Анализ угроз и реагирование на них

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 2

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Возможности исследования угроз и реагирования на угрозы в Microsoft Defender для Office 365 помогают аналитикам безопасности и администраторам защитить Microsoft 365 своей организации для бизнес-пользователей, выполнив следующие действия:

• Упрощает выявление, мониторинг и понимание кибератак.
• Помогает быстро устранять угрозы в Exchange Online, SharePoint Online, OneDrive для бизнеса и Microsoft Teams.
• Предоставление аналитических сведений и знаний, которые помогут операциям по обеспечению безопасности предотвратить кибератаки на их организацию.
• Использование автоматизированного исследования и реагирования в Office 365 для критических угроз на основе электронной почты.

Возможности исследования угроз и реагирования на них предоставляют аналитические сведения об угрозах и связанных действиях реагирования, доступных на портале Microsoft Defender. Эти аналитические сведения помогут группе безопасности вашей организации защитить пользователей от атак на основе электронной почты или файлов. Эти возможности помогают отслеживать сигналы и собирать данные из нескольких источников, таких как действия пользователей, проверка подлинности, электронная почта, скомпрометированные компьютеры и инциденты безопасности. Лица, принимающие бизнес-решения, и ваша команда по обеспечению безопасности могут использовать эту информацию для понимания угроз вашей организации и реагирования на них, а также для защиты интеллектуальной собственности.

Знакомство с инструментами для исследования угроз и реагирования на нее

Возможности исследования угроз и реагирования на них на портале Microsoft Defender — https://security.microsoft.com это набор средств и рабочих процессов реагирования, которые включают в себя:

• Обозреватель
• Инциденты
• Обучение симуляции атаки
• Автоматизированный анализ угроз и реагирование на них

Обозреватель

Используйте Обозреватель (и обнаружения в режиме реального времени) для анализа угроз, просмотра объемов атак с течением времени, анализа данных по семействам угроз, инфраструктуре злоумышленников и т. д. Обозреватель (также называемая Обозреватель угроз) является отправной точкой для любого рабочего процесса исследования аналитика безопасности.

Чтобы просмотреть и использовать этот отчет на портале Microsoft Defender по адресу https://security.microsoft.com, перейдите по адресу Email & совместной работы>Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorer.

подключение Office 365 аналитики угроз

Эта функция доступна, только если у вас есть активная подписка Office 365 E5, G5, Microsoft 365 E5, G5 или надстройка Threat Intelligence. Дополнительные сведения см. на странице продукта Office 365 корпоративный E5.

Данные из Microsoft Defender для Office 365 включаются в Microsoft Defender XDR для проведения комплексного исследования безопасности Office 365 почтовых ящиков и устройств Windows.

Инциденты

Используйте список инцидентов (он также называется расследованиями), чтобы просмотреть список инцидентов, связанных с безопасностью полетов. Инциденты используются для отслеживания таких угроз, как подозрительные сообщения электронной почты, а также для проведения дальнейшего исследования и исправления.

Чтобы просмотреть список текущих инцидентов для вашей организации на портале Microsoft Defender по адресу https://security.microsoft.com, перейдите в раздел Инциденты & оповещения Инциденты>. Или, чтобы перейти непосредственно на страницу Инциденты , используйте https://security.microsoft.com/incidents.

Обучение симуляции атаки

Используйте Обучение эмуляции атак, чтобы настроить и проводить реалистичные кибератаки в вашей организации, а также выявлять уязвимых людей, прежде чем реальная кибератака повлияет на ваш бизнес. Дополнительные сведения см. в статье Имитация фишинговой атаки.

Чтобы просмотреть и использовать эту функцию на портале Microsoft Defender по адресу https://security.microsoft.com, перейдите по адресу Email & совместной работы>Обучение эмуляции атак. Или, чтобы перейти непосредственно на страницу Обучение эмуляции атак, используйте https://security.microsoft.com/attacksimulator?viewid=overview.

Автоматическое исследование и реагирование

Используйте возможности автоматического исследования и реагирования (AIR) для экономии времени и усилий при сопоставлении содержимого, устройств и людей, подверженных риску угроз в вашей организации. Процессы AIR могут запускаться при запуске определенных оповещений или при запуске вашей группой по операциям безопасности. Дополнительные сведения см. в статье Автоматизированное исследование и реагирование на Office 365.

Мини-приложения аналитики угроз

В рамках предложения Microsoft Defender для Office 365 план 2 аналитики безопасности могут просматривать сведения об известной угрозе. Это полезно, чтобы определить, существуют ли дополнительные профилактические меры или шаги, которые можно предпринять для обеспечения безопасности пользователей.

Как получить эти возможности?

Возможности исследования угроз Microsoft 365 и реагирования на них включены в Microsoft Defender для Office 365 план 2, который входит в корпоративный E5 или в качестве надстройки для определенных подписок. Дополнительные сведения см. в статье Defender для Office 365 план 1 и план 2.

Обязательные роли и разрешения

Microsoft Defender для Office 365 использует управление доступом на основе ролей. Разрешения назначаются через определенные роли в Microsoft Entra ID, Центр администрирования Microsoft 365 или на портале Microsoft Defender.

Совет

Хотя некоторые роли, такие как администратор безопасности, можно назначить на портале Microsoft Defender, рекомендуется использовать Центр администрирования Microsoft 365 или Microsoft Entra ID. Сведения о ролях, группах ролей и разрешениях см. в следующих ресурсах:

• Разрешения на портале Microsoft Defender
• Microsoft Entra встроенные роли

Действие	Роли и разрешения
Использование панели мониторинга Управление уязвимостями Microsoft Defender Просмотр сведений о последних или текущих угрозах	Один из следующих продуктов: Глобальный администратор Администратор безопасности Читатель сведений о безопасности Эти роли могут быть назначены в Microsoft Entra ID (https://portal.azure.com) или Центр администрирования Microsoft 365 (https://admin.microsoft.com).
Использование Обозреватель (и обнаружение в режиме реального времени) для анализа угроз	Один из следующих продуктов: Глобальный администратор Администратор безопасности Читатель сведений о безопасности Эти роли могут быть назначены в Microsoft Entra ID (https://portal.azure.com) или Центр администрирования Microsoft 365 (https://admin.microsoft.com).
Просмотр инцидентов (также называемых расследованиями) Добавление сообщений электронной почты в инцидент	Один из следующих продуктов: Глобальный администратор Администратор безопасности Читатель сведений о безопасности Эти роли могут быть назначены в Microsoft Entra ID (https://portal.azure.com) или Центр администрирования Microsoft 365 (https://admin.microsoft.com).
Активация действий электронной почты в инциденте Поиск и удаление подозрительных сообщений электронной почты	Один из следующих продуктов: Глобальный администратор Администратор безопасности, а также роль Поиск и очистки Роли глобального администратора и администратора безопасности можно назначить в Microsoft Entra ID (https://portal.azure.com) или Центр администрирования Microsoft 365 (https://admin.microsoft.com). Роли Поиск и очистки должны быть назначены в Email & роли совместной работы на портале Microsoft 36 Defender (https://security.microsoft.com).
Интеграция Microsoft Defender для Office 365 плана 2 с Microsoft Defender для конечной точки Интеграция Microsoft Defender для Office 365 плана 2 с сервером SIEM	Роль глобального администратора или администратора безопасности, назначенная в Microsoft Entra ID (https://portal.azure.com) или Центр администрирования Microsoft 365 (https://admin.microsoft.com). --- Plus --- Соответствующая роль, назначенная в дополнительных приложениях (например, Центр безопасности в Microsoft Defender или сервере SIEM).

Дальнейшие действия

• Средства отслеживания угроз в Microsoft Defender для Office 365 план 2
• Поиск и исследование доставленных вредоносных сообщений электронной почты (Office 365 исследование угроз и реагирование на угрозы)
• Имитация фишинговой атаки