Indagine e risposta automatizzate (AIR) in Microsoft Defender per Office 365

Nota

Vuoi provare Microsoft 365 Defender? Altre informazioni su come valutare e pilotare Microsoft 365 Defender.

Si applica a

Microsoft Defender per Office 365 include potenti funzionalità AIR (Automated Investigation and Response) che consentono di risparmiare tempo e fatica al team delle operazioni di sicurezza. Quando vengono attivati gli avvisi, spetta al team delle operazioni di sicurezza esaminare, assegnare priorità e rispondere a tali avvisi. Tenere il passo con il volume degli avvisi in ingresso può essere travolgente. L'automazione di alcune di queste attività può essere utile.

AIR consente al team delle operazioni di sicurezza di operare in modo più efficiente ed efficace. Le funzionalità AIR includono processi di indagine automatizzati in risposta a minacce note che esistono attualmente. Le azioni correttive appropriate attendono l'approvazione, consentendo al team delle operazioni di sicurezza di rispondere in modo efficace alle minacce rilevate. Con AIR, il team delle operazioni di sicurezza può concentrarsi su attività con priorità superiore senza perdere di vista gli avvisi importanti attivati.

In questo articolo viene descritto:

Questo articolo include anche i passaggi successivi e le risorse per altre informazioni.

Il flusso complessivo di AIR

Viene attivato un avviso e un playbook di sicurezza avvia un'indagine automatizzata, che comporta risultati e azioni consigliate. Ecco il flusso complessivo di AIR, passo dopo passo:

  1. Un'indagine automatizzata viene avviata in uno dei modi seguenti:
  2. Mentre viene eseguita un'indagine automatizzata, raccoglie dati sul messaggio di posta elettronica in questione e sulle entità correlate a tale messaggio. Tali entità possono includere file, URL e destinatari. L'ambito dell'indagine può aumentare man mano che vengono attivati avvisi nuovi e correlati.
  3. Durante e dopo un'indagine automatizzata, i dettagli e i risultati sono disponibili per la visualizzazione. I risultati includono azioni consigliate che possono essere eseguite per rispondere e correggere eventuali minacce rilevate.
  4. Il team delle operazioni di sicurezza esamina i risultati e le raccomandazioni dell'indagine e approva o rifiuta le azioni correttive.
  5. Poiché le azioni di correzione in sospeso vengono approvate (o rifiutate), l'indagine automatizzata viene completata.

In Microsoft Defender per Office 365 non vengono eseguite automaticamente azioni correttive. Le azioni di correzione vengono eseguite solo dopo l'approvazione da parte del team di sicurezza dell'organizzazione. Le funzionalità AIR consentono di risparmiare tempo al team delle operazioni di sicurezza identificando le azioni correttive e fornendo i dettagli necessari per prendere una decisione informata.

Durante e dopo ogni indagine automatizzata, il team delle operazioni di sicurezza può:

Suggerimento

Per una panoramica più dettagliata, vedere Funzionamento di AIR.

Come ottenere AIR

Le funzionalità AIR sono incluse in Microsoft Defender per Office 365, a condizione che siano configurati i criteri e gli avvisi. Serve aiuto? Seguire le indicazioni riportate in Proteggere dalle minacce per configurare o configurare le impostazioni di protezione seguenti:

Assicurarsi inoltre di esaminare i criteri di avviso dell'organizzazione, in particolare i criteri predefiniti nella categoria Gestione delle minacce.

Quali criteri di avviso attivano indagini automatizzate?

Microsoft 365 fornisce molti criteri di avviso predefiniti che consentono di identificare Exchange abusi delle autorizzazioni di amministratore, attività di malware, potenziali minacce esterne e interne e rischi di governance delle informazioni. Molti dei criteri di avviso predefiniti possono attivare indagini automatizzate. Nella tabella seguente vengono descritti gli avvisi che attivano indagini automatizzate, la relativa gravità nel portale di Microsoft 365 Defender e il modo in cui vengono generati:

Avviso Gravità Come viene generato l'avviso
È stato rilevato un clic url potenzialmente dannoso High Questo avviso viene generato quando si verifica una delle seguenti operazioni:
  • Un utente protetto da Cassaforte Collegamenti nell'organizzazione fa clic su un collegamento dannoso
  • Le modifiche al verdetto per gli URL sono identificate da Microsoft Defender per Office 365
  • Gli utenti eseguono l'override Cassaforte pagine di avviso Collegamenti (in base al criterio collegamenti Cassaforte dell'organizzazione.

Per altre informazioni sugli eventi che attivano questo avviso, vedere Configurare i criteri Cassaforte Collegamenti.

Un messaggio di posta elettronica viene segnalato da un utente come malware o phish Informativa Questo avviso viene generato quando gli utenti dell'organizzazione segnalano i messaggi come posta elettronica di phishing usando il componente aggiuntivo Report Message o report phishing.
I messaggi di posta elettronica contenenti malware vengono rimossi dopo il recapito Informativa Questo avviso viene generato quando tutti i messaggi di posta elettronica contenenti malware vengono recapitati alle cassette postali dell'organizzazione. Se si verifica questo evento, Microsoft rimuove i messaggi infetti dalle cassette postali Exchange Online usando l'eliminazione automatica a zero ore (ZAP).
I messaggi di posta elettronica contenenti URL di phishing vengono rimossi dopo il recapito Informativa Questo avviso viene generato quando tutti i messaggi contenenti phish vengono recapitati alle cassette postali dell'organizzazione. Se si verifica questo evento, Microsoft rimuove i messaggi infetti dalle cassette postali Exchange Online tramite ZAP.
Vengono rilevati modelli di invio di messaggi di posta elettronica sospetti Medium Questo avviso viene generato quando un utente dell'organizzazione ha inviato messaggi di posta elettronica sospetti ed è a rischio di essere limitato dall'invio di posta elettronica. L'avviso è un avviso rapido per il comportamento che potrebbe indicare che l'account è compromesso, ma non abbastanza grave da limitare l'utente.

Anche se è raro, un avviso generato da questo criterio può essere un'anomalia. Tuttavia, è consigliabile verificare se l'account utente è compromesso.

Un utente non può inviare messaggi di posta elettronica High Questo avviso viene generato quando a un utente dell'organizzazione viene impedito di inviare posta in uscita. Questo avviso viene in genere generato quando un account di posta elettronica viene compromesso.

Per altre informazioni sugli utenti con restrizioni, vedere Rimuovere gli utenti bloccati dal portale Utenti con restrizioni in Microsoft 365.

Suggerimento

Per altre informazioni sui criteri di avviso o modificare le impostazioni predefinite, vedere Criteri di avviso nel portale di conformità di Microsoft Purview.

Autorizzazioni necessarie per l'uso delle funzionalità AIR

Le autorizzazioni vengono concesse tramite determinati ruoli, ad esempio quelli descritti nella tabella seguente:

Attività Ruoli obbligatori
Configurare le funzionalità AIR Uno dei ruoli seguenti:
  • Amministratore globale
  • Amministratore della sicurezza

Questi ruoli possono essere assegnati in Azure Active Directory o nel portale di Microsoft 365 Defender.

Avviare un'indagine automatizzata

--- o ---

Approvare o rifiutare le azioni consigliate

Uno dei ruoli seguenti, assegnati in Azure Active Directory o nel portale di Microsoft 365 Defender:
  • Amministratore globale
  • Amministratore della sicurezza
  • Operatore della sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza
    --- e ---
  • Ricerca ed eliminazione (questo ruolo viene assegnato solo nel portale di Microsoft 365 Defender. Potrebbe essere necessario creare un nuovo gruppo di ruoli Posta elettronica & collaborazione e aggiungere il ruolo Ricerca ed eliminazione al nuovo gruppo di ruoli.

Licenze necessarie

Microsoft Defender per Office 365 licenze del piano 2 devono essere assegnate a:

  • Amministratori della sicurezza (inclusi gli amministratori globali)
  • Team delle operazioni di sicurezza dell'organizzazione (inclusi i lettori della sicurezza e quelli con il ruolo Ricerca ed eliminazione )
  • Utenti finali

Le modifiche saranno presto disponibili nel portale di Microsoft 365 Defender

Se si usano già le funzionalità AIR in Microsoft Defender per Office 365, verranno visualizzate alcune modifiche nel portale di Microsoft 365 Defender migliorato.

Centro notifiche unificato

Il portale https://security.microsoft.com di Microsoft 365 Defender nuovo e migliorato riunisce le funzionalità AIR in Microsoft Defender per Office 365 e in Microsoft Defender per endpoint. Con questi aggiornamenti e migliorie, il team addetto alle operazioni di sicurezza potrà visualizzare dettagli sulle indagini automatizzate e le azioni di correzione per tutta la posta elettronica, i contenuti della collaborazione, gli account utente e i dispositivi, il tutto in un'unica posizione.

Suggerimento

Il nuovo portale Microsoft 365 Defender sostituisce le interfacce di amministrazione seguenti:

Oltre alla modifica dell'URL, è disponibile un nuovo aspetto, progettato per offrire al team di sicurezza un'esperienza più semplificata, con visibilità su più rilevamenti di minacce in un'unica posizione.

Cosa aspettarsi

La tabella seguente elenca le modifiche e i miglioramenti in arrivo in AIR in Microsoft Defender per Office 365.

Elemento Cosa sta cambiando?
Pagina Indagini La pagina Indagini aggiornata è più coerente con quanto visualizzato in Microsoft Defender per endpoint. Verranno visualizzate alcune modifiche al formato generale e agli stili allineate alla nuova visualizzazione Indagini unificate. Ad esempio, il grafo di analisi ha un formato più unificato.
Scheda Utenti La scheda Utenti è ora la scheda Cassette postali . I dettagli sugli utenti sono elencati nella scheda Cassette postali .
Scheda Posta elettronica La scheda Posta elettronica è stata rimossa; visitare la scheda Entità per visualizzare un elenco di elementi del cluster di posta elettronica e di posta elettronica.
Scheda Entità La scheda Entità ha uno stile tabulazione che include una visualizzazione riepilogativa completa e la possibilità di filtrare in base al tipo di entità. La scheda Entità include ora un'opzione di ricerca Go oltre all'opzione Apri in Esplora risorse. È ora possibile usare Esplora risorse o ricerca avanzata per trovare entità e minacce e filtrare in base ai risultati.
Scheda Azioni La scheda Azioni aggiornata include ora una scheda Azioni in sospeso e una scheda Cronologia azioni . Le azioni possono essere approvate (o rifiutate) in un riquadro laterale che si apre quando si seleziona un'azione in sospeso.
Scheda Evidenza Una nuova scheda Evidenza mostra i risultati delle entità chiave correlati alle azioni. Le azioni correlate a ogni evidenza possono essere approvate (o rifiutate) in un riquadro laterale che si apre quando si seleziona un'azione in sospeso.
Centro notifiche Il Centro notifiche aggiornato (https://security.microsoft.com/action-center) riunisce le azioni in sospeso e completate tra posta elettronica, dispositivi e identità. Per altre informazioni, vedere Centro notifiche. Per altre informazioni, vedere Centro notifiche.
Pagina Eventi imprevisti La pagina Eventi imprevisti correla ora più indagini per offrire una visione consolidata delle indagini. Altre informazioni sugli eventi imprevisti.

Passaggi successivi