Udostępnij za pośrednictwem


Zautomatyzowane badanie i reagowanie (AIR) w Ochrona usługi Office 365 w usłudze Microsoft Defender

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Ochrona usługi Office 365 w usłudze Microsoft Defender obejmuje zaawansowane funkcje zautomatyzowanego badania i reagowania (AIR), które pozwalają zaoszczędzić czas i nakład pracy zespołu ds. operacji zabezpieczeń. W miarę wyzwalania alertów do zespołu ds. operacji zabezpieczeń należy przeglądanie, określanie priorytetów i reagowanie na te alerty. Nadążanie za ilością alertów przychodzących może być przytłaczające. Automatyzacja niektórych z tych zadań może pomóc.

Funkcja AIR umożliwia zespołowi ds. operacji zabezpieczeń wydajniejsze i wydajniejsze działanie. Możliwości air obejmują zautomatyzowane procesy badania w odpowiedzi na znane zagrożenia, które istnieją obecnie. Odpowiednie akcje korygowania oczekują na zatwierdzenie, umożliwiając zespołowi ds. operacji zabezpieczeń skuteczne reagowanie na wykryte zagrożenia. Dzięki funkcji AIR zespół ds. operacji zabezpieczeń może skoncentrować się na zadaniach o wyższym priorytecie bez utraty z oczu ważnych alertów, które są wyzwalane.

W tym artykule opisano:

Ten artykuł zawiera również kolejne kroki i zasoby, aby dowiedzieć się więcej.

Ogólny przepływ powietrza

Wyzwalany jest alert, a podręcznik zabezpieczeń uruchamia zautomatyzowane badanie, co skutkuje ustaleniami i zalecanymi akcjami. Oto ogólny przepływ air, krok po kroku:

  1. Zautomatyzowane badanie jest inicjowane na jeden z następujących sposobów:

  2. Podczas automatycznego badania zbiera dane dotyczące danej wiadomości e-mail i jednostek związanych z tą wiadomością e-mail (na przykład plików, adresów URL i adresatów). Zakres badania może wzrosnąć w miarę wyzwalania nowych i powiązanych alertów.

  3. W trakcie i po zautomatyzowanym badaniu dostępne są szczegóły i wyniki do wyświetlenia. Wyniki mogą obejmować zalecane akcje , które można podjąć w celu reagowania na znalezione zagrożenia i ich korygowania.

  4. Twój zespół ds. operacji zabezpieczeń przegląda wyniki badania i zalecenia oraz zatwierdza lub odrzuca akcje korygowania.

  5. Ponieważ oczekujące akcje korygowania są zatwierdzane (lub odrzucane), zautomatyzowane badanie zostaje zakończone.

Uwaga

Jeśli dochodzenie nie spowoduje wykonania zalecanych działań, zautomatyzowane dochodzenie zostanie zamknięte, a szczegóły tego, co zostało poddane przeglądowi w ramach zautomatyzowanego dochodzenia, będą nadal dostępne na stronie badania.

W Ochrona usługi Office 365 w usłudze Microsoft Defender żadne akcje korygowania nie są wykonywane automatycznie. Akcje korygowania są podejmowane tylko po zatwierdzeniu przez zespół ds. zabezpieczeń organizacji. Funkcje AIR oszczędzają czas zespołu operacji zabezpieczeń, identyfikując akcje korygujące i podając szczegóły potrzebne do podjęcia świadomej decyzji.

Podczas i po każdym zautomatyzowanym badaniu zespół ds. operacji zabezpieczeń może wykonywać następujące czynności:

Porada

Aby uzyskać bardziej szczegółowe omówienie, zobacz Jak działa system AIR.

Jak uzyskać air

Funkcje AIR są uwzględniane w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2, o ile rejestrowanie inspekcji jest włączone (domyślnie jest włączone).

Ponadto sprawdź zasady alertów organizacji, zwłaszcza zasady domyślne w kategorii Zarządzanie zagrożeniami.

Które zasady alertów wyzwalają zautomatyzowane badania?

Platforma Microsoft 365 udostępnia wiele wbudowanych zasad alertów, które ułatwiają identyfikowanie zagrożeń związanych z uprawnieniami administratora programu Exchange, złośliwym oprogramowaniem, potencjalnymi zagrożeniami zewnętrznymi i wewnętrznymi oraz zagrożeniami związanymi z ładem informacyjnym. Niektóre z domyślnych zasad alertów mogą wyzwalać zautomatyzowane badania. Jeśli te alerty zostaną wyłączone lub zastąpione przez alerty niestandardowe, funkcja AIR nie zostanie wyzwolona.

W poniższej tabeli opisano alerty wyzwalające zautomatyzowane badania, ich ważność w portalu Microsoft Defender oraz sposób ich generowania:

Alert Waga Sposób generowania alertu
Wykryto potencjalnie złośliwe kliknięcie adresu URL High (Wysoki) Ten alert jest generowany, gdy wystąpi dowolny z następujących elementów:
  • Użytkownik chroniony bezpiecznymi linkami w organizacji klika złośliwy link
  • Zmiany werdyktów dla adresów URL są identyfikowane przez Ochrona usługi Office 365 w usłudze Microsoft Defender
  • Użytkownicy zastępują strony ostrzegawcze bezpiecznych łączy (na podstawie zasad bezpiecznych łączy w organizacji.

Aby uzyskać więcej informacji na temat zdarzeń wyzwalających ten alert, zobacz Konfigurowanie zasad bezpiecznych łączy.
Wiadomość e-mail jest zgłaszana przez użytkownika jako złośliwe oprogramowanie lub phish Niski Ten alert jest generowany, gdy użytkownicy w organizacji zgłaszają komunikaty jako wiadomość e-mail wyłudzającą informacje przy użyciu dodatków Microsoft Report Message lub Report Phishing.
Email komunikatów zawierających złośliwy plik usunięty po dostarczeniu Informacyjny Ten alert jest generowany, gdy wszystkie wiadomości zawierające złośliwy plik są dostarczane do skrzynek pocztowych w organizacji. W przypadku wystąpienia tego zdarzenia firma Microsoft usuwa zainfekowane wiadomości z Exchange Online skrzynek pocztowych przy użyciu automatycznego przeczyszczania o wartości zero godzin (ZAP).
Email komunikaty zawierające złośliwe oprogramowanie są usuwane po dostarczeniu Informacyjny Ten alert jest generowany, gdy wszystkie wiadomości e-mail zawierające złośliwe oprogramowanie są dostarczane do skrzynek pocztowych w organizacji. W przypadku wystąpienia tego zdarzenia firma Microsoft usuwa zainfekowane wiadomości z Exchange Online skrzynek pocztowych przy użyciu automatycznego przeczyszczania o wartości zero godzin (ZAP).
Email komunikaty zawierające złośliwy adres URL usunięte po dostarczeniu Informacyjny Ten alert jest generowany, gdy wszystkie wiadomości zawierające złośliwy adres URL są dostarczane do skrzynek pocztowych w organizacji. W przypadku wystąpienia tego zdarzenia firma Microsoft usuwa zainfekowane wiadomości z Exchange Online skrzynek pocztowych przy użyciu automatycznego przeczyszczania o wartości zero godzin (ZAP).
Email komunikaty zawierające adresy URL phish są usuwane po dostarczeniu Informacyjny Ten alert jest generowany, gdy wszystkie wiadomości zawierające phish są dostarczane do skrzynek pocztowych w organizacji. W przypadku wystąpienia tego zdarzenia firma Microsoft usuwa zainfekowane wiadomości z Exchange Online skrzynek pocztowych przy użyciu zap.
Wykryto podejrzane wzorce wysyłania wiadomości e-mail Średnie Ten alert jest generowany, gdy ktoś w organizacji wysłał podejrzaną wiadomość e-mail i istnieje ryzyko ograniczenia wysyłania wiadomości e-mail. Alert jest wczesnym ostrzeżeniem dla zachowania, które może wskazywać, że konto zostało naruszone, ale nie jest wystarczająco poważne, aby ograniczyć użytkownika.

Chociaż jest to rzadkie, alert wygenerowany przez te zasady może być anomalią. Warto jednak sprawdzić, czy konto użytkownika zostało naruszone.

Użytkownik nie może wysyłać wiadomości e-mail High (Wysoki) Ten alert jest generowany, gdy ktoś w organizacji nie może wysyłać poczty wychodzącej. Ten alert zazwyczaj jest wynikiem naruszenia zabezpieczeń konta e-mail.

Aby uzyskać więcej informacji na temat użytkowników z ograniczeniami, zobacz Usuwanie zablokowanych użytkowników ze strony Jednostki z ograniczeniami.

Administracja wyzwalane ręczne badanie wiadomości e-mail Informacyjny Ten alert jest generowany, gdy administrator wyzwala ręczne badanie wiadomości e-mail z Eksploratora zagrożeń. Ten alert powiadamia organizację o rozpoczęciu badania.
Administracja wyzwolone badanie naruszenia zabezpieczeń użytkownika Średnie Ten alert jest generowany, gdy administrator wyzwala ręczne badanie naruszenia zabezpieczeń użytkownika nadawcy lub odbiorcy wiadomości e-mail z Eksploratora zagrożeń. Ten alert powiadamia organizację o rozpoczęciu badania naruszenia zabezpieczeń użytkownika.

Porada

Aby dowiedzieć się więcej o zasadach alertów lub edytować ustawienia domyślne, zobacz Zasady alertów w portalu Microsoft Defender.

Wymagane uprawnienia do korzystania z funkcji AIR

Musisz mieć przypisane uprawnienia do korzystania z funkcji AIR. Masz następujące możliwości:

  • Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) (jeśli Email & współpracy>Ochrona usługi Office 365 w usłudze Defender uprawnienia to Aktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell):

    • Rozpocznij automatyczne badanie lub zatwierdź lub odrzuć zalecane akcje: Operator zabezpieczeń/Email zaawansowane akcje korygowania (zarządzanie).
  • Email & uprawnienia do współpracy w portalu Microsoft Defender:

    • Konfigurowanie funkcji AIR: członkostwo w grupach ról Zarządzanie organizacją lub Administrator zabezpieczeń .
    • Rozpocznij automatyczne badanie lub zatwierdź lub odrzuć zalecane akcje:
      • Członkostwo w grupach ról Zarządzanie organizacją, Administrator zabezpieczeń, Operator zabezpieczeń, Czytelnik zabezpieczeń lub Czytelnik globalny . i
      • Członkostwo w grupie ról z przypisaną rolą Wyszukiwania i przeczyszczania . Domyślnie ta rola jest przypisywana do grup ról Badacz danych i Zarządzanie organizacją . Możesz też utworzyć niestandardową grupę ról w celu przypisania roli Wyszukiwanie i przeczyszczanie .
  • uprawnienia Microsoft Entra:

    • Konfigurowanie funkcji AIR Członkostwo w rolach administratora globalnego lub administratora zabezpieczeń .
    • Rozpocznij automatyczne badanie lub zatwierdź lub odrzuć zalecane akcje:
      • Członkostwo w rolach Administrator globalny, Administrator zabezpieczeń, Operator zabezpieczeń, Czytelnik zabezpieczeń lub Czytelnik globalny . i
      • Członkostwo w grupie ról współpracy Email & z przypisaną rolą Wyszukiwania i przeczyszczania. Domyślnie ta rola jest przypisywana do grup ról Badacz danych i Zarządzanie organizacją . Możesz też utworzyć niestandardową grupę ról współpracy Email &, aby przypisać rolę Wyszukiwanie i przeczyszczanie.

    uprawnienia Microsoft Entra zapewniają użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.

Wymagane licencje

Ochrona usługi Office 365 w usłudze Microsoft Defender licencje planu 2 powinny być przypisane do:

  • Administratorzy zabezpieczeń (w tym administratorzy globalni)
  • Zespół ds. operacji zabezpieczeń w organizacji (w tym czytelnicy zabezpieczeń i osoby z rolą Wyszukiwania i przeczyszczania )
  • Użytkownicy końcowi

Następne kroki