Automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Microsoft Defender for Office 365 inkluderer kraftige funksjoner for automatisert undersøkelse og respons (AIR) som kan spare sikkerhetsoperasjonsteamets tid og krefter. Når varsler utløses, er det opp til sikkerhetsoperasjonsteamet å se gjennom, prioritere og svare på disse varslene. Det kan være overveldende å holde tritt med volumet på innkommende varsler. Automatisere noen av disse oppgavene kan hjelpe.

AIR gjør det mulig for sikkerhetsoperasjonsteamet å operere mer effektivt og mer effektivt. AIR-funksjoner inkluderer automatiserte undersøkelsesprosesser som svar på kjente trusler som eksisterer i dag. Aktuelle utbedringshandlinger venter på godkjenning, slik at sikkerhetsoperasjonsteamet kan reagere effektivt på oppdagede trusler. Med AIR kan sikkerhetsoperasjonsteamet fokusere på oppgaver med høyere prioritet uten å miste synet av viktige varsler som utløses.

Denne artikkelen beskriver:

Denne artikkelen inneholder også de neste trinnene og ressurser for å finne ut mer.

Den totale flyt av LUFT

Et varsel utløses, og en strategiplan for sikkerhet starter en automatisert undersøkelse, noe som resulterer i funn og anbefalte handlinger. Her er den generelle flyt av AIR, trinn for trinn:

  1. En automatisert undersøkelse startes på én av følgende måter:

    • Et varsel utløses av noe mistenkelig via e-post (for eksempel en melding, et vedlegg, en nettadresse eller en kompromittert brukerkonto). Det opprettes en hendelse, og en automatisert undersøkelse begynner. Eller
    • En sikkerhetsanalytiker starter en automatisert undersøkelse mens han bruker Explorer.

  2. Mens en automatisert undersøkelse kjøres, samler den inn data om den aktuelle e-postmeldingen og enheter relatert til denne e-postmeldingen (for eksempel filer, nettadresser og mottakere). Omfanget for undersøkelsen kan øke etter hvert som nye og relaterte varsler utløses.

  3. Detaljer og resultater er tilgjengelige for visning under og etter en automatisert undersøkelse. Resultatene kan omfatte anbefalte handlinger som kan utføres for å svare på og utbedre eventuelle eksisterende trusler som ble funnet.

  4. Sikkerhetsoperasjonsteamet gjennomgår undersøkelsesresultatene og anbefalingene, og godkjenner eller avviser utbedringshandlinger.

  5. Når ventende utbedringshandlinger godkjennes (eller avvises), fullføres den automatiserte undersøkelsen.

Obs!

Hvis undersøkelsen ikke resulterer i anbefalte handlinger, lukkes den automatiserte undersøkelsen, og detaljene om hva som ble gjennomgått som en del av den automatiserte undersøkelsen, vil fortsatt være tilgjengelige på undersøkelsessiden.

I Microsoft Defender for Office 365 utføres ingen utbedringshandlinger automatisk. Utbedringshandlinger utføres bare ved godkjenning av organisasjonens sikkerhetsteam. AIR-funksjoner sparer sikkerhetsoperasjonsteamet ditt tid ved å identifisere utbedringshandlinger og gi detaljene som trengs for å ta en informert beslutning.

Under og etter hver automatiserte undersøkelse kan sikkerhetsoperasjonsteamet:

Tips

Hvis du vil ha en mer detaljert oversikt, kan du se Hvordan AIR fungerer.

Slik får du AIR

AIR-funksjoner er inkludert i Microsoft Defender for Office 365 Plan 2, så lenge overvåkingslogging er slått på (den er aktivert som standard).

Pass i tillegg på å se gjennom organisasjonens varslingspolicyer, spesielt standardpolicyene i kategorien Trusselbehandling.

Hvilke varslingspolicyer utløser automatiserte undersøkelser?

Microsoft 365 inneholder mange innebygde varslingspolicyer som bidrar til å identifisere exchange-administratortillatelser, misbruk av skadelig programvare, potensielle eksterne og interne trusler og risikoer for informasjonsstyring. Flere av standard varslingspolicyer kan utløse automatiserte undersøkelser. Tabellen nedenfor beskriver varslene som utløser automatiserte undersøkelser, alvorlighetsgraden i Microsoft Defender-portalen og hvordan de genereres:

Varsel Alvorlighetsgraden Slik genereres varselet
Det ble oppdaget et potensielt skadelig nettadresseklikk Høy Dette varselet genereres når ett av følgende skjer:
  • En bruker som er beskyttet av klarerte koblinger i organisasjonen, klikker en ondsinnet kobling
  • Endringer i dommen for URL-adresser identifiseres av Microsoft Defender for Office 365
  • Brukere overstyrer advarselssider for klarerte koblinger (basert på organisasjonens policy for klarerte koblinger.

Hvis du vil ha mer informasjon om hendelser som utløser dette varselet, kan du se Konfigurere policyer for klarerte koblinger.
En e-postmelding rapporteres av en bruker som skadelig programvare eller phish Lav Dette varselet genereres når brukere i organisasjonen rapporterer meldinger som phishing-e-post ved hjelp av Microsoft-rapportmeldingen eller Phishing-tilleggene for rapporter.
E-postmeldinger som inneholder skadelig fil fjernet etter levering Informativ Dette varselet genereres når meldinger som inneholder en skadelig fil, leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming (ZAP).
E-postmeldinger som inneholder skadelig programvare, fjernes etter levering Informativ Dette varselet genereres når alle e-postmeldinger som inneholder skadelig programvare, leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming (ZAP).
E-postmeldinger som inneholder skadelig NETTADRESSE fjernet etter levering Informativ Dette varselet genereres når meldinger som inneholder en ondsinnet nettadresse, leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming (ZAP).
E-postmeldinger som inneholder phish-nettadresser, fjernes etter levering Informativ Dette varselet genereres når alle meldinger som inneholder phish leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av ZAP.
Mistenkelige sendemønstre for e-post oppdages Middels Dette varselet genereres når noen i organisasjonen har sendt mistenkelig e-post og står i fare for å bli begrenset fra å sende e-post. Varselet er en tidlig advarsel for virkemåte som kan indikere at kontoen er kompromittert, men ikke alvorlig nok til å begrense brukeren.

Selv om det er sjeldent, kan et varsel generert av denne policyen være et avvik. Det er imidlertid lurt å kontrollere om brukerkontoen er kompromittert.
En bruker er begrenset fra å sende e-post Høy Dette varselet genereres når noen i organisasjonen er begrenset fra å sende utgående e-post. Dette varselet resulterer vanligvis når en e-postkonto er kompromittert.

Hvis du vil ha mer informasjon om begrensede brukere, kan du se Fjerne blokkerte brukere fra siden Begrensede enheter.
Admin utløste manuell undersøkelse av e-post Informativ Dette varselet genereres når en administrator utløser manuell undersøkelse av en e-postmelding fra Trusselutforsker. Dette varselet varsler organisasjonen om at undersøkelsen ble startet.
Admin utløste undersøkelse av brukerkompromisser Middels Dette varselet genereres når en administrator utløser den manuelle brukerkompromisseundersøkelsen av en e-postavsender eller mottaker fra Trusselutforsker. Dette varselet varsler organisasjonen om at undersøkelsen av brukerkompromisser ble startet.

Tips

Hvis du vil lære mer om varslingspolicyer eller redigere standardinnstillingene, kan du se Varselpolicyer i Microsoft Defender-portalen.

Nødvendige tillatelser for å bruke AIR-funksjoner

Du må være tilordnet tillatelser for å bruke AIR. Du har følgende alternativer:

  • Microsoft Defender XDR enhetlig rollebasert tilgangskontroll (RBAC) (hvis e-post & samarbeid>Defender for Office 365 tillatelser er aktive. Påvirker bare Defender-portalen, ikke PowerShell):

    • Start en automatisert undersøkelse , eller godkjenn eller avvis anbefalte handlinger: Avanserte utbedringshandlinger for sikkerhetsoperatør/e-post (administrer).

  • E-post & samarbeidstillatelser i Microsoft Defender portalen:

    • Konfigurer AIR-funksjoner: Medlemskap i rollegruppene Organisasjonsadministrasjon eller Sikkerhetsadministrator .
    • Start en automatisert undersøkelse , eller godkjenn eller avvis anbefalte handlinger:
      • Medlemskap i rollegruppene Organisasjonsadministrasjon, Sikkerhetsadministrator, Sikkerhetsoperatør, Sikkerhetsleser eller Global Leser . og
      • Medlemskap i en rollegruppe med Søk- og tømmingsrollen tilordnet. Som standard tilordnes denne rollen til rollegruppene Data investigator og Organization Management . Du kan også opprette en egendefinert rollegruppe for å tilordne rollen Søk og Tøm.

  • Microsoft Entra tillatelser:

    • Konfigurere AIR-funksjoner Medlemskap i rollene som global administrator eller sikkerhetsadministrator .
    • Start en automatisert undersøkelse , eller godkjenn eller avvis anbefalte handlinger:
      • Medlemskap i rollene global administrator, sikkerhetsadministrator, sikkerhetsoperatør, sikkerhetsleser eller global leser . og
      • Medlemskap i en rollegruppe for e-& samarbeid med rollen Søk og Tøm. Som standard tilordnes denne rollen til rollegruppene Data investigator og Organization Management . Du kan også opprette en egendefinert rollegruppe for e-& samarbeid for å tilordne rollen Søk og Tøm.

    Microsoft Entra tillatelser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

Nødvendige lisenser

Microsoft Defender for Office 365 plan 2-lisenser skal tilordnes til:

  • Sikkerhetsadministratorer (inkludert globale administratorer)
  • Organisasjonens sikkerhetsoperasjonsteam (inkludert sikkerhetslesere og de med rollen Søk og Tøm)
  • Sluttbrukere

Neste trinn