Office 365 Plan 2 için Microsoft Defender otomatik araştırma ve yanıt (AIR)

İpucu

Office 365 Plan 2 için Microsoft Defender'deki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında Office 365 deneme sürümü için 90 günlük Defender'ı kullanın. Office 365 için deneme Microsoft Defender'nda kaydolabilecek kişiler ve deneme koşulları hakkında bilgi edinin.

konumundaki bir Microsoft 365 kuruluşunda https://security.microsoft.com/alertsgüvenlik uyarıları göründüğünden, bu uyarıları gözden geçirmek, önceliklendirmek ve yanıtlamak güvenlik operasyonları (SecOps) ekibine bağlı olur. Gelen uyarıların hacmine ayak uydurmak zor olabilir. Bu görevlerden bazılarını otomatikleştirmek yardımcı olabilir.

Office 365 Plan 2 için Microsoft Defender (E5 gibi Microsoft 365 lisanslarına veya tek başına abonelik olarak dahildir), SecOps ekipleri için zaman ve çaba tasarrufu sağlayan güçlü otomatik araştırma ve yanıt (AIR) özellikleri içerir.

AIR, kuruluş düzeyindeki araştırmaları tamamlayarak yüksek etkiye ve yüksek hacimli uyarılara öncelik verir. AIR araştırmaları algılamaları genişletir veya kuruluşun tehdit durumunu belirlemek için ek analiz sağlar. AIR tehditleri belirlediğinde, SecOps personelinin onaylaması için tehdit düzeltme eylemlerini kuyruğa alır. AIR aşağıdaki avantajlara neden olur:

• İyi bilinen tehditlere yanıt olarak otomatik araştırma süreçleri.
• Onay bekleyen uygun düzeltme eylemleri, SecOps ekibinizin algılanan tehditlere etkili bir şekilde yanıt vermesini sağlar.
• SecOps ekibiniz, tetiklenen önemli uyarıları görmeden daha yüksek öncelikli görevlere odaklanabiliyor.

Office 365 Plan 2 için Defender'da AIR, denetim günlüğünün açık olmasını gerektirir (varsayılan olarak açıktır).

AIR'in genel akışı

Bir uyarı tetikler ve güvenlik playbook'u otomatik bir araştırma başlatır ve bu da bulgular ve önerilen eylemlerle sonuçlanır. Air'in genel akışı aşağıdadır, adım adım:

1. Otomatik araştırma aşağıdaki yollardan biriyle başlatılır:

   • AIR'yi başlatmak için tasarlanmış belirli uyarılar. Bu uyarılar şunlardır:

     • Şüpheli bir şey e-postada tanımlanır (örneğin, iletinin kendisi, ek, URL veya güvenliği aşılmış bir kullanıcı hesabı).

     • Sıfır saatlik otomatik temizleme (ZAP).

     • Kullanıcı gönderimleri.

     • Kullanıcı uyarılar'a tıklayın.

     • Şüpheli posta kutusu davranışı.

       İpucu

       Kuruluşunuzun uyarılarını düzenli olarak gözden geçirmeyi unutmayın. Otomatik araştırma tetikleyen uyarı ilkeleri hakkında daha fazla bilgi için Tehdit yönetimi kategorisindeki varsayılan uyarı ilkelerine bakın. Otomatik araştırma için Evet değerini içeren girişler otomatik araştırma tetikleyebilir. AIR şu durumlarda tetiklenmiyor:

       • Bu uyarılar devre dışı bırakılır.
       • Bu uyarıların yerini özel uyarılar alır.

   • Güvenlik analisti Tehdit Gezgini,Gelişmiş tehdit avcılığı, özel algılama, Email varlık sayfası veya Email özet panelinde eylem gerçekleştir'i seçerek araştırmayı el ile tetikler. Daha fazla bilgi için bkz. Tehdit avcılığı: Email düzeltme. Örnekler için bkz. Örnekler için bkz. Office 365 Plan 2 için Microsoft Defender'de otomatik araştırma ve yanıt (AIR) örnekleri.

2. Otomatik araştırma uyarının niteliğini, ilgili iletiyi ve iletiyi çevreleyen daha fazla kanıtı değerlendirir ve analiz eder. Araştırmanın kapsamı, araştırma sırasında ortaya çıkarılan ve toplanan kanıtlara bağlı olarak artabilir.

3. Otomatik araştırma sırasında ve sonrasında ayrıntılar ve sonuçlar sağlanır. Sonuçlar SecOps personelinin bulunan tehditleri düzeltmesi için önerilen eylemleri içerebilir.

4. SecOps ekibi araştırmanın kendisinde, olayda veya İşlem merkezinde araştırma sonuçlarını ve önerileriniinceler ve düzeltme eylemlerini onaylar veya reddeder.

   İpucu

   Hiçbir düzeltme eylemi otomatik olarak gerçekleşmez. Düzeltme eylemleri için SecOps personelinin el ile onayı gerekir. AIR özellikleri, bilinçli bir karar vermek için tüm ayrıntılarla birlikte önerilen düzeltme eylemlerine giderek zaman kazandırır.

   AIR ayrıca tehdit bulunmayan uyarıları ve olayları değerlendirerek ve otomatik olarak çözümleyerek zaman kazandırır. Bu sonuç, kullanıcı gönderme senaryolarında yaygındır. AIR, henüz düzeltilmiş iletilerde tehdit bulunmadıysa veya tehdit bulunamazsa araştırmayı kapatır. Genellikle

5. Bekleyen düzeltme eylemleri onaylandığında veya reddedildiğinden otomatik araştırma tamamlanmıştır.

   Önerilen hiçbir eylem tanımlanmamışsa otomatik araştırma otomatik olarak kapatılır. Araştırmanın ayrıntıları konumundaki Araştırma sayfasında https://security.microsoft.com/airinvestigationyer almaya devam eder.

Her otomatik araştırma sırasında ve sonrasında SecOps ekibi aşağıdaki görevleri gerçekleştirebilir:

• Araştırmayla ilgili uyarıyla ilgili ayrıntıları görüntüleme
• Araştırmanın sonuç ayrıntılarını görüntüleme
• Araştırma sonucunda eylemleri gözden geçirme ve onaylama

Yerleşik uyarı ayarlama kuralları

Microsoft Defender XDR, yaygın iyi huylu etkinlikten kaynaklanan raporlama gürültüsünü azaltmaya yardımcı olan yerleşik uyarı ayarlama kuralları içerir. Bu yerleşik kurallar, AIR araştırmaları ve e-posta bildirimleri gibi diğer özellikleri etkilemeden uyarıları gizler. AIR araştırması kötü amaçlı veya şüpheli etkinlik algılarsa yeni uyarı yeniden etkinleştirilir.

Microsoft Defender portalında yerleşik uyarı ayarlama kurallarını görmek için Sistem>Ayarları>Microsoft Defender XDR>Rules bölümüne >veya doğrudan konumundaki https://security.microsoft.com/securitysettings/defender/alert_suppressionUyarı ayarlama sayfasına gidin.

Microsoft Defender portalında hangi uyarıların görüneceğini nasıl etkileyebileceklerini anlamak için bu kuralları gözden geçirmeyi unutmayın.

Not

Microsoft Security Copilot Kimlik Avı ÖncelikLendirme Aracısı, uyarı ayarlaması tarafından gizlenen uyarıları sınıflandırmaz. Otomatik Çözümle - kullanıcı tarafından kötü amaçlı yazılım veya kimlik avı yerleşik uyarı ayarlama kuralı olarak bildirilen Email ve bu uyarıyı engelleyen tüm özel ayarlama kurallarını devre dışı bırakmayı unutmayın.

AIR için gerekli izinler ve lisanslama

AIR kullanmak için size izinler atanmalıdır. Seçenekleriniz şunlardır:

• Microsoft Defender XDR Birleşik rol tabanlı erişim denetimi (RBAC) (Office 365 izinleriçin Email &işbirliği> Defender etkinse. Yalnızca Defender portalını etkiler, PowerShell'i etkilemez:
  • Otomatik bir araştırma başlatın veya Önerilen eylemleri onaylayın veya reddedin: Güvenlik işlemleri/Email gelişmiş düzeltme eylemleri (yönet).
• Microsoft Defender portalında e-posta ve işbirliği izinleri:
  • AIR özelliklerini ayarlama: Kuruluş Yönetimi veya Güvenlik Yöneticisi rol gruplarında üyelik.
  • Otomatik bir araştırma başlatın veya Önerilen eylemleri onaylayın veya reddedin:
    • Kuruluş Yönetimi, Güvenlik Yöneticisi, Güvenlik operatörü, Güvenlik Okuyucusu veya Genel Okuyucu rol gruplarında üyelik. ve
    • Varsayılan olarak yalnızca Veri Araştırmacısı veya Kuruluş Yönetimi rol gruplarına atanan Arama ve Temizleme rolü. Alternatif olarak, Arama ve Temizleme rolü atanmış yeni bir rol grubu oluşturabilir ve kullanıcıları özel rol grubuna ekleyebilirsiniz.
• Microsoft Entra izinleri: Kullanıcılara Microsoft 365'teki diğer özellikler için gerekli izinleri ve izinleri verin:
  • AIR özelliklerini ayarlamaGenel Yönetici veya Güvenlik Yöneticisi rollerine üyelik.
  • Otomatik bir araştırma başlatın veya Önerilen eylemleri onaylayın veya reddedin:
    • Genel Yönetici, Güvenlik Yöneticisi, Güvenlik operatörü, Güvenlik Okuyucusu veya Genel Okuyucu rollerine üyelik. ve
    • Daha önce açıklandığı gibi Atanmış Arama ve Temizleme rolüyle Email & işbirliği rol grubu üyeliği.

Otomatik Araştırma ve Yanıt (AIR) kullanmak için Office 365 Plan 2 lisansları için Microsoft Defender sahip olmanız gerekir (uygun aboneliklere dahil veya eklenti olarak kullanılabilir).

Sonraki adımlar

• AIR örnekleri
• Otomatik araştırmanın ayrıntılarını ve sonuçlarını görme
• Bekleyen eylemleri gözden geçirme ve onaylama
• Bekleyen veya tamamlanan düzeltme eylemlerini görüntüleme