Zautomatyzowane badanie i reagowanie (AIR) w Ochrona usługi Office 365 w usłudze Microsoft Defender

• Dotyczy:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Ochrona usługi Office 365 w usłudze Microsoft Defender obejmuje zaawansowane funkcje zautomatyzowanego badania i reagowania (AIR), które pozwalają zaoszczędzić czas i nakład pracy zespołu ds. operacji zabezpieczeń. W miarę wyzwalania alertów do zespołu ds. operacji zabezpieczeń należy przeglądanie, określanie priorytetów i reagowanie na te alerty. Nadążanie za ilością alertów przychodzących może być przytłaczające. Automatyzacja niektórych z tych zadań może pomóc.

Funkcja AIR umożliwia zespołowi ds. operacji zabezpieczeń wydajniejsze i wydajniejsze działanie. Możliwości air obejmują zautomatyzowane procesy badania w odpowiedzi na znane zagrożenia, które istnieją obecnie. Odpowiednie akcje korygowania oczekują na zatwierdzenie, umożliwiając zespołowi ds. operacji zabezpieczeń skuteczne reagowanie na wykryte zagrożenia. Dzięki funkcji AIR zespół ds. operacji zabezpieczeń może skoncentrować się na zadaniach o wyższym priorytecie bez utraty z oczu ważnych alertów, które są wyzwalane.

W tym artykule opisano:

• Ogólny przepływ air;
• Jak uzyskać AIR; I
• Wymagane uprawnienia do konfigurowania lub używania funkcji AIR.

Ten artykuł zawiera również kolejne kroki i zasoby, aby dowiedzieć się więcej.

Ogólny przepływ powietrza

Wyzwalany jest alert, a podręcznik zabezpieczeń uruchamia zautomatyzowane badanie, co skutkuje ustaleniami i zalecanymi akcjami. Oto ogólny przepływ air, krok po kroku:

1. Zautomatyzowane badanie jest inicjowane na jeden z następujących sposobów:

   • Alert jest wyzwalany przez coś podejrzanego w wiadomości e-mail (na przykład wiadomość, załącznik, adres URL lub naruszone konto użytkownika). Zostanie utworzone zdarzenie i rozpocznie się zautomatyzowane badanie. Lub
   • Analityk zabezpieczeń uruchamia zautomatyzowane badanie podczas korzystania z Eksploratora.

2. Podczas automatycznego badania zbiera dane dotyczące danej wiadomości e-mail i jednostek związanych z tą wiadomością e-mail (na przykład plików, adresów URL i adresatów). Zakres badania może wzrosnąć w miarę wyzwalania nowych i powiązanych alertów.

3. W trakcie i po zautomatyzowanym badaniu dostępne są szczegóły i wyniki do wyświetlenia. Wyniki mogą obejmować zalecane akcje , które można podjąć w celu reagowania na znalezione zagrożenia i ich korygowania.

4. Twój zespół ds. operacji zabezpieczeń przegląda wyniki badania i zalecenia oraz zatwierdza lub odrzuca akcje korygowania.

5. Ponieważ oczekujące akcje korygowania są zatwierdzane (lub odrzucane), zautomatyzowane badanie zostaje zakończone.

Uwaga

Jeśli dochodzenie nie spowoduje wykonania zalecanych działań, zautomatyzowane dochodzenie zostanie zamknięte, a szczegóły tego, co zostało poddane przeglądowi w ramach zautomatyzowanego dochodzenia, będą nadal dostępne na stronie badania.

W Ochrona usługi Office 365 w usłudze Microsoft Defender żadne akcje korygowania nie są wykonywane automatycznie. Akcje korygowania są podejmowane tylko po zatwierdzeniu przez zespół ds. zabezpieczeń organizacji. Funkcje AIR oszczędzają czas zespołu operacji zabezpieczeń, identyfikując akcje korygujące i podając szczegóły potrzebne do podjęcia świadomej decyzji.

Podczas i po każdym zautomatyzowanym badaniu zespół ds. operacji zabezpieczeń może wykonywać następujące czynności:

• Wyświetlanie szczegółów dotyczących alertu związanego z badaniem
• Wyświetlanie szczegółów wyników badania
• Przeglądanie i zatwierdzanie akcji w wyniku badania

Porada

Aby uzyskać bardziej szczegółowe omówienie, zobacz Jak działa system AIR.

Jak uzyskać air

Funkcje AIR są uwzględniane w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2, o ile rejestrowanie inspekcji jest włączone (domyślnie jest włączone).

Ponadto sprawdź zasady alertów organizacji, zwłaszcza zasady domyślne w kategorii Zarządzanie zagrożeniami.

Które zasady alertów wyzwalają zautomatyzowane badania?

Platforma Microsoft 365 udostępnia wiele wbudowanych zasad alertów, które ułatwiają identyfikowanie zagrożeń związanych z uprawnieniami administratora programu Exchange, złośliwym oprogramowaniem, potencjalnymi zagrożeniami zewnętrznymi i wewnętrznymi oraz zagrożeniami związanymi z ładem informacyjnym. Niektóre z domyślnych zasad alertów mogą wyzwalać zautomatyzowane badania. W poniższej tabeli opisano alerty wyzwalające zautomatyzowane badania, ich ważność w portalu Microsoft Defender oraz sposób ich generowania:

Alert	Waga	Sposób generowania alertu
Wykryto potencjalnie złośliwe kliknięcie adresu URL	High (Wysoki)	Ten alert jest generowany, gdy wystąpi dowolny z następujących elementów: Użytkownik chroniony bezpiecznymi linkami w organizacji klika złośliwy link Zmiany werdyktów dla adresów URL są identyfikowane przez Ochrona usługi Office 365 w usłudze Microsoft Defender Użytkownicy zastępują strony ostrzegawcze bezpiecznych łączy (na podstawie zasad bezpiecznych łączy w organizacji. Aby uzyskać więcej informacji na temat zdarzeń wyzwalających ten alert, zobacz Konfigurowanie zasad bezpiecznych łączy.
Wiadomość e-mail jest zgłaszana przez użytkownika jako złośliwe oprogramowanie lub phish	Niskie	Ten alert jest generowany, gdy użytkownicy w organizacji zgłaszają komunikaty jako wiadomość e-mail wyłudzającą informacje przy użyciu dodatków Microsoft Report Message lub Report Phishing.
Email komunikatów zawierających złośliwy plik usunięty po dostarczeniu	Informacyjny	Ten alert jest generowany, gdy wszystkie wiadomości zawierające złośliwy plik są dostarczane do skrzynek pocztowych w organizacji. W przypadku wystąpienia tego zdarzenia firma Microsoft usuwa zainfekowane wiadomości z Exchange Online skrzynek pocztowych przy użyciu automatycznego przeczyszczania o wartości zero godzin (ZAP).
Email komunikaty zawierające złośliwe oprogramowanie są usuwane po dostarczeniu	Informacyjny	Ten alert jest generowany, gdy wszystkie wiadomości e-mail zawierające złośliwe oprogramowanie są dostarczane do skrzynek pocztowych w organizacji. W przypadku wystąpienia tego zdarzenia firma Microsoft usuwa zainfekowane wiadomości z Exchange Online skrzynek pocztowych przy użyciu automatycznego przeczyszczania o wartości zero godzin (ZAP).
Email komunikaty zawierające złośliwy adres URL usunięte po dostarczeniu	Informacyjny	Ten alert jest generowany, gdy wszystkie wiadomości zawierające złośliwy adres URL są dostarczane do skrzynek pocztowych w organizacji. W przypadku wystąpienia tego zdarzenia firma Microsoft usuwa zainfekowane wiadomości z Exchange Online skrzynek pocztowych przy użyciu automatycznego przeczyszczania o wartości zero godzin (ZAP).
Email komunikaty zawierające adresy URL phish są usuwane po dostarczeniu	Informacyjny	Ten alert jest generowany, gdy wszystkie wiadomości zawierające phish są dostarczane do skrzynek pocztowych w organizacji. W przypadku wystąpienia tego zdarzenia firma Microsoft usuwa zainfekowane wiadomości z Exchange Online skrzynek pocztowych przy użyciu zap.
Wykryto podejrzane wzorce wysyłania wiadomości e-mail	Średnie	Ten alert jest generowany, gdy ktoś w organizacji wysłał podejrzaną wiadomość e-mail i istnieje ryzyko ograniczenia wysyłania wiadomości e-mail. Alert jest wczesnym ostrzeżeniem dla zachowania, które może wskazywać, że konto zostało naruszone, ale nie jest wystarczająco poważne, aby ograniczyć użytkownika. Chociaż jest to rzadkie, alert wygenerowany przez te zasady może być anomalią. Warto jednak sprawdzić, czy konto użytkownika zostało naruszone.
Użytkownik nie może wysyłać wiadomości e-mail	High (Wysoki)	Ten alert jest generowany, gdy ktoś w organizacji nie może wysyłać poczty wychodzącej. Ten alert zazwyczaj jest wynikiem naruszenia zabezpieczeń konta e-mail. Aby uzyskać więcej informacji na temat użytkowników z ograniczeniami, zobacz Usuwanie zablokowanych użytkowników ze strony Jednostki z ograniczeniami.
Administracja wyzwalane ręczne badanie wiadomości e-mail	Informacyjny	Ten alert jest generowany, gdy administrator wyzwala ręczne badanie wiadomości e-mail z Eksploratora zagrożeń. Ten alert powiadamia organizację o rozpoczęciu badania.
Administracja wyzwolone badanie naruszenia zabezpieczeń użytkownika	Średnie	Ten alert jest generowany, gdy administrator wyzwala ręczne badanie naruszenia zabezpieczeń użytkownika nadawcy lub odbiorcy wiadomości e-mail z Eksploratora zagrożeń. Ten alert powiadamia organizację o rozpoczęciu badania naruszenia zabezpieczeń użytkownika.

Porada

Aby dowiedzieć się więcej o zasadach alertów lub edytować ustawienia domyślne, zobacz Zasady alertów w portalu Microsoft Defender.

Wymagane uprawnienia do korzystania z funkcji AIR

Musisz mieć przypisane uprawnienia do korzystania z funkcji AIR. Dostępne są następujące opcje:

• Microsoft Defender XDR ujednoliconej kontroli dostępu opartej na rolach (RBAC) (dotyczy tylko portalu usługi Defender, a nie programu PowerShell):

  • Rozpocznij automatyczne badanie lub zatwierdź lub odrzuć zalecane akcje: Operator zabezpieczeń/Email zaawansowane akcje korygowania (zarządzanie).

• Email & uprawnienia do współpracy w portalu Microsoft Defender:

  • Konfigurowanie funkcji AIR: członkostwo w grupach ról Zarządzanie organizacją lub Administrator zabezpieczeń .
  • Rozpocznij automatyczne badanie lub zatwierdź lub odrzuć zalecane akcje:
    • Członkostwo w grupach ról Zarządzanie organizacją, Administrator zabezpieczeń, Operator zabezpieczeń, Czytelnik zabezpieczeń lub Czytelnik globalny . i
    • Członkostwo w grupie ról z przypisaną rolą Search i przeczyszczania. Domyślnie ta rola jest przypisywana do grup ról Badacz danych i Zarządzanie organizacją . Możesz też utworzyć niestandardową grupę ról w celu przypisania roli Search i przeczyszczania.

• uprawnienia Microsoft Entra:

  • Konfigurowanie funkcji AIR Członkostwo w rolach administratora globalnego lub administratora zabezpieczeń .
  • Rozpocznij automatyczne badanie lub zatwierdź lub odrzuć zalecane akcje:
    • Członkostwo w rolach Administrator globalny, Administrator zabezpieczeń, Operator zabezpieczeń, Czytelnik zabezpieczeń lub Czytelnik globalny . i
    • Członkostwo w grupie ról współpracy Email & z przypisaną rolą Search i przeczyszczania. Domyślnie ta rola jest przypisywana do grup ról Badacz danych i Zarządzanie organizacją . Możesz też utworzyć niestandardową grupę ról współpracy Email & w celu przypisania roli Search i przeczyszczania.

  uprawnienia Microsoft Entra zapewniają użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.

Wymagane licencje

Ochrona usługi Office 365 w usłudze Microsoft Defender licencje planu 2 powinny być przypisane do:

• Administratorzy zabezpieczeń (w tym administratorzy globalni)
• Zespół ds. operacji zabezpieczeń w organizacji (w tym czytelnicy zabezpieczeń i osoby z rolą Search i przeczyszczania)
• Użytkownicy końcowi

Następne kroki

• Rozpoczynanie pracy z aplikacją AIR
• Zobacz szczegóły i wyniki zautomatyzowanego badania
• Przeglądanie i zatwierdzanie oczekujących akcji
• Wyświetlanie oczekujących lub zakończonych akcji korygowania