Принцип работы автоматизированного исследования и реагирования в Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

По мере появления предупреждений системы безопасности группа по обеспечению безопасности должна изучить эти предупреждения и выполнить действия для защиты организации. Иногда команды по обеспечению безопасности могут чувствовать себя перегруженными объемом активированных оповещений. Могут помочь возможности автоматизированного исследования и реагирования (AIR) в Microsoft Defender для Office 365.

AIR позволяет команде по обеспечению безопасности работать более эффективно и эффективно. Возможности AIR включают автоматизированные процессы исследования в ответ на известные угрозы, существующие в настоящее время. Соответствующие действия по исправлению ожидают утверждения, что позволит вашей группе по операциям безопасности реагировать на обнаруженные угрозы.

В этой статье описывается, как работает AIR в нескольких примерах. Когда вы будете готовы приступить к работе с AIR, см. статью Автоматическое исследование угроз и реагирование на них.

Пример. Сообщается о фишинговом сообщении пользователя, запускается сборник схем для исследования

Предположим, что пользователь в вашей организации получает сообщение электронной почты, которое, по его мнению, является попыткой фишинга. Пользователь, обученный сообщать о таких сообщениях, использует надстройки Microsoft Report Message или Report Phishing для их отправки в корпорацию Майкрософт для анализа. Отправка также отправляется в вашу систему и отображается в Обозреватель в представлении Отправки (прежнее название — представление , сообщаемое пользователем). Кроме того, сообщение, сообщаемое пользователем, теперь активирует системное информационное оповещение, которое автоматически запускает сборник схем исследования.

На этапе корневого исследования оцениваются различные аспекты сообщения электронной почты. К этим аспектам относятся:

  • Определение типа угрозы, которую она может представлять;
  • Кто послал его;
  • Откуда было отправлено сообщение электронной почты (инфраструктура отправки);
  • Были ли доставлены или заблокированы другие экземпляры электронной почты;
  • Оценка от наших аналитиков;
  • Связано ли сообщение электронной почты с известными кампаниями;
  • и многое другое.

После завершения корневого исследования сборник схем предоставляет список рекомендуемых действий для выполнения с исходным адресом электронной почты и связанными с ним сущностями (например, файлами, URL-адресами и получателями).

Далее выполняется несколько шагов по изучению угроз и охоте.

  • Аналогичные сообщения электронной почты определяются с помощью поиска в кластере электронной почты.
  • Сигнал предоставляется другим платформам, например Microsoft Defender для конечной точки.
  • Определяется, переходили ли пользователи по вредоносным ссылкам в подозрительных сообщениях электронной почты.
  • Проверка выполняется в Exchange Online Protection (EOP) и Microsoft Defender для Office 365, чтобы узнать, есть ли другие аналогичные сообщения, о которых сообщают пользователи.
  • Выполняется проверка, чтобы узнать, был ли скомпрометирован пользователь. Этот проверка использует сигналы в Office 365, Microsoft Defender for Cloud Apps и Microsoft Entra ID, сопоставляя все связанные с ними аномалии активности пользователей.

На этапе охоты риски и угрозы назначаются различным этапам охоты.

Исправление является заключительным этапом сборника схем. На этом этапе выполняются шаги по исправлению на основе этапов исследования и охоты.

Пример. Администратор безопасности запускает расследование из Обозреватель угроз

Помимо автоматизированных исследований, инициируемых оповещением, команда по операциям безопасности вашей организации может активировать автоматическое исследование из представления в Обозреватель угроз. Это исследование также создает оповещение, поэтому Microsoft Defender XDR инциденты и внешние средства SIEM могут видеть, что это исследование было активировано.

Например, предположим, что вы используете представление Вредоносные программы в Обозреватель. Используя вкладки под диаграммой, вы выбираете вкладку Email. Если выбрать один или несколько элементов в списке, активируется кнопка + Действия.

Обозреватель с выбранными сообщениями

В меню Действия можно выбрать Триггер исследования.

Меню

Как и в сборниках схем, инициируемых оповещением, автоматические исследования, запускаемые из представления в Обозреватель включают в себя корневое исследование, шаги по выявлению и корреляции угроз, а также рекомендуемые действия по их устранению.

Пример. Команда по операциям с безопасностью интегрирует AIR с SIEM с помощью API действий управления Office 365.

Возможности AIR в Microsoft Defender для Office 365 включают отчеты & подробные сведения, которые специалисты по обеспечению безопасности могут использовать для мониторинга и устранения угроз. Но вы также можете интегрировать возможности AIR с другими решениями. Примерами могут быть система управления информационной безопасностью и событиями безопасности (SIEM), система управления делами или пользовательское решение для создания отчетов. Эти типы интеграции можно выполнить с помощью API действий управления Office 365.

Например, недавно организация настроила способ просмотра пользователями фишинговых оповещений, которые уже были обработаны AIR. Их решение интегрирует соответствующие оповещения с сервером SIEM организации и системой управления обращениями. Это решение значительно сокращает количество ложных срабатываний, чтобы команда по операциям безопасности могла сосредоточить свое время и усилия на реальных угрозах. Дополнительные сведения об этом пользовательском решении см. в блоге Tech Community: Повышение эффективности SOC с помощью Microsoft Defender для Office 365 и API управления O365.

Дальнейшие действия