Del via


Automatisert utbedring i automatisert undersøkelse og respons (AIR)

Som standard krever utbedringshandlinger identifisert av automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365 Plan 2 godkjenning av sikkerhetsoperasjoner (SecOps)-team. Hvis du vil ha mer informasjon om AIR, kan du se Automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365 Plan 2

Nå kan administratorer også angi bestemte handlinger som skal utbedres automatisk. Utbedring av meldinger som identifiseres som skadelige i AIR-undersøkelser, har følgende fordeler:

  • Øker kundebeskyttelsen ved å fremskynde utbedring av flere trusler.
  • Sparer tid for SecOps-team ved å redusere behovet for godkjenning.

Resten av denne artikkelen beskriver hvordan du konfigurerer automatisert utbedring i AIR og hvordan du identifiserer meldinger som ble utbedret automatisk.

Konfigurer automatisert utbedring

AIR oppretter en klynge rundt en oppdaget ondsinnet fil eller nettadresse, og deretter kontrollerer den automatiserte undersøkelsen plasseringen av meldinger i klyngen. Hvis meldingene er i postbokser, produserer AIR en utbedringshandling.

Når du velger klyngetypene som skal utbedres automatisk, skjer den valgte utbedringshandlingen uten behov for SecOps-godkjenning.

Tips

Klynger produsert av AIR som ikke automatisk utbedrer, vises fortsatt som ventende handling som de gjør i dag.

Klynger som er større enn 10 000 meldinger, utbedres ikke automatisk og vises som ventende handling for gjennomgang.

Bruk følgende fremgangsmåte for å velge klyngetypene som skal utbedres automatisk:

Gå til Innstillinger> fore-post & samarbeid> MDO automatiseringsinnstillinger i Microsoft Defender-portalen på https://security.microsoft.com.

Følgende innstillinger er tilgjengelige på siden for automatiseringsinnstillinger :

  • Inndeling for meldingsklynger : Angir hvilke typer meldingsklynger som utbedres automatisk. Velg ett eller flere av følgende alternativer:

  • Lignende filer: Når den automatiserte undersøkelsen gjenkjenner en ondsinnet fil, opprettes det en klynge rundt den skadelige filen. Klyngen grupperer alle meldinger som inneholder filen, i klyngen. Hvis du velger denne innstillingen, blir organisasjonen valgt til automatisert utbedring for disse ondsinnede filklyngene.

  • Lignende URL-adresser: Når den automatiserte undersøkelsen gjenkjenner en ondsinnet nettadresse, opprettes det en klynge rundt den skadelige nettadressen. Klyngen grupperer alle meldinger som inneholder nettadressen, i klyngen. Hvis du velger denne innstillingen, blir organisasjonen valgt til automatisert utbedring for disse ondsinnede nettadresseklyngene.

    Tips

    Følg veikartet for å holde deg informert om når flere meldingsklynger er tilgjengelige for automatisert utbedring.

  • Utbedringshandlingsinndeling : Angir handlingen som skal utføres på meldingsklyngetyper som er angitt i delen Meldingsklynger .

    Myk sletting er for øyeblikket den eneste tilgjengelige handlingen. Hvis du vil ha mer informasjon om myke slettede meldinger, kan du se Mappen Gjenopprettelige elementer i Exchange Online.

    Viktig

    Muligheten til å gjenopprette myke slettede meldinger avhenger av oppbevaringspolicyen for myke slettede meldinger i hver postboks. Bekreft dine juridiske forpliktelser for oppbevaring av e-post, inkludert meldinger merket som skadelige. Hvis du vil ha mer informasjon om oppbevaring av myke slettede meldinger, kan du se Endre hvor lenge permanent slettede elementer beholdes for en Exchange Online postboks i Exchange Online.

Når du er ferdig på siden for automatiseringsinnstillinger , velger du Lagre.

Skjermbilde av automatisert utbedring av konfigurasjon av skadelige enhetsklynger i Defender-portalen på Innstillinger \> E-& samarbeid \> MDO automatiseringsinnstillinger.

Se gjennom automatisk utbedrte meldinger

Det følgende avsnittet viser hvordan du bruker Defender-portalen til å se gjennom automatiserte utbedringshandlinger.

Automatiserte utbedringsresultater i handlingssenteret

I handlingssenteret på https://security.microsoft.com/action-center/vises automatisk utbedrte klynger i kategorien Logg . Bruk Filteret Bestemt av med verdien Automatisering til å returnere klynger som ble utbedret automatisk.

Hvis du vil ha mer informasjon om handlingssenteret, kan du se Handlingssenter.

Skjermbilde av Logg-fanen i handlingssenteret med automatisk utbedrte klynger filtrert etter bestemt av verdiautomatisering og handlingskildeverdien Automatisert e-posthandling.

Automatisert utbedring resulterer i undersøkelser

I en undersøkelse i AIR vises automatisk utbedrede klynger på ventende handlingslogg-fanen i undersøkelsen med Håndtert avverdiautomatisering.

Hvis du vil ha mer informasjon om resultatene av AIR-undersøkelsen, kan du se Detaljer og resultater av automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365 Plan 2.

Skjermbilde av loggfanen Ventende handlinger i en undersøkelse med automatisk utbedrte klynger med automatiseringsverdien Håndtert av verdi.

Automatiserte utbedringsresultater i Trusselutforsker

I Trusselutforsker (Explorer) får automatisk utbedrte meldinger tilleggshandlingsverdienAutomatisert utbedring:automatisert.

Hvis du vil ha mer informasjon om Trusselutforsker, kan du se Om Trusselutforsker og Sanntidsregistreringer i Microsoft Defender for Office 365.

Skjermbilde av Trusselutforsker som viser meldinger som automatisert utbedring slettet fra postboksen ved automatisert utbedring (filtrert etter tilleggshandlingsverdien Automatisert utbedring).

Automatiserte utbedringsresultater i avansert jakt

I avansert jakt er automatisk utbedrte meldinger i EmailPostDeliveryEvents tabellen med begge følgende egenskapsverdier:

  • ActionType er lik automatisert utbedring
  • ActionTrigger er lik automatisering.

For mer informasjon om avansert jakt, se Proaktivt jakten på trusler med avansert jakt i Microsoft Defender.

Skjermbilde av Avansert jakt etter meldinger som er fjernet fra postbokser ved automatisert utbedring (Tabellen EmailPostDeliveryEvents der ActionType-verdien er automatisert utbedring og ActionTrigger-verdien er automatisering.)

Gjenopprette automatiserte utbedringshandlinger på meldinger

Obs!

Muligheten til å gjenopprette meldinger avhenger av at dataene fremdeles er tilgjengelige i Defender og postboksoppbevaringsinnstillingene for myke slettede meldinger. Hvis du vil ha mer informasjon, kan du se følgende artikler:

Følgende metoder er tilgjengelige for å gjenopprette automatiserte utbedringshandlinger og gjenopprette meldinger til postbokser:

  • Gjør noe med meldingen i Trusselutforsker eller Avansert jakt. Hvis du vil ha informasjon om handlingsveiviseren, kan du se Handlingsveiviseren.

  • til innboksen eller >Flytt til søppelpost-handlingene i undermenyen for klyngeegenskapen på Logg-fanen i handlingssenteret, som vist i følgende skjermbilde:

    Skjermbilde av detaljer-undermenyen for en automatisk utbedret e-postklynge som viser den tilgjengelige handlingen Flytt til innboks for å angre den automatiserte utbedringshandlingen og gjenopprette meldinger til postbokser.

Se også