Возможности исследования угроз и реагирования на угрозы в Microsoft Defender для Office 365 помогают аналитикам безопасности и администраторам защитить Microsoft 365 своей организации для бизнес-пользователей, выполнив следующие действия:
Упрощает выявление, мониторинг и понимание кибератак.
Помогает быстро устранять угрозы в Exchange Online, SharePoint Online, OneDrive для бизнеса и Microsoft Teams.
Предоставление аналитических сведений и знаний, которые помогут операциям по обеспечению безопасности предотвратить кибератаки на их организацию.
Возможности исследования угроз и реагирования на них предоставляют аналитические сведения об угрозах и связанных действиях реагирования, доступных на портале Microsoft Defender. Эти аналитические сведения помогут группе безопасности вашей организации защитить пользователей от атак на основе электронной почты или файлов. Эти возможности помогают отслеживать сигналы и собирать данные из нескольких источников, таких как действия пользователей, проверка подлинности, электронная почта, скомпрометированные компьютеры и инциденты безопасности. Лица, принимающие бизнес-решения, и ваша команда по обеспечению безопасности могут использовать эту информацию для понимания угроз вашей организации и реагирования на них, а также для защиты интеллектуальной собственности.
Знакомство с инструментами для исследования угроз и реагирования на нее
Возможности исследования угроз и реагирования на них на портале Microsoft Defender — https://security.microsoft.com это набор средств и рабочих процессов реагирования, которые включают в себя:
Используйте Обозреватель (и обнаружения в режиме реального времени) для анализа угроз, просмотра объемов атак с течением времени, анализа данных по семействам угроз, инфраструктуре злоумышленников и т. д. Обозреватель (также называемая Обозреватель угроз) является отправной точкой для любого рабочего процесса исследования аналитика безопасности.
Эта функция доступна, только если у вас есть активная подписка Office 365 E5, G5, Microsoft 365 E5, G5 или надстройка Threat Intelligence. Дополнительные сведения см. на странице продукта Office 365 корпоративный E5.
Данные из Microsoft Defender для Office 365 включаются в Microsoft Defender XDR для проведения комплексного исследования безопасности Office 365 почтовых ящиков и устройств Windows.
Инциденты
Используйте список инцидентов (он также называется расследованиями), чтобы просмотреть список инцидентов, связанных с безопасностью полетов. Инциденты используются для отслеживания таких угроз, как подозрительные сообщения электронной почты, а также для проведения дальнейшего исследования и исправления.
Чтобы просмотреть список текущих инцидентов для вашей организации на портале Microsoft Defender по адресу https://security.microsoft.com, перейдите в раздел Инциденты & оповещения Инциденты>. Или, чтобы перейти непосредственно на страницу Инциденты , используйте https://security.microsoft.com/incidents.
Обучение симуляции атаки
Используйте Обучение эмуляции атак, чтобы настроить и проводить реалистичные кибератаки в вашей организации, а также выявлять уязвимых людей, прежде чем реальная кибератака повлияет на ваш бизнес. Дополнительные сведения см. в статье Имитация фишинговой атаки.
Используйте возможности автоматического исследования и реагирования (AIR) для экономии времени и усилий при сопоставлении содержимого, устройств и людей, подверженных риску угроз в вашей организации. Процессы AIR могут запускаться при запуске определенных оповещений или при запуске вашей группой по операциям безопасности. Дополнительные сведения см. в статье Примеры автоматизированного исследования и реагирования (AIR) в Microsoft Defender для Office 365 план 2.
Мини-приложения аналитики угроз
В рамках предложения Microsoft Defender для Office 365 план 2 аналитики безопасности могут просматривать сведения об известной угрозе. Это полезно, чтобы определить, существуют ли дополнительные профилактические меры или шаги, которые можно предпринять для обеспечения безопасности пользователей.
Как получить эти возможности?
Возможности исследования угроз Microsoft 365 и реагирования на них включены в Microsoft Defender для Office 365 план 2, который входит в корпоративный E5 или в качестве надстройки для определенных подписок. Дополнительные сведения см. в статье Defender для Office 365 план 1 и план 2.
Обязательные роли и разрешения
Microsoft Defender для Office 365 использует управление доступом на основе ролей. Разрешения назначаются через определенные роли в Microsoft Entra ID, Центр администрирования Microsoft 365 или на портале Microsoft Defender.
Совет
Хотя некоторые роли, такие как администратор безопасности, можно назначить на портале Microsoft Defender, рекомендуется использовать Центр администрирования Microsoft 365 или Microsoft Entra ID. Сведения о ролях, группах ролей и разрешениях см. в следующих ресурсах:
* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Microsoft 365 включает технологии безопасности, которые могут использоваться в организациях для защиты электронной почты, данных, устройств и удостоверений от рисков, связанных с киберугрозами. Эта схема обучения содержит общие сведения о Microsoft Defender XDR, Microsoft Defender для конечной точки, Microsoft Defender для удостоверений и Microsoft Defender для Office 365.
