Руководство по операциям с безопасностью Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В этой статье приводятся общие сведения о требованиях и задачах для успешной работы Microsoft Defender для Office 365 в организации. Эти задачи помогают гарантировать, что центр управления безопасностью (SOC) предоставляет высококачественный и надежный подход к защите, обнаружению и реагированию на угрозы безопасности, связанные с электронной почтой и совместной работой.

В остальной части этого руководства описаны необходимые действия для персонала SecOps. Действия группируются по предписывающим ежедневным, еженедельным, ежемесячным и нерегламентированным задачам.

В сопутствующей статье этого руководства содержится обзор управления инцидентами и оповещениями Defender для Office 365 на странице Инциденты на портале Microsoft Defender.

Руководство по операциям безопасности Microsoft Defender XDR содержит дополнительные сведения, которые можно использовать для планирования и разработки.

Видео об этих сведениях см. в разделе https://youtu.be/eQanpq9N1Ps.

Ежедневные мероприятия

Мониторинг очереди инцидентов Microsoft Defender XDR

Страница Инциденты на портале Microsoft Defender по адресу https://security.microsoft.com/incidents-queue (также известная как очередь инцидентов) позволяет управлять событиями из следующих источников в Defender для Office 365:

Дополнительные сведения об очереди инцидентов см. в разделе Определение приоритетов инцидентов в Microsoft Defender XDR.

План рассмотрения для мониторинга очереди инцидентов должен использовать следующий порядок приоритета для инцидентов:

  1. Обнаружен потенциально вредоносный url-адрес щелчка.
  2. Пользователю запрещено отправлять сообщения электронной почты.
  3. Обнаружены подозрительные шаблоны отправки электронной почты.
  4. Email сообщается пользователем как вредоносная программа или фишинг, а несколько пользователей сообщили сообщение электронной почты как вредоносная программа или фишинг.
  5. Email сообщения, содержащие вредоносные файлы, удаленные после доставки, Email сообщения, содержащие вредоносный URL-адрес, удаленный после доставки, и Email сообщения из кампании, удаленной после доставки.
  6. Фишинг доставлен из-за переопределения ETR, фишинг доставлен, потому что папка нежелательной почты пользователя отключена, а фишинг доставлен из-за политики разрешения IP-адресов
  7. Вредоносная программа не была забита, так как ZAP отключена , а фишинг не был забит, так как ZAP отключен.

Управление очередью инцидентов и ответственные лица описаны в следующей таблице:

Действие Частота Описание Пользователь
Рассмотрение инцидентов в очереди инцидентов по адресу https://security.microsoft.com/incidents-queue. Ежедневно Убедитесь, что все инциденты средней и высокой серьезности из Defender для Office 365 рассматриваются. Группа по операциям с безопасностью
Исследуйте инциденты и принимайте меры реагирования на инциденты. Ежедневно Исследуйте все инциденты и активно выполняйте рекомендуемые или вручную действия по реагированию. Группа по операциям с безопасностью
Устраните инциденты. Ежедневно Если инцидент был исправлен, устраните инцидент. При разрешении инцидента разрешаются все связанные и связанные активные оповещения. Группа по операциям с безопасностью
Классификация инцидентов. Ежедневно Классифицируйте инциденты как true или false. Для истинных оповещений укажите тип угрозы. Эта классификация помогает группе безопасности просматривать шаблоны угроз и защищать организацию от них. Группа по операциям с безопасностью

Управление обнаружением ложноположительных и ложноотрицательных результатов

В Defender для Office 365 вы управляете ложноположительными результатами (хорошая почта помечена как плохая) и ложноотрицательной (допускается недопустимая почта) в следующих местах:

Дополнительные сведения см. в разделе Управление обнаружением ложноположительных и ложноотрицательных результатов далее в этой статье.

Ложноположительное и ложноотрицательное управление и ответственные лица описаны в следующей таблице:

Действие Частота Описание Пользователь
Отправка ложноположительных и ложноотрицательных результатов в Корпорацию Майкрософт по адресу https://security.microsoft.com/reportsubmission. Ежедневно Предоставляйте сигналы корпорации Майкрософт, сообщая о неправильном обнаружении электронной почты, URL-адреса и файлов. Группа по операциям с безопасностью
Анализ сведений об отправке администратором. Ежедневно Ознакомьтесь со следующими факторами для отправки, которые вы делаете в Корпорацию Майкрософт:
  • Что вызвало ложноположительный или ложноотрицательный результат.
  • Состояние конфигурации Defender для Office 365 на момент отправки.
  • Необходимо ли внести изменения в конфигурацию Defender для Office 365.
 Группа по операциям с безопасностью

Администрирование безопасности
Добавьте записи блоков в список разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList. Ежедневно Используйте список разрешенных и заблокированных клиентов, чтобы при необходимости добавлять блоки для обнаружения ложноотрицательных URL-адресов, файлов или отправителей. Группа по операциям с безопасностью
Освобождение ложноположительных результатов из карантина. Ежедневно После того как получатель подтвердит, что сообщение было неправильно помещено в карантин, вы можете отпустить или утвердить запросы на выпуск для пользователей.

Сведения о том, что пользователи могут делать со своими сообщениями в карантине (включая выпуск или запрос на выпуск), см. в статье Политики карантина.		 Группа по операциям с безопасностью

Команда по обмену сообщениями

Просмотр фишинговых и вредоносных кампаний, которые привели к доставке почты

Действие Частота Описание Пользователь
Просмотр кампаний по электронной почте. Ежедневно Просмотрите кампании по электронной почте, предназначенные для вашей организации по адресу https://security.microsoft.com/campaigns. Сосредоточьтесь на кампаниях, которые привели к доставке сообщений получателям.

Удалите сообщения из кампаний, которые существуют в почтовых ящиках пользователей. Это действие требуется только в том случае, если кампания содержит сообщение электронной почты, которое еще не было исправлено действиями из инцидентов, автоматической очисткой (ZAP) или исправлением вручную.		 Группа по операциям с безопасностью

Еженедельные мероприятия

В Defender для Office 365 можно использовать следующие отчеты для просмотра тенденций обнаружения электронной почты в организации:

Действие Частота Описание Пользователь
Просмотрите отчеты об обнаружении электронной почты по адресу: Еженедельное Просмотрите тенденции обнаружения вредоносных программ, фишинга и нежелательной почты по сравнению с хорошей электронной почтой. Наблюдение за временем позволяет увидеть шаблоны угроз и определить, нужно ли настраивать политики Defender для Office 365. Администрирование безопасности

Группа по операциям с безопасностью

Отслеживание новых угроз и реагирование на них с помощью аналитики угроз

Используйте аналитику угроз для просмотра активных и популярных угроз.

Действие Частота Описание Пользователь
Ознакомьтесь с угрозами в аналитике угроз по адресу https://security.microsoft.com/threatanalytics3. Еженедельное Аналитика угроз предоставляет подробный анализ, включая следующие элементы:
  • IoC.
  • Охота на запросы об активных субъектах угроз и их кампаниях.
  • Популярные и новые методы атак.
  • Критические уязвимости.
  • Распространенные области атак.
  • Распространенные вредоносные программы.
 Группа по операциям с безопасностью

Команда по охоте на угрозы

Проверка наиболее целевых пользователей на наличие вредоносных программ и фишинга

Используйте вкладку "Основные целевые пользователи" (представление) в области сведений представлений Все сообщения электронной почты, вредоносные программы и фишинга в Обозреватель угрозы, чтобы обнаружить или подтвердить пользователей, которые являются главными целевыми объектами для вредоносных программ и фишинговых сообщений.

Действие Частота Описание Пользователь
Просмотрите вкладку Основные целевые пользователи в Обозреватель угроз по адресу https://security.microsoft.com/threatexplorer. Еженедельное Используйте эти сведения, чтобы решить, нужно ли настраивать политики или средства защиты для этих пользователей. Добавьте затронутых пользователей в учетные записи Priority, чтобы получить следующие преимущества: Администрирование безопасности

Группа по операциям с безопасностью

Обзор основных вредоносных программ и фишинговых кампаний, предназначенных для вашей организации

Представления кампании выявляют вредоносные программы и фишинговые атаки на вашу организацию. Дополнительные сведения см. в разделе Представления кампаний в Microsoft Defender для Office 365.

Действие Частота Описание Пользователь
Используйте представления кампании по для https://security.microsoft.com/campaigns просмотра вредоносных программ и фишинговых атак, которые влияют на вас. Еженедельное Узнайте об атаках и методах, а также о том, что Defender для Office 365 удалось выявить и заблокировать.

Подробные сведения о кампании см. в разделе Скачивание отчета об угрозах в представлениях кампании.		 Группа по операциям с безопасностью

Нерегламентированные действия

Ручное исследование и удаление электронной почты

Действие Частота Описание Пользователь
Исследуйте и удаляйте неправильные сообщения электронной почты в Обозреватель https://security.microsoft.com/threatexplorer в на основе запросов пользователей. Нерегламентированный Используйте действие Триггер исследования в Обозреватель угроз, чтобы запустить автоматическое исследование и ответ на любые сообщения электронной почты за последние 30 дней. Запуск исследования вручную экономит время и усилия за счет централизованного включения следующих компонентов:
  • Корневое исследование.
  • Действия по выявлению и корреляции угроз.
  • Рекомендуемые действия по устранению этих угроз.

Дополнительные сведения см. в разделе Пример. Сообщение о фишинге, сообщаемом пользователем, запускает сборник схем для исследования.

Вы также можете использовать Обозреватель угроз, чтобы вручную исследовать электронную почту с помощью мощных возможностей поиска и фильтрации и выполнять действия реагирования вручную непосредственно из того же места. Доступные действия вручную:
  • Перемещение в папку "Входящие"
  • Переместить в нежелательную папку
  • Переход к удаленным элементам
  • Обратимое удаление
  • Необратимое удаление.
 Группа по операциям с безопасностью

Заблаговременный поиск угроз

Действие Частота Описание Пользователь
Регулярная упреждающая охота на угрозы в:. Нерегламентированный Поиск для угроз с помощью Обозреватель угроз и расширенной охоты. Группа по операциям с безопасностью

Команда по охоте на угрозы
Общий доступ к запросам охоты. Нерегламентированный Активно делитесь часто используемыми полезными запросами в команде безопасности для ускорения охоты на угрозы вручную и их устранения.

Используйте средства отслеживания угроз и общие запросы в расширенной охоте.		 Группа по операциям с безопасностью

Команда по охоте на угрозы
Create настраиваемые правила обнаружения в https://security.microsoft.com/custom_detection. Нерегламентированный Create настраиваемые правила обнаружения для упреждающего мониторинга событий, шаблонов и угроз на основе Defender для Office 365 данных в разделе Предварительная охота. Правила обнаружения содержат расширенные запросы охоты, которые создают оповещения на основе соответствующих критериев. Группа по операциям с безопасностью

Команда по охоте на угрозы

Просмотр конфигураций политики Defender для Office 365

Действие Частота Описание Пользователь
Просмотрите конфигурацию политик Defender для Office 365 по адресу https://security.microsoft.com/configurationAnalyzer. Нерегламентированный

Ежемесячно		 Используйте анализатор конфигурации, чтобы сравнить существующие параметры политики с рекомендуемыми значениями Standard или Strict для Defender для Office 365. Анализатор конфигурации определяет случайные или вредоносные изменения, которые могут снизить уровень безопасности вашей организации.

Можно также использовать средство ORCA на основе PowerShell.		 Администрирование безопасности

Команда по обмену сообщениями
Просмотр переопределений обнаружения в Defender для Office 365 наhttps://security.microsoft.com/reports/TPSMessageOverrideReportATP Нерегламентированный

Ежемесячно		 Используйте представление Просмотр данных по системной переопределенной диаграмме > по причине в отчете о состоянии Защиты от угроз , чтобы просмотреть сообщения электронной почты, которые были обнаружены как фишинговые, но доставлены из-за параметров переопределения политики или пользователя.

Активное исследование, удаление или тонкая настройка переопределений, чтобы избежать доставки сообщений электронной почты, которые были определены как вредоносные.		 Администрирование безопасности

Команда по обмену сообщениями

Проверка обнаружения подмены и олицетворения

Действие Частота Описание Пользователь
Просмотрите аналитические сведения о спуфингах и аналитические сведения об обнаружении олицетворения по адресу. Нерегламентированный

Ежемесячно		 Используйте аналитические сведения о подделке и олицетворение , чтобы настроить фильтрацию для обнаружения спуфинга и олицетворения. Администрирование безопасности

Команда по обмену сообщениями

Проверка членства в учетной записи с приоритетом

Действие Частота Описание Пользователь
Проверьте, кто определен в качестве приоритетной учетной записи по адресу https://security.microsoft.com/securitysettings/userTags. Нерегламентированный Поддерживайте актуальность членства в приоритетных учетных записях с изменениями в организации, чтобы получить следующие преимущества для этих пользователей:
  • Улучшенная видимость в отчетах.
  • Фильтрация по инцидентам и оповещениям.
  • Адаптированная эвристика для шаблонов потока обработки почты руководителей (защита учетных записей с приоритетом).

Используйте пользовательские теги пользователей для других пользователей, чтобы получить:
  • Улучшенная видимость в отчетах.
  • Фильтрация по инцидентам и оповещениям.
 Группа по операциям с безопасностью

Приложение

Сведения о средствах и процессах Microsoft Defender для Office 365

Сотрудники групп по обеспечению безопасности и реагирования должны интегрировать средства и функции Defender для Office 365 в существующие процессы исследования и реагирования. Изучение новых средств и возможностей может занять время, но это важная часть процесса подключения. Самый простой способ узнать о Defender для Office 365 для secOps и членов команды по безопасности электронной почты — использовать обучающее содержимое, доступное в составе учебного содержимого Ninja по адресу https://aka.ms/mdoninja.

Содержимое структурировано для разных уровней знаний (Основы, Средний и Расширенный) с несколькими модулями на каждом уровне.

Короткие видео о конкретных задачах также доступны на канале YouTube Microsoft Defender для Office 365.

Разрешения для действий и задач Defender для Office 365

Разрешения для управления Defender для Office 365 на портале Microsoft Defender и PowerShell основаны на модели разрешений управления доступом на основе ролей (RBAC). RBAC — это та же модель разрешений, которая используется большинством служб Microsoft 365. Дополнительные сведения см. в разделе Разрешения на портале Microsoft Defender.

Примечание.

управление привилегированными пользователями (PIM) в Microsoft Entra ID также является способом назначения необходимых разрешений персоналу SecOps. Дополнительные сведения см. в разделе управление привилегированными пользователями (PIM) и почему его следует использовать с Microsoft Defender для Office 365.

Следующие разрешения (роли и группы ролей) доступны в Defender для Office 365 и могут использоваться для предоставления доступа членам группы безопасности:

  • Microsoft Entra ID: централизованные роли, которые назначают разрешения для всех служб Microsoft 365, включая Defender для Office 365. Роли Microsoft Entra и назначенные пользователи можно просмотреть на портале Microsoft Defender, но управлять ими напрямую нельзя. Вместо этого вы управляете Microsoft Entra ролями и участниками в https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. Наиболее часто используемые группами безопасности роли:

  • совместная работа Exchange Online и Email &. Роли и группы ролей, предоставляющие разрешения, относящиеся к Microsoft Defender для Office 365. Следующие роли недоступны в Microsoft Entra ID, но могут быть важны для групп безопасности:

    • Роль предварительного просмотра (Email & совместной работы). Назначьте эту роль участникам команды, которым необходимо просматривать или скачивать сообщения электронной почты в рамках действий по расследованию. Позволяет пользователям просматривать и скачивать сообщения электронной почты из облачных почтовых ящиков с помощью Обозреватель угроз (Обозреватель) или обнаружения в режиме реального времени и страницы сущностей Email.

      По умолчанию роль предварительного просмотра назначается только следующим группам ролей:

      • Следователь данных
      • Менеджер по обнаружению электронных данных

      Вы можете добавить пользователей в эти группы ролей или создать новую группу ролей с назначенной ролью предварительного просмотра и добавить пользователей в настраиваемую группу ролей.

    • Поиск и роль очистки (Email & совместной работы). Утверждайте удаление вредоносных сообщений, как рекомендует AIR, или выполните действия вручную с сообщениями в процессах охоты, таких как угрозы Обозреватель.

      По умолчанию роли Поиск и очистки назначаются только следующим группам ролей:

      • Следователь данных
      • Управление организацией

      Вы можете добавить пользователей в эти группы ролей или создать новую группу ролей с назначенными Поиск и Purge, а также добавить пользователей в настраиваемую группу ролей.

    • Клиент AllowBlockList Manager (Exchange Online): управление записями разрешений и блокировки в списке разрешенных и заблокированных клиентов. Блокировка URL-адресов, файлов (с использованием хэша файлов) или отправителей — это полезное действие, которое следует предпринять при изучении доставленного вредоносного сообщения электронной почты.

      По умолчанию эта роль назначается только группе ролей "Оператор безопасности" в Exchange Online, а не в Microsoft Entra ID. Членство в роли "Оператор безопасности" в Microsoft Entra IDдопустимо не позволяет управлять записями списка разрешенных и заблокированных клиентов.

      Члены ролей администратора безопасности или управления организацией в Microsoft Entra ID или соответствующие группы ролей в Exchange Online могут управлять записями в списке разрешенных и заблокированных клиентов.

Интеграция SIEM/SOAR

Defender для Office 365 предоставляет большую часть своих данных с помощью набора программных API. Эти API помогают автоматизировать рабочие процессы и в полной мере использовать возможности Defender для Office 365. Данные доступны через API Microsoft Defender XDR и могут использоваться для интеграции Defender для Office 365 в существующие решения SIEM/SOAR.

  • API инцидентов: оповещения Defender для Office 365 и автоматизированные расследования являются активными частями инцидентов в Microsoft Defender XDR. Группы безопасности могут сосредоточиться на критически важных действиях, группируя все область атаки и все затронутые ресурсы вместе.

  • API потоковой передачи событий. Позволяет передавать события и оповещения в режиме реального времени в одном потоке данных по мере их возникновения. Поддерживаемые типы событий в Defender для Office 365:

    События содержат данные об обработке всех сообщений электронной почты (включая сообщения внутри организации) за последние 30 дней.

  • API расширенной охоты: позволяет охотиться на угрозы между продуктами.

  • API оценки угроз. Можно использовать для отправки сообщений о спаме, фишинговых URL-адресах или вложениях вредоносных программ непосредственно в корпорацию Майкрософт.

Для подключения Defender для Office 365 инцидентов и необработанных данных с помощью Microsoft Sentinel можно использовать соединитель Microsoft Defender XDR (M365D)

Вы можете использовать следующий пример "Hello World" для проверки доступа к API Microsoft Defender API: Hello World для MICROSOFT DEFENDER XDR REST API.

Дополнительные сведения об интеграции средств SIEM см. в статье Интеграция средств SIEM с Microsoft Defender XDR.

Устранение ложноположительных и ложноотрицательных результатов в Defender для Office 365

Сообщения, сообщаемые пользователем, и отправка сообщений электронной почты администраторами являются критическими положительными сигналами с подкреплением для наших систем обнаружения машинного обучения. Отправки помогают нам проверять, рассматривать, быстро изучать и устранять атаки. Активное информирование о ложноположительных и ложноотрицательных результатах является важным действием, которое предоставляет обратную связь для Defender для Office 365 при обнаружении ошибок.

В организациях есть несколько вариантов настройки сообщений, сообщаемого пользователями. В зависимости от конфигурации команды безопасности могут быть более активными, когда пользователи передают ложноположительные или ложные отрицательные отчеты в Корпорацию Майкрософт:

  • Сообщения, сообщаемые пользователем, отправляются в корпорацию Майкрософт для анализа, если параметры, сообщаемые пользователем , настроены с помощью любого из следующих параметров:

    • Отправьте сообщения только в корпорациюМайкрософт.
    • Отправьте сообщения по адресуМайкрософт и моему почтовому ящику отчетов.

    Члены групп безопасности должны выполнять отправку дополнительных администраторов , когда команда операций обнаруживает ложноположительные или ложные отрицательные отчеты, о которые пользователи не сообщили.

  • Если сообщения, сообщаемые пользователем, настроены для отправки сообщений только в почтовый ящик организации, команды безопасности должны активно отправлять сообщаемые пользователем ложные срабатывания и ложные отрицательные отчеты в Корпорацию Майкрософт с помощью отправки администратором.

Когда пользователь сообщает сообщение о фишинге, Defender для Office 365 создает оповещение, а оповещение активирует сборник схем AIR. Логика инцидентов сопоставляет эту информацию с другими оповещениями и событиями, где это возможно. Такая консолидация информации помогает группам безопасности рассматривать сообщения, сообщаемые пользователями, исследовать их и реагировать на них.

Конвейер отправки в службе следует строго интегрированному процессу, когда пользователи сообщают сообщения и администраторы передают сообщения. Этот процесс включает:

  • Снижение шума.
  • Автоматическое рассмотрение.
  • Оценки по аналитикам по безопасности и решениям на основе машинного обучения, основанным на человеческом партнере.

Дополнительные сведения см. в статье Создание отчетов по электронной почте в Defender для Office 365 — Microsoft Tech Community.

Члены группы безопасности могут выполнять отправки из нескольких расположений на портале Microsoft Defender по адресу https://security.microsoft.com:

  • Администратор отправки. Используйте страницу Отправки для отправки в корпорацию Майкрософт подозрительных спама, фишинга, URL-адресов и файлов.

  • Непосредственно из Обозреватель угрозы, используя одно из следующих действий с сообщением:

    • Отчет очистки
    • Сообщение о фишинге
    • Сообщить о вредоносных программах
    • Сообщить о нежелательной почты

    Для массовой отправки можно выбрать до 10 сообщений. Администратор отправки, созданные с помощью этих методов, отображаются на соответствующих вкладках на странице Отправки.

Для краткосрочного устранения ложных отрицательных значений группы безопасности могут напрямую управлять записями блокировки для файлов, URL-адресов и доменов или адресов электронной почты в списке разрешенных и заблокированных клиентов.

Для краткосрочного устранения ложных срабатываний команды безопасности не могут напрямую управлять записями разрешений для доменов и адресов электронной почты в списке разрешенных и заблокированных клиентов. Вместо этого они должны использовать отправки администратора , чтобы сообщить сообщение электронной почты как ложноположительное. Инструкции см. в статье Отчет о хорошем сообщении электронной почты в Корпорацию Майкрософт.

Карантин в Defender для Office 365 содержит потенциально опасные или нежелательные сообщения и файлы. Группы безопасности могут просматривать, выпускать и удалять все типы сообщений, помещенных в карантин для всех пользователей. Эта возможность позволяет группам безопасности эффективно реагировать на запросы ложноположительных сообщений или файлов, помещенных в карантин.

Интеграция сторонних средств отчетности с Defender для Office 365 сообщений, сообщаемых пользователями

Если в вашей организации используется стороннее средство создания отчетов, которое позволяет пользователям внутренне сообщать о подозрительных сообщениях электронной почты, вы можете интегрировать это средство с возможностями сообщений, сообщаемых пользователями, Defender для Office 365. Эта интеграция обеспечивает следующие преимущества для групп безопасности:

  • Интеграция с возможностями AIR Defender для Office 365.
  • Упрощенное рассмотрение.
  • Сокращение времени исследования и ответа.

Назначьте почтовый ящик отчетов, куда отправляются сообщения, сообщаемые пользователем, на странице Параметры отчета пользователя на портале Microsoft Defender по адресу https://security.microsoft.com/securitysettings/userSubmission. Дополнительные сведения см. в разделе Параметры, сообщаемые пользователем.

Примечание.

  • Почтовый ящик отчетов должен быть Exchange Online почтовым ящиком.
  • Стороннее средство создания отчетов должно включать исходное сообщение в виде несжатого . EML или . Вложение MSG в сообщение, которое отправляется в почтовый ящик отчетов (не пересылайте исходное сообщение в почтовый ящик отчетов). Дополнительные сведения см. в статье Формат отправки сообщений для сторонних средств создания отчетов.
  • Для почтового ящика отчетов требуются определенные предварительные требования, позволяющие доставлять потенциально недопустимые сообщения без фильтрации или изменения. Дополнительные сведения см. в разделе Требования к конфигурации для почтового ящика отчетов.

Когда сообщение пользователя поступает в почтовый ящик отчетов, Defender для Office 365 автоматически создает оповещение с именем Email сообщается пользователем как вредоносная программа или фишинг. Это оповещение запускает сборник схем AIR. Сборник схем выполняет ряд действий автоматического исследования:

  • Соберите данные о указанном сообщении электронной почты.
  • Соберите данные об угрозах и сущностях , связанных с этим сообщением электронной почты (например, о файлах, URL-адресах и получателях).
  • Предоставьте рекомендуемые действия, которые команда SecOps будет выполнять на основе результатов исследования.

Email, сообщаемые пользователем как вредоносные или фишинговые оповещения, автоматические исследования и рекомендуемые действия автоматически сопоставляются с инцидентами в Microsoft Defender XDR. Эта корреляция еще больше упрощает процесс рассмотрения и реагирования для групп безопасности. Если несколько пользователей сообщают одинаковые или похожие сообщения, все пользователи и сообщения сопоставляются с тем же инцидентом.

Данные из оповещений и исследований в Defender для Office 365 автоматически сравниваются с оповещениями и исследованиями в других продуктах Microsoft Defender XDR:

  • Microsoft Defender для конечной точки
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender для удостоверений

Если связь обнаружена, система создает инцидент, который обеспечивает видимость всей атаки.