer informasjon, kan du se Simulere et phishing-angrep.
Hvis du vil vise og bruke denne funksjonen i Microsoft Defender-portalen på https://security.microsoft.com, kan du gå til E-post & samarbeid>Opplæring med simulert angrep. Du kan også gå direkte til Opplæring med simulert angrep-siden ved å bruke https://security.microsoft.com/attacksimulator?viewid=overview.
Automatisert undersøkelse og svar
Bruk automatiserte undersøkelses- og responsfunksjoner (AIR) for å spare tid og krefter på å relatere innhold, enheter og personer som er utsatt for trusler i organisasjonen. AIR-prosesser kan starte når bestemte varsler utløses, eller når de startes av sikkerhetsoperasjonsteamet. Hvis du vil ha mer informasjon, kan du se automatisert undersøkelse og respons i Office 365.
Kontrollprogrammer for trusselintelligens
Som en del av Microsoft Defender for Office 365 Plan 2-tilbudet kan sikkerhetsanalytikere gjennomgå detaljer om en kjent trussel. Dette er nyttig for å finne ut om det finnes flere forebyggende tiltak/trinn som kan utføres for å holde brukerne trygge.
Hvordan får vi tak i disse funksjonene?
Trusselundersøkelser og svarfunksjoner for Microsoft 365 er inkludert i Microsoft Defender for Office 365 Plan 2, som er inkludert i Enterprise E5 eller som et tillegg til bestemte abonnementer. Hvis du vil ha mer informasjon, kan du se Defender for Office 365 Plan 1 kontra Plan 2-jukselapp.
Obligatoriske roller og tillatelser
Microsoft Defender for Office 365 bruker rollebasert tilgangskontroll. Tillatelser tilordnes gjennom bestemte roller i Microsoft Entra ID, Administrasjonssenter for Microsoft 365 eller Microsoft Defender-portalen.
Tips
Selv om noen roller, for eksempel sikkerhetsadministrator, kan tilordnes i Microsoft Defender-portalen, bør du vurdere å bruke enten Administrasjonssenter for Microsoft 365 eller Microsoft Entra ID i stedet. Hvis du vil ha informasjon om roller, rollegrupper og tillatelser, kan du se følgende ressurser:
Aktivitet | Roller og tillatelser |
---|---|
Bruke instrumentbordet Microsoft Defender Vulnerability Management Vis informasjon om nylige eller gjeldende trusler |
Ett av følgende:
Disse rollene kan tilordnes i enten Microsoft Entra ID (https://portal.azure.com) eller Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com). |
Bruke Explorer (og sanntidsregistreringer) til å analysere trusler | Ett av følgende:
Disse rollene kan tilordnes i enten Microsoft Entra ID (https://portal.azure.com) eller Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com). |
Vis hendelser (også referert til som undersøkelser) Legge til e-postmeldinger i en hendelse |
Ett av følgende:
Disse rollene kan tilordnes i enten Microsoft Entra ID (https://portal.azure.com) eller Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com). |
Utløse e-posthandlinger i en hendelse Finne og slette mistenkelige e-postmeldinger |
Ett av følgende:
Rollene global administrator* og sikkerhetsadministrator kan tilordnes enten Microsoft Entra ID (https://portal.azure.com) eller Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com). Søke - og tømmingsrollen må tilordnes i e-& samarbeidsroller i Microsoft 36 Defender-portalen (https://security.microsoft.com). |
Integrer Microsoft Defender for Office 365 plan 2 med Microsoft Defender for endepunkt Integrer Microsoft Defender for Office 365 Plan 2 med en SIEM-server |
Enten den globale administratoren* eller sikkerhetsadministratorrollen som er tilordnet enten Microsoft Entra ID (https://portal.azure.com) eller Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com). --- pluss --- En passende rolle tilordnet i flere programmer (for eksempel Microsoft Defender Sikkerhetssenter eller SIEM-serveren). |
Viktig
* Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.