Microsoft 365 Defender 中的自動化調查及回應

注意事項

想要體驗 Microsoft 365 Defender 嗎? 深入瞭解如何評估和試驗Microsoft 365 Defender

適用於:

  • Microsoft 365 Defender

如果您的組織使用Microsoft 365 Defender,每當偵測到惡意或可疑的活動或成品時,您的安全性作業小組就會在Microsoft 365 Defender入口網站內收到警示。 由於威脅的流動看似永無止境,安全性小組通常會面臨解決大量警示的挑戰。 幸運的是,Microsoft 365 Defender包含自動化調查和回應 (AIR) 功能,可協助您的安全性作業小組更有效率且有效地解決威脅。

本文提供 AIR 的概觀,並包含後續步驟和其他資源的連結。

自動化調查和自我修復的運作方式

觸發安全性警示時,由您的安全性作業小組負責調查這些警示,並採取步驟來保護您的組織。 優先處理和調查警示可能會非常耗時,特別是在調查進行時新警示持續出現。 安全性作業小組可能會對必須監控和防範的龐大威脅感到不知所措。 透過自我修復的自動化調查和回應功能,Microsoft 365 Defender有説明。

觀看下列影片以瞭解自我修復的運作方式:

在Microsoft 365 Defender中,具有自我修復功能的自動化調查和回應可跨您的裝置、電子郵件 & 內容和身分識別運作。

提示

本文說明自動化調查和回應的運作方式。 若要設定這些功能,請參閱在Microsoft 365 Defender 中設定自動化調查和回應功能

您自己的虛擬分析師

假設您的第 1 層或第 2 層安全性作業小組中有虛擬分析師。 虛擬分析員會模仿安全性作業要採取哪些理想步驟來調查和補救威脅。 虛擬分析師可以使用 24x7、無限制的容量,並承擔大量的調查和威脅補救。 這類虛擬分析師可以大幅縮短回應時間,讓您的安全性作業小組能夠獲得其他重要威脅或策略性專案。 如果此案例聽起來像是科學虛構,則不行! 這類虛擬分析師是您Microsoft 365 Defender套件的一部分,其名稱是自動化調查和回應

自動化調查和回應功能可讓您的安全性作業小組大幅增加組織處理安全性警示和事件的能力。 透過自動化調查和回應,您可以降低處理調查和回應活動的成本,並充分利用您的威脅防護套件。 自動化調查和回應功能可透過下列方式協助您的安全性作業小組:

  1. 判斷是否要針對威脅採取動作。
  2. 採取 (或建議) 任何必要的補救動作。
  3. 判斷是否要進行其他調查以及要進行哪些其他調查。
  4. 針對其他警示重複採取必要程序。

自動化調查程序

警示會建立事件,以開始自動化調查。 自動化調查會針對每個辨識項做出決策。 決策可以是:

  • 惡意
  • 可疑
  • 找不到威脅

識別惡意或可疑實體的補救動作。 補救動作的範例包括:

  • 將檔案傳送至隔離區
  • 停止進程
  • 隔離裝置
  • 封鎖 URL
  • 其他動作

如需詳細資訊,請參閱Microsoft 365 Defender 中的補救動作

根據為組織設定 自動化調查和回應功能的方式 而定,補救動作會自動採取,或只在安全性作業小組核准時採取。 所有動作,不論是擱置或已完成,都會列在 控制中心內。

當調查進行時,出現的任何其他相關警示會新增到調查中,直到調查完成。 如果在其他地方看到受影響的實體,則自動化調查會將其範圍擴大為包含該實體,而調查程序會重複。

在Microsoft 365 Defender中,每個自動化調查都會將跨適用於身分識別的 Microsoft Defender、適用於端點的 Microsoft Defender和的訊號相互關聯適用於 Office 365 的 Microsoft Defender,如下表摘要說明:

實體 威脅防護服務
裝置 (也稱為端點或電腦) 適用於端點的 Defender
內部部署 Active Directory 使用者、實體行為和活動 適用於身分識別的 Defender
Email可包含檔案和 URL 的電子郵件訊息 (內容) 適用於 Office 365 的 Defender

注意事項

並非每個警示都會觸發自動化調查,而且並非每個調查都會在自動化補救動作中產生結果。 這取決於如何為您的組織設定自動化調查和回應。 請 參閱設定自動化調查和回應功能

檢視調查清單

若要檢視調查,請移至 [ 事件 ] 頁面。 選取事件,然後選取 [ 調查] 索引卷 標。若要深入瞭解,請參閱 自動化調查的詳細資料和結果

自動化調查 & 回應卡片

新的自動化調查 & 回應卡可在Microsoft 365 Defender入口網站 () https://security.microsoft.com 中取得。 這個新卡片可查看可用補救動作的總數。 卡片也會提供所有警示的概觀,以及每個警示所需的核准時間。

顯示自動化調查 & 回應卡片的螢幕擷取畫面。

使用自動化調查 & 回應卡片,您的安全性作業小組可以選取 [ 在控制中心核 准] 連結,然後採取適當的動作,快速流覽至控制中心。 卡片可讓您的安全性作業小組更有效率地管理擱置核准的動作。

安全性分析師訓練

使用 Microsoft Learn 的此學習課程模組,瞭解Microsoft 365 Defender如何使用自動化自我修復來進行事件調查和回應。

訓練: 使用 Microsoft 365 Defender 的自動化 self-healing
使用Microsoft 365 Defender定型圖示自動化自我修復。 Microsoft 365 Defender使用 AI 自動補救事件,協助安全性作業小組更有效率且有效地解決威脅。

11 分鐘 - 5 單位

後續步驟