#D1E485F45B66D4688B82DAB2F16207938 中 AIR) 的自動化調查和回應 (

• 適用於:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

提示

您是否知道您可以免費試用 Microsoft Defender 全面偵測回應 Office 365 方案 2 中的功能？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

適用於 Office 365 的 Microsoft Defender 包含強大的自動化調查和回應 (AIR) 功能，可節省安全性作業小組的時間和精力。 觸發警示時，由您的安全性作業小組來檢閱、排定優先順序及回應這些警示。 跟上傳入警示的數量可能會非常龐大。 將其中一些工作自動化會有所説明。

AIR 可讓您的安全性作業小組更有效率且更有效率地運作。 AIR 功能包括自動化調查程式，以回應現今存在的已知威脅。 適當的補救動作會等待核准，讓您的安全性作業小組能夠有效地回應偵測到的威脅。 透過 AIR，您的安全性作業小組可以專注於較高優先順序的工作，而不會看到觸發的重要警示。

本文說明：

• AIR 的整體流程;
• 如何取得 AIR;和
• 設定或使用 AIR 功能 所需的 許可權。

本文也包含 後續步驟，以及要深入瞭解的資源。

AIR 的整體流程

系統會觸發警示，而安全性劇本會啟動自動化調查，以產生結果和建議的動作。 以下是 AIR 的整體流程，逐步說明：

1. 自動化調查會以下列其中一種方式起始：

   • 電子郵件 (中可疑的內容會 觸發警示 ，例如訊息、附件、URL 或遭入侵的用戶帳戶) 。 隨即建立事件，並開始進行自動化調查;或
   • 安全性分析師會在使用 Explorer 時開始自動化調查。

2. 當自動化調查執行時，它會收集問題中電子郵件的相關數據，以及與該電子郵件 (相關的 實體 ，例如檔案、URL 和收件者) 。 隨著新警示和相關警示的觸發，調查的範圍可能會增加。

3. 在自動化調查期間和之後，可以檢視 詳細數據和結果 。 結果可能包括 可採取的建議動作 ，以回應和補救找到的任何現有威脅。

4. 您的安全性作業小組會檢閱 調查結果和建議，並 核准或拒絕補救動作。

5. 由於擱置的補救動作已核准 (或拒絕) ，自動化調查會完成。

注意事項

如果調查未導致建議的動作，則自動化調查將會關閉，且在自動調查過程中檢閱的詳細數據仍可在調查頁面上取得。

在 適用於 Office 365 的 Microsoft Defender 中，不會自動採取任何補救動作。 在組織的安全性小組核准後才能採取補救動作。 AIR 功能可藉由識別補救動作並提供做出明智決策所需的詳細數據，來節省安全性作業小組的時間。

在每個自動化調查期間和之後，您的安全性作業小組可以：

• 檢視與調查相關警示的詳細資料
• 檢視調查的結果詳細數據
• 根據調查的結果檢閱和核准動作

提示

如需更詳細的概觀，請 參閱 AIR 的運作方式。

如何取得 AIR

只要稽核記錄在默認開啟 (開啟，適用於 Office 365 的 Microsoft Defender 方案 2 中就會包含 AIR 功能) 。

此外，請務必檢閱組織的 警示原則，特別是 威脅管理類別中的默認原則。

哪些警示原則會觸發自動化調查？

Microsoft 365 提供許多內建警示原則，可協助識別 Exchange 系統管理員許可權濫用、惡意代碼活動、潛在的外部和內部威脅，以及資訊控管風險。 數個 預設警示原則 可以觸發自動化調查。 下表描述觸發自動化調查的警示、Microsoft Defender 入口網站中的嚴重性，以及其產生方式：

提醒	嚴重性	警示的產生方式
偵測到潛在的惡意 URL 點擊	High	發生下列任何一項時，就會產生此警示： 組織中受 安全連結 保護的使用者按兩下惡意連結 URL 的決策變更是由 適用於 Office 365 的 Microsoft Defender 用戶會根據貴組織的安全鏈接原則，覆寫 (的安全連結警告頁面。 如需觸發此警示之事件的詳細資訊，請 參閱設定安全鏈接原則。
使用者將電子郵件訊息回報為惡意代碼或網路釣魚	低	當組織中的使用者使用 Microsoft 報表訊息或報表網路釣魚 載入宏將郵件回報為網路釣魚電子郵件時，就會產生此警示。
傳遞後移除包含惡意檔案的電子郵件訊息	參考	當包含惡意檔案的任何訊息傳遞至組織中的信箱時，就會產生此警示。 如果發生此事件，Microsoft 會使用零時差自動清除 (ZAP ) ，從 Exchange Online 信箱中移除受感染的郵件。
Email 包含惡意代碼的訊息會在傳遞後移除	參考	當包含惡意代碼的任何電子郵件訊息傳遞至組織中的信箱時，就會產生此警示。 如果發生此事件，Microsoft 會使用零時差自動清除 (ZAP ) ，從 Exchange Online 信箱中移除受感染的郵件。
傳遞後移除包含惡意 URL 的電子郵件訊息	參考	當包含惡意 URL 的任何訊息傳遞至組織中的信箱時，就會產生此警示。 如果發生此事件，Microsoft 會使用零時差自動清除 (ZAP ) ，從 Exchange Online 信箱中移除受感染的郵件。
包含網路釣魚 URL 的 Email 訊息會在傳遞後移除	參考	當任何包含網路釣魚的郵件傳遞至組織中的信箱時，就會產生此警示。 如果發生此事件，Microsoft 會使用 ZAP 從 Exchange Online 信箱中移除受感染的郵件。
偵測到可疑的電子郵件傳送模式	Medium	當貴組織中的某人已傳送可疑的電子郵件，而且有被限制無法傳送電子郵件的風險時，就會產生此警示。 警示是行為的早期警告，可能表示帳戶遭到入侵，但不夠嚴重，無法限制使用者。 雖然很少見，但此原則所產生的警示可能是異常。 不過，最好 檢查用戶帳戶是否遭到入侵。
用戶無法傳送電子郵件	High	當貴組織中的某人無法傳送輸出郵件時，就會產生此警示。 此警示通常會在 電子郵件帳戶遭入侵時產生。 如需受限制使用者的詳細資訊，請參閱 從 [受限制的實體] 頁面移除封鎖的使用者。
管理員 觸發電子郵件的手動調查	參考	當系統管理員從威脅總管觸發電子郵件的手動調查時，就會產生此警示。 此警示會通知您的組織調查已啟動。
管理員 觸發的使用者入侵調查	Medium	當系統管理員觸發來自威脅總管的電子郵件發件者或收件者的手動使用者入侵調查時，就會產生此警示。 此警示會通知您的組織使用者入侵調查已啟動。

提示

若要深入瞭解警示原則或編輯預設設定，請參閱 Microsoft Defender 入口網站中的警示原則。

使用 AIR 功能的必要許可權

您必須獲指派許可權才能使用 AIR。 您有下列選項：

• Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站，而不會影響 PowerShell) ：

  • 開始自動化調查或核准或拒絕建議的動作：安全性操作員/Email 進階補救動作 (管理) 。

• 在 Microsoft Defender 入口網站中 Email & 共同作業許可權：

  • 設定 AIR 功能： 組織管理 或 安全性系統管理員 角色群組中的成員資格。
  • 開始自動化調查 或 核准或拒絕建議的動作：
    • 組織管理、安全性系統管理員、安全性操作員、安全性讀取者或全域讀取者角色群組的成員資格。 及
    • 指派 搜尋 和清除角色的角色群組中的成員資格。 根據預設，此角色會指派給 數據 處理者和 組織管理 角色群組。 或者，您可以建立自定義角色群組來指派 搜尋 和清除角色。

• Microsoft Entra 權限：

  • 設定 AIR 功能全域管理員或安全性系統管理員角色的成員資格。
  • 開始自動化調查 或 核准或拒絕建議的動作：
    • 全域管理員、安全性系統管理員、安全性操作員、安全性讀取者或全域讀取者角色的成員資格。 及
    • Email & 共同作業角色群組中已指派 搜尋 和清除角色的成員資格。 根據預設，此角色會指派給 數據 處理者和 組織管理 角色群組。 或者，您可以建立自定義 Email & 共同作業角色群組來指派 搜尋 和清除角色。

  Microsoft Entra 許可權會為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權。

需要的授權

適用於 Office 365 的 Microsoft Defender 應將方案 2 授權指派給：

• 安全性系統管理員 (包括全域管理員)
• 貴組織的安全性作業小組 (包括安全性讀取者，以及具有 搜尋 和清除角色)
• 使用者

後續步驟

• 開始使用 AIR
• 查看自動化調查的詳細數據和結果
• 檢閱和核准擱置中的動作
• 檢視擱置或已完成的補救動作