Automatizované šetření a reakce (AIR) v Microsoft Defender pro Office 365

Poznámka

Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotní Microsoft 365 Defender.

Platí pro

Microsoft Defender pro Office 365 zahrnuje výkonné možnosti automatizovaného vyšetřování a reakce (AIR), které můžou týmu bezpečnostních operací ušetřit čas a úsilí. Při aktivaci výstrah je na vašem provozním týmu zabezpečení, aby tyto výstrahy zkontroloval, určoval jejich prioritu a reagoval na ně. Udržování přehledu o objemu příchozích upozornění může být nepřekonatelné. Automatizace některých z těchto úkolů vám může pomoct.

Air umožňuje vašemu bezpečnostnímu provoznímu týmu pracovat efektivněji a efektivněji. Funkce AIR zahrnují automatizované procesy šetření v reakci na známé hrozby, které existují dnes. Příslušné nápravné akce čekají na schválení, což vašemu provoznímu týmu zabezpečení umožní efektivně reagovat na zjištěné hrozby. S AIR se váš bezpečnostní provozní tým může soustředit na úkoly s vyšší prioritou, aniž by ztratil přehled o důležitých výstrahách, které se aktivují.

Tento článek popisuje:

Tento článek obsahuje také další kroky a zdroje informací, které vám umožní získat další informace.

Celkový tok AIR

Aktivuje se výstraha a playbook zabezpečení zahájí automatizované šetření, které vede k zjištěním a doporučeným akcím. Tady je celkový tok airu krok za krokem:

  1. Automatizované šetření je zahájeno jedním z následujících způsobů:
  2. Během automatizovaného vyšetřování shromažďuje data o příslušném e-mailu a entitách souvisejících s tímto e-mailem. Mezi tyto entity patří soubory, adresy URL a příjemci. Rozsah vyšetřování se může zvýšit při aktivaci nových a souvisejících upozornění.
  3. Během a po automatizovaném šetření jsou k dispozici podrobnosti a výsledky . Výsledky zahrnují doporučené akce , které je možné provést za účelem reakce na zjištěné hrozby a jejich nápravy.
  4. Váš provozní tým zabezpečení zkontroluje výsledky šetření a doporučení a schválí nebo odmítne nápravné akce.
  5. Jakmile se akce čekající na nápravu schválí (nebo zamítnou), automatické šetření se dokončí.

V Microsoft Defender pro Office 365 se automaticky neprovede žádná nápravná akce. Nápravné akce se provádějí pouze po schválení bezpečnostním týmem vaší organizace. Funkce AIR šetří týmu bezpečnostního provozu čas tím, že identifikují nápravné akce a poskytují podrobnosti potřebné k informovanému rozhodování.

Během a po každém automatizovaném šetření může váš provozní tým zabezpečení:

Tip

Podrobnější přehled najdete v tématu Jak funguje AIR.

Jak získat AIR

Funkce AIR jsou součástí Microsoft Defender pro Office 365 za předpokladu, že jsou nakonfigurované vaše zásady a upozornění. Potřebujete pomoc? Postupujte podle pokynů v části Ochrana před hrozbami a nastavte nebo nakonfigurujte následující nastavení ochrany:

Kromě toho nezapomeňte zkontrolovat zásady upozornění vaší organizace, zejména výchozí zásady v kategorii Správa hrozeb.

Které zásady upozornění aktivují automatizované vyšetřování?

Microsoft 365 poskytuje mnoho předdefinovaných zásad upozornění, které pomáhají identifikovat zneužití oprávnění správce Exchange, aktivitu malwaru, potenciální externí a interní hrozby a rizika zásad správného řízení informací. Několik výchozích zásad upozornění může aktivovat automatizované vyšetřování. Následující tabulka popisuje výstrahy, které aktivují automatizované vyšetřování, jejich závažnost na portálu Microsoft 365 Defender a způsob jejich generování:

Upozornění Závažnosti Způsob vygenerování upozornění
Bylo zjištěno potenciálně škodlivé kliknutí na adresu URL. High (Vysoká) Tato výstraha se vygeneruje, když dojde k některé z následujících akcí:
  • Uživatel chráněný Sejf odkazy ve vaší organizaci klikne na škodlivý odkaz.
  • Změny rozhodnutí pro adresy URL jsou identifikovány Microsoft Defender pro Office 365
  • Uživatelé přepíšou Sejf stránky upozornění odkazy (na základě zásad Sejf odkazy vaší organizace.

Další informace o událostech, které aktivují toto upozornění, najdete v tématu Nastavení zásad Sejf odkazů.

Uživatel nahlásí e-mailovou zprávu jako malware nebo phish. Informační Tato výstraha se vygeneruje, když uživatelé ve vaší organizaci hlásí zprávy jako phishingové e-maily pomocí doplňku Zpráva sestavy nebo doplňku Nahlásit útok phishing.
E-mailové zprávy obsahující malware se po doručení odeberou. Informační Tato výstraha se vygeneruje, když se všechny e-mailové zprávy obsahující malware doručí do poštovních schránek ve vaší organizaci. Pokud dojde k této události, Microsoft odebere infikované zprávy z Exchange Online poštovních schránek pomocí automatického vymazání (ZAP) za nulovou hodinu.
E-mailové zprávy obsahující adresy URL phish se po doručení odeberou. Informační Tato výstraha se vygeneruje, když se všechny zprávy obsahující phish doručí do poštovních schránek ve vaší organizaci. Pokud k této události dojde, Microsoft odebere infikované zprávy z Exchange Online poštovních schránek pomocí protokolu ZAP.
Byly zjištěny podezřelé vzory odesílání e-mailů. Střední Toto upozornění se vygeneruje, když někdo ve vaší organizaci poslal podezřelý e-mail a hrozí, že jim bude zakázáno posílat e-maily. Upozornění je včasné upozornění na chování, které může naznačovat, že účet je ohrožený, ale není dostatečně závažný, aby omezil uživatele.

I když je to vzácné, výstrahou vygenerovanou touto zásadou může být anomálie. Je ale vhodné zkontrolovat, jestli je uživatelský účet ohrožený.

Uživateli je omezeno odesílání e-mailů. High (Vysoká) Tato výstraha se vygeneruje, když někdo ve vaší organizaci nemůže odesílat odchozí poštu. Tato výstraha se obvykle zobrazí, když dojde k ohrožení zabezpečení e-mailového účtu.

Další informace o omezených uživatelích najdete v tématu Odebrání blokovaných uživatelů z portálu s omezenými uživateli v Microsoft 365.

Tip

Další informace o zásadách upozornění nebo úpravě výchozích nastavení najdete v tématu Zásady upozornění na portálu dodržování předpisů Microsoft Purview.

Požadovaná oprávnění k používání funkcí AIR

Oprávnění se udělují prostřednictvím určitých rolí, například těch, které jsou popsány v následující tabulce:

Úloha Požadované role
Nastavení funkcí AIR Jedna z následujících rolí:
  • Globální správce
  • Správce zabezpečení

Tyto role se dají přiřadit na Azure Active Directory nebo na portálu Microsoft 365 Defender.

Zahájení automatizovaného prověřování

--- nebo ---

Schválení nebo odmítnutí doporučených akcí

Jedna z následujících rolí přiřazená v Azure Active Directory nebo na portálu Microsoft 365 Defender:
  • Globální správce
  • Správce zabezpečení
  • Operátor zabezpečení
  • Čtenář zabezpečení
    --- a ---
  • Vyhledávání a vyprázdnění (tato role je přiřazená pouze na portálu Microsoft 365 Defender. Možná budete muset vytvořit novou skupinu rolí e-mailu & spolupráci a přidat do ní roli Vyhledávání a vyprázdnění.

Požadované licence

licence Microsoft Defender pro Office 365 Plánu 2 by měly být přiřazeny k:

  • Správci zabezpečení (včetně globálních správců)
  • Provozní tým vaší organizace pro zabezpečení (včetně čtenářů zabezpečení a uživatelů s rolí Hledat a vyprázdnit )
  • Koncoví uživatelé

Změny budou brzy k dispozici na portálu Microsoft 365 Defender.

Pokud už v Microsoft Defender pro Office 365 používáte funkce AIR, uvidíte některé změny na vylepšené Microsoft 365 Defender portálu.

Sjednocené centrum akcí

Nový a vylepšený portál https://security.microsoft.com Microsoft 365 Defender spojuje funkce AIR v Microsoft Defender pro Office 365 a v Microsoft Defender for Endpoint. Díky těmto aktualizacím a vylepšením bude váš provozní tým zabezpečení moct zobrazit podrobnosti o automatizovaných vyšetřováních a nápravných akcích v e-mailu, obsahu pro spolupráci, uživatelských účtech a zařízeních na jednom místě.

Tip

Nový portál Microsoft 365 Defender nahrazuje následující centra pro správu:

Kromě toho, že se mění adresa URL, je tu nový vzhled a chování, které jsou navržené tak, aby vašemu bezpečnostnímu týmu poskytly efektivnější prostředí s přehledem o více detekcích hrozeb na jednom místě.

Co očekávat

Následující tabulka uvádí změny a vylepšení přicházející do prostředí AIR v Microsoft Defender pro Office 365.

Položky Co se mění?
Stránka Vyšetřování Aktualizovaná stránka Vyšetřování je konzistentnější s tím, co vidíte v Microsoft Defender for Endpoint. Zobrazí se některé obecné změny formátu a stylu, které odpovídají novému jednotnému zobrazení Prošetřování . Například graf prověřování má jednotnější formát.
Karta Uživatelé Karta Uživatelé je teď na kartě Poštovní schránky . Podrobnosti o uživatelích jsou uvedené na kartě Poštovní schránka .
Karta E-mail Karta E-mail byla odebrána. přejděte na kartu Entity a zobrazte seznam e-mailových a e-mailových položek clusteru.
Karta Entity Karta Entity má styl karty na kartě, který obsahuje souhrnné zobrazení a možnost filtrovat podle typu entity. Karta Entity teď obsahuje kromě možnosti Otevřít v Průzkumníkovi i možnost Proaktivní vyhledávání Go. Teď můžete pomocí Průzkumníka nebo rozšířeného vyhledávání vyhledat entity a hrozby a filtrovat výsledky.
Karta Akce Aktualizovaná karta Akce teď obsahuje kartu Čekající akce a kartu Historie akcí . Akce je možné schválit (nebo odmítnout) v bočním podokně, které se otevře při výběru čekající akce.
Evidence tab Na nové kartě Důkaz se zobrazují klíčová zjištění entit související s akcemi. Akce související s jednotlivými důkazy je možné schválit (nebo odmítnout) v bočním podokně, které se otevře při výběru čekající akce.
Centrum akcí Aktualizované Centrum akcí (https://security.microsoft.com/action-center) spojuje čekající a dokončené akce napříč e-maily, zařízeními a identitami. Další informace najdete v Centru akcí. (Další informace najdete v Centru akcí.)
Stránka Incidenty Stránka Incidenty teď koreluje více vyšetřování a poskytuje tak lepší konsolidovaný pohled na vyšetřování. (Přečtěte si další informace o incidentech.)

Další kroky