Automatizált vizsgálat és reagálás a Microsoft 365 Defender

  • Cikk
  • 2 perc alatt elolvasható

Megjegyzés

Szeretne Microsoft 365 Defender tapasztalni? További információ a Microsoft 365 Defender kiértékeléséről és kipróbálásáról.

A következőkre vonatkozik:

  • Microsoft 365 Defender

Ha szervezete Microsoft 365 Defender használ, a biztonsági üzemeltetési csapat riasztást kap a Microsoft 365 Defender portálon, ha rosszindulatú vagy gyanús tevékenységet vagy összetevőt észlel. A fenyegetések látszólag soha véget nem érő áramlása miatt a biztonsági csapatok gyakran szembesülnek a nagy mennyiségű riasztás kezelésével. Szerencsére Microsoft 365 Defender automatizált vizsgálati és reagálási (AIR) képességeket is tartalmaz, amelyek segítségével a biztonsági üzemeltetési csapat hatékonyabban és hatékonyabban kezelheti a fenyegetéseket.

Ez a cikk áttekintést nyújt az AIR-ről, és hivatkozásokat tartalmaz a következő lépésekre és további forrásokra.

Az automatizált vizsgálat és az önjavítás működése

A biztonsági riasztások aktiválásakor a biztonsági üzemeltetési csapatnak kell megvizsgálnia ezeket a riasztásokat, és lépéseket kell tennie a szervezet védelme érdekében. A riasztások rangsorolása és kivizsgálása nagyon időigényes lehet, különösen akkor, ha a vizsgálat során folyamatosan érkeznek új riasztások. A biztonsági üzemeltetési csapatok számára túlterheltnek érezheti magát a figyelendő és védekező fenyegetések mennyisége. Az automatikus vizsgálati és válaszképességek, az önjavítással, Microsoft 365 Defender segíthetnek.

Az alábbi videóból megtudhatja, hogyan működik az önjavítás:

A Microsoft 365 Defender az önjavító képességekkel rendelkező automatizált vizsgálat és válasz az összes eszközén működik, & e-maileket és identitásokat.

Tipp

Ez a cikk az automatizált vizsgálat és válasz működését ismerteti. A képességek konfigurálásához tekintse meg az automatizált vizsgálati és válaszképességek Microsoft 365 Defender történő konfigurálását.

Saját virtuális elemző

Imagine rendelkezik egy virtuális elemzővel az 1. vagy a 2. rétegbeli biztonsági üzemeltetési csapatban. A virtuális elemző azokat az ideális lépéseket utánozza, amelyeket a biztonsági műveletek a fenyegetések kivizsgálásához és elhárításához tennének. A virtuális elemző 24x7-gyel dolgozhat korlátlan kapacitással, és jelentős mennyiségű vizsgálatot és fenyegetés-szervizelést végezhet. Az ilyen virtuális elemzők jelentősen csökkenthetik a válaszadáshoz szükséges időt, ezzel felszabadítva a biztonsági üzemeltetési csapat számára az egyéb fontos fenyegetéseket vagy stratégiai projekteket. Ha ez a forgatókönyv sci-finek hangzik, nem az! Az ilyen virtuális elemző a Microsoft 365 Defender csomag része, a neve pedig automatizált vizsgálat és válasz.

Az automatizált vizsgálati és reagálási képességek lehetővé teszik, hogy a biztonsági üzemeltetési csapat jelentősen növelje a szervezet kapacitását a biztonsági riasztások és incidensek kezelésére. Az automatizált vizsgálat és reagálás révén csökkentheti a vizsgálati és reagálási tevékenységek kezelésének költségeit, és a lehető legtöbbet hozhatja ki a fenyegetésvédelmi csomagból. Az automatizált vizsgálati és válaszképességek az alábbiakkal segítik a biztonsági üzemeltetési csapatokat:

  1. Annak meghatározása, hogy egy fenyegetés beavatkozást igényel-e.
  2. A szükséges szervizelési műveletek végrehajtása (vagy ajánlása).
  3. Annak meghatározása, hogy történjen-e és milyen egyéb vizsgálatok.
  4. A folyamat megismétlése szükség szerint más riasztásokhoz.

Az automatizált vizsgálati folyamat

A riasztások létrehoznak egy incidenst, amely elindíthat egy automatizált vizsgálatot. Az automatizált vizsgálat minden egyes bizonyítékhoz ítéletet hoz. Az ítéletek a következőek lehetnek:

  • Rosszindulatú
  • Gyanús
  • Nem található fenyegetés

A rendszer azonosítja a rosszindulatú vagy gyanús entitások szervizelési műveleteit. A szervizelési műveletek például a következők:

  • Fájl küldése karanténba
  • Folyamat leállítása
  • Eszköz elkülönítése
  • URL-cím blokkolása
  • Egyéb műveletek

További információ: A Microsoft 365 Defender szervizelési műveleteinek megtekintése.

Attól függően , hogy az automatizált vizsgálati és válaszképességek hogyan vannak konfigurálva a szervezet számára, a szervizelési műveleteket automatikusan vagy csak a biztonsági üzemeltetési csapat jóváhagyása után hajtja végre a rendszer. A Műveletközpontban minden művelet megjelenik, legyen az függőben vagy befejezve.

Amíg egy vizsgálat fut, a rendszer minden egyéb kapcsolódó riasztást hozzáad a vizsgálathoz, amíg be nem fejeződik. Ha az érintett entitást máshol látja, az automatizált vizsgálat kiterjeszti a hatókörét, hogy belefoglalja az adott entitást, és a vizsgálati folyamat megismétlődött.

A Microsoft 365 Defender minden automatizált vizsgálat korrelálja a jeleket Microsoft Defender for Identity, Végponthoz készült Microsoft Defender és Office 365-höz készült Microsoft Defender, az alábbi táblázatban összefoglalva:

Entitások Veszélyforrások elleni védelmi szolgáltatások
Eszközök (más néven végpontok vagy gépek) Végponthoz készült Defender
Helyszíni Active Directory-felhasználók, entitások viselkedése és tevékenységek Defender for Identity
E-mail-tartalom (fájlok és URL-címeket tartalmazó e-mailek) Office 365-höz készült Defender

Megjegyzés

Nem minden riasztás indít el automatizált vizsgálatot, és nem minden vizsgálat eredményez automatikus szervizelési műveleteket. Ez attól függ, hogyan van konfigurálva az automatizált vizsgálat és válasz a szervezet számára. Lásd: Automatizált vizsgálati és válaszképességek konfigurálása.

A vizsgálatok listájának megtekintése

A vizsgálatok megtekintéséhez nyissa meg az Incidensek lapot. Jelöljön ki egy incidenst, majd válassza a Vizsgálatok lapot. További információkért tekintse meg az automatizált vizsgálat részleteit és eredményeit.

Képzés biztonsági elemzőknek

A Microsoft Learn ebből a képzési moduljából megtudhatja, hogyan használja Microsoft 365 Defender az automatikus önjavítást az incidensek kivizsgálásához és elhárításához.

Képzés: Önjavítás automatizálása Microsoft 365 Defender
Az önjavítás automatizálása Microsoft 365 Defender betanítási ikonnal. Microsoft 365 Defender mesterséges intelligenciával automatizálja az incidensek szervizelését, így a biztonsági üzemeltetési csapat hatékonyabban és hatékonyabban kezelheti a fenyegetéseket.

11 perc – 5 egység

>indítása

Következő lépések