Автоматическое расследование и ответ в Microsoft 365 DefenderAutomated investigation and response in Microsoft 365 Defender

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Если ваша организация использует Microsoft 365 Defender,группа операций безопасности получает оповещение Microsoft 365 центра безопасности при обнаружении вредоносных или подозрительных действий или артефактов.If your organization is using Microsoft 365 Defender, your security operations team receives an alert within the Microsoft 365 security center whenever a malicious or suspicious activity or artifact is detected. Учитывая, казалось бы, бесконечный поток угроз, которые могут поступать, группы безопасности часто сталкиваются с проблемой решения большого объема оповещений.Given the seemingly never-ending flow of threats that can come in, security teams often face the challenge of addressing the high volume of alerts. К счастью, Microsoft 365 Defender включает в себя функции автоматического расследования и реагирования (AIR), которые помогут вашей группе операций безопасности эффективнее и эффективнее решать угрозы.Fortunately, Microsoft 365 Defender includes automated investigation and response (AIR) capabilities that can help your security operations team address threats more efficiently and effectively.

В этой статье представлен обзор air и ссылки на последующие действия и дополнительные ресурсы.This article provides an overview of AIR and includes links to next steps and additional resources.

Совет

Хотите попробовать Microsoft 365 Defender?Want to experience Microsoft 365 Defender? Вы можете оценить его в лабораторной среде или запустить пилотный проект в производственной среде.You can evaluate it in a lab environment or run your pilot project in production.

Как работает автоматизированное исследование и самовосстановленияHow automated investigation and self-healing works

По мере запуска оповещений о безопасности ваша группа операций безопасности должна инициализации этих оповещений и принять меры для защиты организации.As security alerts are triggered, it's up to your security operations team to look into those alerts and take steps to protect your organization. Определение приоритета и анализ оповещений могут отнимать очень много времени, особенно в условиях постоянного появления новых оповещений во время анализа.Prioritizing and investigating alerts can be very time consuming, especially when new alerts keep coming in while an investigation is going on. Службы обеспечения безопасности могут быть перегружены из-за огромного количества угроз, которые им нужно отслеживать и от которых необходимо защищать.Security operations teams can feel overwhelmed by the sheer volume of threats they must monitor and protect against. Автоматизированные возможности исследования и реагирования, с самовосстановления, в Microsoft 365 Defender может помочь.Automated investigation and response capabilities, with self-healing, in Microsoft 365 Defender can help.

Просмотрите следующее видео, чтобы узнать, как работает самовосстановления:Watch the following video to see how self-healing works:

В Microsoft 365 Defender автоматизированные исследования и ответы с помощью функций самовосстановления работают на ваших устройствах, & контенте и удостоверениях.In Microsoft 365 Defender, automated investigation and response with self-healing capabilities works across your devices, email & content, and identities.

Совет

В этой статье описывается, как работает автоматическое расследование и ответы.This article describes how automated investigation and response works. Чтобы настроить эти возможности, см. в перенастройке возможности автоматического расследования и ответа в Microsoft 365 Defender.To configure these capabilities, see Configure automated investigation and response capabilities in Microsoft 365 Defender.

Собственный виртуальный аналитикYour own virtual analyst

Imagine виртуального аналитика в группе операций по безопасности уровня 1 или 2 уровня.Imagine having a virtual analyst in your Tier 1 or Tier 2 security operations team. Виртуальный аналитик имитирует идеальные действия, которые должен предпринять отдел обеспечения безопасности для анализа и устранения угроз.The virtual analyst mimics the ideal steps that security operations would take to investigate and remediate threats. Виртуальный аналитик может работать в 24x7 с неограниченной емкостью и взять на себя значительную нагрузку исследований и устранения угроз.The virtual analyst could work 24x7, with unlimited capacity, and take on a significant load of investigations and threat remediation. Такой виртуальный аналитик может значительно сократить время реагирования, освободив команду операций безопасности для других важных угроз или стратегических проектов.Such a virtual analyst could significantly reduce the time to respond, freeing up your security operations team for other important threats or strategic projects. Если этот сценарий звучит как научная фантастика, это не так!If this scenario sounds like science fiction, it's not! Такой виртуальный аналитик является частью пакета Microsoft 365 Defender, и его имя — автоматическое исследование и ответ.Such a virtual analyst is part of your Microsoft 365 Defender suite, and its name is automated investigation and response.

Возможности автоматического расследования и реагирования позволяют группе операций безопасности значительно увеличить возможности организации по работе с оповещениями о безопасности и инцидентами.Automated investigation and response capabilities enable your security operations team to dramatically increase your organization's capacity to deal with security alerts and incidents. С помощью автоматического расследования и реагирования можно снизить затраты на работу с действиями по расследованию и реагированию и получить максимальное количество данных из пакета защиты от угроз.With automated investigation and response, you can reduce the cost of dealing with investigation and response activities and get the most out of your threat protection suite. Автоматизированные возможности расследования и реагирования помогают вашей группе по работе с безопасностью:Automated investigation and response capabilities help your security operations team by:

  1. Определение того, требуется ли угроза действий.Determining whether a threat requires action.
  2. Принятие (или рекомендация) любых необходимых действий по исправлению.Taking (or recommending) any necessary remediation actions.
  3. Определение того, следует ли и какие другие исследования должны происходить.Determining whether and what other investigations should occur.
  4. повторяет весь этот процесс с другими оповещениями.Repeating the process as necessary for other alerts.

Процесс автоматизированного анализаThe automated investigation process

Оповещение создает инцидент, который может начать автоматическое расследование.An alert creates an incident, which can start an automated investigation. Автоматизированное расследование приводит к вынесению вердикта по каждому фрагменту доказательств.The automated investigation results in a verdict for each piece of evidence. Вердикты могут быть:Verdicts can be:

  • ЗлоумышленнаяMalicious
  • ПодозрительныеSuspicious
  • Угрозы не найденыNo threats found

Определены действия по исправлению вредоносных или подозрительных сущностями.Remediation actions for malicious or suspicious entities are identified. Примеры действий по исправлению:Examples of remediation actions include:

  • Отправка файла на карантинSending a file to quarantine
  • Остановка процессаStopping a process
  • Изолирование устройстваIsolating a device
  • Блокировка URL-адресаBlocking a URL
  • Другие действияOther actions

Дополнительные сведения см. в см. в Microsoft 365 Действия по исправлению.For more information, see See Remediation actions in Microsoft 365 Defender.

В зависимости от того, как настраиваются возможности автоматического расследования и реагирования для вашей организации, действия по исправлению будут приниматься автоматически или только после утверждения вашей командой операций безопасности.Depending on how automated investigation and response capabilities are configured for your organization, remediation actions are taken automatically or only upon approval by your security operations team. Все действия, ожидающих или завершенных, перечислены в центре действий.All actions, whether pending or completed, are listed in the Action center.

Во время проведения анализа все другие связанные с ним оповещения добавляются в анализ до его завершения.While an investigation is running, any other related alerts that arise are added to the investigation until it completes. Если затрагиваемая сущность видна в другом месте, автоматизированное расследование расширяет его область, включая его, и процесс расследования повторяется.If an affected entity is seen elsewhere, the automated investigation expands its scope to include that entity, and the investigation process repeats.

В Microsoft 365 Defender каждое автоматическое расследование коррелирует сигналы в Microsoft Defender for Identity, Microsoft Defender для конечной точки и Microsoft Defender для Office 365, как по сумме в следующей таблице:In Microsoft 365 Defender, each automated investigation correlates signals across Microsoft Defender for Identity, Microsoft Defender for Endpoint, and Microsoft Defender for Office 365, as summarized in the following table:

ОбъектыEntities Службы защиты от угрозThreat protection services
Устройства (также именуемые конечными точками или машинами)Devices (also referred to as endpoints or machines) Защитник для конечной точкиDefender for Endpoint
Локальное поведение пользователей Active Directory, поведение сущности и действияOn-premises Active Directory users, entity behavior, and activities Defender для удостоверенийDefender for Identity
Содержимое электронной почты (сообщения электронной почты, которые могут содержать файлы и URL-адреса)Email content (email messages that can contain files and URLs) Defender для Office 365Defender for Office 365

Примечание

Не каждое оповещение вызывает автоматическое расследование, и не каждое расследование приводит к автоматическим действиям по исправлению.Not every alert triggers an automated investigation, and not every investigation results in automated remediation actions. Это зависит от настройки автоматического расследования и ответа для вашей организации.It depends on how automated investigation and response is configured for your organization. См. в этой версии Настройка возможностей автоматического расследования и ответа.See Configure automated investigation and response capabilities.

Просмотр списка расследованийViewing a list of investigations

Чтобы просмотреть расследования, перейдите на страницу Происшествия.To view investigations, go to the Incidents page. Выберите инцидент и выберите вкладку "Исследования". Дополнительные сведения см. в материале Details and results of an automated investigation.Select an incident, and then select the Investigations tab. To learn more, see Details and results of an automated investigation.

Дальнейшие действияNext steps