Udostępnij za pośrednictwem

Zautomatyzowane korygowanie w zautomatyzowanym badaniu i reagowaniu (AIR)

Domyślnie akcje korygowania identyfikowane przez zautomatyzowane badanie i reagowanie (AIR) w Ochrona usługi Office 365 w usłudze Microsoft Defender planie 2 wymagają zatwierdzenia przez zespoły operacji zabezpieczeń (SecOps). Aby uzyskać więcej informacji na temat air, zobacz Zautomatyzowane badanie i reagowanie (AIR) w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2

Teraz administratorzy mogą również wyznaczyć określone akcje do automatycznego korygowania. Automatyczne korygowanie komunikatów zidentyfikowanych jako złośliwe w badaniach air ma następujące korzyści:

  • Zwiększa ochronę klienta, przyspieszając korygowanie większej liczby zagrożeń.
  • Oszczędza czas dla zespołów SecOps, zmniejszając potrzebę zatwierdzenia.

W pozostałej części tego artykułu opisano sposób konfigurowania zautomatyzowanego korygowania w środowisku AIR oraz identyfikowanie komunikatów, które zostały automatycznie skorygowane.

Konfigurowanie automatycznego korygowania

Funkcja AIR tworzy klaster wokół wykrytego złośliwego pliku lub adresu URL, a następnie zautomatyzowane badanie sprawdza lokalizację komunikatów w klastrze. Jeśli komunikaty znajdują się w skrzynkach pocztowych, funkcja AIR generuje akcję korygowania.

Po wybraniu typów klastrów do automatycznego korygowania wybrana akcja korygowania odbywa się bez konieczności zatwierdzania usługi SecOps.

Porada

Klastry utworzone przez program AIR, które nie są automatycznie korygowane, nadal są wyświetlane jako akcja Oczekująca , tak jak obecnie.

Klastry większe niż 10 000 komunikatów nie są automatycznie korygowane i wyświetlane jako oczekująca akcja do przeglądu.

Aby wybrać typy klastrów do automatycznego korygowania, wykonaj następujące kroki:

W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do pozycji Ustawienia>Email & współpraca>MDO ustawienia automatyzacji.

Następujące ustawienia są dostępne na stronie ustawień usługi Automation :

  • Sekcja Klastry komunikatów: określa typy klastrów komunikatów, które są automatycznie korygowane. Wybierz co najmniej jedną z następujących opcji:

  • Podobne pliki: Gdy zautomatyzowane badanie rozpoznaje złośliwy plik, tworzy klaster wokół złośliwego pliku. Klaster grupuje wszystkie komunikaty zawierające plik w klastrze. Wybranie tego ustawienia umożliwia organizacji automatyczne korygowanie tych złośliwych klastrów plików.

  • Podobne adresy URL: Gdy zautomatyzowane badanie rozpoznaje złośliwy adres URL, tworzy klaster wokół złośliwego adresu URL. Klaster grupuje wszystkie komunikaty zawierające adres URL do klastra. Wybranie tego ustawienia umożliwia organizacji automatyczne korygowanie tych złośliwych klastrów adresów URL.

    Porada

    Postępuj zgodnie z planem działania, aby być na bieżąco z informacjami o dostępności większej liczby klastrów komunikatów do zautomatyzowanego korygowania.

  • Sekcja akcji korygowania: określa akcję do wykonania w przypadku typów klastrów komunikatów określonych w sekcji Klastry komunikatów.

    Obecnie usuwanie nietrwałe jest jedyną dostępną akcją. Aby uzyskać więcej informacji na temat nietrwałych usuniętych komunikatów, zobacz Folder Elementy możliwe do odzyskania w Exchange Online.

    Ważna

    Możliwość odzyskiwania nietrwałych usuniętych komunikatów zależy od zasad przechowywania nietrwałych usuniętych wiadomości w każdej skrzynce pocztowej. Sprawdź swoje zobowiązania prawne dotyczące przechowywania wiadomości e-mail, w tym wiadomości oznaczone jako złośliwe. Aby uzyskać więcej informacji na temat przechowywania nietrwałych usuniętych wiadomości, zobacz Zmienianie czasu przechowywania trwale usuniętych elementów dla skrzynki pocztowej Exchange Online w Exchange Online.

Po zakończeniu pracy na stronie ustawienia usługi Automation wybierz pozycję Zapisz.

Zrzut ekranu przedstawiający automatyczne korygowanie konfiguracji złośliwych klastrów jednostek w portalu usługi Defender w obszarze Ustawienia \> Email & współpracy \> MDO ustawień automatyzacji.

Przeglądanie automatycznie korygowanych komunikatów

Poniższa podsekcja pokazuje, jak używać portalu usługi Defender do przeglądania zautomatyzowanych akcji korygowania.

Wyniki zautomatyzowanego korygowania w centrum akcji

W centrum akcji w https://security.microsoft.com/action-center/programie automatycznie skorygowane klastry są wyświetlane na karcie Historia . Użyj filtru Decided by z wartością Automation , aby zwrócić klastry, które zostały automatycznie skorygowane.

Aby uzyskać więcej informacji na temat centrum akcji, zobacz Centrum akcji.

Zrzut ekranu przedstawiający kartę Historia w centrum akcji z automatycznie korygowanymi klastrami przefiltrowanymi przez akcję Automatyzacja według wartości Zdecydowana przez i wartość źródła akcji Automatyczna wiadomość e-mail.

Wyniki zautomatyzowanego korygowania w badaniach

W ramach badania w środowisku AIR automatycznie skorygowane klastry są wyświetlane na karcie Historia oczekujących akcji badania za pomocą automatyzacjiobsługiwanej przez wartość.

Aby uzyskać więcej informacji na temat wyników badania AIR, zobacz Szczegóły i wyniki zautomatyzowanego badania i reagowania (AIR) w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2.

Zrzut ekranu przedstawiający kartę Historia oczekujących akcji badania z automatycznie korygowanymi klastrami za pomocą automatyzacji obsługiwanej przez wartość.

Wyniki zautomatyzowanego korygowania w Eksploratorze zagrożeń

W Eksploratorze zagrożeń (Eksplorator) automatycznie korygowane komunikaty mają wartość Dodatkowa akcjaZautomatyzowane korygowanie:zautomatyzowane.

Aby uzyskać więcej informacji na temat Eksploratora zagrożeń, zobacz About Threat Explorer and Real-time detections in Ochrona usługi Office 365 w usłudze Microsoft Defender (Informacje o Eksploratorze zagrożeń i wykrywaniu w czasie rzeczywistym w Ochrona usługi Office 365 w usłudze Microsoft Defender).

Zrzut ekranu Eksploratora zagrożeń przedstawiający komunikaty, które zautomatyzowane korygowanie zostały usunięte ze skrzynki pocztowej przez zautomatyzowane korygowanie (filtrowane według wartości Dodatkowa akcja Zautomatyzowane korygowanie).

Automatyczne korygowanie powoduje zaawansowane wyszukiwanie zagrożeń

W obszarze Zaawansowane wyszukiwanie zagrożeń automatycznie korygowane komunikaty znajdują się w EmailPostDeliveryEvents tabeli z obiema następującymi wartościami właściwości:

  • ActionType równa się automatycznej korygowaniu
  • ActionTrigger równa się automatyzacji.

Aby uzyskać więcej informacji na temat zaawansowanego wyszukiwania zagrożeń, zobacz Proaktywne wyszukiwanie zagrożeń z zaawansowanym wyszukiwaniem zagrożeń w Microsoft Defender.

Zrzut ekranu przedstawiający zaawansowane wyszukiwanie wiadomości usuniętych ze skrzynek pocztowych przez zautomatyzowane korygowanie (tabela EmailPostDeliveryEvents, w której wartość ActionType to Automatyczne korygowanie, a wartość ActionTrigger to Automation).

Przywracanie automatycznych akcji korygowania komunikatów

Uwaga

Możliwość odzyskiwania komunikatów zależy od danych nadal dostępnych w usłudze Defender oraz ustawień przechowywania skrzynki pocztowej dla nietrwałych usuniętych wiadomości. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

Dostępne są następujące metody przywracania zautomatyzowanych akcji korygowania i przywracania komunikatów do skrzynek pocztowych:

  • Wykonaj akcję w eksploratorze zagrożeń lub zaawansowanym wyszukiwaniu zagrożeń. Aby uzyskać informacje o kreatorze akcji take , zobacz Kreator akcji Take.

  • Akcje Przenieś do skrzynki odbiorczej lub >Przenieś do śmieci w wysuwanym okienku szczegółów właściwości klastra na karcie Historia centrum akcji, jak pokazano na poniższym zrzucie ekranu:

    Zrzut ekranu przedstawiający wysuwane szczegóły automatycznie skorygowanego klastra poczty e-mail z dostępną akcją Przenieś do skrzynki odbiorczej, aby cofnąć akcję automatycznego korygowania i przywrócić wiadomości do skrzynek pocztowych.

Zobacz też