Автоматическое исследование и реагирование (AIR) в Microsoft Defender для Office 365

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Microsoft Defender для Office 365 включает в себя мощные возможности автоматического исследования и реагирования (AIR), которые могут сэкономить время и усилия вашей команды по операциям безопасности. По мере активации оповещений ваша команда по операциям безопасности будет проверять эти оповещения, определять приоритеты и реагировать на них. Объем входящих оповещений может быть подавляющим. Автоматизация некоторых из этих задач может помочь.

AIR позволяет команде по обеспечению безопасности работать более эффективно и эффективно. Возможности AIR включают автоматизированные процессы исследования в ответ на известные угрозы, существующие в настоящее время. Соответствующие действия по исправлению ожидают утверждения, что позволит вашей группе по операциям безопасности эффективно реагировать на обнаруженные угрозы. С помощью AIR ваша команда по операциям безопасности может сосредоточиться на более приоритетных задачах, не упуская из виду важные оповещения, которые активируются.

В этой статье описываются:

• Общий поток AIR;
• Как получить AIR; и
• Необходимые разрешения для настройки или использования возможностей AIR.

В этой статье также содержатся дальнейшие действия и ресурсы, чтобы узнать больше.

Общий поток AIR

Активируется оповещение, а сборник схем безопасности запускает автоматическое исследование, в результате которого будут получены результаты и рекомендуемые действия. Вот общий поток AIR, шаг за шагом:

1. Автоматическое исследование инициируется одним из следующих способов:

   • Оповещение активируется подозрительным сообщением электронной почты (например, сообщением, вложением, URL-адресом или скомпрометированной учетной записью пользователя). Создается инцидент и начинается автоматическое исследование; или
   • Аналитик по безопасности начинает автоматическое исследование при использовании Обозреватель.

2. Пока выполняется автоматическое исследование, оно собирает данные о соответствующем сообщении электронной почты и сущностях , связанных с ним (например, файлах, URL-адресах и получателях). Область исследования может увеличиваться по мере активации новых и связанных оповещений.

3. Во время и после автоматического исследования доступны сведения и результаты . Результаты могут включать рекомендуемые действия , которые можно предпринять для реагирования и устранения любых обнаруженных угроз.

4. Группа по операциям безопасности проверяет результаты исследования и рекомендации, а также утверждает или отклоняет действия по исправлению.

5. Так как ожидающие действия по исправлению утверждаются (или отклоняются), автоматическое исследование завершается.

Примечание.

Если расследование не приводит к выполнению рекомендуемых действий, автоматическое расследование закроется, а сведения о том, что было проверено в рамках автоматического исследования, по-прежнему будут доступны на странице исследования.

В Microsoft Defender для Office 365 никакие действия по исправлению не выполняются автоматически. Действия по устранению угроз и их последствий предпринимаются только после их утверждения группой безопасности вашей организации. Возможности AIR экономят время команды по обеспечению безопасности, определяя действия по исправлению и предоставляя сведения, необходимые для принятия обоснованного решения.

Во время и после каждого автоматизированного исследования группа по операциям безопасности может:

• Просмотр сведений об оповещении, связанном с исследованием
• Просмотр сведений о результатах исследования
• Проверка и утверждение действий в результате исследования

Совет

Более подробный обзор см. в разделе Принцип работы AIR.

Как получить AIR

Возможности AIR включены в Microsoft Defender для Office 365 план 2, если ведение журнала аудита включено (по умолчанию включено).

Кроме того, обязательно просмотрите политики оповещений организации, особенно политики по умолчанию в категории Управление угрозами.

Какие политики оповещений активируют автоматизированные исследования?

Microsoft 365 предоставляет множество встроенных политик оповещений, которые помогают выявлять злоупотребления разрешениями администратора Exchange, активность вредоносных программ, потенциальные внешние и внутренние угрозы, а также риски управления информацией. Некоторые политики оповещений по умолчанию могут активировать автоматические исследования. Если эти оповещения отключены или заменены пользовательскими оповещениями, функция AIR не активируется.

В следующей таблице описаны оповещения, которые запускают автоматизированные исследования, их серьезность на портале Microsoft Defender и способы их создания.

Оповещение	Severity	Как создается оповещение
Обнаружен потенциально вредоносный url-адрес щелчка	Высокий	Это оповещение создается при возникновении любого из следующих действий: Пользователь, защищенный с помощью безопасных ссылок в вашей организации, щелкает вредоносную ссылку Изменения вердиктов для URL-адресов определяются Microsoft Defender для Office 365 Пользователи переопределяют страницы предупреждений о безопасных ссылках (на основе политики безопасных ссылок вашей организации). Дополнительные сведения о событиях, которые активируют это оповещение, см. в разделе Настройка политик безопасных связей.
Сообщение электронной почты сообщается пользователем как вредоносная программа или фишинг	Низкая	Это оповещение создается, когда пользователи в вашей организации сообщают о сообщениях как о фишинговых сообщениях с помощью надстроек Microsoft Report Message или Report Phishing.
Сообщения электронной почты, содержащие вредоносный файл, удалены после доставки	Информационный	Это оповещение создается, когда все сообщения, содержащие вредоносный файл, доставляются в почтовые ящики в вашей организации. В этом случае корпорация Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью автоматической очистки (ZAP) нулевого часа.
Email сообщения, содержащие вредоносные программы, удаляются после доставки	Информационный	Это оповещение создается, когда все сообщения электронной почты, содержащие вредоносные программы, доставляются в почтовые ящики в вашей организации. В этом случае корпорация Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью автоматической очистки (ZAP) нулевого часа.
Сообщения электронной почты, содержащие вредоносный URL-адрес, удалены после доставки	Информационный	Это оповещение создается, когда все сообщения, содержащие вредоносный URL-адрес, доставляются в почтовые ящики в вашей организации. В этом случае корпорация Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью автоматической очистки (ZAP) нулевого часа.
Email сообщения, содержащие фишинговые URL-адреса, удаляются после доставки	Информационный	Это оповещение создается при доставке любых сообщений, содержащих фишинг, в почтовые ящики в вашей организации. В случае возникновения этого события корпорация Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью ZAP.
Обнаружены подозрительные шаблоны отправки электронной почты	Средний	Это оповещение создается, когда кто-то в вашей организации отправляет подозрительные сообщения электронной почты и может быть ограничен отправкой электронной почты. Оповещение — это раннее предупреждение о поведении, которое может указывать на компрометацию учетной записи, но недостаточно серьезное, чтобы ограничить пользователя. Хотя это редко, предупреждение, созданное этой политикой, может быть аномалией. Однако рекомендуется проверка, компрометация учетной записи пользователя.
Пользователю запрещено отправлять сообщения электронной почты	Высокий	Это оповещение создается, если кому-то в вашей организации запрещено отправлять исходящую почту. Обычно это оповещение возникает при компрометации учетной записи электронной почты. Дополнительные сведения о ограниченных пользователях см. в статье Удаление заблокированных пользователей на странице Ограниченные сущности.
Администратор инициированное вручную исследование электронной почты	Информационный	Это оповещение создается, когда администратор запускает расследование электронной почты вручную из Обозреватель угрозы. Это оповещение уведомляет вашу организацию о начале расследования.
Администратор инициированное расследование компрометации пользователя	Средний	Это оповещение создается, когда администратор запускает расследование компрометации пользователя вручную отправителя электронной почты или получателя из Обозреватель угрозы. Это оповещение уведомляет вашу организацию о начале расследования компрометации пользователя.

Совет

Дополнительные сведения о политиках оповещений или изменении параметров по умолчанию см. в статье Политики оповещений на портале Microsoft Defender.

Необходимые разрешения для использования возможностей AIR

Для использования AIR вам должны быть назначены разрешения. Возможны следующие варианты:

• Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell:

  • Запуск автоматического исследования или утверждение или отклонение рекомендуемых действий: оператор безопасности или Email расширенные действия по исправлению (управление).

• Email & разрешения на совместную работу на портале Microsoft Defender:

  • Настройка функций AIR: членство в группах ролей "Управление организацией " или "Администратор безопасности ".
  • Запустите автоматическое исследование или утвердите или отклоните рекомендуемые действия:
    • Членство в группах ролей "Управление организацией", "Администратор безопасности", "Оператор безопасности", "Читатель безопасности" или "Глобальный читатель". и
    • Членство в группе ролей с назначенной ролью "Поиск и очистка ". По умолчанию эта роль назначается группам ролей "Исследователь данных " и "Управление организацией ". Кроме того, можно создать пользовательскую группу ролей , чтобы назначить роль "Поиск и очистка ".

• разрешения Microsoft Entra:

  • Настройка функций AIR Членство в ролях глобального администратора или администратора безопасности .
  • Запустите автоматическое исследование или утвердите или отклоните рекомендуемые действия:
    • Членство в ролях "Глобальный администратор", "Администратор безопасности", "Оператор безопасности", "Читатель безопасности" или "Глобальный читатель ". и
    • Членство в группе ролей совместной работы Email & с назначенной ролью поиска и очистки. По умолчанию эта роль назначается группам ролей "Исследователь данных " и "Управление организацией ". Кроме того, можно создать пользовательскую группу ролей Email & совместной работы, чтобы назначить роль "Поиск и очистка".

  Microsoft Entra разрешения предоставляют пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

Необходимые лицензии

лицензии Microsoft Defender для Office 365 плана 2 должны быть назначены следующим:

• Администраторы безопасности (включая глобальных администраторов)
• Группа по обеспечению безопасности вашей организации (включая читателей безопасности и пользователей с ролью поиска и очистки )
• Пользователи

Дальнейшие действия

• Начало работы с AIR
• Просмотр сведений и результатов автоматического исследования
• Проверка и утверждение ожидающих действий
• Просмотр ожидающих или завершенных действий по исправлению