Så här fungerar automatiserad undersökning och svar i Microsoft Defender för Office 365

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

När säkerhetsaviseringar utlöses är det upp till ditt säkerhetsteam att undersöka dessa aviseringar och vidta åtgärder för att skydda din organisation. Ibland kan säkerhetsåtgärdsteam känna sig överväldigade av mängden aviseringar som utlöses. Funktioner för automatiserad undersökning och svar (AIR) i Microsoft Defender för Office 365 kan vara till hjälp.

AIR gör att ditt säkerhetsteam kan arbeta effektivare och effektivare. Air-funktionerna omfattar automatiserade undersökningsprocesser som svar på välkända hot som finns idag. Lämpliga åtgärder väntar på godkännande, vilket gör att ditt säkerhetsåtgärdsteam kan svara på identifierade hot.

Den här artikeln beskriver hur AIR fungerar med flera exempel. När du är redo att komma igång med AIR kan du läsa Undersöka automatiskt och svara på hot.

• Exempel 1: Ett användarrapporterat nätfiskemeddelande startar en undersökningsspelbok
• Exempel 2: En säkerhetsadministratör utlöser en undersökning från Threat Explorer
• Exempel 3: Ett säkerhetsåtgärdsteam integrerar AIR med sin SIEM med hjälp av API:et Office 365 Management Activity

Exempel: Ett användarrapporterat nätfiskemeddelande startar en undersökningsspelbok

Anta att en användare i din organisation får ett e-postmeddelande som de tror är ett nätfiskeförsök. Användaren, som har tränats att rapportera sådana meddelanden, använder Microsoft Report Message- eller Report Phishing-tillägg för att skicka dem till Microsoft för analys. Överföringen skickas också till systemet och visas i Utforskaren i vyn Inskickade filer (kallades tidigare användarrapporterad vy). Dessutom utlöser det användarrapporterade meddelandet nu en systembaserad informationsavisering, som automatiskt startar undersökningsspelboken.

Under rotundersökningsfasen utvärderas olika aspekter av e-postmeddelandet. Dessa aspekter omfattar:

• Ett beslut om vilken typ av hot det kan vara;
• Vem skickade den;
• Var e-postmeddelandet skickades från (skickar infrastruktur);
• Om andra instanser av e-postmeddelandet levererades eller blockerades;
• En bedömning från våra analytiker;
• Om e-postmeddelandet är associerat med några kända kampanjer;
• med mera.

När rotundersökningen är klar innehåller spelboken en lista över rekommenderade åtgärder som ska utföras på det ursprungliga e-postmeddelandet och de entiteter som är associerade med det (till exempel filer, URL:er och mottagare).

Därefter utförs flera hotundersöknings- och jaktsteg:

• Liknande e-postmeddelanden identifieras via sökningar i e-postkluster.
• Signalen delas med andra plattformar, till exempel Microsoft Defender för Endpoint.
• Ett beslut görs om huruvida några användare har klickat igenom några skadliga länkar i misstänkta e-postmeddelanden.
• En kontroll görs över Exchange Online Protection (EOP) och Microsoft Defender för Office 365 för att se om det finns andra liknande meddelanden som rapporterats av användare.
• En kontroll görs för att se om en användare har komprometterats. Den här kontrollen utnyttjar signaler över Office 365, Microsoft Defender for Cloud Apps och Microsoft Entra ID, vilket korrelerar eventuella relaterade avvikelser i användaraktiviteten.

Under jaktfasen tilldelas risker och hot olika jaktsteg.

Reparation är den sista fasen i spelboken. Under den här fasen vidtas reparationsåtgärder baserat på undersöknings- och jaktfaserna.

Exempel: En säkerhetsadministratör utlöser en undersökning från Threat Explorer

Förutom automatiserade undersökningar som utlöses av en avisering kan organisationens säkerhetsteam utlösa en automatiserad undersökning från en vy i Threat Explorer. Den här undersökningen skapar också en avisering, så Microsoft Defender XDR incidenter och externa SIEM-verktyg kan se att den här undersökningen utlöstes.

Anta till exempel att du använder vyn Skadlig kod i Utforskaren. Med hjälp av flikarna under diagrammet väljer du fliken Email. Om du väljer ett eller flera objekt i listan aktiveras knappen + Åtgärder.

Med hjälp av menyn Åtgärder kan du välja Utlösa undersökning.

På samma sätt som spelböcker som utlöses av en avisering innehåller automatiska undersökningar som utlöses från en vy i Utforskaren en rotundersökning, steg för att identifiera och korrelera hot och rekommenderade åtgärder för att minska dessa hot.

Exempel: Ett säkerhetsåtgärdsteam integrerar AIR med sin SIEM med hjälp av API:et Office 365 Management Activity

AIR-funktionerna i Microsoft Defender för Office 365 innehåller rapporter & information som säkerhetsteam kan använda för att övervaka och hantera hot. Men du kan också integrera AIR-funktioner med andra lösningar. Exempel är ett SIEM-system (säkerhetsinformation och händelsehantering), ett ärendehanteringssystem eller en anpassad rapporteringslösning. Den här typen av integreringar kan göras med hjälp av api:et Office 365 Management Activity.

En organisation har till exempel nyligen konfigurerat ett sätt för säkerhetsåtgärdsteamet att visa användarrapporterade nätfiskeaviseringar som redan har bearbetats av AIR. Deras lösning integrerar relevanta aviseringar med organisationens SIEM-server och deras ärendehanteringssystem. Lösningen minskar avsevärt antalet falska positiva identifieringar så att deras säkerhetsteam kan fokusera sin tid och ansträngning på verkliga hot. Mer information om den här anpassade lösningen finns i Tech Community-bloggen: Förbättra effektiviteten för din SOC med Microsoft Defender för Office 365 och O365 Management API.

Nästa steg

• Kom igång med AIR
• Visa väntande eller slutförda åtgärder