Automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.
Microsoft Defender for Office 365 inkluderer kraftige funksjoner for automatisert undersøkelse og respons (AIR) som kan spare sikkerhetsoperasjonsteamets tid og krefter. Når varsler utløses, er det opp til sikkerhetsoperasjonsteamet å se gjennom, prioritere og svare på disse varslene. Det kan være overveldende å holde tritt med volumet på innkommende varsler. Automatisere noen av disse oppgavene kan hjelpe.
AIR gjør det mulig for sikkerhetsoperasjonsteamet å operere mer effektivt og mer effektivt. AIR-funksjoner inkluderer automatiserte undersøkelsesprosesser som svar på kjente trusler som eksisterer i dag. Aktuelle utbedringshandlinger venter på godkjenning, slik at sikkerhetsoperasjonsteamet kan reagere effektivt på oppdagede trusler. Med AIR kan sikkerhetsoperasjonsteamet fokusere på oppgaver med høyere prioritet uten å miste synet av viktige varsler som utløses.
Denne artikkelen beskriver:
- Den generelle flyten av LUFT;
- Slik får du AIR; og
- De nødvendige tillatelsene for å konfigurere eller bruke AIR-funksjoner.
Denne artikkelen inneholder også de neste trinnene og ressurser for å finne ut mer.
Et varsel utløses, og en strategiplan for sikkerhet starter en automatisert undersøkelse, noe som resulterer i funn og anbefalte handlinger. Her er den generelle flyt av AIR, trinn for trinn:
En automatisert undersøkelse startes på én av følgende måter:
- Et varsel utløses av noe mistenkelig via e-post (for eksempel en melding, et vedlegg, en nettadresse eller en kompromittert brukerkonto). Det opprettes en hendelse, og en automatisert undersøkelse begynner. eller
- En sikkerhetsanalytiker starter en automatisert undersøkelse mens han bruker Explorer.
Mens en automatisert undersøkelse kjøres, samler den inn data om den aktuelle e-postmeldingen og enheter relatert til denne e-postmeldingen (for eksempel filer, nettadresser og mottakere). Omfanget for undersøkelsen kan øke etter hvert som nye og relaterte varsler utløses.
Detaljer og resultater er tilgjengelige for visning under og etter en automatisert undersøkelse. Resultatene kan omfatte anbefalte handlinger som kan utføres for å svare på og utbedre eventuelle eksisterende trusler som ble funnet.
Sikkerhetsoperasjonsteamet gjennomgår undersøkelsesresultatene og anbefalingene, og godkjenner eller avviser utbedringshandlinger.
Når ventende utbedringshandlinger godkjennes (eller avvises), fullføres den automatiserte undersøkelsen.
Obs!
Hvis undersøkelsen ikke resulterer i anbefalte handlinger, lukkes den automatiserte undersøkelsen, og detaljene om hva som ble gjennomgått som en del av den automatiserte undersøkelsen, vil fortsatt være tilgjengelige på undersøkelsessiden.
I Microsoft Defender for Office 365 utføres ingen utbedringshandlinger automatisk. Utbedringshandlinger utføres bare ved godkjenning av organisasjonens sikkerhetsteam. AIR-funksjoner sparer sikkerhetsoperasjonsteamet ditt tid ved å identifisere utbedringshandlinger og gi detaljene som trengs for å ta en informert beslutning.
Under og etter hver automatiserte undersøkelse kan sikkerhetsoperasjonsteamet:
- Vise detaljer om et varsel relatert til en undersøkelse
- Vis resultatdetaljene for en undersøkelse
- Se gjennom og godkjenn handlinger som følge av en undersøkelse
Tips
Hvis du vil ha en mer detaljert oversikt, kan du se Hvordan AIR fungerer.
AIR-funksjoner er inkludert i Microsoft Defender for Office 365 Plan 2, så lenge overvåkingslogging er slått på (den er aktivert som standard).
Pass i tillegg på å se gjennom organisasjonens varslingspolicyer, spesielt standardpolicyene i kategorien Trusselbehandling.
Microsoft 365 inneholder mange innebygde varslingspolicyer som bidrar til å identifisere exchange-administratortillatelser, misbruk av skadelig programvare, potensielle eksterne og interne trusler og risikoer for informasjonsstyring. Flere av standard varslingspolicyer kan utløse automatiserte undersøkelser. Hvis disse varslene deaktiveres eller erstattes av egendefinerte varsler, utløses ikke AIR.
Tabellen nedenfor beskriver varslene som utløser automatiserte undersøkelser, alvorlighetsgraden i Microsoft Defender-portalen og hvordan de genereres:
Varsel | Alvorlighetsgraden | Slik genereres varselet |
---|---|---|
Det ble oppdaget et potensielt skadelig nettadresseklikk | Høy | Dette varselet genereres når ett av følgende skjer:
Hvis du vil ha mer informasjon om hendelser som utløser dette varselet, kan du se Konfigurere policyer for klarerte koblinger. |
En e-postmelding rapporteres av en bruker som skadelig programvare eller phish | Lav | Dette varselet genereres når brukere i organisasjonen rapporterer meldinger som phishing-e-post ved hjelp av Microsoft-rapportmeldingen eller Phishing-tilleggene for rapporter. |
E-postmeldinger som inneholder skadelig fil fjernet etter levering | Informativ | Dette varselet genereres når meldinger som inneholder en skadelig fil, leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming (ZAP). |
E-postmeldinger som inneholder skadelig programvare, fjernes etter levering | Informativ | Dette varselet genereres når alle e-postmeldinger som inneholder skadelig programvare, leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming (ZAP). |
E-postmeldinger som inneholder skadelig NETTADRESSE fjernet etter levering | Informativ | Dette varselet genereres når meldinger som inneholder en ondsinnet nettadresse, leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming (ZAP). |
E-postmeldinger som inneholder phish-nettadresser, fjernes etter levering | Informativ | Dette varselet genereres når alle meldinger som inneholder phish leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av ZAP. |
Mistenkelige sendemønstre for e-post oppdages | Middels | Dette varselet genereres når noen i organisasjonen har sendt mistenkelig e-post og står i fare for å bli begrenset fra å sende e-post. Varselet er en tidlig advarsel for virkemåte som kan indikere at kontoen er kompromittert, men ikke alvorlig nok til å begrense brukeren. Selv om det er sjeldent, kan et varsel generert av denne policyen være et avvik. Det er imidlertid lurt å kontrollere om brukerkontoen er kompromittert. |
En bruker er begrenset fra å sende e-post | Høy | Dette varselet genereres når noen i organisasjonen er begrenset fra å sende utgående e-post. Dette varselet resulterer vanligvis når en e-postkonto er kompromittert. Hvis du vil ha mer informasjon om begrensede brukere, kan du se Fjerne blokkerte brukere fra siden Begrensede enheter. |
Admin utløste manuell undersøkelse av e-post | Informativ | Dette varselet genereres når en administrator utløser manuell undersøkelse av en e-postmelding fra Trusselutforsker. Dette varselet varsler organisasjonen om at undersøkelsen ble startet. |
Admin utløste undersøkelse av brukerkompromisser | Middels | Dette varselet genereres når en administrator utløser den manuelle brukerkompromisseundersøkelsen av en e-postavsender eller mottaker fra Trusselutforsker. Dette varselet varsler organisasjonen om at undersøkelsen av brukerkompromisser ble startet. |
Tips
Hvis du vil lære mer om varslingspolicyer eller redigere standardinnstillingene, kan du se Varselpolicyer i Microsoft Defender-portalen.
Du må være tilordnet tillatelser for å bruke AIR. Du har følgende alternativer:
Microsoft Defender XDR enhetlig rollebasert tilgangskontroll (RBAC) (hvis e-post & samarbeid>Defender for Office 365 tillatelser er aktive. Påvirker bare Defender-portalen, ikke PowerShell):
- Start en automatisert undersøkelse , eller godkjenn eller avvis anbefalte handlinger: Avanserte utbedringshandlinger for sikkerhetsoperatør/e-post (administrer).
E-post & samarbeidstillatelser i Microsoft Defender portalen:
- Konfigurer AIR-funksjoner: Medlemskap i rollegruppene Organisasjonsadministrasjon eller Sikkerhetsadministrator .
-
Start en automatisert undersøkelse , eller godkjenn eller avvis anbefalte handlinger:
- Medlemskap i rollegruppene Organisasjonsadministrasjon, Sikkerhetsadministrator, Sikkerhetsoperatør, Sikkerhetsleser eller Global Leser . og
- Medlemskap i en rollegruppe med tilordnet søke - og tømmingsrolle . Som standard tilordnes denne rollen til rollegruppene Data investigator og Organization Management . Du kan også opprette en egendefinert rollegruppe for å tilordne søke- og tømmingsrollen .
-
- Konfigurere AIR-funksjoner Medlemskap i rollene som global administrator eller sikkerhetsadministrator .
-
Start en automatisert undersøkelse , eller godkjenn eller avvis anbefalte handlinger:
- Medlemskap i rollene global administrator, sikkerhetsadministrator, sikkerhetsoperatør, sikkerhetsleser eller global leser . og
- Medlemskap i en rollegruppe for e-& samarbeid med rollen Søk og tøm , tilordnet. Som standard tilordnes denne rollen til rollegruppene Data investigator og Organization Management . Du kan også opprette en egendefinert rollegruppe for e-& samarbeid for å tilordne rollen Søk og tøm .
Microsoft Entra tillatelser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.
Microsoft Defender for Office 365 plan 2-lisenser skal tilordnes til:
- Sikkerhetsadministratorer (inkludert globale administratorer)
- Organisasjonens sikkerhetsoperasjonsteam (inkludert sikkerhetslesere og de med rollen Søk og tøm )
- Sluttbrukere