Microsoft Defender för Office 365 säkerhetsåtgärdsguide

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Den här artikeln ger en översikt över kraven och uppgifterna för att kunna använda Microsoft Defender för Office 365 i din organisation. Dessa uppgifter hjälper dig att säkerställa att ditt säkerhetsåtgärdscenter (SOC) tillhandahåller en tillförlitlig metod av hög kvalitet för att skydda, identifiera och svara på e-post- och samarbetsrelaterade säkerhetshot.

Resten av den här guiden beskriver de aktiviteter som krävs för SecOps-personal. Aktiviteterna grupperas i normativa dagliga, veckovisa, månatliga och ad hoc-uppgifter.

En tillhörande artikel i den här guiden innehåller en översikt över hur du hanterar incidenter och aviseringar från Defender för Office 365 på sidan Incidenter i Microsoft Defender-portalen.

Guiden Microsoft Defender XDR security operations innehåller ytterligare information som du kan använda för planering och utveckling.

En video om den här informationen finns i https://youtu.be/eQanpq9N1Ps.

Dagliga aktiviteter

Övervaka kön Microsoft Defender XDR incidenter

På sidan Incidenter i Microsoft Defender-portalen (https://security.microsoft.com/incidents-queuekallas även för incidentkön) kan du hantera och övervaka händelser från följande källor i Defender för Office 365:

• Aviseringar.
• Automatiserad undersökning och svar (AIR).

Mer information om incidentkön finns i Prioritera incidenter i Microsoft Defender XDR.

Din prioriteringsplan för övervakning av incidentkön bör ha följande prioritetsordning för incidenter:

1. Ett potentiellt skadligt URL-klick upptäcktes.
2. Användaren kan inte skicka e-post.
3. Misstänkta e-postsändningsmönster har identifierats.
4. Email rapporterats av användaren som skadlig kod eller nätfiske och flera användare rapporterade e-post som skadlig kod eller nätfiske.
5. Email meddelanden som innehåller skadlig fil som tagits bort efter leverans, Email meddelanden som innehåller skadlig URL har tagits bort efter leverans och Email meddelanden från en kampanj som tagits bort efter leverans.
6. Nätfiske levereras på grund av en åsidosättning av ETR, nätfiske levereras eftersom en användares skräppostmapp är inaktiverad och nätfiske levereras på grund av en princip för TILLÅTNA IP-adresser
7. Skadlig kod är inte zapped eftersom ZAP är inaktiverat och Phish inte zapped eftersom ZAP är inaktiverat.

Hantering av incidentköer och ansvariga personer beskrivs i följande tabell:

Aktivitet	Kadens	Beskrivning	Persona
Sortera incidenter i incidentkön på https://security.microsoft.com/incidents-queue.	Varje dag	Kontrollera att alla incidenter med medelhög och hög allvarlighetsgrad från Defender för Office 365 har prioriterats.	Säkerhetsåtgärdsteam
Undersök och vidta åtgärder för svar på incidenter.	Varje dag	Undersök alla incidenter och vidta aktivt de rekommenderade eller manuella svarsåtgärderna.	Säkerhetsåtgärdsteam
Lös incidenter.	Varje dag	Om incidenten har åtgärdats löser du incidenten. Att lösa incidenten löser alla länkade och relaterade aktiva aviseringar.	Säkerhetsåtgärdsteam
Klassificera incidenter.	Varje dag	Klassificera incidenter som sanna eller falska. Ange hottypen för sanna aviseringar. Den här klassificeringen hjälper ditt säkerhetsteam att se hotmönster och skydda organisationen från dem.	Säkerhetsåtgärdsteam

Hantera identifieringar av falska positiva och falska negativa identifieringar

I Defender för Office 365 hanterar du falska positiva identifieringar (bra e-post markerad som dålig) och falska negativa (felaktig e-post tillåts) på följande platser:

• Sidan Inskickade filer (administratörsöverföringar).
• Listan över tillåtna/blockerade klientorganisationer
• Hotutforskaren

Mer information finns i avsnittet Hantera falska positiva och falska negativa identifieringar senare i den här artikeln.

Falsk positiv och falsk negativ hantering och ansvariga personer beskrivs i följande tabell:

Aktivitet	Kadens	Beskrivning	Persona
Skicka falska positiva och falska negativa identifieringar till Microsoft på https://security.microsoft.com/reportsubmission.	Varje dag	Ge signaler till Microsoft genom att rapportera felaktig e-post, URL och filidentifiering.	Säkerhetsåtgärdsteam
Analysera information om administratörsöverföring.	Varje dag	Förstå följande faktorer för de inlämningar du gör till Microsoft: Vad som orsakade det falska positiva eller falska negativa resultatet. Tillståndet för din Defender för Office 365 konfiguration vid tidpunkten för överföringen. Om du behöver göra ändringar i Defender för Office 365 konfigurationen.	Säkerhetsåtgärdsteam Säkerhetsadministration
Lägg till blockposter i listan Tillåt/blockera klientorganisation på https://security.microsoft.com/tenantAllowBlockList.	Varje dag	Använd listan Tillåt/blockera klientorganisation för att lägga till blockposter för falska negativa URL-, fil- eller avsändaridentifieringar efter behov.	Säkerhetsåtgärdsteam
Frigör falsk positiv identifiering från karantänen.	Varje dag	När mottagaren har bekräftat att meddelandet har satts i felaktigt karantän kan du släppa eller godkänna versionsbegäranden för användare. Information om vad användare kan göra med sina egna meddelanden i karantän (inklusive lansering eller begärandeversion) finns i Karantänprinciper.	Säkerhetsåtgärdsteam Meddelandeteamet

Granska kampanjer för nätfiske och skadlig kod som resulterade i levererad e-post

Aktivitet	Kadens	Beskrivning	Persona
Granska e-postkampanjer.	Varje dag	Granska e-postkampanjer som riktar sig till din organisation på https://security.microsoft.com/campaigns. Fokusera på kampanjer som resulterade i att meddelanden levererades till mottagare. Ta bort meddelanden från kampanjer som finns i användarpostlådor. Den här åtgärden krävs bara när en kampanj innehåller e-post som inte redan har åtgärdats av åtgärder från incidenter, automatisk rensning på noll timmar (ZAP) eller manuell reparation.	Säkerhetsåtgärdsteam

Veckoaktiviteter

Granska trender för e-postidentifiering i Defender för Office 365-rapporter

I Defender för Office 365 kan du använda följande rapporter för att granska trender för e-postidentifiering i din organisation:

• Statusrapport för e-postflöde
• Statusrapporten för skydd mot hot

Aktivitet	Kadens	Beskrivning	Persona
Granska e-postidentifieringsrapporter på: https://security.microsoft.com/reports/TPSAggregateReportATP https://security.microsoft.com/mailflowStatusReport?viewid=type	Varje vecka	Granska trender för e-postidentifiering för skadlig kod, nätfiske och skräppost jämfört med bra e-post. Med observation över tid kan du se hotmönster och avgöra om du behöver justera dina Defender för Office 365 principer.	Säkerhetsadministration Säkerhetsåtgärdsteam

Spåra och svara på nya hot med hjälp av hotanalys

Använd Hotanalys för att granska aktiva, trendande hot.

Aktivitet	Kadens	Beskrivning	Persona
Granska hot i Hotanalys på https://security.microsoft.com/threatanalytics3.	Varje vecka	Hotanalys ger detaljerad analys, inklusive följande: Iocsen. Jaktfrågor om aktiva hotaktörer och deras kampanjer. Populära och nya attacktekniker. Kritiska säkerhetsrisker. Vanliga attackytor. Vanlig skadlig kod.	Säkerhetsåtgärdsteam Hotjaktsteam

Granska de vanligaste användarna för skadlig kod och nätfiske

Använd fliken Toppmålanvändare (vy) i informationsområdet för vyerna Alla e-postmeddelanden, Skadlig kod och Nätfiske i Hotutforskaren för att identifiera eller bekräfta de användare som är de främsta målen för skadlig kod och nätfiskemeddelande.

Aktivitet	Kadens	Beskrivning	Persona
Gå till fliken De vanligaste användarna i Hotutforskaren på https://security.microsoft.com/threatexplorer.	Varje vecka	Använd informationen för att avgöra om du behöver justera principer eller skydd för dessa användare. Lägg till de berörda användarna i Prioritet-konton för att få följande fördelar: Ytterligare synlighet när incidenter påverkar dem. Skräddarsydda heuristiker för mönster för e-postflöde för chefer (prioritetskontoskydd). Email problem med prioritetskonton	Säkerhetsadministration Säkerhetsåtgärdsteam

Granska de främsta kampanjerna för skadlig kod och nätfiske som riktar sig mot din organisation

Kampanjvyer visar skadlig kod och nätfiskeattacker mot din organisation. Mer information finns i Kampanjvyer i Microsoft Defender för Office 365.

Aktivitet	Kadens	Beskrivning	Persona
Använd kampanjvyer på https://security.microsoft.com/campaigns för att granska skadlig kod och nätfiskeattacker som påverkar dig.	Varje vecka	Lär dig mer om attacker och tekniker och vilka Defender för Office 365 kunde identifiera och blockera. Använd Ladda ned hotrapport i kampanjvyer för detaljerad information om en kampanj.	Säkerhetsåtgärdsteam

Ad hoc-aktiviteter

Manuell undersökning och borttagning av e-post

Aktivitet	Kadens	Beskrivning	Persona
Undersök och ta bort felaktig e-post i Threat Explorer baserat https://security.microsoft.com/threatexplorer på användarbegäranden.	Ad hoc	Använd åtgärden Trigger investigation (Utlösa undersökning ) i Threat Explorer för att starta en automatiserad undersöknings- och svarsspelbok för e-post från de senaste 30 dagarna. Om du manuellt utlöser en undersökning sparas tid och arbete genom att centralt inkludera: En rotundersökning. Steg för att identifiera och korrelera hot. Rekommenderade åtgärder för att minska dessa hot. Mer information finns i Exempel: Ett användarrapporterat nätfiskemeddelande startar en undersökningsspelbok Eller så kan du använda Threat Explorer för att manuellt undersöka e-post med kraftfulla sök- och filtreringsfunktioner och vidta manuella svarsåtgärder direkt från samma plats. Tillgängliga manuella åtgärder: Flytta till inkorgen Flytta till skräppost Flytta till Borttagna objekt Mjuk borttagning Hård borttagning.	Säkerhetsåtgärdsteam

Jaga proaktivt efter hot

Aktivitet	Kadens	Beskrivning	Persona
Regelbunden, proaktiv jakt på hot på: https://security.microsoft.com/threatexplorer https://security.microsoft.com/v2/advanced-hunting .	Ad hoc	Search för hot med hotutforskaren och avancerad jakt.	Säkerhetsåtgärdsteam Hotjaktsteam
Dela jaktfrågor.	Ad hoc	Dela aktivt vanliga, användbara frågor inom säkerhetsteamet för snabbare manuell hotjakt och reparation. Använd hotspårare och delade frågor i Avancerad jakt.	Säkerhetsåtgärdsteam Hotjaktsteam
Skapa anpassade identifieringsregler på https://security.microsoft.com/custom_detection.	Ad hoc	Skapa anpassade identifieringsregler för att proaktivt övervaka händelser, mönster och hot baserat på Defender för Office 365 data i Advance Hunting. Identifieringsregler innehåller avancerade jaktfrågor som genererar aviseringar baserat på matchande kriterier.	Säkerhetsåtgärdsteam Hotjaktsteam

Granska Defender för Office 365 principkonfigurationer

Aktivitet	Kadens	Beskrivning	Persona
Granska konfigurationen av Defender för Office 365-principer på https://security.microsoft.com/configurationAnalyzer.	Ad hoc Varje månad	Använd configuration analyzer för att jämföra dina befintliga principinställningar med de rekommenderade Standard- eller Strict-värdena för Defender för Office 365. Configuration Analyzer identifierar oavsiktliga eller skadliga ändringar som kan sänka organisationens säkerhetsstatus. Eller så kan du använda det PowerShell-baserade ORCA-verktyget.	Säkerhetsadministration Meddelandeteamet
Granska åsidosättningar för identifiering i Defender för Office 365 påhttps://security.microsoft.com/reports/TPSMessageOverrideReportATP	Ad hoc Varje månad	Använd vyn Visa data efter system åsidosättningsdiagram > efter orsak i statusrapporten hotskydd för att granska e-post som har identifierats som nätfiske men levererats på grund av princip- eller åsidosättningsinställningar för användare. Aktivt undersöka, ta bort eller finjustera åsidosättningar för att undvika leverans av e-post som har bedömts vara skadlig.	Säkerhetsadministration Meddelandeteamet

Granska identifiering av förfalskning och personifiering

Aktivitet	Kadens	Beskrivning	Persona
Granska insikterna om förfalskningsinformation och personifieringsidentifiering på https://security.microsoft.com/spoofintelligence https://security.microsoft.com/impersonationinsight .	Ad hoc Varje månad	Använd insikten om förfalskningsinformation och personifieringsinsikten för att justera filtreringen för identifiering av förfalskning och personifiering.	Säkerhetsadministration Meddelandeteamet

Granska prioritetskontomedlemskap

Aktivitet	Kadens	Beskrivning	Persona
Granska vem som har definierats som ett prioritetskonto på https://security.microsoft.com/securitysettings/userTags.	Ad hoc	Håll medlemskapet för prioritetskonton aktuellt med organisationsändringar för att få följande fördelar för dessa användare: Bättre synlighet i rapporter. Filtrering i incidenter och aviseringar. Skräddarsydda heuristiker för mönster för e-postflöde för chefer (prioritetskontoskydd). Använd anpassade användartaggar för andra användare för att hämta: Bättre synlighet i rapporter. Filtrering i incidenter och aviseringar.	Säkerhetsåtgärdsteam

Bilaga

Lär dig mer om Microsoft Defender för Office 365 verktyg och processer

Medlemmar i säkerhets- och svarsteamet måste integrera Defender för Office 365 verktyg och funktioner i befintliga undersökningar och svarsprocesser. Det kan ta tid att lära sig mer om nya verktyg och funktioner, men det är en viktig del av ombordstigningsprocessen. Det enklaste sättet för SecOps- och e-postsäkerhetsteammedlemmar att lära sig mer om Defender för Office 365 är att använda träningsinnehållet som är tillgängligt som en del av Ninja-utbildningsinnehållet på https://aka.ms/mdoninja.

Innehållet är strukturerat för olika kunskapsnivåer (grunder, mellannivå och avancerat) med flera moduler per nivå.

Korta videor för specifika uppgifter finns också i Microsoft Defender för Office 365 YouTube-kanal.

Behörigheter för Defender för Office 365 aktiviteter och uppgifter

Behörigheter för att hantera Defender för Office 365 i Microsoft Defender-portalen och PowerShell baseras på rbac-behörighetsmodellen (rollbaserad åtkomstkontroll). RBAC är samma behörighetsmodell som används av de flesta Microsoft 365-tjänster. Mer information finns i Behörigheter i Microsoft Defender-portalen.

Obs!

Privileged Identity Management (PIM) i Microsoft Entra ID är också ett sätt att tilldela nödvändiga behörigheter till SecOps-personal. Mer information finns i Privileged Identity Management (PIM) och varför du använder den med Microsoft Defender för Office 365.

Följande behörigheter (roller och rollgrupper) är tillgängliga i Defender för Office 365 och kan användas för att bevilja åtkomst till medlemmar i säkerhetsteamet:

• Microsoft Entra ID: Centraliserade roller som tilldelar behörigheter för alla Microsoft 365-tjänster, inklusive Defender för Office 365. Du kan visa Microsoft Entra roller och tilldelade användare i Microsoft Defender-portalen, men du kan inte hantera dem direkt där. I stället hanterar du Microsoft Entra roller och medlemmar på https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. De vanligaste rollerna som används av säkerhetsteam är:

  • Säkerhetsadministratör
  • Säkerhetsläsare

• Exchange Online och Email & samarbete: Roller och rollgrupper som beviljar behörighet som är specifika för Microsoft Defender för Office 365. Följande roller är inte tillgängliga i Microsoft Entra ID, men kan vara viktiga för säkerhetsteam:

  • Förhandsgranskningsroll (Email & samarbete): Tilldela den här rollen till teammedlemmar som behöver förhandsgranska eller ladda ned e-postmeddelanden som en del av undersökningsaktiviteterna. Tillåter användare att förhandsgranska och ladda ned e-postmeddelanden från molnpostlådor med hotutforskaren (Explorer) eller realtidsidentifieringar och Email entitetssidan.

    Som standard tilldelas förhandsgranskningsrollen endast till följande rollgrupper:

    • Datadetektiv
    • eDiscovery Manager

    Du kan lägga till användare i dessa rollgrupper, eller så kan du skapa en ny rollgrupp med förhandsgranskningsrollen tilldelad och lägga till användarna i den anpassade rollgruppen.

  • Search- och rensningsrollen (Email & samarbete): Godkänn borttagningen av skadliga meddelanden som rekommenderas av AIR eller vidta manuella åtgärder för meddelanden i jaktupplevelser som Hotutforskaren.

    Som standard tilldelas rollen Search och rensning endast till följande rollgrupper:

    • Datadetektiv
    • Organisationshantering

    Du kan lägga till användare i dessa rollgrupper eller skapa en ny rollgrupp med rollen Search och Rensa tilldelad och lägga till användarna i den anpassade rollgruppen.

  • Tenant AllowBlockList Manager (Exchange Online): Hantera tillåtna och blockera poster i listan Tillåt/blockera klientorganisation. Blockering av URL:er, filer (med filhash) eller avsändare är en användbar åtgärd att vidta när du undersöker skadlig e-post som har levererats.

    Som standard tilldelas den här rollen endast till rollgruppen Säkerhetsoperatör i Exchange Online, inte i Microsoft Entra ID. Medlemskap i rollen Säkerhetsoperatör i Microsoft Entra IDdoesn tillåter inte att du hanterar poster i listan Tillåt/blockera klientorganisation.

    Medlemmar i säkerhetsadministratörs- eller organisationshanteringsrollerna i Microsoft Entra ID eller motsvarande rollgrupper i Exchange Online kan hantera poster i listan Tillåt/blockera klientorganisation.

SIEM/SOAR-integrering

Defender för Office 365 exponerar de flesta av sina data via en uppsättning programmatiska API:er. Dessa API:er hjälper dig att automatisera arbetsflöden och utnyttja Defender för Office 365 funktioner fullt ut. Data är tillgängliga via Microsoft Defender XDR API:er och kan användas för att integrera Defender för Office 365 i befintliga SIEM/SOAR-lösningar.

• Incident-API: Defender för Office 365 aviseringar och automatiserade undersökningar är aktiva delar av incidenter i Microsoft Defender XDR. Säkerhetsteam kan fokusera på det som är viktigt genom att gruppera hela attackomfånget och alla tillgångar som påverkas tillsammans.

• API för händelseströmning: Tillåter leverans av händelser och aviseringar i realtid till en enda dataström när de sker. Händelsetyper som stöds i Defender för Office 365 omfattar:

  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo

  Händelserna innehåller data från bearbetning av all e-post (inklusive intra-org-meddelanden) under de senaste 30 dagarna.

• API för avancerad jakt: Tillåter hotjakt mellan produkter.

• API för hotbedömning: Kan användas för att rapportera skräppost, nätfiske-URL:er eller bifogade filer för skadlig kod direkt till Microsoft.

Om du vill ansluta Defender för Office 365 incidenter och rådata med Microsoft Sentinel kan du använda anslutningsappen Microsoft Defender XDR (M365D)

Du kan använda följande "Hello World"-exempel för att testa API-åtkomsten till Microsoft Defender API:er: Hello World för Microsoft Defender XDR REST API.

Mer information om SIEM-verktygsintegrering finns i Integrera dina SIEM-verktyg med Microsoft Defender XDR.

Åtgärda falska positiva identifieringar och falska negativa identifieringar i Defender för Office 365

Användarrapporterade meddelanden och administratörsöverföringar av e-postmeddelanden är viktiga positiva förstärkningssignaler för våra system för identifiering av maskininlärning. Bidrag hjälper oss att granska, sortera, snabbt lära oss och åtgärda attacker. Att aktivt rapportera falska positiva och falska negativa identifieringar är en viktig aktivitet som ger feedback till Defender för Office 365 när misstag görs under identifieringen.

Organisationer har flera alternativ för att konfigurera användarrapporterade meddelanden. Beroende på konfigurationen kan säkerhetsteam ha mer aktivt engagemang när användare skickar falska positiva eller falska negativa identifieringar till Microsoft:

• Användarrapporterade meddelanden skickas till Microsoft för analys när de användarrapporterade inställningarna har konfigurerats med någon av följande inställningar:

  • Skicka de rapporterade meddelandena till: Endast Microsoft.
  • Skicka de rapporterade meddelandena till: Microsoft och min rapporteringspostlåda.

  Medlemmar i säkerhetsteamen bör göra inskickade tilläggsadministratörer när driftteamet upptäcker falska positiva eller falska negativa identifieringar som inte har rapporterats av användarna.

• När användarrapporterade meddelanden konfigureras för att endast skicka meddelanden till organisationens postlåda bör säkerhetsteamen aktivt skicka användarrapporterade falska positiva identifieringar och falska negativa identifieringar till Microsoft via administratörsöverföringar.

När en användare rapporterar ett meddelande som nätfiske genererar Defender för Office 365 en avisering och aviseringen utlöser en AIR-spelbok. Incidentlogik korrelerar den här informationen med andra aviseringar och händelser där det är möjligt. Den här konsolideringen av information hjälper säkerhetsteamen att sortera, undersöka och svara på användarrapporterade meddelanden.

Sändningspipelinen i tjänsten följer en nära integrerad process när användare rapporterar meddelanden och administratörer skickar meddelanden. Den här processen omfattar:

• Brusreducering.
• Automatiserad sortering.
• Bedömning av säkerhetsanalytiker och maskininlärningsbaserade lösningar med mänsklig partner.

Mer information finns i Rapportera ett e-postmeddelande i Defender för Office 365 – Microsoft Tech Community.

Medlemmar i säkerhetsteamet kan göra inlämningar från flera platser i Microsoft Defender-portalen på https://security.microsoft.com:

• Admin sändning: Använd sidan Inlämningar för att skicka misstänkt skräppost, nätfiske, URL:er och filer till Microsoft.

• Direkt från Threat Explorer med någon av följande meddelandeåtgärder:

  • Rensa rapport
  • Rapportera nätfiske
  • Rapportera skadlig kod
  • Rapportera skräppost

  Du kan välja upp till 10 meddelanden för att utföra en massöverföring. Admin inlämningar som skapats med hjälp av dessa metoder visas på respektive flikar på sidan Inskickade.

För kortsiktig minskning av falska negativa identifieringar kan säkerhetsteam direkt hantera blockposter för filer, URL:er och domäner eller e-postadresser i listan Tillåt/blockera klientorganisation.

För kortsiktig minskning av falska positiva identifieringar kan säkerhetsteamen inte direkt hantera tillåtna poster för domäner och e-postadresser i listan Tillåt/blockera klientorganisation. I stället måste de använda administratörsöverföringar för att rapportera e-postmeddelandet som en falsk positiv identifiering. Anvisningar finns i Rapportera bra e-post till Microsoft.

Karantän i Defender för Office 365 innehåller potentiellt farliga eller oönskade meddelanden och filer. Säkerhetsteam kan visa, släppa och ta bort alla typer av meddelanden i karantän för alla användare. Den här funktionen gör det möjligt för säkerhetsteam att svara effektivt när ett falskt positivt meddelande eller en fil sätts i karantän.

Integrera rapporteringsverktyg från tredje part med Defender för Office 365 användarrapporterade meddelanden

Om din organisation använder ett rapporteringsverktyg från tredje part som gör det möjligt för användare att internt rapportera misstänkt e-post kan du integrera verktyget med de användarrapporterade meddelandefunktionerna i Defender för Office 365. Den här integreringen ger följande fördelar för säkerhetsteam:

• Integrering med AIR-funktionerna i Defender för Office 365.
• Förenklad sortering.
• Minskad undersöknings- och svarstid.

Ange den rapportpostlåda där användarrapporterade meddelanden skickas på sidan Användarrapporterade inställningar i Microsoft Defender-portalen på https://security.microsoft.com/securitysettings/userSubmission. Mer information finns i Användarrapporterade inställningar.

Obs!

• Rapporteringspostlådan måste vara en Exchange Online postlåda.
• Rapporteringsverktyget från tredje part måste innehålla det ursprungliga rapporterade meddelandet som ett okomprimerat . EML eller . MSG-bifogad fil i meddelandet som skickas till rapportpostlådan (vidarebefordra inte bara det ursprungliga meddelandet till rapportpostlådan). Mer information finns i Meddelandeöverföringsformat för rapporteringsverktyg från tredje part.
• Rapporteringspostlådan kräver specifika krav för att potentiellt felaktiga meddelanden ska kunna levereras utan att filtreras eller ändras. Mer information finns i Konfigurationskrav för rapporteringspostlådan.

När ett användarrapporterat meddelande tas emot i rapportpostlådan genererar Defender för Office 365 automatiskt aviseringen med namnet Email rapporteras av användaren som skadlig kod eller nätfiske. Den här aviseringen startar en AIR-spelbok. Spelboken utför en serie automatiserade undersökningssteg:

• Samla in data om det angivna e-postmeddelandet.
• Samla in data om hot och entiteter som är relaterade till e-postmeddelandet (till exempel filer, URL:er och mottagare).
• Ange rekommenderade åtgärder som SecOps-teamet kan vidta baserat på undersökningsresultaten.

Email rapporteras av användaren som skadlig kod eller nätfiskeaviseringar korreleras automatiserade undersökningar och deras rekommenderade åtgärder automatiskt med incidenter i Microsoft Defender XDR. Den här korrelationen förenklar ytterligare prioriterings- och svarsprocessen för säkerhetsteam. Om flera användare rapporterar samma eller liknande meddelanden korreleras alla användare och meddelanden till samma incident.

Data från aviseringar och undersökningar i Defender för Office 365 jämförs automatiskt med aviseringar och undersökningar i andra Microsoft Defender XDR produkter:

• Microsoft Defender för Endpoint
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Identity

Om en relation identifieras skapar systemet en incident som ger synlighet för hela attacken.