在 Microsoft Defender 全面偵測回應 中管理來自 適用於 Office 365 的 Microsoft Defender 的事件和警示
提示
您是否知道您可以免費試用 Microsoft Defender 全面偵測回應 Office 365 方案 2 中的功能? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
Microsoft Defender 全面偵測回應 中的事件是相互關聯的警示和相關聯數據的集合,可定義攻擊的完整案例。 適用於 Office 365 的 Defender 警示、自動化調查和回應 (AIR) ,而調查的結果會在 Microsoft Defender 全面偵測回應 的 [事件] 頁面https://security.microsoft.com/incidents-queue上原生整合並相互關聯。 我們將此頁面稱為 事件佇列。
當惡意或可疑活動影響實體 (例如電子郵件、使用者或信箱) 時,就會建立警示。 警示提供有關進行中或已完成攻擊的寶貴深入解析。 不過,持續的攻擊可能會影響多個實體,這會導致來自不同來源的多個警示。 某些內建警示會自動觸發 AIR 劇本。 這些劇本會執行一系列的調查步驟,以尋找其他受影響的實體或可疑活動。
觀看這段簡短影片,瞭解如何在 Microsoft Defender 全面偵測回應 中管理 適用於 Office 365 的 Microsoft Defender 警示。
適用於 Office 365 的 Defender警示、調查及其數據會自動相互關聯。 判斷關聯性時,系統會建立事件,讓安全性小組能夠檢視整個攻擊。
強烈建議 SecOps 小組在 管理事件佇列https://security.microsoft.com/incidents-queue中 適用於 Office 365 的 Defender 的事件和警示。 此方法具有下列優點:
管理 的多個選項:
- 優先順序
- 篩選
- 分類
- 標籤管理
您可以直接從佇列擷取事件,或將事件指派給某人。 批注和批注歷程記錄有助於追蹤進度。
如果攻擊會影響受 Microsoft Defender* 保護的其他工作負載,則相關的警示、調查及其數據也會與相同的事件相互關聯。
*適用於端點的 Microsoft Defender、適用於身分識別的 Microsoft Defender 和 Microsoft Defender for Cloud Apps。
不需要複雜的相互關聯邏輯,因為邏輯是由系統提供。
如果相互關聯邏輯不符合您的需求,您可以將警示新增至現有的事件,或建立新的事件。
相關 適用於 Office 365 的 Defender 警示、AIR 調查和調查擱置中的動作會自動新增至事件。
如果 AIR 調查未發現任何威脅,系統會自動解決相關的警示。如果事件內的所有警示都已解決,事件狀態也會變更為 [ 已解決]。
相關辨識項和回應動作會自動匯總在事件的 [ 辨識項和回應 ] 索引卷標上。
安全性小組成員可以直接從事件採取回應動作。 例如,他們可以虛刪除信箱中的電子郵件,或從信箱中移除可疑的收件匣規則。
只有在惡意電子郵件的最新傳遞位置是雲端信箱時,才會建立建議的電子郵件動作。
擱置中的電子郵件動作會根據最新的傳遞位置更新。 如果電子郵件已由手動動作修復,狀態會反映該情況。
建議的動作只會針對判斷為最嚴重威脅的電子郵件和電子郵件叢集建立:
- 惡意程式碼
- 高信賴度網路釣魚
- 惡意 URL
- 惡意檔案
注意事項
事件不只是代表靜態事件。 它們也代表隨著時間而發生的攻擊案例。 隨著攻擊的進行,新的 適用於 Office 365 的 Defender 警示、AIR 調查及其數據會持續新增至現有的事件。
在 Microsoft Defender 入口網站的 https://security.microsoft.com/incidents-queue[事件] 頁面上管理事件::
![Microsoft Defender 入口網站中的 [事件] 頁面。](media/mdo-sec-ops-incidents.png#lightbox)
![Microsoft Defender 入口網站中 [事件] 頁面上的詳細數據飛出視窗。](media/mdo-sec-ops-incident-details.png#lightbox)
![在 Microsoft Defender 入口網站的 [事件] 頁面上篩選飛出視窗。](media/mdo-sec-ops-incident-filters.png#lightbox)
![Microsoft Defender 入口網站中事件詳細數據的 [摘要] 索引標籤。](media/mdo-sec-ops-incident-summary-tab.png#lightbox)
![Microsoft Defender 入口網站中事件詳細數據的 [辨識項和警示] 索引標籤。](media/mdo-sec-ops-incident-evidence-and-response-tab.png#lightbox)
在 Microsoft Sentinel 中管理 [事件] 頁面https://portal.azure.com/#blade/HubsExtension/BrowseResource/resourceType/microsoft.securityinsightsarg%2Fsentinel上的事件:
要採取的回應動作
安全性小組可以使用 適用於 Office 365 的 Defender 工具,對電子郵件採取各種不同的回應動作:
您可以刪除信件,但也可以對電子郵件採取下列動作:
- 移至收件匣
- 移至垃圾郵件
- 移至刪除的郵件
- 虛刪除
- 實刪除。
您可以從下列位置採取這些動作:
- [事件] 頁面上事件詳細數據的 [辨識項和回應] 索引卷標,位於https://security.microsoft.com/incidents-queue建議 () 。
- 位於https://security.microsoft.com/threatexplorer的威脅總管。
- 位於的統一控制中心https://security.microsoft.com/action-center/pending。
您可以使用威脅總管中的 觸發程式調查 動作,在任何電子郵件訊息上手動啟動 AIR 劇本。
您可以使用 租使用者允許/封鎖清單來封鎖未偵測到的惡意檔案、URL 或寄件者。
適用於 Office 365 的 Defender 中的動作會順暢地整合到搜捕體驗中,而且動作的歷程記錄會顯示在 位於 統一控制中心的 [歷程記錄] 索引卷標上https://security.microsoft.com/action-center/history。
採取動作最有效的方式是使用內建的整合與 Microsoft Defender 全面偵測回應 中的事件。 您可以在 Microsoft Defender 全面偵測回應 中事件的 [辨識項和回應] 索引卷標上,核准 #DB3E9721628C34531A3540A2F21B7EADF 中 AIR 建議的動作。 基於下列原因,建議使用這個堆疊動作方法:
- 您會調查完整的攻擊案例。
- 您可以受益於與其他工作負載的內建相互關聯:適用於端點的 Microsoft Defender、適用於身分識別的 Microsoft Defender 和 Microsoft Defender for Cloud Apps。
- 您可以從單一位置對電子郵件採取動作。
您會根據手動調查或搜捕活動的結果,對電子郵件採取動作。 威脅總管 可讓安全性小組成員對可能仍存在於雲端信箱中的任何電子郵件訊息採取動作。 他們可以對組織中用戶之間傳送的組織內訊息採取動作。 威脅總管數據可供過去30天使用。
觀看這段短片,瞭解 Microsoft Defender 全面偵測回應 如何將來自各種偵測來源的警示,例如 適用於 Office 365 的 Defender,合併成事件。