排定和管理自動化調查與回應 (AIR)
AIR (自動化調查和回應) 可節省安全性作業小組的時間和精力。
- 觸發警示時,自動化調查會判斷組織中威脅的影響範圍,並提供建議的補救動作。
- 安全性小組可以利用 AIR 自動化來減少手動搜捕的需求,以節省時間。
- 這些調查可以識別零時差自動清除 (ZAP) 或其他補救尚未清除的電子郵件。
- AIR 調查也會識別可能有風險的信箱設定,或指出信箱遭到入侵。
調查動作 (和調查) 可從 Microsoft 安全性入口網站中的數個點存取:透過 事件、透過 警示或 透過控制中心。 系統管理員所使用的工作流程是以系統管理員所追求的工作流程為基礎。
為何要使用控制中心工作流程
由於 Email & 共同作業內容的自動化調查會產生如惡意或可疑的決策,因此會建立特定的補救動作。 建議的補救動作不會自動執行。 SecOps 必須流覽至每個調查,以 核准 這些建議的動作。 在 控制中心 ,所有擱置中的動作都會匯總以供快速核准。
您需要什麼
- 適用於 Office 365 的 Microsoft Defender E5) 隨附的方案 2 或更新版本 (
- 足夠的許可權 (安全性讀取者、安全性作業或安全性系統管理員,以及 搜尋 和清除角色)
直接從控制中心分析和核准 AIR 動作的步驟
- 流覽至 Microsoft Defender 入口網站並登入。
- 當控制中心載入時,按兩下資料列來排序動作並設定優先順序,或按 [ 篩選 ] 以套用篩選器,例如特定URL) 的 實體類型 (或動作類型 (例如虛刪除電子郵件) 。
- 按兩下動作之後,就會開啟飛出視窗。 它會出現在畫面右側以供檢閱。
- 如需為何要求動作的詳細資訊,請選取飛出視窗中的 [ 開啟調查] 頁面 ,以深入瞭解與此動作連結的調查或警示。 (系統管理員也可以選取 [擱置動作] 索引卷標,核准調查頁面上顯示的 動作 。)
- 否則,請選取 [核准 ] 直接從控制中心採取建議的動作。
- 如果您判斷動作是不必要的,請拒絕該動作。
檢查 AIR 歷程記錄
- 流覽至 Microsoft Defender 入口網站並登入。
- 在左側瀏覽窗格中,展開 [ 動作 & 提交 ],然後按兩下 [ 控制中心]。
- 當控制中心載入時,請按 [ 歷程記錄] 索引 標籤。
- 視需要檢視 AIR 的歷程記錄,包括決策、動作來源,以及做出決策的系統管理員。