Automatiserad undersökning och svar (AIR) i Microsoft Defender för Office 365

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

Microsoft Defender för Office 365 innehåller kraftfulla funktioner för automatiserad undersökning och svar (AIR) som kan spara tid och arbete för säkerhetsteamet. När aviseringar utlöses är det upp till ditt säkerhetsteam att granska, prioritera och svara på dessa aviseringar. Det kan vara överväldigande att hålla jämna steg med mängden inkommande aviseringar. Det kan vara till hjälp att automatisera vissa av dessa uppgifter.

AIR gör att ditt säkerhetsteam kan arbeta effektivare och effektivare. Air-funktionerna omfattar automatiserade undersökningsprocesser som svar på välkända hot som finns idag. Lämpliga åtgärder väntar på godkännande, vilket gör att ditt säkerhetsåtgärdsteam kan reagera effektivt på identifierade hot. Med AIR kan ditt säkerhetsteam fokusera på uppgifter med högre prioritet utan att förlora viktiga aviseringar som utlöses ur sikte.

I den här artikeln beskrivs följande:

• Det övergripande flödet av AIR;
• Hur man får AIR; och
• De behörigheter som krävs för att konfigurera eller använda AIR-funktioner.

Den här artikeln innehåller även nästa steg och resurser för att lära dig mer.

Det övergripande flödet av AIR

En avisering utlöses och en säkerhetsspelbok startar en automatiserad undersökning, vilket resulterar i resultat och rekommenderade åtgärder. Här är det övergripande flödet av AIR, steg för steg:

1. En automatiserad undersökning initieras på något av följande sätt:

   • Antingen utlöses en avisering av något misstänkt i e-postmeddelandet (till exempel ett meddelande, en bifogad fil, en URL eller ett komprometterat användarkonto). En incident skapas och en automatiserad undersökning påbörjas. eller
   • En säkerhetsanalytiker startar en automatiserad undersökning när du använder Explorer.

2. Medan en automatiserad undersökning körs samlar den in data om e-postmeddelandet i fråga och entiteter relaterade till e-postmeddelandet (till exempel filer, URL:er och mottagare). Undersökningens omfång kan öka när nya och relaterade aviseringar utlöses.

3. Under och efter en automatiserad undersökning finns information och resultat tillgängliga att visa. Resultaten kan innehålla rekommenderade åtgärder som kan vidtas för att svara på och åtgärda eventuella befintliga hot som hittades.

4. Ditt säkerhetsteam granskar undersökningsresultaten och rekommendationerna och godkänner eller avvisar reparationsåtgärder.

5. När väntande åtgärder godkänns (eller avvisas) slutförs den automatiserade undersökningen.

Obs!

Om undersökningen inte resulterar i rekommenderade åtgärder stängs den automatiserade undersökningen och detaljerna om vad som granskades som en del av den automatiserade undersökningen kommer fortfarande att vara tillgängliga på undersökningssidan.

I Microsoft Defender för Office 365 vidtas inga åtgärder automatiskt. Reparationsåtgärder vidtas endast efter godkännande av organisationens säkerhetsteam. Air-funktionerna sparar tid för säkerhetsteamet genom att identifiera reparationsåtgärder och tillhandahålla den information som behövs för att fatta ett välgrundat beslut.

Under och efter varje automatiserad undersökning kan ditt säkerhetsteam:

• Visa information om en avisering som är relaterad till en undersökning
• Visa resultatinformationen för en undersökning
• Granska och godkänna åtgärder som ett resultat av en undersökning

Tips

En mer detaljerad översikt finns i Så här fungerar AIR.

Så här skaffar du AIR

AIR-funktioner ingår i Microsoft Defender för Office 365 plan 2, så länge granskningsloggning är aktiverad (den är aktiverad som standard).

Se dessutom till att granska organisationens aviseringsprinciper, särskilt standardprinciperna i kategorin Hothantering.

Vilka aviseringsprinciper utlöser automatiserade undersökningar?

Microsoft 365 innehåller många inbyggda varningsprinciper som hjälper dig att identifiera missbruk av Exchange-administratörsbehörigheter, skadlig kodaktivitet, potentiella externa och interna hot och informationsstyrningsrisker. Flera av standardaviseringsprinciperna kan utlösa automatiserade undersökningar. Om dessa aviseringar inaktiveras eller ersätts av anpassade aviseringar utlöses inte AIR.

I följande tabell beskrivs de aviseringar som utlöser automatiserade undersökningar, deras allvarlighetsgrad i Microsoft Defender-portalen och hur de genereras:

Varning	Allvarlighetsgrad	Så här genereras aviseringen
Ett potentiellt skadligt URL-klick upptäcktes	Högsta	Den här aviseringen genereras när något av följande inträffar: En användare som skyddas av säkra länkar i din organisation klickar på en skadlig länk Bedömningsändringar för URL:er identifieras av Microsoft Defender för Office 365 Användare åsidosätter varningssidor för säkra länkar (baserat på organisationens princip för säkra länkar. Mer information om händelser som utlöser den här aviseringen finns i Konfigurera principer för säkra länkar.
Ett e-postmeddelande rapporteras av en användare som skadlig kod eller nätfiske	Låg	Den här aviseringen genereras när användare i din organisation rapporterar meddelanden som nätfiske-e-post med hjälp av Microsofts rapportmeddelande eller report phishing-tillägg.
E-postmeddelanden som innehåller en skadlig fil har tagits bort efter leverans	Informativ	Den här aviseringen genereras när meddelanden som innehåller en skadlig fil levereras till postlådor i din organisation. Om den här händelsen inträffar tar Microsoft bort de infekterade meddelandena från Exchange Online postlådor med hjälp av automatisk rensning (ZAP) i noll timmar.
Email meddelanden som innehåller skadlig kod tas bort efter leverans	Informativ	Den här aviseringen genereras när e-postmeddelanden som innehåller skadlig kod levereras till postlådor i din organisation. Om den här händelsen inträffar tar Microsoft bort de infekterade meddelandena från Exchange Online postlådor med hjälp av automatisk rensning (ZAP) i noll timmar.
E-postmeddelanden som innehåller en skadlig webbadress har tagits bort efter leverans	Informativ	Den här aviseringen genereras när meddelanden som innehåller en skadlig URL levereras till postlådor i din organisation. Om den här händelsen inträffar tar Microsoft bort de infekterade meddelandena från Exchange Online postlådor med hjälp av automatisk rensning (ZAP) i noll timmar.
Email meddelanden som innehåller nätfiske-URL:er tas bort efter leverans	Informativ	Den här aviseringen genereras när meddelanden som innehåller nätfiske levereras till postlådor i din organisation. Om den här händelsen inträffar tar Microsoft bort de infekterade meddelandena från Exchange Online postlådor med hjälp av ZAP.
Misstänkta e-postsändningsmönster identifieras	Medel	Den här aviseringen genereras när någon i din organisation har skickat misstänkt e-post och riskerar att begränsas från att skicka e-post. Aviseringen är en tidig varning för beteende som kan tyda på att kontot är komprometterat, men inte tillräckligt allvarligt för att begränsa användaren. Även om det är ovanligt kan en avisering som genereras av den här principen vara en avvikelse. Det är dock en bra idé att kontrollera om användarkontot har komprometterats.
En användare kan inte skicka e-post	Högsta	Den här aviseringen genereras när någon i din organisation är begränsad från att skicka utgående e-post. Den här aviseringen resulterar vanligtvis när ett e-postkonto komprometteras. Mer information om begränsade användare finns i Ta bort blockerade användare från sidan Begränsade entiteter.
Admin utlöste manuell undersökning av e-post	Informativ	Den här aviseringen genereras när en administratör utlöser en manuell undersökning av ett e-postmeddelande från Threat Explorer. Den här aviseringen meddelar din organisation att undersökningen har startats.
Admin utlöst undersökning av användarkompromisser	Medel	Den här aviseringen genereras när en administratör utlöser en manuell undersökning av användarens komprometterande av antingen en e-postavsändare eller mottagare från Threat Explorer. Den här aviseringen meddelar din organisation att undersökningen av användarkompromissen har startats.

Tips

Mer information om aviseringsprinciper eller redigera standardinställningarna finns i Aviseringsprinciper i Microsoft Defender-portalen.

Behörigheter som krävs för att använda AIR-funktioner

Du måste tilldelas behörigheter för att använda AIR. Du har även följande alternativ:

• Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Om Email & samarbete>Defender för Office 365 behörigheter är Aktiva. Påverkar endast Defender-portalen, inte PowerShell):

  • Starta en automatiserad undersökning eller godkänn eller avvisa rekommenderade åtgärder: Säkerhetsoperatör/Email avancerade reparationsåtgärder (hantera).

• Email & samarbetsbehörigheter i Microsoft Defender-portalen:

  • Konfigurera AIR-funktioner: Medlemskap i rollgrupperna Organisationshantering eller Säkerhetsadministratör .
  • Starta en automatiserad undersökning eller godkänn eller avvisa rekommenderade åtgärder:
    • Medlemskap i rollgrupperna Organisationshantering, Säkerhetsadministratör, Säkerhetsoperatör, Säkerhetsläsare eller Global läsare . och
    • Medlemskap i en rollgrupp med rollen Sök och Rensa tilldelad. Som standard tilldelas den här rollen rollgrupperna Datadetektiv och Organisationshantering . Eller så kan du skapa en anpassad rollgrupp för att tilldela sök- och rensningsrollen .

• Microsoft Entra behörigheter:

  • Konfigurera AIR-funktioner Medlemskap i rollerna Global administratör eller Säkerhetsadministratör .
  • Starta en automatiserad undersökning eller godkänn eller avvisa rekommenderade åtgärder:
    • Medlemskap i rollerna Global administratör, Säkerhetsadministratör, Säkerhetsoperatör, Säkerhetsläsare eller Global läsare . och
    • Medlemskap i en Email & samarbetsrollgrupp med rollen Sök och Rensa tilldelad. Som standard tilldelas den här rollen rollgrupperna Datadetektiv och Organisationshantering . Eller så kan du skapa en anpassad Email & samarbetsrollgrupp för att tilldela rollen Sök och Rensa.

  Microsoft Entra behörigheter ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.

Nödvändiga licenser

Microsoft Defender för Office 365 Plan 2-licenser ska tilldelas till:

• Säkerhetsadministratörer (inklusive globala administratörer)
• Organisationens säkerhetsåtgärdsteam (inklusive säkerhetsläsare och de med sök- och rensningsrollen )
• Slutanvändare:

Nästa steg

• Kom igång med AIR
• Se information och resultat av en automatiserad undersökning
• Granska och godkänna väntande åtgärder
• Visa väntande eller slutförda åtgärder