Автоматическое исследование и ответ (AIR) в Microsoft Defender для Office 365

Важно!

Стал доступен улучшенный портал Microsoft 365 Defender. Этот новый интерфейс портала Microsoft 365 Defender объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения. Узнайте о новых возможностях.

Область применения

Microsoft Defender для Office 365 включает в себя мощные возможности автоматического расследования и ответа (AIR), которые могут сэкономить время и усилия группы операций безопасности. При срабатывии оповещений ваша группа операций безопасности будет рассматривать, расставить приоритеты и реагировать на них. В соответствии с объемом входящих оповещений может быть огромным. Автоматизация некоторых из этих задач может помочь.

AIR позволяет вашей группе операций безопасности работать эффективнее и эффективнее. Возможности AIR включают автоматизированные процессы расследования в ответ на известные угрозы, которые существуют сегодня. Соответствующие действия по исправлению ожидают утверждения, что позволяет вашей группе операций безопасности эффективно реагировать на обнаруженные угрозы. С помощью AIR группа операций безопасности может сосредоточиться на задачах с более высоким приоритетом, не упускать из виду важные оповещения, которые запускаются.

В этой статье описываются:

В этой статье также содержатся следующие действияи дополнительные ресурсы.

Общий поток AIR

Срабатывает оповещение, и в книге безопасности начинается автоматическое расследование, которое приводит к выводам и рекомендуемые действия. Вот общий поток AIR, шаг за шагом:

  1. Автоматическое расследование начато одним из следующих способов:
  2. При автоматическом расследовании он собирает данные об электронной почте, о ней идет речь, и об образованиях, связанных с этим письмом. Такие сущности могут включать файлы, URL-адреса и получателей. Область расследования может увеличиваться по мере запуска новых и связанных оповещений.
  3. Во время и после автоматического расследования доступны сведения и результаты. Результаты включают рекомендуемые действия, которые можно принять для реагирования на все найденные угрозы и устранения их.
  4. Группа операций безопасности проверяет результаты расследования и рекомендации,а также одобряет или отклоняет действия по исправлению.
  5. По мере утверждения (или отклонить) ожидающих действий по исправлению последствий, автоматическое расследование завершается.

В Microsoft Defender для Office 365 действия по исправлению не принимаются автоматически. Действия по устранению угроз и их последствий предпринимаются только после их утверждения группой безопасности вашей организации. Возможности AIR экономят время командной группы операций безопасности, определяя действия по исправлению и предоставляя сведения, необходимые для принятия обоснованных решений.

Во время и после каждого автоматизированного расследования группа операций безопасности может:

Совет

Дополнительный обзор см. в обзоре How AIR works.

Как получить AIR

Возможности AIR включены в Microsoft Defender для Office 365при условии настройки политик и оповещений. Нужна помощь? Следуйте указаниям в "Защита от угроз", чтобы настроить или настроить следующие параметры защиты:

Кроме того, обязательно просмотрите политики оповещения вашей организации,особенно политики по умолчанию в категории управление угрозами.

Какие политики оповещения запускают автоматические расследования?

Microsoft 365 содержит множество встроенных политик оповещения, которые помогают выявлять злоупотребления разрешениями администратора Exchange, активность вредоносных программ, потенциальные внешние и внутренние угрозы, а также риски управления информацией. Несколько политик оповещений по умолчанию могут вызывать автоматические расследования. В следующей таблице описываются оповещения, запускаемые автоматическими расследованиями, их серьезность на портале Microsoft 365 Defender, а также то, как они создаются:



Оповещение Severity Как создается оповещение
Обнаружен потенциально вредоносный URL-адрес Высокий Это оповещение создается при следующем:
  • Пользователь, защищенный Сейф ссылками в организации, щелкает вредоносную ссылку
  • Изменения вердикта для URL-адресов определены защитником Microsoft для Office 365
  • Пользователи переопределяют Сейф ссылки на страницы предупреждения (в зависимости от политики Сейф ссылок организации.

Дополнительные сведения о событиях, которые вызывают это оповещение, см. в Сейф ссылки.

Сообщение электронной почты сообщается пользователем как вредоносные программы или фишинг Информационный Это предупреждение создается, когда пользователи в организации сообщают сообщения в качестве фишинговой электронной почты с помощью надстройки Report Message или надстройки Report Phishing.
Сообщения электронной почты, содержащие вредоносные программы, удаляются после доставки Информационный Это предупреждение создается при доставке любых сообщений электронной почты, содержащих вредоносные программы, в почтовые ящики в организации. Если это событие происходит, Корпорация Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью автоматической очистки нулевого часа (ZAP).
Сообщения электронной почты, содержащие URL-адреса фишинга, удаляются после доставки Информационный Это предупреждение создается при доставке сообщений, содержащих фишинг, в почтовые ящики в организации. Если это событие происходит, Корпорация Майкрософт удаляет зараженные сообщения из Exchange Online почтовых ящиков с помощью ZAP.
Выявляются подозрительные шаблоны отправки электронной почты Средний Это предупреждение создается, когда кто-то в вашей организации отправил подозрительные сообщения электронной почты и может быть ограничен в отправке электронной почты. Предупреждение — это раннее предупреждение для поведения, которое может указывать на то, что учетная запись скомпрометирована, но не является достаточно серьезной, чтобы ограничить пользователя.

Хотя это редко, предупреждение, генерируемая этой политикой, может быть аномалией. Тем не менее, это хорошая идея, чтобы проверить, является ли учетная запись пользователя скомпрометирована.

Пользователю запрещена отправка электронной почты Высокий Это оповещение создается, когда кому-то из вашей организации запрещено отправлять исходящие сообщения. Обычно это предупреждение приводит к взлому учетной записи электронной почты.

Дополнительные сведения о ограниченных пользователях см. в ссылке Удаление заблокированных пользователей с портала Ограниченные пользователи в Microsoft 365.

Совет

Дополнительные новости о политиках оповещения или изменения параметров по умолчанию см. в Центр соответствия требованиям Microsoft 365.

Необходимые разрешения на использование возможностей AIR

Разрешения выданы с помощью определенных ролей, таких как роли, описанные в следующей таблице:



Задача Роль(ы) требуется
Настройка функций AIR Одна из следующих ролей:
  • Глобальный администратор
  • Администратор безопасности

Эти роли можно на Azure Active Directory или на портале Microsoft 365 Defender.

Запустить автоматическое исследование

--- или ---

Утверждение или отклонение рекомендуемых действий

Одна из следующих ролей, назначенная в Azure Active Directory или на портале Microsoft 365 Defender:
  • Глобальный администратор
  • Администратор безопасности
  • Оператор безопасности
  • Читатель сведений о безопасности
    --- и ---
  • Поиск и очистка (эта роль назначена только на Microsoft 365 Defender портале. Возможно, вам потребуется создать новую группу ролей & электронной почты и добавить роль поиска и очистки в эту новую группу ролей.

Необходимые лицензии

Microsoft Defender для Office 365 плана 2 лицензии должны быть назначены:

  • Администраторы безопасности (в том числе глобальные администраторы)
  • Группа операций по безопасности организации (в том числе читатели безопасности и те, кто играет роль поиска и очистки)
  • Конечные пользователи

Изменения скоро в вашем Microsoft 365 Defender портале

Если вы уже используете возможности AIR в Microsoft Defender для Office 365, вы увидите некоторые изменения на портале Microsoft 365 Defender.

Единый центр действий.

Новый и улучшенный портал Microsoft 365 Defender объединяет возможности AIR в Microsoft Defender для Office 365 https://security.microsoft.com и в Microsoft Defender для конечной точки. Благодаря описанным обновлениям и улучшениям группа по обеспечению безопасности операций сможет просматривать подробные сведения об автоматизированных исследованиях и действиях по исправлению в вашей электронной почте, содержимом для совместной работы, учетных записях пользователей и устройствах в одном месте.

Совет

Новый портал Microsoft 365 Defender заменяет следующие центры администрирования:

В дополнение к изменению URL-адреса, существует новый внешний вид, призванный предоставить группе безопасности более упорядоченный опыт, с большей видимостью обнаружения угроз в одном месте.

Чего ожидать

В следующей таблице перечислены изменения и улучшения, которые будут внесены в AIR в Microsoft Defender для Office 365.



Item Что меняется?
Страница Исследования Обновленная страница Исследования больше соответствует тому, что вы видите в Microsoft Defender для конечной точки. Вы увидите некоторые общие изменения формата и стиля, которые соответствуют новому единому представлению Исследования. Например, график исследования имеет более унифицированный формат.
Вкладка "Пользователи" Вкладка "Пользователи" теперь является вкладками почтовых ящиков. Сведения о пользователях перечислены на вкладке Почтовый ящик.
Вкладка электронной почты Вкладка "Электронная почта" удалена; посетите вкладку Entities, чтобы увидеть список элементов кластера электронной почты и электронной почты.
Вкладка Entities Вкладка Entities имеет стиль вкладки в вкладке, который включает представление всей сводки и возможность фильтрации по типу сущности. Вкладка Entities теперь включает в себя параметр Go hunting в дополнение к параметру Open in Explorer. Теперь можно использовать explorer или расширенный поиск для поиска сущностями и угрозами и фильтрации результатов.
Вкладка Действия Обновленная вкладка Действия теперь включает вкладку Ожидающих действий и вкладку история действий. Действия могут быть утверждены (или отклонены) в боковой области, открываемой при выборе ожидающих действий.
Вкладка "Доказательства" На новой вкладке Evidence показаны результаты ключевых элементов, связанных с действиями. Действия, связанные с каждым фрагментом доказательств, могут быть утверждены (или отклонены) в боковой области, открываемой при выборе ожидающих действий.
Центр действий Обновленный центр действий () объединяет ожидающих и завершенных действий https://security.microsoft.com/action-center по электронной почте, устройствам и удостоверениям. Дополнительные дополнительные действия см. в центре действий. Подробнее см. в центре действий.)
Страница Инциденты Теперь страница Incidents сопоставляет несколько расследований, чтобы обеспечить более консолидированное представление о расследованиях. (Дополнительные новости об инцидентах.)

Дальнейшие действия