Автоматическое исследование и реагирование в Microsoft 365 Defender

Примечание.

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения:

  • Microsoft 365 Defender

Если ваша организация использует Microsoft 365 Defender, ваша группа по обеспечению безопасности получает на портале Microsoft 365 Defender оповещение при обнаружении вредоносного или подозрительного действия или артефакта. Учитывая на первый взгляд бесконечный поток угроз, который может возникнуть, группы безопасности часто сталкиваются с проблемой решения большого объема оповещений. К счастью, Microsoft 365 Defender возможности автоматического исследования и реагирования (AIR), которые могут помочь вашей команде по обеспечению безопасности эффективнее и эффективнее устранить угрозы.

Эта статья содержит общие сведения о AIR и ссылки на дальнейшие шаги и дополнительные ресурсы.

Как работает автоматическое исследование и самовосстановление

По мере активации оповещений системы безопасности ваша группа по работе с безопасностью должна просмотреть эти оповещения и принять меры по защите организации. Определение приоритета и анализ оповещений могут отнимать очень много времени, особенно в условиях постоянного появления новых оповещений во время анализа. Службы обеспечения безопасности могут быть перегружены из-за огромного количества угроз, которые им нужно отслеживать и от которых необходимо защищать. Автоматизированные возможности исследования и реагирования с самостоятельным восстановлением в Microsoft 365 Defender могут помочь.

Просмотрите следующее видео, чтобы узнать, как работает самовосстановление:

В Microsoft 365 Defender автоматизированное исследование и реагирование с возможностью самовосстановления работает на ваших устройствах, в & содержимом электронной почты и удостоверениях.

Совет

В этой статье описывается, как работает автоматическое исследование и реагирование. Сведения о настройке этих возможностей см. в разделе "Настройка возможностей автоматического исследования и реагирования" в Microsoft 365 Defender.

Ваш собственный виртуальный аналитик

Представьте себе, что в группе операций безопасности уровня 1 или 2 есть виртуальный аналитик. Виртуальный аналитик имитирует идеальные действия, которые должен предпринять отдел обеспечения безопасности для анализа и устранения угроз. Виртуальный аналитик может работать 24x7 с неограниченной емкостью и взять на себя значительную нагрузку исследований и устранения угроз. Такой виртуальный аналитик может значительно сократить время реагирования, освободив группу управления безопасностью от других важных угроз или стратегических проектов. Если этот сценарий выглядит как фантастика, это не так! Такой виртуальный аналитик является частью Microsoft 365 Defender, а его имя — автоматическое исследование и реагирование.

Возможности автоматического исследования и реагирования позволяют группе по обеспечению безопасности значительно увеличить емкость вашей организации для обработки оповещений системы безопасности и инцидентов. С помощью автоматического исследования и реагирования вы можете снизить затраты на действия по анализу и реагированию и максимально эффективно использовать свой набор защиты от угроз. Возможности автоматического исследования и реагирования помогают группе по обеспечению безопасности:

  1. определяет, требует ли угроза выполнения какого-либо действия;
  2. выполняет (или рекомендует) все необходимые действия по исправлению;
  3. определяет, следует ли проводить другие исследования и какие именно;
  4. при необходимости повторяет весь этот процесс с другими оповещениями.

Процесс автоматизированного анализа

Оповещение создает инцидент, который может начать автоматическое исследование. Автоматическое исследование приводит к решению для каждого фрагмента свидетельства. Возможные решения:

  • Злоумышленная
  • Подозрительное
  • Угрозы не найдены

Определяются действия по исправлению вредоносных или подозрительных сущностей. Примеры действий по исправлению:

  • Отправка файла в карантин
  • Остановка процесса
  • изоляция устройства;
  • Блокировка URL-адреса
  • Другие действия

Дополнительные сведения см. в разделе "Действия по исправлению" Microsoft 365 Defender.

В зависимости от того , как настроены возможности автоматического исследования и реагирования для вашей организации, действия по исправлению выполняются автоматически или только после утверждения группой по обеспечению безопасности. Все действия( ожидающие или завершенные) перечислены в центре уведомлений.

Во время проведения анализа все другие связанные с ним оповещения добавляются в анализ до его завершения. Если затронутая сущность обнаружена в каком-либо другом месте, область автоматического исследования расширяется, чтобы включить эту сущность, и процесс исследования повторяется.

В Microsoft 365 Defender каждое автоматическое исследование сопоставляет сигналы между Microsoft Defender для удостоверений, Microsoft Defender для конечной точки и Microsoft Defender для Office 365, как показано в следующей таблице:

Объекты Службы защиты от угроз
Устройства (также называемые конечными точками или компьютерами) Defender для конечной точки
Локальные пользователи Active Directory, поведение сущностей и действия Defender для удостоверений
Email (сообщения электронной почты, которые могут содержать файлы и URL-адреса) Defender для Office 365

Примечание.

Не каждое оповещение запускает автоматическое исследование, и не каждое исследование приводит к автоматическим действиям по исправлению. Это зависит от того, как настроены автоматическое исследование и реагирование для вашей организации. См . раздел "Настройка возможностей автоматического исследования и реагирования".

Просмотр списка исследований

Чтобы просмотреть исследования, перейдите на страницу "Инциденты ". Выберите инцидент, а затем перейдите на вкладку "Исследования ". Дополнительные сведения см . в подробных сведениях и результатах автоматического исследования.

Карточка ответа автоматизированного & исследования

Новая карточка ответа автоматизированного & исследования доступна на Microsoft 365 Defender (https://security.microsoft.com). Эта новая карточка позволяет отслеживать общее количество доступных действий по исправлению. Карточка также содержит обзор всех оповещений и необходимое время утверждения для каждого оповещения.

Снимок экрана, на котором показана карточка ответа автоматизированного & исследования.

С помощью карточки ответа & на автоматическое исследование ваша группа по обеспечению безопасности может быстро перейти в Центр уведомлений, выбрав ссылку "Утвердить в Центре уведомлений", а затем выполнив соответствующие действия. Карточка позволяет группе управления безопасностью эффективнее управлять действиями, ожидающими утверждения.

Обучение аналитиков безопасности

Используйте этот учебный модуль из Microsoft Learn, чтобы понять, Microsoft 365 Defender использует автоматическое самовосстановление для исследования инцидентов и реагирования на них.

Учебный курс. Автоматизация самовосстановления с помощью Microsoft 365 Defender
Автоматизировать самовосстановление с помощью Microsoft 365 Defender обучения. Microsoft 365 Defender использует ИИ для автоматизации исправления инцидентов, помогая группе по обеспечению безопасности эффективнее и эффективнее устранять угрозы.

От 11 мин до 5 единиц

Дальнейшие действия