Поделиться через

Автоматическое исправление в автоматизированном исследовании и реагировании (AIR)

По умолчанию действия по исправлению, определяемые автоматизированным исследованием и реагированием (AIR) в Microsoft Defender для Office 365 плане 2, требуют утверждения командами по операциям безопасности (SecOps). Дополнительные сведения об AIR см. в статье Автоматизированное исследование и реагирование (AIR) в Microsoft Defender для Office 365 план 2.

Теперь администраторы также могут назначить определенные действия для автоматического исправления. Автоматическое исправление сообщений, определенных как вредоносные в исследованиях AIR, имеет следующие преимущества:

  • Повышает защиту клиентов за счет ускорения устранения дополнительных угроз.
  • Экономит время для команд SecOps, уменьшая потребность в утверждении.

В оставшейся части этой статьи описывается настройка автоматического исправления в AIR и определение сообщений, которые были автоматически исправлены.

Настройка автоматического исправления

AIR создает кластер вокруг обнаруженного вредоносного файла или URL-адреса, а затем автоматическое исследование проверяет расположение сообщений в кластере. Если сообщения находятся в почтовых ящиках, AIR создает действие по исправлению.

После выбора типов кластеров для автоматического исправления выбранное действие исправления выполняется без утверждения SecOps.

Совет

Кластеры, созданные AIR и не исправимые автоматически, по-прежнему отображаются как ожидающие действия , как и сейчас.

Кластеры размером более 10 000 сообщений не исправляться автоматически и не отображаются как ожидающие действия для проверки.

Чтобы выбрать типы кластеров для автоматического исправления, выполните следующие действия.

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Параметры>Email & совместная работа>MDO параметры автоматизации.

На странице Параметры службы автоматизации доступны следующие параметры:

  • Раздел Кластеры сообщений. Указывает типы кластеров сообщений, которые автоматически исправляются. Выберите один или несколько из следующих вариантов:

  • Похожие файлы: Когда автоматическое исследование распознает вредоносный файл, он создает кластер вокруг вредоносного файла. Кластер группит все сообщения, содержащие файл, в кластер. При выборе этого параметра организация выбирает автоматическое исправление для этих вредоносных файловых кластеров.

  • Похожие URL-адреса: Когда автоматическое исследование распознает вредоносный URL-адрес, он создает кластер вокруг вредоносного URL-адреса. Кластер группит все сообщения, содержащие URL-адрес, в кластер. При выборе этого параметра организация выбирает автоматическое исправление для этих кластеров вредоносных URL-адресов.

    Совет

    Следуйте плану развития, чтобы быть в курсе того, когда будут доступны дополнительные кластеры сообщений для автоматического исправления.

  • Раздел действия по исправлению. Указывает действие для типов кластеров сообщений, указанных в разделе Кластеры сообщений.

    В настоящее время обратимое удаление является единственным доступным действием. Дополнительные сведения о обратимо удаленных сообщениях см. в статье Папка "Элементы с возможностью восстановления" в Exchange Online.

    Важно!

    Возможность восстановления обратимо удаленных сообщений зависит от политики хранения обратимо удаленных сообщений в каждом почтовом ящике. Проверьте свои юридические обязательства по хранению электронной почты, включая сообщения, помеченные как вредоносные. Дополнительные сведения о хранении обратимо удаленных сообщений см. в статье Изменение срока хранения необратимо удаленных элементов для почтового ящика Exchange Online в Exchange Online.

Завершив работу на странице Параметры автоматизации , нажмите кнопку Сохранить.

Снимок экрана: автоматическое исправление конфигурации кластеров вредоносных сущностей на портале Defender в разделе Параметры \> Email & совместная работа \> параметры автоматизации MDO.

Проверка автоматически исправленных сообщений

В следующем подразделе показано, как использовать портал Defender для просмотра действий по автоматическому исправлению.

Результаты автоматического исправления в центре уведомлений

В центре уведомлений по адресу https://security.microsoft.com/action-center/на вкладке Журнал отображаются автоматически исправленные кластеры. Используйте фильтр Решено по со значением Автоматизация , чтобы вернуть кластеры, которые были автоматически исправлены.

Дополнительные сведения о центре уведомлений см. в разделе Центр уведомлений.

Снимок экрана: вкладка

Автоматическое исправление приводит к исследованиям

В ходе исследования в AIR автоматически исправленные кластеры отображаются на вкладке Журнал действий ожидания исследования с параметром Автоматизация обработано по значению.

Дополнительные сведения о результатах исследования AIR см. в разделе Сведения и результаты автоматизированного исследования и реагирования (AIR) в Microsoft Defender для Office 365 план 2.

Снимок экрана: вкладка

Результаты автоматического исправления в Обозреватель угроз

В Обозреватель угроз (Обозреватель) автоматически исправленные сообщения имеют значение Дополнительное действиеАвтоматическое исправление:automated.

Дополнительные сведения об Обозреватель угроз см. в разделах Об Обозреватель угроз и об обнаружении угроз в режиме реального времени в Microsoft Defender для Office 365.

Снимок экрана: Обозреватель угрозы, показывающие сообщения об автоматическом исправлении, удаленные из почтового ящика с помощью автоматического исправления (отфильтрованные по значению Дополнительное действие Автоматическое исправление).

Результаты автоматического исправления в расширенной охоте

В разделе Расширенный поиск автоматически исправленные сообщения находятся в EmailPostDeliveryEvents таблице с обоими из следующих значений свойств:

  • ActionType Равно автоматическому исправлению
  • ActionTrigger равно автоматизации.

Дополнительные сведения о расширенной охоте см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender.

Снимок экрана: расширенная охота на сообщения, удаленные из почтовых ящиков с помощью автоматического исправления (таблица EmailPostDeliveryEvents, где значение ActionType — Автоматическое исправление, а значение ActionTrigger — Автоматизация).)

Отмена действий по автоматическому исправлению сообщений

Примечание.

Возможность восстановления сообщений зависит от данных, которые по-прежнему доступны в Defender, и параметров хранения почтовых ящиков для обратимо удаленных сообщений. Дополнительные сведения см. в следующих статьях:

Для отменить изменения действий по автоматическому исправлению и восстановлению сообщений в почтовые ящики доступны следующие методы:

  • Выполните действия с сообщением в Обозреватель угроз или Расширенной охоте. Сведения о мастере принятия действий см. в разделе Мастер принятия действий.

  • Всплывающие окна Переместить в папку "Входящие" или >"Переместить в нежелательную" в свойстве кластера на вкладке "Журнал " центра уведомлений, как показано на следующем снимке экрана:

    Снимок экрана: всплывающее окно сведений об автоматическом исправлении кластера электронной почты с доступным действием Переместить в папку

См. также