Trusselsundersøgelse og -svar

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Trusselsundersøgelses- og svarfunktioner i Microsoft Defender for Office 365 hjælpe sikkerhedsanalytikere og administratorer med at beskytte deres organisations Microsoft 365 til virksomhedsbrugere ved at:

• Gør det nemt at identificere, overvåge og forstå cyberangreb.
• Hjælp til hurtigt at håndtere trusler i Exchange Online, SharePoint Online, OneDrive for Business og Microsoft Teams.
• At give indsigt og viden for at hjælpe sikkerhedshandlinger med at forhindre cyberangreb mod deres organisation.
• Anvender automatiseret undersøgelse og svar i Office 365 for kritiske mailbaserede trusler.

Trusselsundersøgelses- og svarfunktioner giver indsigt i trusler og relaterede svarhandlinger, der er tilgængelige på Microsoft Defender-portalen. Denne indsigt kan hjælpe din organisations sikkerhedsteam med at beskytte brugerne mod mail- eller filbaserede angreb. Funktionerne hjælper med at overvåge signaler og indsamle data fra flere kilder, f.eks. brugeraktivitet, godkendelse, mail, kompromitterede pc'er og sikkerhedshændelser. Beslutningstagere i virksomheden og dit team af sikkerhedshandlinger kan bruge disse oplysninger til at forstå og reagere på trusler mod din organisation og beskytte dine immaterielle rettigheder.

Få kendskab til trusselsundersøgelses- og svarværktøjer

Trusselsundersøgelses- og svarfunktioner i Microsoft Defender portalen på https://security.microsoft.com er et sæt værktøjer og svararbejdsprocesser, der omfatter:

• Explorer
• Hændelser
• Oplæring i angrebssimulering
• Automatiseret undersøgelse og svar

Explorer

Brug Stifinder (og registreringer i realtid) til at analysere trusler, se mængden af angreb over tid og analysere data efter trusselsfamilier, infrastruktur for hackere med mere. Explorer (også kaldet Threat Explorer) er startsted for alle sikkerhedsanalytikeres undersøgelsesarbejdsprocesser.

Hvis du vil have vist og bruge denne rapport på Microsoft Defender-portalen på https://security.microsoft.com, skal du gå til Mail & samarbejdsoversigt>. Du kan også gå direkte til siden Stifinder ved at bruge https://security.microsoft.com/threatexplorer.

Office 365 Threat Intelligence-forbindelse

Denne funktion er kun tilgængelig, hvis du har et aktivt Office 365 E5- eller G5- eller Microsoft 365 E5- eller G5-abonnement eller Threat Intelligence-tilføjelsesprogrammet. Du kan få flere oplysninger på produktsiden Office 365 Enterprise E5.

Data fra Microsoft Defender for Office 365 er indbygget i Microsoft Defender XDR til at udføre en omfattende sikkerhedsundersøgelse på tværs af Office 365 postkasser og Windows-enheder.

Hændelser

Brug listen Hændelser (dette kaldes også Undersøgelser) for at få vist en liste over hændelser i flightsikkerhed. Hændelser bruges til at spore trusler, f.eks. mistænkelige mails, og til at udføre yderligere undersøgelse og afhjælpning.

Hvis du vil have vist listen over aktuelle hændelser for din organisation på Microsoft Defender-portalen på https://security.microsoft.com, skal du gå til Hændelser & beskeder>Hændelser. Du kan også gå direkte til siden Hændelser ved at bruge https://security.microsoft.com/incidents.

Oplæring i angrebssimulering

Brug Simuleringstræning af angreb til at konfigurere og køre realistiske cyberangreb i din organisation og identificere sårbare personer, før et reelt cyberangreb påvirker din virksomhed. Du kan få mere at vide under Simuler et phishing-angreb.

Hvis du vil have vist og bruge denne funktion på portalen Microsoft Defender på https://security.microsoft.com, skal du gå til Mail & samarbejde>Simuleringstræning af angreb. Du kan også gå direkte til siden Simuleringstræning af angreb ved at bruge https://security.microsoft.com/attacksimulator?viewid=overview.

Automatiseret undersøgelse og svar

Brug air-funktioner (automatiseret undersøgelse og svar) til at spare tid og kræfter på at korrelere indhold, enheder og personer, der er i fare for trusler i din organisation. AIR-processer kan begynde, når visse beskeder udløses, eller når de startes af dit sikkerhedsteam. Du kan få mere at vide under Automatiseret undersøgelse og svar i Office 365.

Trusselsintelligenswidgets

Som en del af tilbuddet på Microsoft Defender for Office 365 Plan 2 kan sikkerhedsanalytikere gennemse detaljer om en kendt trussel. Dette er nyttigt for at afgøre, om der er yderligere forebyggende foranstaltninger/trin, der kan træffes for at beskytte brugerne.

Hvordan får vi disse funktioner?

Microsoft 365-funktioner til undersøgelse af trusler og svar er inkluderet i Microsoft Defender for Office 365 Plan 2, som er inkluderet i Enterprise E5 eller som et tilføjelsesprogram til visse abonnementer. Hvis du vil vide mere, skal du se Defender for Office 365 Plan 1 vs Plan 2 snydeark.

Påkrævede roller og tilladelser

Microsoft Defender for Office 365 bruger rollebaseret adgangskontrol. Tilladelser tildeles via visse roller i Microsoft Entra ID, Microsoft 365 Administration eller Microsoft Defender-portalen.

Tip

Selvom nogle roller, f.eks. Sikkerhedsadministrator, kan tildeles på Microsoft Defender-portalen, kan du overveje enten at bruge Microsoft 365 Administration eller Microsoft Entra ID i stedet. Du kan få oplysninger om roller, rollegrupper og tilladelser i følgende ressourcer:

• Tilladelser på Microsoft Defender-portalen
• Microsoft Entra indbyggede roller

Aktivitet	Roller og tilladelser
Brug det Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender dashboard Få vist oplysninger om de seneste eller aktuelle trusler	Et af følgende: Global administrator Sikkerhedsadministrator Sikkerhedslæser Disse roller kan tildeles enten i Microsoft Entra ID (https://portal.azure.com) eller i Microsoft 365 Administration (https://admin.microsoft.com).
Brug Stifinder (og registreringer i realtid) til at analysere trusler	Et af følgende: Global administrator Sikkerhedsadministrator Sikkerhedslæser Disse roller kan tildeles enten i Microsoft Entra ID (https://portal.azure.com) eller i Microsoft 365 Administration (https://admin.microsoft.com).
Vis hændelser (også kaldet Undersøgelser) Føj mails til en hændelse	Et af følgende: Global administrator Sikkerhedsadministrator Sikkerhedslæser Disse roller kan tildeles enten i Microsoft Entra ID (https://portal.azure.com) eller i Microsoft 365 Administration (https://admin.microsoft.com).
Udløs mailhandlinger i en hændelse Find og slet mistænkelige mails	Et af følgende: Global administrator Sikkerhedsadministrator plus rollen Søg og Fjern Rollerne Global administrator og Sikkerhedsadministrator kan tildeles enten i Microsoft Entra ID (https://portal.azure.com) eller i Microsoft 365 Administration (https://admin.microsoft.com). Rollen Søg og Fjern skal tildeles i rollerne Mail & samarbejde på Microsoft 36 Defender-portalen (https://security.microsoft.com).
Integrer Microsoft Defender for Office 365 Plan 2 med Microsoft Defender for Endpoint Integrer Microsoft Defender for Office 365 Plan 2 med en SIEM-server	Rollen Global administrator eller Sikkerhedsadministrator tildelt i enten Microsoft Entra ID (https://portal.azure.com) eller Microsoft 365 Administration (https://admin.microsoft.com). --- Plus --- En relevant rolle, der er tildelt i yderligere programmer (f.eks. Microsoft Defender Security Center eller din SIEM-server).

Næste trin

• Trusselssporing i Microsoft Defender for Office 365 Plan 2
• Find og undersøg ondsindet mail, der blev leveret (Office 365 Threat Investigation og Response)
• Simuler et phishing-angreb