Автоматическое исследование и реагирование в Microsoft 365 Defender
Примечание.
Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценивать и пилотно Microsoft 365 Defender.
Область применения:
- Microsoft 365 Defender
Если ваша организация использует Microsoft 365 Defender, команда по операциям безопасности получает оповещение на портале Microsoft 365 Defender при обнаружении вредоносного или подозрительного действия или артефакта. Учитывая, казалось бы, бесконечный поток угроз, которые могут прийти, команды безопасности часто сталкиваются с проблемой решения большого объема оповещений. К счастью, Microsoft 365 Defender включает функции автоматического исследования и реагирования (AIR), которые могут помочь вашей группе операций по обеспечению безопасности более эффективно и действенно устранять угрозы.
В этой статье содержится обзор AIR, а также ссылки на дальнейшие действия и дополнительные ресурсы.
Как работает автоматизированное исследование и самовосстановление
По мере появления предупреждений системы безопасности группа по обеспечению безопасности должна изучить эти предупреждения и выполнить действия для защиты организации. Определение приоритета и анализ оповещений могут отнимать очень много времени, особенно в условиях постоянного появления новых оповещений во время анализа. Службы обеспечения безопасности могут быть перегружены из-за огромного количества угроз, которые им нужно отслеживать и от которых необходимо защищать. Здесь может помочь возможность автоматического исследования и реагирования с помощью самовосстановления в Microsoft 365 Defender.
Посмотрите следующее видео, чтобы увидеть, как работает самовосстановление:
В Microsoft 365 Defender автоматическое исследование и реагирование с возможностью самовосстановления работает на всех ваших устройствах, в содержимом & электронной почты и удостоверениях.
Совет
В этой статье описывается, как работает автоматическое исследование и реагирование. Сведения о настройке этих возможностей см. в статье Настройка возможностей автоматического исследования и реагирования в Microsoft 365 Defender.
Ваш собственный виртуальный аналитик
Представьте себе, что у вас есть виртуальный аналитик в группе безопасности уровня 1 или уровня 2. Виртуальный аналитик имитирует идеальные действия, которые должен предпринять отдел обеспечения безопасности для анализа и устранения угроз. Виртуальный аналитик может работать 24x7 с неограниченной емкостью и взять на себя значительный объем исследований и устранения угроз. Такой виртуальный аналитик может значительно сократить время реагирования, освободив команду по обеспечению безопасности от других важных угроз или стратегических проектов. Если этот сценарий звучит как фантастика, это не так! Такой виртуальный аналитик является частью набора Microsoft 365 Defender и называется автоматическим исследованием и реагированием.
Возможности автоматического исследования и реагирования позволяют вашей команде по операциям безопасности значительно увеличить возможности вашей организации по борьбе с оповещениями системы безопасности и инцидентами. С помощью автоматического исследования и реагирования вы можете снизить затраты на расследование и реагирование на них, а также максимально эффективно использовать набор средств защиты от угроз. Возможности автоматического исследования и реагирования помогают вашей группе по операциям с безопасностью:
- определяет, требует ли угроза выполнения какого-либо действия;
- выполняет (или рекомендует) все необходимые действия по исправлению;
- определяет, следует ли проводить другие исследования и какие именно;
- при необходимости повторяет весь этот процесс с другими оповещениями.
Процесс автоматизированного анализа
Оповещение создает инцидент, который может запустить автоматическое исследование. В результате автоматизированного исследования выносится решение по каждому свидетельству. Решения могут быть:
- Злоумышленная
- Подозрительный
- Угрозы не найдены
Определяются действия по исправлению для вредоносных или подозрительных объектов. Примеры действий по исправлению:
- Отправка файла в карантин
- Остановка процесса
- изоляция устройства;
- Блокировка URL-адреса
- Другие действия
Дополнительные сведения см. в разделе Действия по исправлению в Microsoft 365 Defender.
В зависимости от того , как настроены возможности автоматического исследования и реагирования для вашей организации, действия по исправлению выполняются автоматически или только после утверждения вашей группой по операциям безопасности. Все действия, ожидающие или завершенные, перечислены в центре уведомлений.
Во время проведения анализа все другие связанные с ним оповещения добавляются в анализ до его завершения. Если затронутая сущность обнаружена в каком-либо другом месте, область автоматического исследования расширяется, чтобы включить эту сущность, и процесс исследования повторяется.
В Microsoft 365 Defender каждое автоматическое исследование сопоставляет сигналы в Microsoft Defender для удостоверений, Microsoft Defender для конечной точки и Microsoft Defender для Office 365, как показано в следующей таблице:
| Объекты | Службы защиты от угроз |
|---|---|
| Устройства (также называемые конечными точками или компьютерами) | Defender для конечной точки |
| Локальные пользователи Active Directory, поведение сущностей и действия | Defender для удостоверений |
| Email содержимое (сообщения электронной почты, которые могут содержать файлы и URL-адреса) | Defender для Office 365 |
Примечание.
Не каждое оповещение запускает автоматическое исследование, и не каждое исследование приводит к автоматическим действиям по исправлению. Это зависит от того, как в организации настроено автоматическое исследование и реагирование. См. раздел Настройка возможностей автоматического исследования и реагирования.
Просмотр списка исследований
Чтобы просмотреть расследование, перейдите на страницу Инциденты . Выберите инцидент, а затем перейдите на вкладку Расследования . Дополнительные сведения см. в статье Сведения и результаты автоматизированного исследования.
Автоматизированные карта ответа на исследование &
Новый карта ответа автоматизированного исследования & доступен на портале Microsoft 365 Defender (https://security.microsoft.com). Это новое карта видимость общего количества доступных действий по исправлению. В карта также приведен обзор всех оповещений и необходимого времени утверждения для каждого оповещения.
Используя карта автоматического ответа на исследование&, ваша команда по операциям безопасности может быстро перейти в центр уведомлений, щелкнув ссылку Утвердить в центре уведомлений, а затем предпринять соответствующие действия. Карта позволяет вашей группе по операциям безопасности более эффективно управлять действиями, ожидающими утверждения.
Дальнейшие действия
- Ознакомьтесь с предварительными условиями для автоматического исследования и реагирования.
- Настройка автоматического исследования и реагирования для организации
- Дополнительные сведения о центре уведомлений
Совет
Хотите узнать больше? Общайтесь с сообществом Microsoft Security в нашем техническом сообществе: Microsoft 365 Defender техническом сообществе.