適用於 Office 365 的 Microsoft Defender 中的自動化調查和響應運作方式
提示
您知道您可以免費試用 Microsoft Defender XDR for Office 365 方案 2 中的功能嗎? 在 Microsoft Defender 入口網站試用中樞使用適用於 Office 365 的 90 天 Defender 試用版。 瞭解誰可以在 Try Microsoft Defender for Office 365 上註冊和試用條款。
當安全性警示觸發時,您的安全性作業小組將會了解這些警示,並採取步驟保護貴組織。 有時候,安全性作業小組可能會因為觸發的警示數量而感到不知所措。 適用於 Office 365 Microsoft Defender 的 AIR) 功能 (自動化調查和回應可提供協助。
AIR 可讓您的安全性作業小組更有效率且更有效率地運作。 AIR 功能包括自動化調查程式,以回應現今存在的已知威脅。 適當的補救動作會等待核准,讓您的安全性作業小組能夠回應偵測到的威脅。
本文說明 AIR 如何透過數個範例運作。 當您準備好開始使用 AIR 時,請參閱 自動調查並回應威脅。
範例:用戶回報的網路釣魚訊息會啟動調查劇本
假設您組織中的使用者收到一封他們認為是網路釣魚嘗試的電子郵件。 經過訓練以報告這類訊息的使用者,會使用 Microsoft報表訊息或報表網路釣魚載入 巨集,將它傳送至Microsoft進行分析。 提交也會傳送至您的系統,並顯示在 [ 提交 ] 檢視的 [總管] 中, (先前稱為 使用者回報檢視) 。 此外,用戶回報的訊息現在會觸發系統型資訊警示,這會自動啟動調查劇本。
在根調查階段期間,會評估電子郵件的各個層面。 這些層面包括:
- 判斷它可能是何種威脅類型;
- 傳送者;
- 從傳送基礎結構) (傳送電子郵件的位置;
- 電子郵件的其他實例是否已傳遞或封鎖;
- 來自分析師的評量;
- 電子郵件是否與任何已知的活動相關聯;
- 和更多。
根調查完成之後,劇本會提供建議對原始電子郵件採取的動作清單,以及與它相關聯的 實體 (例如,檔案、URL 和收件者) 。
接下來,會執行數個威脅調查和搜捕步驟:
- 類似的電子郵件訊息是透過電子郵件叢集搜尋來識別。
- 訊號會與其他平台共用,例如 Microsoft適用於端點的Defender。
- 判斷是否有任何使用者已點選可疑電子郵件訊息中的任何惡意連結。
- 在 Exchange Online Protection (EOP) 和適用於 Office 365 Microsoft Defender 之間進行檢查,以查看使用者是否報告任何其他類似的訊息。
- 已完成檢查,以查看使用者是否遭到入侵。 這項檢查會利用跨 Office 365、 Microsoft適用於雲端應用程式的 Defender,以及 Microsoft Entra ID 的訊號,將任何相關的用戶活動異常相互關聯。
在搜捕階段期間,風險和威脅會指派給各種搜捕步驟。
補救是劇本的最後一個階段。 在這個階段中,會根據調查和搜捕階段來採取補救步驟。
範例:安全性系統管理員從威脅總管觸發調查
除了由警示觸發的自動化調查之外,貴組織的安全性作業小組還可以從 威脅總管中的檢視觸發自動化調查。 這項調查也會建立警示,因此Microsoft Defender XDR 事件和外部 SIEM 工具可以看到此調查已觸發。
例如,假設您在 [總管] 中使用 [惡意代碼 ] 檢視。 使用圖表下方的索引標籤,您可以選取 [ 電子郵件] 索引標籤 。如果您在清單中選取一或多個專案,[ + 動作] 按鈕就會啟動。
您可以使用 [ 動作] 選單選取 [觸發程序調查]。
類似於警示所觸發的劇本,從 [總管] 中的檢視觸發的自動調查包含根調查、識別威脅並相互關聯的步驟,以及降低這些威脅的建議動作。
範例:安全性作業小組使用 Office 365 管理活動 API 整合 AIR 與其 SIEM
Microsoft Defender for Office 365 中的 AIR 功能包括 報告 & 安全性作業小組可用來監視和解決威脅的詳細數據。 但您也可以將 AIR 功能與其他解決方案整合。 範例包括安全性資訊和事件管理 (SIEM) 系統、案例管理系統或自定義報告解決方案。 這些類型的整合可以使用 Office 365 管理活動 API 來完成。
例如,最近,組織設定了一種方式,讓其安全性作業小組檢視 AIR 已處理的使用者回報網路釣魚警示。 其解決方案會將相關警示與組織的 SIEM 伺服器及其案例管理系統整合。 此解決方案可大幅減少誤判的數目,讓安全性作業小組可以將時間和精力集中在實際威脅上。 若要深入瞭解此自定義解決方案,請參閱 技術社群部落格:使用適用於 Office 365 的 Microsoft Defender 和 O365 管理 API 改善 SOC 的有效性。