Hoe geautomatiseerd onderzoek en antwoord werken in Microsoft Defender voor Office 365How automated investigation and response works in Microsoft Defender for Office 365

Belangrijk

Het verbeterde Microsoft 365-beveiligingscentrum is nu beschikbaar.The improved Microsoft 365 security center is now available. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365-beveiligingscentrum.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ontdek wat er nieuw is.Learn what's new.

Van toepassing opApplies to

Wanneer beveiligingswaarschuwingen worden geactiveerd, is het aan uw beveiligingsteam om deze waarschuwingen te bekijken en stappen te ondernemen om uw organisatie te beschermen.As security alerts are triggered, it's up to your security operations team to look into those alerts and take steps to protect your organization. Soms kunnen beveiligingsbewerkingsteams worden overstelpt door het aantal waarschuwingen dat wordt geactiveerd.Sometimes, security operations teams can feel overwhelmed by the volume of alerts that are triggered. Geautomatiseerde mogelijkheden voor onderzoek en antwoord (AIR) in Microsoft Defender voor Office 365 kunnen helpen.Automated investigation and response (AIR) capabilities in Microsoft Defender for Office 365 can help.

Met AIR kan uw beveiligingsteam efficiënter en effectiever werken.AIR enables your security operations team to operate more efficiently and effectively. Air-mogelijkheden omvatten geautomatiseerde onderzoeksprocessen in reactie op bekende bedreigingen die vandaag de dag bestaan.AIR capabilities include automated investigation processes in response to well-known threats that exist today. De juiste herstelacties wachten op goedkeuring, zodat uw beveiligingsteam kan reageren op gedetecteerde bedreigingen.Appropriate remediation actions await approval, enabling your security operations team to respond to detected threats.

In dit artikel wordt beschreven hoe AIR werkt aan de hand van verschillende voorbeelden.This article describes how AIR works through several examples. Zie Automatisch onderzoeken en reageren op bedreigingenwanneer u klaar bent om aan de slag te gaan met AIR.When you're ready to get started using AIR, see Automatically investigate and respond to threats.

Voorbeeld: met een door de gebruiker gerapporteerd phish-bericht wordt een onderzoekss playbook gestartExample: A user-reported phish message launches an investigation playbook

Stel dat een gebruiker in uw organisatie een e-mailbericht ontvangt dat volgens hen een phishingpoging is.Suppose that a user in your organization receives an email that they think is a phishing attempt. De gebruiker, die is opgeleid om dergelijke berichten te rapporteren, gebruikt de invoeging Rapportbericht of de invoeging Phishing melden om deze naar Microsoft te verzenden voor analyse.The user, trained to report such messages, uses the Report Message add-in or the Report Phishing add-in to send it to Microsoft for analysis. De inzending wordt ook naar uw systeem verzonden en is zichtbaar in Explorer in de weergave Inzendingen (voorheen de door de gebruiker gerapporteerde weergave genoemd).The submission is also sent to your system and is visible in Explorer in the Submissions view (formerly referred to as the User-reported view). Bovendien activeert het door de gebruiker gerapporteerde bericht nu een informatiemelding op basis van het systeem, waarmee automatisch de onderzoeks playbook wordt gestart.In addition, the user-reported message now triggers a system-based informational alert, which automatically launches the investigation playbook.

Tijdens de hoofdonderzoeksfase worden verschillende aspecten van de e-mail geëvalueerd.During the root investigation phase, various aspects of the email are assessed. Deze aspecten zijn:These aspects include:

  • Een bepaling over welk type bedreiging het kan zijn;A determination about what type of threat it might be;
  • Wie verzonden;Who sent it;
  • Waar de e-mail is verzonden van (verzendende infrastructuur);Where the email was sent from (sending infrastructure);
  • Of andere exemplaren van de e-mail zijn bezorgd of geblokkeerd;Whether other instances of the email were delivered or blocked;
  • Een beoordeling van onze analisten;An assessment from our analysts;
  • Of het e-mailbericht is gekoppeld aan bekende campagnes;Whether the email is associated with any known campaigns;
  • en meer.and more.

Nadat het hoofdonderzoek is voltooid, bevat de playbook een lijst met aanbevolen acties die moeten worden ondernomen voor de oorspronkelijke e-mail en entiteiten die daaraan zijn gekoppeld.After the root investigation is complete, the playbook provides a list of recommended actions to take on the original email and entities associated with it.

Vervolgens worden verschillende bedreigingsonderzoeks- en zoekstappen uitgevoerd:Next, several threat investigation and hunting steps are executed:

  • Vergelijkbare e-mailberichten worden geïdentificeerd via zoekopdrachten in e-mailcluster.Similar email messages are identified via email cluster searches.
  • Het signaal wordt gedeeld met andere platforms, zoals Microsoft Defender voor Eindpunt.The signal is shared with other platforms, such as Microsoft Defender for Endpoint.
  • Er wordt bepaald of gebruikers hebben geklikt via schadelijke koppelingen in verdachte e-mailberichten.A determination is made on whether any users have clicked through any malicious links in suspicious email messages.
  • Er wordt een controle uitgevoerd Exchange Online Protection (EOP) en (Microsoft Defender voorOffice 365 ) om te zien of er andere soortgelijke berichten zijn gerapporteerd door gebruikers.A check is done across Exchange Online Protection (EOP) and (Microsoft Defender for Office 365) to see if there are any other similar messages reported by users.
  • Er wordt een controle uitgevoerd om te zien of een gebruiker is gecompromitteerd.A check is done to see if a user has been compromised. Deze controle maakt gebruik van signalen in Office 365, Microsoft Cloud App Securityen Azure Active Directory,die verband houden met eventuele afwijkingen in de gebruikersactiviteit.This check leverages signals across Office 365, Microsoft Cloud App Security, and Azure Active Directory, correlating any related user activity anomalies.

Tijdens de jachtfase worden risico's en bedreigingen toegewezen aan verschillende stappen voor de jacht.During the hunting phase, risks and threats are assigned to various hunting steps.

Herstel is de laatste fase van de playbook.Remediation is the final phase of the playbook. Tijdens deze fase worden herstelstappen ondernomen op basis van de onderzoeks- en jagenfasen.During this phase, remediation steps are taken, based on the investigation and hunting phases.

Voorbeeld: Een beveiligingsbeheerder activeert een onderzoek vanuit Threat ExplorerExample: A security administrator triggers an investigation from Threat Explorer

Naast geautomatiseerde onderzoeken die worden geactiveerd door een waarschuwing, kan het beveiligingsteam van uw organisatie een geautomatiseerd onderzoek starten vanuit een weergave in Threat Explorer.In addition to automated investigations that are triggered by an alert, your organization's security operations team can trigger an automated investigation from a view in Threat Explorer. Met dit onderzoek wordt ook een waarschuwing gemaakt, zodat Microsoft Defender-incidenten en externe SIEM-hulpprogramma's kunnen zien dat dit onderzoek is gestart.This investigation also creates an alert, so that Microsoft Defender Incidents and external SIEM tools can see that this investigation was triggered.

Stel dat u de weergave Malware gebruikt in Verkenner.For example, suppose that you are using the Malware view in Explorer. Met behulp van de tabbladen onder de grafiek selecteert u het tabblad E-mail. Als u een of meer items in de lijst selecteert, wordt de knop + Acties geactiveerd.Using the tabs below the chart, you select the Email tab. If you select one or more items in the list, the + Actions button activates.

Explorer met geselecteerde berichten

Met het menu Acties kunt u Onderzoek activeren selecteren.Using the Actions menu, you can select Trigger investigation.

Menu Acties voor geselecteerde berichten

Net als bij playbooks die worden geactiveerd door een waarschuwing, omvatten automatische onderzoeken die worden gestart vanuit een weergave in Explorer een hoofdonderzoek, stappen om bedreigingen te identificeren en te correleren, en aanbevolen acties om deze bedreigingen te beperken.Similar to playbooks triggered by an alert, automatic investigations that are triggered from a view in Explorer include a root investigation, steps to identify and correlate threats, and recommended actions to mitigate those threats.

Voorbeeld: Een beveiligingsteam integreert AIR met de SIEM met de Office 365 Management Activity APIExample: A security operations team integrates AIR with their SIEM using the Office 365 Management Activity API

AIR-mogelijkheden in Microsoft Defender voor Office 365 bevatten rapporten & details die beveiligingsbewerkingsteams kunnen gebruiken om bedreigingen te bewaken en aan te pakken.AIR capabilities in Microsoft Defender for Office 365 include reports & details that security operations teams can use to monitor and address threats. Maar u kunt air-mogelijkheden ook integreren met andere oplossingen.But you can also integrate AIR capabilities with other solutions. Voorbeelden hiervan zijn een SIEM-systeem (Security Information and Event Management), een case management system of een aangepaste rapportageoplossing.Examples include a security information and event management (SIEM) system, a case management system, or a custom reporting solution. Dit soort integraties kan worden uitgevoerd met de Office 365 Management Activity API.These kinds of integrations can be done by using the Office 365 Management Activity API.

Onlangs heeft een organisatie bijvoorbeeld een manier ingesteld voor het beveiligingsteam om door de gebruiker gerapporteerde phish-waarschuwingen weer te geven die al door AIR zijn verwerkt.For example, recently, an organization set up a way for their security operations team to view user-reported phish alerts that were already processed by AIR. De oplossing integreert relevante waarschuwingen met de SIEM-server van de organisatie en het case-managementsysteem van de organisatie.Their solution integrates relevant alerts with the organization's SIEM server and their case-management system. Met de oplossing wordt het aantal onwaar-positieven aanzienlijk beperkt, zodat het team voor beveiligingsbewerkingen zich kan richten op echte bedreigingen.The solution greatly reduces the number of false positives so that their security operations team can focus their time and effort on real threats. Zie tech communityblog: De effectiviteit van uw soc verbeteren met Microsoft Defender voor Office 365 en de O365 Management APIvoor meer informatie over deze aangepaste oplossing.To learn more about this custom solution, see Tech Community blog: Improve the Effectiveness of your SOC with Microsoft Defender for Office 365 and the O365 Management API.

Volgende stappenNext steps