Az automatizált vizsgálat és reagálás működése a Office 365-höz készült Microsoft Defender

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

A biztonsági riasztások aktivált állapotában a biztonsági üzemeltetési csapatnak kell megvizsgálnia ezeket a riasztásokat, és lépéseket tennie a szervezet védelmére. A biztonsági üzemeltetési csapatok néha túlterhelhetik az aktivált riasztások mennyiségét. A Office 365-höz készült Microsoft Defender automatizált vizsgálati és reagálási (AIR) képességei segíthetnek.

Az AIR lehetővé teszi, hogy a biztonsági üzemeltetési csapat hatékonyabban és hatékonyabban működjön. Az AIR képességei közé tartoznak a ma már ismert fenyegetésekre reagáló automatizált vizsgálati folyamatok. A megfelelő szervizelési műveletek jóváhagyásra várnak, így a biztonsági üzemeltetési csapat reagálhat az észlelt fenyegetésekre.

Ez a cikk több példán keresztül ismerteti az AIR működését. Ha készen áll az AIR használatának megkezdésére, tekintse meg a fenyegetések automatikus kivizsgálását és elhárítását ismertető cikket.

Példa: Egy felhasználó által jelentett adathalász üzenet elindít egy vizsgálati forgatókönyvet

Tegyük fel, hogy a szervezet egy felhasználója olyan e-mailt kap, amely szerinte adathalász kísérlet. Az ilyen üzenetek jelentésére betanított felhasználó a Microsoft Jelentési üzenet vagy a Jelentés adathalászati bővítményekkel küldi el azokat a Microsoftnak elemzés céljából. A rendszer a beküldést is elküldi a rendszernek, és az Explorerben látható a Beküldések nézetben (korábbi nevén a Felhasználó által jelentett nézet). Emellett a felhasználó által jelentett üzenet most egy rendszeralapú tájékoztató riasztást aktivál, amely automatikusan elindítja a vizsgálati forgatókönyvet.

A gyökérvizsgálati fázisban az e-mail különböző aspektusait értékeli a rendszer. Ezek a szempontok a következők:

  • Annak meghatározása, hogy milyen típusú fenyegetés lehet;
  • Ki küldte;
  • Az e-mail feladójának helye (infrastruktúra küldése);
  • Az e-mail más példányainak kézbesítése vagy letiltása;
  • Elemzőink értékelése;
  • Hogy az e-mail társítva van-e bármilyen ismert kampányhoz;
  • és így tovább.

A gyökérvizsgálat befejezése után a forgatókönyv felsorolja az eredeti e-mail és a hozzá társított entitások (például fájlok, URL-címek és címzettek) javasolt műveleteit.

Ezután számos fenyegetésvizsgálati és veszélyforrás-keresési lépés lesz végrehajtva:

A veszélyforrás-keresési fázisban a kockázatokat és fenyegetéseket különböző veszélyforrás-keresési lépésekhez rendelik.

A szervizelés a forgatókönyv utolsó fázisa. Ebben a fázisban a vizsgálati és a veszélyforrás-keresési fázis alapján javítási lépésekre kerül sor.

Példa: Egy biztonsági rendszergazda vizsgálatot indít a Veszélyforrás-kezelőből

A riasztások által aktivált automatizált vizsgálatok mellett a szervezet biztonsági üzemeltetési csapata automatikus vizsgálatot is indíthat a Threat Explorer nézetéből. Ez a vizsgálat riasztást is létrehoz, így Microsoft Defender XDR incidensek és külső SIEM-eszközök láthatják, hogy ez a vizsgálat aktiválódott.

Tegyük fel például, hogy a Kártevő nézetet használja az Explorerben. A diagram alatti füleket használva kiválaszthatja a Email lapot. Ha kijelöl egy vagy több elemet a listában, a + Műveletek gomb aktiválódik.

Az Explorer a kijelölt üzenetekkel

A Műveletek menüben kiválaszthatja a Trigger investigation (Vizsgálat indítása) lehetőséget.

A kijelölt üzenetek Műveletek menüje

A riasztás által aktivált forgatókönyvekhez hasonlóan az Explorer nézetből indított automatikus vizsgálatok tartalmazzák a gyökérvizsgálatot, a fenyegetések azonosításának és korrelálásának lépéseit, valamint a fenyegetések mérséklésére javasolt műveleteket.

Példa: Egy biztonsági üzemeltetési csapat integrálja az AIR-t a SIEM-jével a Office 365 Management Activity API használatával

A Office 365-höz készült Microsoft Defender air képességei olyan jelentéseket tartalmaznak, & részleteket, amelyeket a biztonsági üzemeltetési csapatok a fenyegetések monitorozására és kezelésére használhatnak. Az AIR-képességeket azonban más megoldásokkal is integrálhatja. Ilyen például egy biztonsági információs és eseménykezelési (SIEM) rendszer, egy esetkezelő rendszer vagy egy egyéni jelentéskészítési megoldás. Az ilyen típusú integrációk a Office 365 Management Activity API használatával végezhetők el.

A közelmúltban például egy szervezet beállított egy módot a biztonsági üzemeltetési csapat számára, hogy megtekintse az AIR által már feldolgozott, felhasználók által jelentett adathalász riasztásokat. Megoldásuk integrálja a releváns riasztásokat a szervezet SIEM-kiszolgálójával és esetkezelési rendszerével. A megoldás jelentősen csökkenti a téves riasztások számát, így a biztonsági üzemeltetési csapatuk a valós fenyegetésekre összpontosíthatja az idejüket és erőfeszítéseiket. További információ erről az egyéni megoldásról: Tech Community blog: Az SOC hatékonyságának javítása az Office 365-höz készült Microsoft Defender és az O365 Management API használatával.

Következő lépések