自動化調查和回應在 適用於 Office 365 的 Microsoft Defender 中的運作方式

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款

當安全性警示觸發時,您的安全性作業小組將會了解這些警示,並採取步驟保護貴組織。 有時候,安全性作業小組可能會因為觸發的警示數量而感到不知所措。 自動化調查和回應 (AIR) 功能 適用於 Office 365 的 Microsoft Defender 可以提供協助。

AIR 可讓您的安全性作業小組更有效率且更有效率地運作。 AIR 功能包括自動化調查程式,以回應現今存在的已知威脅。 適當的補救動作會等待核准,讓您的安全性作業小組能夠回應偵測到的威脅。

本文說明 AIR 如何透過數個範例運作。 當您準備好開始使用 AIR 時,請參閱 自動調查並回應威脅

範例:用戶回報的網路釣魚訊息會啟動調查劇本

假設您組織中的使用者收到一封他們認為是網路釣魚嘗試的電子郵件。 經過訓練以報告這類訊息的使用者,會使用 Microsoft 報表訊息或報表網路釣魚載入 宏將它傳送給 Microsoft 進行分析。 提交也會傳送至您的系統,並顯示在 [ 提交 ] 檢視的 [總管] 中, (先前稱為 使用者回報檢視) 。 此外,用戶回報的訊息現在會觸發系統型資訊警示,這會自動啟動調查劇本。

在根調查階段期間,會評估電子郵件的各個層面。 這些層面包括:

  • 判斷它可能是何種威脅類型;
  • 傳送者;
  • 從傳送基礎結構) (傳送電子郵件的位置;
  • 電子郵件的其他實例是否已傳遞或封鎖;
  • 來自分析師的評量;
  • 電子郵件是否與任何已知的活動相關聯;
  • 和更多。

根調查完成之後,劇本會提供建議對原始電子郵件採取的動作清單,以及與它相關聯的 實體 (例如,檔案、URL 和收件者) 。

接下來,會執行數個威脅調查和搜捕步驟:

在搜捕階段期間,風險和威脅會指派給各種搜捕步驟。

補救是劇本的最後一個階段。 在這個階段中,會根據調查和搜捕階段來採取補救步驟。

範例:安全性系統管理員從威脅總管觸發調查

除了由警示觸發的自動化調查之外,貴組織的安全性作業小組還可以從 威脅總管中的檢視觸發自動化調查。 這項調查也會建立警示,因此 Microsoft Defender 全面偵測回應 事件和外部 SIEM 工具都可以看到此調查已觸發。

例如,假設您在 [總管] 中使用 [惡意代碼 ] 檢視。 使用圖表下方的索引標籤,您可以選取 [Email] 索引標籤。如果您在清單中選取一或多個專案,[+ 動作] 按鈕就會啟動。

具有所選訊息的 Explorer

您可以使用 [ 動作] 選單選取 [觸發程序調查]

選單的 [動作] 選單

類似於警示所觸發的劇本,從 [總管] 中的檢視觸發的自動調查包含根調查、識別威脅並相互關聯的步驟,以及降低這些威脅的建議動作。

範例:安全性作業小組使用 Office 365 管理活動 API 來整合 AIR 與其 SIEM

適用於 Office 365 的 Microsoft Defender 中的 AIR 功能包括報告 & 安全性作業小組可用來監視和解決威脅的詳細數據。 但您也可以將 AIR 功能與其他解決方案整合。 範例包括安全性資訊和事件管理 (SIEM) 系統、案例管理系統或自定義報告解決方案。 這些類型的整合可以使用 Office 365 管理活動 API 來完成

例如,最近,組織設定了一種方式,讓其安全性作業小組檢視 AIR 已處理的使用者回報網路釣魚警示。 其解決方案會將相關警示與組織的 SIEM 伺服器及其案例管理系統整合。 此解決方案可大幅減少誤判的數目,讓安全性作業小組可以將時間和精力集中在實際威脅上。 若要深入瞭解此自定義解決方案,請參閱技術社群部落格:使用 適用於 Office 365 的 Microsoft Defender 和 O365 管理 API 改善 SOC 的有效性

後續步驟