Analisi e risposta automatizzate (AIR) in Microsoft Defender per Office 365

Importante

Il nuovo portale di Microsoft 365 Defender è ora disponibile. Questa nuova esperienza porta Defender per Endpoint, Defender per Office 365, Microsoft 365 Defender e altro ancora nel portale Microsoft 365 Defender. Informazioni sulle novità.

Si applica a

Microsoft Defender per Office 365 include potenti funzionalità AIR (Automated Investigation and Response) che consentono di risparmiare tempo e fatica nel team per le operazioni di sicurezza. Quando vengono attivati gli avvisi, il team delle operazioni di sicurezza deve esaminare, definire le priorità e rispondere a tali avvisi. Tenere il passo con il volume di avvisi in arrivo può essere eccessivo. L'automazione di alcune di queste attività può essere utile.

AIR consente al team delle operazioni di sicurezza di operare in modo più efficiente ed efficace. Le funzionalità AIR includono processi di indagine automatizzati in risposta alle minacce note che esistono oggi. Le azioni di correzione appropriate attendono l'approvazione, consentendo al team delle operazioni di sicurezza di rispondere in modo efficace alle minacce rilevate. Con AIR, il team delle operazioni di sicurezza può concentrarsi sulle attività con priorità più alta senza perdere di vista gli avvisi importanti che vengono attivati.

In questo articolo viene descritto:

In questo articolo sono inoltre inclusi i passaggi successivie le risorse per ulteriori informazioni.

Il flusso complessivo di AIR

Viene attivato un avviso e un playbook sulla sicurezza avvia un'indagine automatizzata, che genera risultati e azioni consigliate. Ecco il flusso complessivo di AIR, passo dopo passo:

  1. Un'indagine automatizzata viene avviata in uno dei modi seguenti:
  2. Durante l'esecuzione di un'indagine automatizzata, raccoglie i dati relativi al messaggio di posta elettronica in questione e le entità correlate a tale posta elettronica. Tali entità possono includere file, URL e destinatari. L'ambito dell'indagine può aumentare quando vengono attivati avvisi nuovi e correlati.
  3. Durante e dopo un'indagine automatizzata, i dettagli e i risultati sono disponibili per la visualizzazione. I risultati includono azioni consigliate che possono essere intraprese per rispondere e correggere eventuali minacce rilevate.
  4. Il team delle operazioni di sicurezza esamina i risultati ei suggerimenti dell'indagine e approva o rifiuta le azioni di correzione.
  5. Quando le azioni di correzione in sospeso vengono approvate (o rifiutate), l'indagine automatizzata viene completata.

In Microsoft Defender per Office 365, nessuna azione di correzione viene eseguita automaticamente. Le azioni di correzione vengono eseguite solo dopo l'approvazione da parte del team di sicurezza dell'organizzazione. Le funzionalità AIR consentono di risparmiare tempo al team delle operazioni di sicurezza identificando le azioni di correzione e fornendo i dettagli necessari per prendere una decisione informata.

Durante e dopo ogni indagine automatizzata, il team delle operazioni di sicurezza può:

Suggerimento

Per una panoramica più dettagliata, vedere Funzionamento di AIR.

Come ottenere AIR

Le funzionalità AIR sono incluse in Microsoft Defender per Office 365, a condizione che i criteri e gli avvisi siano configurati. Serve aiuto? Seguire le istruzioni in Protezione dalle minacce per configurare o configurare le impostazioni di protezione seguenti:

Inoltre, assicurarsi di esaminare i criteri di avviso dell'organizzazione,in particolare i criteri predefiniti nella categoria Gestione delle minacce.

Quali criteri di avviso attivano indagini automatizzate?

Microsoft 365 fornisce molti criteri di avviso incorporati che consentono di identificare l'abuso delle autorizzazioni di amministratore Exchange, l'attività di malware, potenziali minacce esterne e interne e i rischi di governance delle informazioni. Diversi criteri di avviso predefiniti possono attivare indagini automatizzate. Nella tabella seguente vengono descritti gli avvisi che attivano indagini automatizzate, la gravità nel portale di Microsoft 365 Defender e il modo in cui vengono generati:



Avviso Gravità Modalità di generazione dell'avviso
È stato rilevato un clic sull'URL potenzialmente dannoso High Questo avviso viene generato quando si verifica una delle condizioni seguenti:
  • Un utente protetto da Cassaforte collegamenti nell'organizzazione fa clic su un collegamento dannoso
  • Le modifiche al verdetto per gli URL sono identificate da Microsoft Defender per Office 365
  • Gli utenti sostituiscono Cassaforte di avviso dei collegamenti (in base al criterio collegamenti Cassaforte dell'organizzazione.

Per ulteriori informazioni sugli eventi che attivano questo avviso, vedere Set up Cassaforte Links policies.

Un messaggio di posta elettronica viene segnalato da un utente come malware o phish Informativa Questo avviso viene generato quando gli utenti dell'organizzazione segnalano i messaggi come posta elettronica di phishing utilizzando il componente aggiuntivo Segnala messaggio o Segnala phishing.
I messaggi di posta elettronica contenenti malware vengono rimossi dopo il recapito Informativa Questo avviso viene generato quando i messaggi di posta elettronica contenenti malware vengono recapitati alle cassette postali dell'organizzazione. Se si verifica questo evento, Microsoft rimuove i messaggi infetti dalle cassette postali Exchange Online utilizzando l'eliminazione automatica a zero ore (ZAP).
I messaggi di posta elettronica contenenti URL di phish vengono rimossi dopo il recapito Informativa Questo avviso viene generato quando i messaggi contenenti phish vengono recapitati alle cassette postali dell'organizzazione. Se si verifica questo evento, Microsoft rimuove i messaggi infetti dalle cassette postali Exchange Online tramite ZAP.
Vengono rilevati modelli di invio di posta elettronica sospetti Medium Questo avviso viene generato quando un utente dell'organizzazione ha inviato messaggi di posta elettronica sospetti e rischia di essere limitato a inviare messaggi di posta elettronica. L'avviso è un avviso anticipato per il comportamento che potrebbe indicare che l'account è compromesso, ma non abbastanza grave da limitare l'utente.

Anche se è raro, un avviso generato da questo criterio potrebbe essere un'anomalia. È tuttavia buona idea verificare se l'account utente è compromesso.

A un utente è limitato l'invio di posta elettronica High Questo avviso viene generato quando a un utente dell'organizzazione viene limitato l'invio di posta in uscita. Questo avviso in genere si verifica quando un account di posta elettronica viene compromesso.

Per ulteriori informazioni sugli utenti con restrizioni, vedere Remove blocked users from the Restricted Users portal in Microsoft 365.

Suggerimento

Per ulteriori informazioni sui criteri di avviso o sulla modifica delle impostazioni predefinite, vedere Criteridi avviso nella Centro conformità Microsoft 365 .

Autorizzazioni necessarie per l'utilizzo delle funzionalità AIR

Le autorizzazioni vengono concesse tramite determinati ruoli, ad esempio quelli descritti nella tabella seguente:



Attività Ruolo(i) obbligatorio
Configurare le funzionalità AIR Uno dei ruoli seguenti:
  • Amministratore globale
  • Amministratore della sicurezza

Questi ruoli possono essere assegnati in Azure Active Directory o nel portale Microsoft 365 Defender .

Avviare un'indagine automatizzata

--- o ---

Approvare o rifiutare le azioni consigliate

Uno dei ruoli seguenti, assegnato in Azure Active Directory o nel portale Microsoft 365 Defender:
  • Amministratore globale
  • Amministratore della sicurezza
  • Operatore della sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza
    --- e ---
  • Ricerca ed eliminazione (questo ruolo viene assegnato solo nel Microsoft 365 Defender portale. Potrebbe essere necessario creare un nuovo gruppo di ruoli & di collaborazione e aggiungere il ruolo Di ricerca ed eliminazione a tale nuovo gruppo di ruoli.

Licenze necessarie

Le licenze di Microsoft Defender Office 365 Piano 2 devono essere assegnate a:

  • Amministratori della sicurezza (inclusi gli amministratori globali)
  • Team delle operazioni di sicurezza dell'organizzazione (inclusi i lettori di sicurezza e quelli con il ruolo Di ricerca ed eliminazione)
  • Utenti finali

Le modifiche saranno presto disponibili nel portale Microsoft 365 Defender web

Se stai già usando le funzionalità AIR in Microsoft Defender per Office 365, stai per vedere alcune modifiche nel portale di Microsoft 365 Defender migliorato.

Centro notifiche unificato.

Il portale di Microsoft 365 Defender nuovo e migliorato riunisce le funzionalità https://security.microsoft.com AIR in Microsoft Defender per Office 365 e in Microsoft Defender for Endpoint. Con questi aggiornamenti e migliorie, il team addetto alle operazioni di sicurezza potrà visualizzare dettagli sulle indagini automatizzate e le azioni di correzione per tutta la posta elettronica, i contenuti della collaborazione, gli account utente e i dispositivi, il tutto in un'unica posizione.

Suggerimento

Il nuovo Microsoft 365 Defender di amministrazione sostituisce le seguenti interfaccia di amministrazione:

Oltre alla modifica dell'URL, è presente un nuovo aspetto, progettato per offrire al team di sicurezza un'esperienza più semplificata, con visibilità per più rilevamenti di minacce in un'unica posizione.

Cosa aspettarsi

La tabella seguente elenca le modifiche e i miglioramenti apportati a AIR in Microsoft Defender per Office 365.



Elemento Cosa cambia?
Pagina Indagini La pagina delle indagini aggiornata è più coerente con quanto visualizzato in Microsoft Defender per Endpoint. Vedrai alcune modifiche generali al formato e allo stile che si allineano alla nuova visualizzazione Indagini unificate. Ad esempio, il grafico dell'indagine ha un formato più unificato.
Scheda Utenti La scheda Utenti ora è la scheda Cassette postali. I dettagli sugli utenti sono elencati nella scheda Cassetta postale.
Scheda Posta elettronica La scheda Posta elettronica è stata rimossa. visitare la scheda Entità per visualizzare un elenco di elementi del cluster di posta elettronica e di posta elettronica.
Scheda Entità La scheda Entità ha uno stile di tabulazione che include una visualizzazione di riepilogo e la possibilità di filtrare in base al tipo di entità. La scheda Entità ora include un'opzione Vai a ricerca oltre all'opzione Apri in Esplora risorse. Ora puoi usare Esplora risorse o la ricerca avanzata per trovare entità e minacce e filtrare i risultati.
Scheda Azioni La scheda Azioni aggiornata ora include una scheda Azioni in sospeso e una scheda Cronologia azioni. Le azioni possono essere approvate (o rifiutate) in un riquadro laterale che viene aperto quando si seleziona un'azione in sospeso.
Scheda Evidenza Una nuova scheda Evidenza mostra i risultati chiave dell'entità correlati alle azioni. Le azioni correlate a ogni prova possono essere approvate (o rifiutate) in un riquadro laterale che si apre quando si seleziona un'azione in sospeso.
Centro notifiche Il centro notifiche aggiornato ( ) riunisce le azioni in sospeso e https://security.microsoft.com/action-center completate tra posta elettronica, dispositivi e identità. Per altre informazioni, vedi Centro notifiche. Per altre informazioni, vedi Il centro notifiche.
Pagina Eventi imprevisti La pagina Eventi imprevisti ora correla più indagini per fornire una migliore visione consolidata delle indagini. (Ulteriori informazioni sugli eventi imprevisti. )

Passaggi successivi