在 Microsoft Defender 全面偵測回應 中自動化調查和回應

適用於:

  • Microsoft Defender XDR

如果您的組織使用 Microsoft Defender 全面偵測回應,每當偵測到惡意或可疑的活動或成品時,您的安全性作業小組就會在 Microsoft Defender 入口網站內收到警示。 由於威脅的流動看似永無止境,安全性小組通常會面臨解決大量警示的挑戰。 幸運的是,Microsoft Defender 全面偵測回應 包含自動化調查和回應 (AIR) 功能,可協助您的安全性作業小組更有效率且有效地解決威脅。

本文提供 AIR 的概觀,並包含後續步驟和其他資源的連結。

自動化調查和自我修復的運作方式

當安全性警示觸發時,您的安全性作業小組將會了解這些警示,並採取步驟保護貴組織。 優先處理和調查警示可能會非常耗時,特別是在調查進行時新警示持續出現。 安全性作業小組可能會對必須監控和防範的龐大威脅感到不知所措。 透過自我修復的自動化調查和回應功能,Microsoft Defender 全面偵測回應 有説明。

觀看下列影片以瞭解自我修復的運作方式:

在 Microsoft Defender 全面偵測回應 中,具有自我修復功能的自動化調查和回應可在您的裝置、電子郵件 & 內容和身分識別之間運作。

提示

本文說明自動化調查和響應的運作方式。 若要設定這些功能,請參閱在 Microsoft Defender 全面偵測回應 中設定自動化調查和回應功能

您自己的虛擬分析師

假設您的第1層或第2層安全性作業小組中有虛擬分析師。 虛擬分析員會模仿安全性作業要採取哪些理想步驟來調查和補救威脅。 虛擬分析師可以使用 24x7、無限制的容量,並承擔大量的調查和威脅補救。 這類虛擬分析師可以大幅縮短回應時間,讓您的安全性作業小組能夠獲得其他重要威脅或策略性專案。 如果此案例聽起來像是科學虛構,則不行! 這類虛擬分析師是您 Microsoft Defender 全面偵測回應 套件的一部分,其名稱是自動化調查和回應

自動化調查和回應功能可讓您的安全性作業小組大幅增加組織處理安全性警示和事件的能力。 透過自動化調查和回應,您可以降低處理調查和響應活動的成本,並充分利用您的威脅防護套件。 自動化調查和回應功能可透過下列方式協助您的安全性作業小組:

  1. 判斷是否要針對威脅採取動作。
  2. 採取 (或建議) 任何必要的補救動作。
  3. 判斷是否要進行其他調查以及要進行哪些其他調查。
  4. 針對其他警示重複採取必要程序。

自動化調查程序

警示會建立事件,從而啟動自動化調查。 自動化調查會對每一個證據做出決策。 決策可以:

  • 惡意
  • 可疑
  • 找不到威脅

識別惡意或可疑實體的補救動作。 補救動作的範例包括:

  • 將檔案傳送至隔離
  • 停止程序
  • 隔離裝置
  • 封鎖 URL
  • 其他動作

如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的補救動作

根據為組織設定 自動化調查和回應功能的方式 而定,補救動作會自動採取,或只在安全性作業小組核准時採取。 不論是擱置或完成,所有動作都會列在 控制中心內。

當調查進行時,出現的任何其他相關警示會新增到調查中,直到調查完成。 如果在其他地方看到受影響的實體,則自動化調查會將其範圍擴大為包含該實體,而調查程序會重複。

在 Microsoft Defender 全面偵測回應 中,每個自動化調查都會將跨 適用於身分識別的 Microsoft Defender、適用於端點的 Microsoft Defender 和的訊號相互關聯適用於 Office 365 的 Microsoft Defender,如下表摘要說明:

實體 威脅防護服務
裝置 (也稱為端點或計算機) 適用於端點的 Defender
內部部署 Active Directory 用戶、實體行為和活動 適用於身分識別的 Defender
Email 可包含檔案和 URL (電子郵件訊息的內容) 適用於 Office 365 的 Defender

注意

並非每個警示都會觸發自動化調查,也不是每個調查都會導致自動化補救動作。 這取決於貴組織的自動化調查及回應是如何設定的。 請參閲設定自動調查及回應功能

檢視調查清單

若要檢視調查,請移至 [ 事件 ] 頁面。 選取事件,然後選取 [ 調查] 索引標籤 。若要深入瞭解,請參閱 自動化調查的詳細數據和結果

自動調查 & 回應卡

新的自動化調查 & 回應卡可在 Microsoft Defender 入口網站 () https://security.microsoft.com 中取得。 這個新卡片可查看可用補救動作的總數。 卡片也會提供所有警示的概觀,以及每個警示所需的核准時間。

顯示自動調查 & 回應卡的螢幕快照。

使用自動化調查 & 回應卡,您的安全性作業小組可以選取 [在控制中心核准] 鏈接,然後採取適當的動作,快速流覽至控制 中心 。 卡片可讓您的安全性作業小組更有效率地管理擱置核准的動作。

後續步驟

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。