在 Microsoft 365 Defender 中管理來自適用於 Office 365 的 Microsoft Defender的事件和警示
提示
您知道您可以免費試用Office 365方案 2 的Microsoft 365 Defender功能嗎? 使用 Microsoft 365 Defender 入口網站試用中樞的90 天適用於 Office 365 的 Defender試用版。 在這裡瞭解誰可以註冊和 試用條款。
適用於:
Microsoft 365 Defender中的事件是相互關聯的警示和相關聯資料的集合,可定義攻擊的完整案例。 適用於 Office 365 的 Defender警示、自動化調查和回應 (AIR) ,而調查的結果會在 Microsoft 365 Defender 的 [事件] 頁面 https://security.microsoft.com/incidents-queue 上原生整合並相互關聯。 我們將此頁面稱為 事件佇列。
當惡意或可疑活動影響實體 (例如電子郵件、使用者或信箱) 時,就會建立警示。 警示提供有關進行中或已完成攻擊的寶貴深入解析。 不過,持續的攻擊可能會影響多個實體,這會導致來自不同來源的多個警示。 某些內建警示會自動觸發 AIR 劇本。 這些劇本會執行一系列的調查步驟,以尋找其他受影響的實體或可疑活動。
觀看這段簡短影片,瞭解如何在Microsoft 365 Defender中管理適用於 Office 365 的 Microsoft Defender警示。
適用於 Office 365 的 Defender警示、調查及其資料會自動相互關聯。 判斷關聯性時,系統會建立事件,讓安全性小組能夠檢視整個攻擊。
強烈建議 SecOps 小組在 管理事件佇列 https://security.microsoft.com/incidents-queue 中適用於 Office 365 的 Defender的事件和警示。 此方法具有下列優點:
管理 的多個選項:
- 優先 級
- 篩選
- 分類
- 標籤管理
您可以直接從佇列擷取事件,或將事件指派給某人。 批註和批註歷程記錄有助於追蹤進度。
如果攻擊影響受Microsoft Defender * 保護的其他工作負載,則相關的警示、調查及其資料也會與相同的事件相互關聯。
*適用於端點的 Microsoft Defender、適用於身分識別的 Microsoft Defender和Microsoft Defender for Cloud Apps。
不需要複雜的相互關聯邏輯,因為邏輯是由系統提供。
如果相互關聯邏輯不符合您的需求,您可以將警示新增至現有的事件,或建立新的事件。
相關的適用於 Office 365 的 Defender警示、AIR 調查和調查的擱置動作會自動新增至事件。
如果 AIR 調查未發現任何威脅,系統會自動解決相關的警示。如果事件內的所有警示都已解決,事件狀態也會變更為 [ 已解決]。
相關辨識項和回應動作會自動匯總在事件的 [ 辨識項和回應 ] 索引標籤上。
安全性小組成員可以直接從事件採取回應動作。 例如,他們可以虛刪除信箱中的電子郵件,或從信箱中移除可疑的收件匣規則。
只有在惡意電子郵件的最新傳遞位置是雲端信箱時,才會建立建議的電子郵件動作。
擱置中的電子郵件動作會根據最新的傳遞位置更新。 如果電子郵件已由手動動作修復,狀態會反映該情況。
建議的動作只會針對判斷為最嚴重威脅的電子郵件和電子郵件叢集建立:
- 惡意程式碼
- 高信賴度網路釣魚
- 惡意 URL
- 惡意檔案
注意事項
事件不只是代表靜態事件。 它們也代表隨著時間而發生的攻擊案例。 隨著攻擊的進行,新的適用於 Office 365 的 Defender警示、AIR 調查及其資料會持續新增至現有的事件。
在 Microsoft 365 Defender 入口網站的 https://security.microsoft.com/incidents-queue [事件] 頁面上管理事件::
![Microsoft 365 Defender入口網站中的 [事件] 頁面。](../../media/mdo-sec-ops-incidents.png?view=o365-worldwide#lightbox)
![Microsoft 365 Defender入口網站中 [事件] 頁面上的詳細資料飛出視窗。](../../media/mdo-sec-ops-incident-details.png?view=o365-worldwide#lightbox)
![在 Microsoft 365 Defender 入口網站的 [事件] 頁面上篩選飛出視窗。](../../media/mdo-sec-ops-incident-filters.png?view=o365-worldwide#lightbox)
![Microsoft 365 Defender入口網站中事件詳細資料的 [摘要] 索引標籤。](../../media/mdo-sec-ops-incident-summary-tab.png?view=o365-worldwide#lightbox)
![Microsoft 365 Defender入口網站中事件詳細資料的 [辨識項和警示] 索引標籤。](../../media/mdo-sec-ops-incident-evidence-and-response-tab.png?view=o365-worldwide#lightbox)
在 Microsoft Sentinel https://portal.azure.com/#blade/HubsExtension/BrowseResource/resourceType/microsoft.securityinsightsarg%2Fsentinel 的 [事件] 頁面上管理事件,
要採取的回應動作
安全性小組可以使用適用於 Office 365 的 Defender工具,對電子郵件採取各種不同的回應動作:
您可以刪除郵件,但也可以對電子郵件採取下列動作:
- 移至收件匣
- 移至垃圾郵件
- 移至刪除的郵件
- 虛刪除
- 實刪除。
您可以從下列位置採取這些動作:
- [事件] 頁面上事件詳細資料的 [辨識項和回應] 索引標籤,位於 https://security.microsoft.com/incidents-queue 建議 () 。
- 位於 https://security.microsoft.com/threatexplorer的威脅總管。
- 位於 的統一 控制中心https://security.microsoft.com/action-center/pending 。
您可以使用威脅總管中的 觸發程式調查 動作,在任何電子郵件訊息上手動啟動 AIR 劇本。
您可以使用 租使用者允許/封鎖清單來封鎖未偵測到的惡意檔案、URL 或寄件者。
適用於 Office 365 的 Defender動作會順暢地整合到搜捕體驗中,而且動作的歷程記錄會顯示在 位於 統一控制中心的[歷程記錄] 索引標籤上 https://security.microsoft.com/action-center/history 。
採取動作最有效的方式是使用內建的整合與Microsoft 365 Defender中的事件。 您可以在 Microsoft 365 Defender 中事件的 [辨識項和回應] 索引標籤上,核准 適用於 OFFICE 365 的 DEFENDER 中 AIR 建議的動作。 基於下列原因,建議使用這個堆疊動作方法:
- 您會調查完整的攻擊案例。
- 您可以受益于與其他工作負載的內建相互關聯:適用於端點的 Microsoft Defender、適用於身分識別的 Microsoft Defender和Microsoft Defender for Cloud Apps。
- 您可以從單一位置對電子郵件採取動作。
您會根據手動調查或搜捕活動的結果,對電子郵件採取動作。 威脅總管 可讓安全性小組成員對可能仍存在於雲端信箱中的任何電子郵件訊息採取動作。 他們可以對組織中使用者之間傳送的組織內訊息採取動作。 威脅總管資料可供過去 30 天使用。
觀看這段短片,瞭解Microsoft 365 Defender如何將來自各種偵測來源的警示,例如適用於 Office 365 的 Defender,合併成事件。