Automatiserad undersökning och svar i Microsoft 365 Defender

Obs!

Vill du uppleva Microsoft 365 Defender? Läs mer om hur du kan utvärdera och pilottesta Microsoft 365 Defender.

Gäller för:

  • Microsoft 365 Defender

Om din organisation använder Microsoft 365 Defender får säkerhetsåtgärdsteamet en avisering i Microsoft 365 Defender-portalen när en skadlig eller misstänkt aktivitet eller artefakt upptäcks. Med tanke på det till synes oändliga flödet av hot som kan komma in, står säkerhetsteam ofta inför utmaningen att ta itu med den stora mängden aviseringar. Lyckligtvis innehåller Microsoft 365 Defender funktioner för automatiserad undersökning och svar (AIR) som kan hjälpa ditt säkerhetsteam att hantera hot mer effektivt och effektivt.

Den här artikeln innehåller en översikt över AIR och innehåller länkar till nästa steg och ytterligare resurser.

Så här fungerar automatiserad undersökning och självåterställning

När säkerhetsaviseringar utlöses är det upp till ditt säkerhetsteam att undersöka dessa aviseringar och vidta åtgärder för att skydda din organisation. Det kan vara mycket tidskrävande att prioritera och undersöka aviseringar, särskilt när nya aviseringar fortsätter att komma in medan en undersökning pågår. Säkerhetsteam kan känna sig överväldigade av den stora mängden hot som de måste övervaka och skydda sig mot. Automatiserade undersöknings- och svarsfunktioner, med självåterställning, i Microsoft 365 Defender kan vara till hjälp.

Titta på följande video för att se hur självåterställning fungerar:

I Microsoft 365 Defender fungerar automatiserad undersökning och svar med självåterställningsfunktioner på dina enheter, e-postinnehåll & och identiteter.

Tips

Den här artikeln beskriver hur automatiserad undersökning och svar fungerar. Information om hur du konfigurerar dessa funktioner finns i Konfigurera automatiserade undersöknings- och svarsfunktioner i Microsoft 365 Defender.

Din egen virtuella analytiker

Tänk dig att ha en virtuell analytiker i säkerhetsåtgärdsteamet på nivå 1 eller nivå 2. Den virtuella analytikern efterliknar de ideala steg som säkerhetsåtgärder skulle vidta för att undersöka och åtgärda hot. Den virtuella analytikern kan arbeta dygnet över, med obegränsad kapacitet, och ta på sig en betydande belastning av undersökningar och hotreparation. En sådan virtuell analytiker kan avsevärt minska tiden för att svara, vilket frigör ditt säkerhetsåtgärdsteam för andra viktiga hot eller strategiska projekt. Om det här scenariot låter som science fiction är det inte det! En sådan virtuell analytiker är en del av din Microsoft 365 Defender svit och namnet är automatiserad undersökning och svar.

Med automatiserade undersöknings- och svarsfunktioner kan ditt säkerhetsteam dramatiskt öka organisationens kapacitet att hantera säkerhetsaviseringar och incidenter. Med automatiserad undersökning och svar kan du minska kostnaden för att hantera undersöknings- och svarsaktiviteter och få ut mesta möjliga av din hotskyddssvit. Automatiserade undersöknings- och svarsfunktioner hjälper ditt säkerhetsteam genom att:

  1. Avgöra om ett hot kräver åtgärd.
  2. Vidta (eller rekommendera) nödvändiga åtgärder.
  3. Avgöra om och vilka andra undersökningar som ska utföras.
  4. Upprepa processen efter behov för andra aviseringar.

Den automatiserade undersökningsprocessen

En avisering skapar en incident som kan starta en automatiserad undersökning. Den automatiserade undersökningen resulterar i en dom för varje bevis. Domar kan vara:

  • Skadlig
  • Misstänkta
  • Inga hot hittades

Åtgärdsåtgärder för skadliga eller misstänkta entiteter identifieras. Exempel på åtgärder är:

  • Skicka en fil i karantän
  • Stoppa en process
  • Isolera en enhet
  • Blockera en URL
  • Andra åtgärder

Mer information finns i Reparationsåtgärder i Microsoft 365 Defender.

Beroende på hur automatiserade undersöknings- och svarsfunktioner konfigureras för din organisation vidtas reparationsåtgärder automatiskt eller endast efter godkännande av ditt säkerhetsåtgärdsteam. Alla åtgärder, oavsett om de väntar eller slutförs, visas i Åtgärdscenter.

Medan en undersökning körs läggs alla andra relaterade aviseringar som uppstår till i undersökningen tills den är klar. Om en berörd entitet visas någon annanstans utökar den automatiserade undersökningen dess omfång till att omfatta den entiteten, och undersökningsprocessen upprepas.

I Microsoft 365 Defender korrelerar varje automatiserad undersökning signaler över Microsoft Defender for Identity, Microsoft Defender för Endpoint och Microsoft Defender för Office 365, som sammanfattas i följande tabell:

Enheter Hotskyddstjänster
Enheter (kallas även slutpunkter eller datorer) Defender för Endpoint
Lokala Active Directory-användare, entitetsbeteende och aktiviteter Defender för identitet
Email innehåll (e-postmeddelanden som kan innehålla filer och URL:er) Microsoft Defender för Office 365

Obs!

Inte alla aviseringar utlöser en automatiserad undersökning, och inte alla undersökningar resulterar i automatiserade reparationsåtgärder. Det beror på hur automatiserad undersökning och svar konfigureras för din organisation. Se Konfigurera funktioner för automatiserad undersökning och svar.

Visa en lista över undersökningar

Om du vill visa undersökningar går du till sidan Incidenter . Välj en incident och välj sedan fliken Undersökningar . Mer information finns i Information och resultat från en automatiserad undersökning.

Svarskort för automatiserad undersökning &

Det nya svarskortet för automatiserad undersökning & finns i Microsoft 365 Defender-portalen (https://security.microsoft.com). Det här nya kortets synlighet för det totala antalet tillgängliga reparationsåtgärder. Kortet ger också en översikt över alla aviseringar och nödvändig godkännandetid för varje avisering.

Skärmbild som visar svarskortet för automatiserad undersökning & .

Med hjälp av svarskortet för automatiserad undersökning & kan säkerhetsåtgärdsteamet snabbt navigera till åtgärdscentret genom att välja länken Godkänn i Åtgärdscenter och sedan vidta lämpliga åtgärder. Kortet gör det möjligt för säkerhetsåtgärdsteamet att hantera åtgärder som väntar på godkännande på ett effektivare sätt.

Utbildning för säkerhetsanalytiker

Använd den här utbildningsmodulen från Microsoft Learn för att förstå hur Microsoft 365 Defender använder automatiserad självåterställning för incidentundersökning och incidenthantering.

Utbildning: Automatisera självåterställning med Microsoft 365 Defender
Automatisera självåterställning med Microsoft 365 Defender träningsikon. Microsoft 365 Defender använder AI för att automatisera åtgärder för incidenter, vilket hjälper ditt säkerhetsteam att hantera hot effektivare och effektivare.

11 min – 5 enheter

Nästa steg