Microsoft Defender for Office 365 sikkerhetsoperasjonsveiledning
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.
Denne artikkelen gir en oversikt over kravene og oppgavene for drift av Microsoft Defender for Office 365 i organisasjonen. Disse oppgavene bidrar til å sikre at sikkerhetsoperasjonssenteret (SOC) gir en pålitelig tilnærming av høy kvalitet for å beskytte, oppdage og svare på e-post- og samarbeidsrelaterte sikkerhetstrusler.
Resten av denne veiledningen beskriver de nødvendige aktivitetene for SecOps-personell. Aktivitetene grupperes i preskriptive daglige, ukentlige, månedlige og ad hoc-oppgaver.
En følgeartikkel i denne veiledningen gir en oversikt over hvordan du administrerer hendelser og varsler fra Defender for Office 365 på Hendelser-siden i Microsoft Defender-portalen.
Veiledningen for Microsoft Defender XDR sikkerhetsoperasjoner inneholder tilleggsinformasjon som du kan bruke til planlegging og utvikling.
Hvis du vil ha en video om denne informasjonen, kan du se https://youtu.be/eQanpq9N1Ps.
Daglige aktiviteter
Overvåk Microsoft Defender XDR Hendelser-køen
Hendelser-siden i Microsoft Defender-portalen på https://security.microsoft.com/incidents-queue (også kjent som Hendelser-køen) lar deg administrere og overvåke hendelser fra følgende kilder i Defender for Office 365:
Hvis du vil ha mer informasjon om Hendelser-køen, kan du se Prioritere hendelser i Microsoft Defender XDR.
Triage-planen for overvåking av Hendelser-køen bør bruke følgende prioritetsrekkefølge for hendelser:
- Det ble oppdaget et potensielt skadelig nettadresseklikk.
- Bruker begrenset fra å sende e-post.
- Mistenkelige sendingsmønstre for e-post oppdaget.
- E-post rapportert av brukeren som skadelig programvare eller phish, og flere brukere rapporterte e-post som skadelig programvare eller phish.
- E-postmeldinger som inneholder skadelig fil fjernet etter levering, e-postmeldinger som inneholder skadelig nettadresse fjernet etter levering, og e-postmeldinger fra en kampanje fjernet etter levering.
- Phish levert på grunn av en ETR-overstyring, Phish levert fordi en brukers Søppelpost-mappe er deaktivert, og Phish levert på grunn av en IP-tillatelsespolicy
- Skadelig programvare ikke zapped fordi ZAP er deaktivert og Phish ikke zapped fordi ZAP er deaktivert.
Behandling av hendelseskøer og de ansvarlige identitetene er beskrevet i tabellen nedenfor:
| Aktivitet | Tråkkfrekvens | Beskrivelse | Identitet |
|---|---|---|---|
| Triage hendelser i Hendelser kø på https://security.microsoft.com/incidents-queue. | Daglig | Kontroller at alle middels og høy alvorlighetsgrad hendelser fra Defender for Office 365 er triaged. | Sikkerhetsoperasjonsteam |
| Undersøk og utfør responshandlinger på hendelser. | Daglig | Undersøk alle hendelser, og ta aktivt de anbefalte eller manuelle svarhandlingene. | Sikkerhetsoperasjonsteam |
| Løs hendelser. | Daglig | Hvis hendelsen er utbedret, kan du løse hendelsen. Å løse hendelsen løser alle koblede og relaterte aktive varsler. | Sikkerhetsoperasjonsteam |
| Klassifiser hendelser. | Daglig | Klassifiser hendelser som sanne eller falske. Angi trusseltypen for sanne varsler. Denne klassifiseringen hjelper sikkerhetsteamet med å se trusselmønstre og forsvare organisasjonen mot dem. | Sikkerhetsoperasjonsteam |
Administrer falske positive og falske negative gjenkjenninger
I Defender for Office 365 administrerer du falske positiver (god e-post merket som ugyldig) og falske negativer (ugyldig e-post er tillatt) på følgende plasseringer:
- Innsendinger-siden (administratorinnsendinger).
- Tillatelses-/blokkeringslisten for leieren
- Trusselutforsker
Hvis du vil ha mer informasjon, kan du se delen Behandle falske positive og falske negative gjenkjenninger senere i denne artikkelen.
Falsk positiv og falsk negativ administrasjon og ansvarlige personligheter er beskrevet i tabellen nedenfor:
| Aktivitet | Tråkkfrekvens | Beskrivelse | Identitet |
|---|---|---|---|
| Send falske positiver og falske negativer til Microsoft på https://security.microsoft.com/reportsubmission. | Daglig | Gi signaler til Microsoft ved å rapportere feil e-post, nettadresse og filgjenkjenning. | Sikkerhetsoperasjonsteam |
| Analyser innsendingsdetaljer for administrator. | Daglig | Forstå følgende faktorer for innsendingene du gjør til Microsoft:
|
Sikkerhetsoperasjonsteam Sikkerhetsadministrasjon |
| Legg til blokkoppføringer i leierens tillatelses-/blokkeringsliste på https://security.microsoft.com/tenantAllowBlockList. | Daglig | Bruk leierens tillatelses-/blokkeringsliste til å legge til blokkoppføringer for usann negativ URL-adresse, fil eller avsenderregistrering etter behov. | Sikkerhetsoperasjonsteam |
| Frigi falske positiver fra karantene. | Daglig | Når mottakeren har bekreftet at meldingen ble satt i karantene feil, kan du frigi eller godkjenne forespørsler om frigivelse for brukere. Hvis du vil kontrollere hva brukere kan gjøre med sine egne meldinger i karantene (inkludert utgivelse eller forespørsel om frigivelse), kan du se Karantenepolicyer. |
Sikkerhetsoperasjonsteam Meldingsteam |
Se gjennom kampanjer for phishing og skadelig programvare som resulterte i levert e-post
| Aktivitet | Tråkkfrekvens | Beskrivelse | Identitet |
|---|---|---|---|
| Se gjennom e-postkampanjer. | Daglig | Se gjennom e-postkampanjer som er rettet mot organisasjonen på https://security.microsoft.com/campaigns. Fokuser på kampanjer som resulterte i at meldinger ble levert til mottakere. Fjern meldinger fra kampanjer som finnes i brukerpostbokser. Denne handlingen kreves bare når en kampanje inneholder e-post som ikke allerede er utbedret av handlinger fra hendelser, nulltimers automatisk tømming (ZAP) eller manuell utbedring. |
Sikkerhetsoperasjonsteam |
Ukentlige aktiviteter
Se gjennom trender for e-postregistrering i Defender for Office 365 rapporter
I Defender for Office 365 kan du bruke følgende rapporter til å se gjennom trender for gjenkjenning av e-post i organisasjonen:
| Aktivitet | Tråkkfrekvens | Beskrivelse | Identitet |
|---|---|---|---|
| Se gjennom rapporter for e-postregistrering på: | Ukentlig | Se gjennom trender for gjenkjenning av e-post for skadelig programvare, phishing og søppelpost sammenlignet med god e-post. Observasjon over tid lar deg se trusselmønstre og avgjøre om du trenger å justere Defender for Office 365 policyer. | Sikkerhetsadministrasjon Sikkerhetsoperasjonsteam |
Spore og svare på nye trusler ved hjelp av trusselanalyse
Bruk trusselanalyse til å se gjennom aktive, populære trusler.
| Aktivitet | Tråkkfrekvens | Beskrivelse | Identitet |
|---|---|---|---|
| Se gjennom trusler i trusselanalyse på https://security.microsoft.com/threatanalytics3. | Ukentlig | Trusselanalyse gir detaljert analyse, inkludert følgende elementer:
|
Sikkerhetsoperasjonsteam Trusseljaktteam |
Se gjennom de mest målrettede brukerne for skadelig programvare og phishing
Bruk fanen Toppmålrettede brukere (visning) i detaljområdet i visningene All e-post, Skadelig programvare og Phish i Trusselutforsker for å oppdage eller bekrefte brukerne som er de beste målene for skadelig programvare og phishing-e-post.
| Aktivitet | Tråkkfrekvens | Beskrivelse | Identitet |
|---|---|---|---|
| Se gjennom fanen Toppmålrettede brukere i Trusselutforsker på https://security.microsoft.com/threatexplorer. | Ukentlig | Bruk informasjonen til å avgjøre om du må justere policyer eller beskyttelser for disse brukerne. Legg til de berørte brukerne i Prioriterte kontoer for å oppnå følgende fordeler:
|
Sikkerhetsadministrasjon Sikkerhetsoperasjonsteam |
Se gjennom de mest skadelige og phishing-kampanjene som er rettet mot organisasjonen
Kampanjevisninger avslører skadelig programvare og phishing-angrep mot organisasjonen. Hvis du vil ha mer informasjon, kan du se Kampanjevisninger i Microsoft Defender for Office 365.
| Aktivitet | Tråkkfrekvens | Beskrivelse | Identitet |
|---|---|---|---|
| Bruk kampanjevisninger til https://security.microsoft.com/campaigns å se gjennom skadelig programvare og phishing-angrep som påvirker deg. | Ukentlig | Finn ut mer om angrep og teknikker og hva Defender for Office 365 kunne identifisere og blokkere. Bruk Last ned trusselrapport i kampanjevisninger for detaljert informasjon om en kampanje. |
Sikkerhetsoperasjonsteam |
Ad hoc-aktiviteter
Manuell undersøkelse og fjerning av e-post
| Aktivitet | Tråkkfrekvens | Beskrivelse | Identitet |
|---|---|---|---|
| Undersøk og fjern ugyldig e-post i Trusselutforsker på https://security.microsoft.com/threatexplorer basert på brukerforespørsler. | Ad hoc | Bruk utløserundersøkelseshandlingen i Trusselutforsker til å starte en automatisert undersøkelses- og svarplan på en hvilken som helst e-post fra de siste 30 dagene. Manuell utløsing av en undersøkelse sparer tid og krefter ved sentralt å inkludere:
Hvis du vil ha mer informasjon, kan du se Eksempel: En brukerrapportmelding starter en undersøkelsesstrategi Du kan også bruke Trusselutforsker til å undersøke e-post manuelt med kraftige funksjoner for søk og filtrering og utføre manuelle svarhandling direkte fra samme sted. Tilgjengelige manuelle handlinger:
|
Sikkerhetsoperasjonsteam |
Proaktivt jakten på trusler
| Aktivitet | Tråkkfrekvens | Beskrivelse | Identitet |
|---|---|---|---|
| Regelmessig, proaktiv jakt etter trusler på:. | Ad hoc | Søk for trusler ved hjelp av Trusselutforsker og Avansert jakt. | Sikkerhetsoperasjonsteam Trusseljaktteam |
| Del jaktspørringer. | Ad hoc | Del ofte brukte, nyttige spørringer i sikkerhetsteamet for raskere manuell trusseljakt og utbedring. Bruk trusselsporinger og delte spørringer i avansert jakt. |
Sikkerhetsoperasjonsteam Trusseljaktteam |
| Opprett egendefinerte gjenkjenningsregler på https://security.microsoft.com/custom_detection. | Ad hoc | Opprett egendefinerte gjenkjenningsregler for proaktivt å overvåke hendelser, mønstre og trusler basert på Defender for Office 365 data i Forhåndsjakt. Gjenkjenningsregler inneholder avanserte jaktspørringer som genererer varsler basert på samsvarende vilkår. | Sikkerhetsoperasjonsteam Trusseljaktteam |
Se gjennom Defender for Office 365 policykonfigurasjoner
| Aktivitet | Tråkkfrekvens | Beskrivelse | Identitet |
|---|---|---|---|
| Se gjennom konfigurasjonen av Defender for Office 365 policyer på https://security.microsoft.com/configurationAnalyzer. | Ad hoc Månedlig |
Bruk Konfigurasjonsanalyse til å sammenligne de eksisterende policyinnstillingene med anbefalte standardverdier eller strenge verdier for Defender for Office 365. Konfigurasjonsanalysen identifiserer utilsiktede eller skadelige endringer som kan redusere organisasjonens sikkerhetsstilling. Du kan også bruke det PowerShell-baserte ORCA-verktøyet. |
Sikkerhetsadministrasjon Meldingsteam |
| Gjennomgangsregistreringsoverstyringer i Defender for Office 365 påhttps://security.microsoft.com/reports/TPSMessageOverrideReportATP | Ad hoc Månedlig |
Bruk vis data etter systemoverstyring > av diagramoversikt etter årsaksvisning i statusrapporten trusselbeskyttelse for å se gjennom e-post som ble oppdaget som phishing, men levert på grunn av policy- eller brukeroverstyringsinnstillinger. Undersøk aktivt, fjern eller finjuster overstyringer for å unngå levering av e-post som var funnet å være skadelig. |
Sikkerhetsadministrasjon Meldingsteam |
Se gjennom forfalskings- og representasjonsgjenkjenninger
| Aktivitet | Tråkkfrekvens | Beskrivelse | Identitet |
|---|---|---|---|
| Se gjennom innsikten om forfalskningsintelligens og innsikten om gjenkjenning av representasjon på. | Ad hoc Månedlig |
Bruk innsikten om forfalskningsintelligens og representasjonsinnsikten til å justere filtrering for forfalsking og etterligningsgjenkjenning. | Sikkerhetsadministrasjon Meldingsteam |
Se gjennom medlemskap for prioritert konto
| Aktivitet | Tråkkfrekvens | Beskrivelse | Identitet |
|---|---|---|---|
| Se gjennom hvem som er definert som en prioritetskonto på https://security.microsoft.com/securitysettings/userTags. | Ad hoc | Hold medlemskapet til prioriterte kontoer oppdatert med organisatoriske endringer for å få følgende fordeler for disse brukerne:
Bruk egendefinerte brukerkoder for andre brukere for å få:
|
Sikkerhetsoperasjonsteam |
Tillegg
Finn ut mer om Microsoft Defender for Office 365 verktøy og prosesser
Medlemmer av sikkerhetsoperasjoner og responsteam må integrere Defender for Office 365 verktøy og funksjoner i eksisterende undersøkelser og responsprosesser. Det kan ta tid å lære om nye verktøy og funksjoner, men det er en viktig del av prosessen med å gå om bord. Den enkleste måten for SecOps og e-postsikkerhetsteammedlemmer å lære om Defender for Office 365, er å bruke opplæringsinnholdet som er tilgjengelig som en del av Ninja-opplæringsinnholdet på https://aka.ms/mdoninja.
Innholdet er strukturert for ulike kunnskapsnivåer (grunnleggende, mellomliggende og avansert) med flere moduler per nivå.
Korte videoer for bestemte oppgaver er også tilgjengelige i Microsoft Defender for Office 365 YouTube-kanalen.
Tillatelser for Defender for Office 365 aktiviteter og oppgaver
Tillatelser for å administrere Defender for Office 365 i Microsoft Defender-portalen og PowerShell er basert på den rollebaserte tilgangskontrollmodellen (RBAC). RBAC er den samme tillatelsesmodellen som brukes av de fleste Microsoft 365-tjenester. Hvis du vil ha mer informasjon, kan du se Tillatelser i Microsoft Defender-portalen.
Obs!
Privileged Identity Management (PIM) i Microsoft Entra ID er også en måte å tilordne nødvendige tillatelser til SecOps-personell på. Hvis du vil ha mer informasjon, kan du se Privileged Identity Management (PIM) og hvorfor du bruker den med Microsoft Defender for Office 365.
Følgende tillatelser (roller og rollegrupper) er tilgjengelige i Defender for Office 365 og kan brukes til å gi tilgang til medlemmer av sikkerhetsteamet:
Microsoft Entra ID: Sentraliserte roller som tilordner tillatelser for alle Microsoft 365-tjenester, inkludert Defender for Office 365. Du kan vise Microsoft Entra roller og tilordnede brukere i Microsoft Defender-portalen, men du kan ikke administrere dem direkte der. I stedet administrerer du Microsoft Entra roller og medlemmer på https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. De vanligste rollene som brukes av sikkerhetsteam er:
Exchange Online og e-& samarbeid: Roller og rollegrupper som gir tillatelse som er spesifikke for Microsoft Defender for Office 365. Følgende roller er ikke tilgjengelige i Microsoft Entra ID, men kan være viktig for sikkerhetsteamene:
Forhåndsvisningsrolle (E-& samarbeid): Tilordne denne rollen til gruppemedlemmer som trenger å forhåndsvise eller laste ned e-postmeldinger som en del av undersøkelsesaktiviteter. Lar brukere forhåndsvise og laste ned e-postmeldinger fra postbokser i skyen ved hjelp av Trusselutforsker (Explorer) eller Sanntidsgjenkjenning og siden for e-postenhet.
Forhåndsvisningsrollen tilordnes som standard bare til følgende rollegrupper:
- Dataetterforsker
- eDiscovery Manager
Du kan legge til brukere i disse rollegruppene, eller du kan opprette en ny rollegruppe med forhåndsvisningsrollen tilordnet, og legge til brukerne i den egendefinerte rollegruppen.
Søk og tøm rolle (E-post & samarbeid): Godkjenn sletting av skadelige meldinger som anbefalt av AIR, eller utfør manuell handling på meldinger i jaktopplevelser som Trusselutforsker.
Som standard tilordnes rollen Søk og Tøm bare til følgende rollegrupper:
- Dataetterforsker
- Organisasjonsadministrasjon
Du kan legge til brukere i disse rollegruppene, eller du kan opprette en ny rollegruppe med Søk og tøm rolle tilordnet, og legge til brukerne i den egendefinerte rollegruppen.
AllowBlockList Manager for tenant (Exchange Online): Behandle tillatelses- og blokkeringsoppføringer i leierens tillatelses-/blokkeringsliste. Blokkering av url-adresser, filer (ved hjelp av fil-hash) eller avsendere er en nyttig responshandling å utføre når du undersøker skadelig e-post som ble levert.
Som standard tilordnes denne rollen bare til rollegruppen Sikkerhetsoperator i Exchange Online, ikke i Microsoft Entra ID. Medlemskap i sikkerhetsoperatorrollen i Microsoft Entra IDtillater ikke at du administrerer oppføringer i leierens tillatelses-/blokkeringsliste.
Medlemmer av rollene som sikkerhetsadministrator eller organisasjonsadministrasjon i Microsoft Entra ID eller tilsvarende rollegrupper i Exchange Online kan behandle oppføringer i tillat-/blokkeringslisten for leieren.
SIEM/SOAR-integrering
Defender for Office 365 viser mesteparten av dataene gjennom et sett med programmatiske API-er. Disse API-ene hjelper deg med å automatisere arbeidsflyter og bruke Defender for Office 365 funksjoner fullt ut. Data er tilgjengelig via Microsoft Defender XDR API-er og kan brukes til å integrere Defender for Office 365 i eksisterende SIEM/SOAR-løsninger.
Hendelses-API: Defender for Office 365 varsler og automatiserte undersøkelser er aktive deler av hendelser i Microsoft Defender XDR. Sikkerhetsteam kan fokusere på det som er kritisk ved å gruppere hele angrepsomfanget og alle berørte ressurser sammen.
API for hendelsesstrømming: Tillater levering av sanntidshendelser og varsler i én enkelt datastrøm mens de skjer. Støttede hendelsestyper i Defender for Office 365 omfatter:
Hendelsene inneholder data fra behandling av all e-post (inkludert intra-org-meldinger) de siste 30 dagene.
Advance Hunting API: Tillater trusseljakt på tvers av produkter.
Trusselvurderings-API: Kan brukes til å rapportere søppelpost, phishing-nettadresser eller vedlegg til skadelig programvare direkte til Microsoft.
Hvis du vil koble Defender for Office 365 hendelser og rådata til Microsoft Sentinel, kan du bruke Microsoft Defender XDR (M365D)-koblingen
Du kan bruke følgende eksempel på «Hello World» til å teste API-tilgang til Microsoft Defender API-er: Hello World for Microsoft Defender XDR REST-API.
Hvis du vil ha mer informasjon om SIEM-verktøyintegrering, kan du se Integrere SIEM-verktøyene med Microsoft Defender XDR.
Adressere falske positiver og falske negativer i Defender for Office 365
Brukerrapporterte meldinger og administratorinnsendinger av e-postmeldinger er kritiske positive forsterkningssignaler for systemene våre for maskinlæringsgjenkjenning. Innsendinger hjelper oss med å se gjennom, triage, raskt lære og redusere angrep. Aktivt rapportering av falske positiver og falske negativer er en viktig aktivitet som gir tilbakemelding til Defender for Office 365 når feil gjøres under gjenkjenning.
Organisasjoner har flere alternativer for å konfigurere rapporterte meldinger fra brukeren. Avhengig av konfigurasjonen kan sikkerhetsteam ha mer aktiv involvering når brukere sender falske positiver eller falske negativer til Microsoft:
Brukerrapporterte meldinger sendes til Microsoft for analyse når de rapporterte innstillingene for brukeren er konfigurert med én av følgende innstillinger:
- Send de rapporterte meldingene til: Bare Microsoft.
- Send de rapporterte meldingene til: Microsoft og min rapporteringspostboks.
Medlemmer av sikkerhetsteam bør utføre tilleggsadministratorinnsendinger når operasjonsteamet oppdager falske positiver eller falske negativer som ikke ble rapportert av brukere.
Når brukerrapporterte meldinger er konfigurert til å sende meldinger bare til organisasjonens postboks, bør sikkerhetsteamene aktivt sende brukerrapporterte falske positiver og falske negativer til Microsoft via administratorinnsendinger.
Når en bruker rapporterer en melding som phishing, genererer Defender for Office 365 et varsel, og varselet utløser en AIR-strategiplan. Hendelseslogikken korrelerer denne informasjonen med andre varsler og hendelser der det er mulig. Denne konsolideringen av informasjon hjelper sikkerhetsgrupper med å triage, undersøke og svare på rapporterte meldinger fra brukeren.
Datasamlebåndet for innsending i tjenesten følger en tett integrert prosess når brukerrapportmeldinger og administratorer sender meldinger. Denne prosessen omfatter:
- Støyreduksjon.
- Automatisert triage.
- Karaktersetting av sikkerhetsanalytikere og maskinlæringsbaserte løsninger med menneskelig samarbeid.
Hvis du vil ha mer informasjon, kan du se Rapportere en e-post i Defender for Office 365 – Microsoft Tech Community.
Medlemmer av sikkerhetsteamet kan sende inn fra flere plasseringer i Microsoft Defender-portalen påhttps://security.microsoft.com:
Admin innsending: Bruk innsendingssiden til å sende inn mistanke om søppelpost, phishing, nettadresser og filer til Microsoft.
Direkte fra Trusselutforsker ved hjelp av én av følgende meldingshandlinger:
- Rapportrens
- Rapporter phishing
- Rapporter skadelig programvare
- Rapporter søppelpost
Du kan velge opptil 10 meldinger for å utføre en masseinnsending. Admin innsendinger som opprettes ved hjelp av disse metodene, er synlige på de respektive fanene på siden Innsendinger.
Sikkerhetsteam kan behandle blokkeringsoppføringer for filer, nettadresser og domener eller e-postadresser i tillat/blokkeringslisten for leier for kortsiktig reduksjon av falske negativer.
Sikkerhetsteam kan ikke direkte administrere tillatte oppføringer for domener og e-postadresser i tillat-/blokkeringslisten for leier for kortsiktig reduksjon av falske positiver. I stedet må de bruke administratorinnsendinger til å rapportere e-postmeldingen som en falsk positiv. Hvis du vil ha instruksjoner, kan du se Rapportere god e-post til Microsoft.
Karantene i Defender for Office 365 har potensielt farlige eller uønskede meldinger og filer. Sikkerhetsteam kan vise, frigi og slette alle typer meldinger i karantene for alle brukere. Denne funksjonen gjør det mulig for sikkerhetsteam å reagere effektivt når en falsk positiv melding eller fil er satt i karantene.
Integrere tredjeparts rapporteringsverktøy med rapporterte meldinger fra Defender for Office 365 bruker
Hvis organisasjonen bruker et tredjeparts rapporteringsverktøy som lar brukere internt rapportere mistenkelig e-post, kan du integrere verktøyet med brukerens rapporterte meldingsfunksjoner i Defender for Office 365. Denne integreringen gir følgende fordeler for sikkerhetsteamene:
- Integrering med AIR-funksjonene til Defender for Office 365.
- Forenklet triage.
- Redusert undersøkelses- og responstid.
Angi rapporteringspostboksen der brukerrapporterte meldinger sendes på siden For rapporterte brukerinnstillinger i Microsoft Defender-portalen på https://security.microsoft.com/securitysettings/userSubmission. Hvis du vil ha mer informasjon, kan du se Brukerrapporterte innstillinger.
Obs!
- Rapporteringspostboksen må være en Exchange Online postboks.
- Tredjeparts rapporteringsverktøy må inneholde den opprinnelige rapporterte meldingen som en ukomprimert . EML eller . MSG-vedlegg i meldingen som sendes til postboksen for rapportering (ikke bare videresend den opprinnelige meldingen til postboksen for rapportering). Hvis du vil ha mer informasjon, kan du se formatet for meldingsinnsending for tredjeparts rapporteringsverktøy.
- Rapporteringspostboksen krever spesifikke forutsetninger for å tillate potensielt dårlige meldinger å bli levert uten å bli filtrert eller endret. Hvis du vil ha mer informasjon, kan du se Konfigurasjonskrav for rapporteringspostboksen.
Når en bruker rapporterte meldingen kommer til rapporteringspostboksen, genererer Defender for Office 365 automatisk varselet kalt E-post rapportert av brukeren som skadelig programvare eller phish. Dette varselet starter en AIR-strategiplan. Strategiplanen utfører en rekke automatiserte undersøkelsestrinn:
- Samle inn data om den angitte e-postmeldingen.
- Samle inn data om trusler og enheter relatert til denne e-postmeldingen (for eksempel filer, nettadresser og mottakere).
- Gi anbefalte handlinger som SecOps-teamet kan utføre basert på undersøkelsesfunnene.
E-post rapportert av brukeren som skadelig programvare eller phish-varsler, automatiserte undersøkelser og deres anbefalte handlinger er automatisk korrelert med hendelser i Microsoft Defender XDR. Denne korrelasjonen forenkler ytterligere triage- og responsprosessen for sikkerhetsteam. Hvis flere brukere rapporterer de samme eller lignende meldingene, er alle brukere og meldinger korrelert med samme hendelse.
Data fra varsler og undersøkelser i Defender for Office 365 sammenlignes automatisk med varsler og undersøkelser i de andre Microsoft Defender XDR produktene:
- Microsoft Defender for endepunkt
- Microsoft Defender for skyapper
- Microsoft Defender for identitet
Hvis en relasjon oppdages, oppretter systemet en hendelse som gir synlighet for hele angrepet.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for