Автоматическое исследование и реагирование (AIR) в Microsoft Defender для Office 365

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft 365 Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Область применения

Microsoft Defender для Office 365 включает в себя мощные возможности автоматического исследования и реагирования (AIR), которые могут сэкономить время и усилия команды по операциям безопасности. По мере активации оповещений ваша команда по операциям безопасности будет проверять эти оповещения, определять приоритеты и реагировать на них. Объем входящих оповещений может быть подавляющим. Автоматизация некоторых из этих задач может помочь.

AIR позволяет команде по обеспечению безопасности работать более эффективно и эффективно. Возможности AIR включают автоматизированные процессы исследования в ответ на известные угрозы, существующие в настоящее время. Соответствующие действия по исправлению ожидают утверждения, что позволит вашей группе по операциям безопасности эффективно реагировать на обнаруженные угрозы. С помощью AIR ваша команда по операциям безопасности может сосредоточиться на более приоритетных задачах, не упуская из виду важные оповещения, которые активируются.

В этой статье описываются:

В этой статье также содержатся дальнейшие действия и ресурсы, чтобы узнать больше.

Общий поток AIR

Активируется оповещение, а сборник схем безопасности запускает автоматическое исследование, в результате которого будут получены результаты и рекомендуемые действия. Вот общий поток AIR, шаг за шагом:

  1. Автоматическое исследование инициируется одним из следующих способов:

  2. Пока выполняется автоматическое исследование, оно собирает данные о соответствующем сообщении электронной почты и сущностях, связанных с ним. Такие сущности могут включать файлы, URL-адреса и получателей. Область исследования может увеличиваться по мере активации новых и связанных оповещений.

  3. Во время и после автоматического исследования доступны сведения и результаты . Результаты могут включать рекомендуемые действия , которые можно предпринять для реагирования и устранения любых обнаруженных угроз.

  4. Группа по операциям безопасности проверяет результаты исследования и рекомендации, а также утверждает или отклоняет действия по исправлению.

  5. Так как ожидающие действия по исправлению утверждаются (или отклоняются), автоматическое исследование завершается.

Примечание. Если исследование не приводит к рекомендованным действиям, автоматическое исследование закроется, а сведения о том, что было проверено в рамках автоматического исследования, по-прежнему будут доступны на странице исследования.

В Microsoft Defender для Office 365 никакие действия по исправлению не выполняются автоматически. Действия по устранению угроз и их последствий предпринимаются только после их утверждения группой безопасности вашей организации. Возможности AIR экономят время команды по обеспечению безопасности, определяя действия по исправлению и предоставляя сведения, необходимые для принятия обоснованного решения.

Во время и после каждого автоматизированного исследования группа по операциям безопасности может:

Совет

Более подробный обзор см. в разделе Принцип работы AIR.

Как получить AIR

Возможности AIR включены в Microsoft Defender для Office 365 при условии настройки политик и оповещений. Нужна помощь? Следуйте инструкциям в разделе Защита от угроз , чтобы настроить следующие параметры защиты:

Кроме того, обязательно просмотрите политики оповещений организации, особенно политики по умолчанию в категории Управление угрозами.

Какие политики оповещений активируют автоматизированные исследования?

Майкрософт 365 предоставляет множество встроенных политик оповещений, которые помогают выявлять злоупотребления разрешениями администратора Exchange, активность вредоносных программ, потенциальные внешние и внутренние угрозы, а также риски управления информацией. Некоторые политики оповещений по умолчанию могут активировать автоматические исследования. В следующей таблице описаны оповещения, запускающие автоматизированные исследования, их серьезность на портале Microsoft 365 Defender и способы их создания.

Оповещение Severity Как создается оповещение
Обнаружен потенциально вредоносный url-адрес щелчка Высокий Это оповещение создается при возникновении любого из следующих действий:
  • Пользователь, защищенный с помощью безопасных ссылок в вашей организации, щелкает вредоносную ссылку
  • Изменения вердиктов для URL-адресов определяются Microsoft Defender для Office 365
  • Пользователи переопределяют страницы предупреждений о безопасных ссылках (на основе политики безопасных ссылок вашей организации).

Дополнительные сведения о событиях, которые активируют это оповещение, см. в разделе Настройка политик безопасных связей.

Сообщение электронной почты сообщается пользователем как вредоносная программа или фишинг Информационный Это оповещение создается, когда пользователи в вашей организации сообщают о сообщениях как о фишинговых сообщениях с помощью надстройки "Сообщение отчета" или надстройки "Сообщить о фишинге".
Сообщения электронной почты, содержащие вредоносный файл, удалены после доставки Информационный Это оповещение создается, когда все сообщения, содержащие вредоносный файл, доставляются в почтовые ящики в вашей организации. В этом случае Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью автоматической очистки (ZAP) нулевого часа.
Email сообщения, содержащие вредоносные программы, удаляются после доставки Информационный Это оповещение создается, когда все сообщения электронной почты, содержащие вредоносные программы, доставляются в почтовые ящики в вашей организации. В этом случае Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью автоматической очистки (ZAP) нулевого часа.
Сообщения электронной почты, содержащие вредоносный URL-адрес, удалены после доставки Информационный Это оповещение создается, когда все сообщения, содержащие вредоносный URL-адрес, доставляются в почтовые ящики в вашей организации. В этом случае Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью автоматической очистки (ZAP) нулевого часа.
Email сообщения, содержащие фишинговые URL-адреса, удаляются после доставки Информационный Это оповещение создается при доставке любых сообщений, содержащих фишинг, в почтовые ящики в вашей организации. В этом случае Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью ZAP.
Обнаружены подозрительные шаблоны отправки электронной почты Средний Это оповещение создается, когда кто-то в вашей организации отправляет подозрительные сообщения электронной почты и может быть ограничен отправкой электронной почты. Оповещение — это раннее предупреждение о поведении, которое может указывать на компрометацию учетной записи, но недостаточно серьезное, чтобы ограничить пользователя.

Хотя это редко, предупреждение, созданное этой политикой, может быть аномалией. Однако рекомендуется проверить, скомпрометирована ли учетная запись пользователя.

Пользователю запрещено отправлять сообщения электронной почты Высокий Это оповещение создается, если кому-то в вашей организации запрещено отправлять исходящую почту. Обычно это оповещение возникает при компрометации учетной записи электронной почты.

Дополнительные сведения о ограниченных пользователях см. в статье Удаление заблокированных пользователей на портале ограниченных пользователей в Майкрософт 365.

Администратор инициированное вручную исследование электронной почты Информационный Это оповещение создается, когда администратор запускает расследование электронной почты вручную из обозревателя угроз. Это оповещение уведомляет вашу организацию о начале расследования.
Администратор инициированное расследование компрометации пользователя Средний Это оповещение создается, когда администратор запускает расследование компрометации пользователя вручную отправителя электронной почты или получателя из обозревателя угроз. Это оповещение уведомляет вашу организацию о начале расследования компрометации пользователя.

Совет

Дополнительные сведения о политиках оповещений или изменении параметров по умолчанию см. в статье Политики оповещений в Портал соответствия требованиям Microsoft Purview.

Необходимые разрешения для использования возможностей AIR

Разрешения предоставляются через определенные роли, например те, которые описаны в следующей таблице:

Задача Необходимые роли
Настройка функций AIR Одна из следующих ролей:
  • Глобальный администратор
  • Администратор безопасности

Эти роли можно назначить в Azure Active Directory или на портале Microsoft 365 Defender.

Запустить автоматическое исследование

--- или ---

Утверждение или отклонение рекомендуемых действий

Одна из следующих ролей, назначенных в Azure Active Directory или на портале Microsoft 365 Defender:
  • Глобальный администратор
  • Администратор безопасности
  • Оператор безопасности
  • Читатель сведений о безопасности
    --- и ---
  • Поиск и очистка (эта роль назначается только на портале Microsoft 365 Defender. Возможно, вам потребуется создать новую группу ролей Email & совместной работы и добавить в нее роль Поиск и очистка.

Необходимые лицензии

лицензии Microsoft Defender для Office 365 плана 2 должны быть назначены следующим:

  • Администраторы безопасности (включая глобальных администраторов)
  • Группа по обеспечению безопасности вашей организации (включая читателей безопасности и пользователей с ролью поиска и очистки )
  • Пользователи

Дальнейшие действия