חקירה אוטומטית ותגובה (AIR) Microsoft Defender עבור Office 365

• חל על:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

Microsoft Defender עבור Office 365 כולל יכולות חקירה ותגובה אוטומטיות רבות-עוצמה (AIR) אשר יכולות לחסוך לצוות פעולות האבטחה שלך זמן ומאמץ. כאשר מופעלות התראות, צוות פעולות האבטחה שלך צריך לסקור, לקבוע סדרי עדיפויות ולהגיב להתראות אלה. שמירה על נפח ההתראות הנכנסות עשויה להיות מדהימה. הפיכת חלק ממשימות אלה לאוטומטית יכולה לעזור.

AIR מאפשר לצוות פעולות האבטחה שלך לפעול בצורה יעילה ויעילה יותר. יכולות AIR כוללות תהליכי חקירה אוטומטיים בתגובה לאיומים ידועים הקיימים כיום. פעולות תיקון מתאימות ממתינות לאישור, כך שצוות פעולות האבטחה שלך מגיב ביעילות לאיומים שזוהו. באמצעות AIR, צוות פעולות האבטחה שלך יכול להתמקד במשימות בעדיפות גבוהה יותר מבלי לאבד ראייה להתראות חשובות המופעלות.

מאמר זה מתאר:

• הזרימה הכוללת של AIR;
• כיצד לקבל AIR; ו-
• ההרשאות הנדרשות כדי לקבוע את התצורה של יכולות AIR או להשתמש בהן.

מאמר זה כולל גם את השלבים הבאים ומשאבים לקבלת מידע נוסף.

הזרימה הכוללת של AIR

התראה מופעלת, וספר הפעלות אבטחה מתחיל חקירה אוטומטית, והתוצאה היא ממצאים ופעולות מומלצות. להלן הזרימה הכוללת של AIR, שלב אחר שלב:

1. חקירה אוטומטית מופעלת באחת מהדרכים הבאות:

   • התראה מופעלת על-ידי פריט חשוד בדואר אלקטרוני (כגון הודעה, קובץ מצורף, כתובת URL או חשבון משתמש שנחשף לסכנה). אירוע נוצר, וחקירה אוטומטית מתחילה; או
   • אנליסט אבטחה מתחיל חקירה אוטומטית בעת השימוש בסייר.

2. בזמן שחקירה אוטומטית פועלת, היא אוספת נתונים אודות הודעת הדואר האלקטרוני המדוברת והישויות הקשורות לדואר אלקטרוני זה (לדוגמה, קבצים, כתובות URL ונמענים). היקף החקירה יכול להתגדל כאשר מופעלות התראות חדשות ו קשורות.

3. במהלך חקירה אוטומטית ואחריה, הפרטים והתוצאות זמינים לבדיקה. התוצאות עשויות לכלול פעולות מומלצות שניתן לבצע כדי להגיב לאיומים קיימים שנמצאו ולתקנו.

4. צוות פעולות האבטחה שלך סוקר את תוצאות החקירה וההמלצות, ומאשר או דוחה פעולות תיקון.

5. כאשר פעולות תיקון ממתינות מאושרות (או נדחות), החקירה האוטומטית מסתיימת.

הערה

אם החקירה לא תגרום לפעולות מומלצות, החקירה האוטומטית תיסגר והפרטים של מה שנערך כחלק מהחקירה האוטומטית עדיין יהיו זמינים בדף החקירה.

ב Microsoft Defender עבור Office 365, לא ינקטו פעולות תיקון באופן אוטומטי. פעולות תיקון נלקחות רק לאחר אישור של צוות האבטחה של הארגון שלך. יכולות AIR חוסכות לצוות פעולות האבטחה שלך זמן על-ידי זיהוי פעולות תיקון ומתן הפרטים הדרושים כדי לקבל החלטה מושכלת.

במהלך ואחרי כל חקירה אוטומטית, צוות פעולות האבטחה יכול:

• הצגת פרטים אודות התראה הקשורה לחקירה
• הצגת פרטי התוצאות של חקירה
• סקירה ואישור של פעולות כתוצאה מחקירה

עצה

לקבלת סקירה מפורטת יותר, ראה כיצד פועל AIR.

כיצד לקבל AIR

יכולות AIR נכללות Microsoft Defender עבור Office 365 תוכנית 2, כל עוד רישום הביקורת מופעל (אפשרות זו מופעלת כברירת מחדל).

בנוסף, הקפד לסקור את מדיניות ההתראות של הארגון שלך, במיוחד את מדיניות ברירת המחדל בקטגוריה ניהול איומים.

אילו פריטי מדיניות של התראות מפעילים חקירות אוטומטיות?

Microsoft 365 מספק פריטי מדיניות התראה מוכללים רבים שיעזרו לזהות שימוש לרעה בהרשאות מנהל מערכת של Exchange, פעילות בתוכנות זדוניות, איומים חיצוניים ו פנימיים פוטנציאליים וסיכוני פיקוח על מידע. כמה ממדיניות ההתראה המהווה ברירת מחדל יכולות להפעיל חקירות אוטומטיות. הטבלה הבאה מתארת את ההתראות המפעילות חקירות אוטומטיות, את החומרה שלהן בפורטל Microsoft Defender ואת אופן ההפקה שלהן:

התראה	חומרת	כיצד נוצרת ההתראה
זוהתה לחיצה על כתובת URL שעלולה להיות זדונית	גבוהה	התראה זו נוצרת כאשר מתרחשת אחת מהפעולות הבאות: משתמש המוגן על-ידי קישורים בטוחים בארגון שלך לוחץ על קישור זדוני שינויי גזרה עבור כתובות URL מזוהים על-ידי Microsoft Defender עבור Office 365 המשתמשים עוקפים דפי אזהרה של קישורים בטוחים (בהתבסס על מדיניות הקישורים הבטוחים של הארגון שלך. לקבלת מידע נוסף אודות אירועים שמפעילים התראה זו, ראה הגדרת מדיניות קישורים בטוחים.
הודעת דואר אלקטרוני מדווחת על-ידי משתמש כתוכנות זדוניות או כהודעת דיוג	נמוך	התראה זו נוצרת כאשר משתמשים בארגון שלך מדווחים על הודעות כהודעת דיוג באמצעות הודעות הדיווח של Microsoft או דיווח על תוספות דיוג.
הודעות דואר אלקטרוני המכילות קובץ זדוני הוסרו לאחר המסירה	אינפורמטיבי	התראה זו נוצרת כאשר הודעות המכילות קובץ זדוני מועברות לתיבות דואר בארגון שלך. אם אירוע זה מתרחש, Microsoft מסירה את ההודעות הנגועות מתיבות Exchange Online באמצעות מחיקה אוטומטית של אפס שעות (ZAP).
הודעות דואר אלקטרוני המכילות תוכנות זדוניות יוסרו לאחר המסירה	אינפורמטיבי	התראה זו נוצרת כאשר הודעות דואר אלקטרוני המכילות תוכנות זדוניות מועברות לתיבות דואר בארגון שלך. אם אירוע זה מתרחש, Microsoft מסירה את ההודעות הנגועות מתיבות Exchange Online באמצעות מחיקה אוטומטית של אפס שעות (ZAP).
הודעות דואר אלקטרוני המכילות כתובת URL זדונית הוסרו לאחר המסירה	אינפורמטיבי	התראה זו נוצרת כאשר הודעות המכילות כתובת URL זדונית מועברות לתיבות דואר בארגון שלך. אם אירוע זה מתרחש, Microsoft מסירה את ההודעות הנגועות מתיבות Exchange Online באמצעות מחיקה אוטומטית של אפס שעות (ZAP).
הודעות דואר אלקטרוני המכילות כתובות URL של דיוג מוסרות לאחר המסירה	אינפורמטיבי	התראה זו נוצרת כאשר הודעות המכילות דיוג מועברות לתיבות דואר בארגון שלך. אם אירוע זה מתרחש, Microsoft מסירה את ההודעות הנגועות מתיבות Exchange Online באמצעות ZAP.
זוהו תבניות שליחת דואר אלקטרוני חשודות	בינוני	התראה זו נוצרת כאשר מישהו בארגון שלך שלח דואר אלקטרוני חשוד והוא נמצא בסיכון להגבלת שליחת דואר אלקטרוני. ההתראה היא אזהרה מוקדמת לגבי אופן פעולה שעשוי להצביע על כך שהחשבון נחשף לסכנה, אך אינה חמורה מספיק כדי להגביל את המשתמש. על אף שזה נדיר, התראה שנוצרה על-ידי מדיניות זו עשויה להיות חריגה. עם זאת, מומלץ לבדוק אם חשבון המשתמש נחשף לסכנה.
משתמש מוגבל לשליחת דואר אלקטרוני	גבוהה	התראה זו נוצרת כאשר מישהו בארגון שלך מוגבל לשליחת דואר יוצא. התראה זו מתרחשת בדרך כלל כאשר חשבון דואר אלקטרוני נחשף לסכנה. לקבלת מידע נוסף אודות משתמשים מוגבלים, ראה הסרת משתמשים חסומים מהדף 'ישויות מוגבלות'.
מרכז הניהול חקירה ידנית של דואר אלקטרוני	אינפורמטיבי	התראה זו נוצרת כאשר מנהל מערכת מפעיל חקירה ידנית של הודעת דואר אלקטרוני מסייר האיומים. התראה זו מודיעה לארגון שלך שהחקירה התחילה.
מרכז הניהול הפעלת חקירת סכנה של משתמש	בינוני	התראה זו נוצרת כאשר מנהל מערכת מפעיל חקירה ידנית של משתמש בסכנה של שולח דואר אלקטרוני או נמען מסייר האיומים. התראה זו מודיעה לארגון שלך שהחקירה בסכנה על-ידי המשתמש התחילה.

עצה

כדי ללמוד עוד אודות מדיניות התראה או לערוך את הגדרות ברירת המחדל, ראה מדיניות התראה בפורטל Microsoft Defender שלך.

הרשאות נדרשות לשימוש ביכולות AIR

עליך להיות מוקצה להרשאות כדי להשתמש ב- AIR. יש לך את האפשרויות הבאות:

• Microsoft Defender XDR בקרת גישה מבוססת תפקיד מאוחד (RBAC) (משפיעה רק על פורטל Defender, ולא על PowerShell):

  • התחל חקירה אוטומטית או אשר או דחה פעולות מומלצות: אופרטור אבטחה/פעולות תיקון מתקדמות בדואר אלקטרוני (ניהול).

• שלח & אלקטרוני להרשאות שיתוף פעולה Microsoft Defender האלקטרוני:

  • הגדרת תכונות AIR: חברות בקבוצות התפקידים 'ניהול ארגון'או 'מנהל אבטחה'.
  • התחל חקירה אוטומטית או אשראו דחה פעולות מומלצות:
    • חברות בקבוצות התפקידים 'ניהול ארגון', 'מנהלאבטחה', 'מפעילאבטחה', 'קורא אבטחה' או 'קורא כללי'. ו-
    • חברות בקבוצת תפקידים עם התפקיד 'חיפוש' ו'נקה'. כברירת מחדל, תפקיד זה מוקצה לקבוצות התפקידים ' חוקר נתונים' ו'ניהול ארגון'. לחלופין, באפשרותך ליצור קבוצת תפקידים מותאמת אישית כדי להקצות את התפקיד 'חיפוש' ו'נקה'.

• Microsoft Entra נוספות:

  • הגדרת תכונות AIR חברות בתפקידי מנהל מערכת כלליאו מנהל אבטחה.
  • התחל חקירה אוטומטית או אשראו דחה פעולות מומלצות:
    • חברות בתפקידים 'מנהל מערכת כללי', 'מנהלאבטחה', 'מפעילאבטחה', 'קורא אבטחה' או 'קורא כללי '. ו-
    • חברות בקבוצת תפקידי שיתוף & דואר אלקטרוני עם התפקיד 'חיפוש' ו'נקה'. כברירת מחדל, תפקיד זה מוקצה לקבוצות התפקידים ' חוקר נתונים' ו'ניהול ארגון'. לחלופין, באפשרותך ליצור קבוצת תפקידים מותאמת & דואר אלקטרוני כדי להקצות את התפקיד 'חיפוש' ו'נקה'.

  Microsoft Entra להעניק למשתמשים את ההרשאות וההרשאות הדרושות עבור תכונות אחרות ב- Microsoft 365.

רשיונות נדרשים

Microsoft Defender עבור Office 365 רשיונות תוכנית 2 צריכים להיות מוקצים ל:

• מנהלי אבטחה (כולל מנהלי מערכת כלליים)
• צוות פעולות האבטחה של הארגון שלך (כולל קוראי אבטחה ומשתתפים בעלי תפקיד חיפוש וטוהר)
• משתמשי קצה:

השלבים הבאים

• תחילת העבודה עם AIR
• הצגת פרטים ותוצאות של חקירה אוטומטית
• סקירה ואישור של פעולות ממתינות
• הצגת פעולות תיקון ממתינות או שהושלמו