Trusselundersøkelse og respons

• Gjelder for:

  ✅ Microsoft Defender for Office 365 Plan 2

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Trusselundersøkelser og svarfunksjoner i Microsoft Defender for Office 365 hjelpe sikkerhetsanalytikere og administratorer med å beskytte organisasjonens Microsoft 365 for forretningsbrukere ved å:

• Gjør det enkelt å identifisere, overvåke og forstå cyberangrep.
• Bidrar til raskt å håndtere trusler i Exchange Online, SharePoint Online, OneDrive for Business og Microsoft Teams.
• Gi innsikt og kunnskap for å hjelpe sikkerhetsoperasjoner med å forhindre cyberangrep mot organisasjonen.
• Bruke automatisert undersøkelse og respons i Office 365 for kritiske e-postbaserte trusler.

Trusselundersøkelser og responsfunksjoner gir innsikt i trusler og relaterte responshandlinger som er tilgjengelige i Microsoft Defender-portalen. Denne innsikten kan hjelpe organisasjonens sikkerhetsteam med å beskytte brukere mot e-post- eller filbaserte angrep. Funksjonene bidrar til å overvåke signaler og samle inn data fra flere kilder, for eksempel brukeraktivitet, godkjenning, e-post, kompromitterte PC-er og sikkerhetshendelser. Beslutningstakere og sikkerhetsteamet ditt kan bruke denne informasjonen til å forstå og svare på trusler mot organisasjonen og beskytte immaterielle rettigheter.

Bli kjent med trusselundersøkelser og responsverktøy

Trusselundersøkelser og svarfunksjoner i Microsoft Defender-portalen på https://security.microsoft.com er et sett med verktøy og responsarbeidsflyter som inkluderer:

• Explorer
• Hendelser
• Opplæring i angrepssimulering
• Automatisert undersøkelse og svar

Explorer

Bruk Explorer (og sanntidsregistreringer) til å analysere trusler, se volumet av angrep over tid og analysere data etter trusselfamilier, angriperinfrastruktur og mer. Explorer (også kalt Trusselutforsker) er utgangspunktet for alle sikkerhetsanalytikernes undersøkelsesarbeidsflyt.

Hvis du vil vise og bruke denne rapporten i Microsoft Defender-portalen på https://security.microsoft.com, kan du gå til E-post & samarbeidsutforsker>. Du kan også gå direkte til Explorer-siden ved å bruke https://security.microsoft.com/threatexplorer.

tilkobling til Office 365 trusselintelligens

Denne funksjonen er bare tilgjengelig hvis du har et aktivt Office 365 E5- eller G5- eller Microsoft 365 E5- eller G5-abonnement eller Threat Intelligence-tillegget. Hvis du vil ha mer informasjon, kan du se produktsiden for Office 365 Enterprise E5.

Data fra Microsoft Defender for Office 365 er innlemmet i Microsoft Defender XDR for å gjennomføre en omfattende sikkerhetsundersøkelse på tvers av Office 365 postbokser og Windows-enheter.

Hendelser

Bruk Hendelser-listen (dette kalles også Undersøkelser) for å se en liste over hendelser med flysikkerhet. Hendelser brukes til å spore trusler som mistenkelige e-postmeldinger, og til å gjennomføre videre undersøkelser og utbedring.

Hvis du vil vise listen over gjeldende hendelser for organisasjonen i Microsoft Defender-portalen på https://security.microsoft.com, kan du gå til Hendelser & varsler hendelser>. Hvis du vil gå direkte til Hendelser-siden , kan du bruke https://security.microsoft.com/incidents.

Opplæring i angrepssimulering

Bruk Opplæring med simulert angrep til å konfigurere og kjøre realistiske cyberangrep i organisasjonen, og identifiser sårbare personer før et ekte cyberangrep påvirker bedriften din. Hvis du vil ha mer informasjon, kan du se Simulere et phishing-angrep.

Hvis du vil vise og bruke denne funksjonen i Microsoft Defender-portalen på https://security.microsoft.com, kan du gå til E-post & samarbeid>Opplæring med simulert angrep. Du kan også gå direkte til Opplæring med simulert angrep-siden ved å bruke https://security.microsoft.com/attacksimulator?viewid=overview.

Automatisert undersøkelse og svar

Bruk automatiserte undersøkelses- og responsfunksjoner (AIR) for å spare tid og krefter på å relatere innhold, enheter og personer som er utsatt for trusler i organisasjonen. AIR-prosesser kan starte når bestemte varsler utløses, eller når de startes av sikkerhetsoperasjonsteamet. Hvis du vil ha mer informasjon, kan du se automatisert undersøkelse og respons i Office 365.

Kontrollprogrammer for trusselintelligens

Som en del av Microsoft Defender for Office 365 Plan 2-tilbudet kan sikkerhetsanalytikere gjennomgå detaljer om en kjent trussel. Dette er nyttig for å finne ut om det finnes flere forebyggende tiltak/trinn som kan utføres for å holde brukerne trygge.

Hvordan får vi tak i disse funksjonene?

Trusselundersøkelser og svarfunksjoner for Microsoft 365 er inkludert i Microsoft Defender for Office 365 Plan 2, som er inkludert i Enterprise E5 eller som et tillegg til bestemte abonnementer. Hvis du vil ha mer informasjon, kan du se Defender for Office 365 Plan 1 kontra Plan 2-jukselapp.

Obligatoriske roller og tillatelser

Microsoft Defender for Office 365 bruker rollebasert tilgangskontroll. Tillatelser tilordnes gjennom bestemte roller i Microsoft Entra ID, Administrasjonssenter for Microsoft 365 eller Microsoft Defender-portalen.

Tips

Selv om noen roller, for eksempel sikkerhetsadministrator, kan tilordnes i Microsoft Defender-portalen, bør du vurdere å bruke enten Administrasjonssenter for Microsoft 365 eller Microsoft Entra ID i stedet. Hvis du vil ha informasjon om roller, rollegrupper og tillatelser, kan du se følgende ressurser:

• Tillatelser i Microsoft Defender-portalen
• Microsoft Entra innebygde roller

Aktivitet	Roller og tillatelser
Bruke instrumentbordet Microsoft Defender Vulnerability Management Vis informasjon om nylige eller gjeldende trusler	Ett av følgende: Global Administrator Sikkerhetsadministrator Sikkerhetsleser Disse rollene kan tilordnes i enten Microsoft Entra ID (https://portal.azure.com) eller Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com).
Bruke Explorer (og sanntidsregistreringer) til å analysere trusler	Ett av følgende: Global Administrator Sikkerhetsadministrator Sikkerhetsleser Disse rollene kan tilordnes i enten Microsoft Entra ID (https://portal.azure.com) eller Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com).
Vis hendelser (også referert til som undersøkelser) Legge til e-postmeldinger i en hendelse	Ett av følgende: Global Administrator Sikkerhetsadministrator Sikkerhetsleser Disse rollene kan tilordnes i enten Microsoft Entra ID (https://portal.azure.com) eller Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com).
Utløse e-posthandlinger i en hendelse Finne og slette mistenkelige e-postmeldinger	Ett av følgende: Global Administrator Sikkerhetsadministrator pluss rollen Søk og tøm Rollene som global administrator og sikkerhetsadministrator kan tilordnes enten Microsoft Entra ID (https://portal.azure.com) eller Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com). Rollen Søk og tømming må være tilordnet i e-& samarbeidsroller i Microsoft 36 Defender-portalen (https://security.microsoft.com).
Integrer Microsoft Defender for Office 365 plan 2 med Microsoft Defender for endepunkt Integrer Microsoft Defender for Office 365 Plan 2 med en SIEM-server	Enten den globale administratoren eller sikkerhetsadministratorrollen som er tilordnet enten Microsoft Entra ID (https://portal.azure.com) eller Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com). --- Pluss --- En passende rolle tilordnet i flere programmer (for eksempel Microsoft Defender Sikkerhetssenter eller SIEM-serveren).

Neste trinn

• Trusselsporinger i Microsoft Defender for Office 365 Plan 2
• Finn og undersøk skadelig e-post som ble levert (Office 365 trusselundersøkelse og respons)
• Simulere et phishing-angrep