Undersök och svara med Microsoft 365 Defender

Här är de primära uppgifterna att undersöka och svara på Microsoft 365 Defender:

Incidentsvar

Microsoft 365 och appar skapar aviseringar när de upptäcker misstänkt eller skadlig händelse eller aktivitet. Enskilda aviseringar ger värdefulla ledtrådar om en slutförd eller pågående attack. Men attacker använder vanligtvis olika tekniker mot olika typer av enheter, till exempel enheter, användare och postlådor. Resultatet är flera aviseringar för flera enheter i klientorganisationen. Eftersom det kan vara svårt och tidskrävande att samla ihop enskilda aviseringar för att få insikter i en attack sammanställer Microsoft 365 Defender automatiskt aviseringarna och deras tillhörande information till en incident.

Identifiera ärenden med högsta prioritet för analys och lösning i incidentkön och gör dem redo för svar. Det här är en kombination av:

  • Prioritera för att fastställa incidenter med högsta prioritet genom filtrering och sortering av incidentkön.
  • Hantera incidenter genom att ändra deras titel, tilldela dem till en analytiker och lägga till taggar och kommentarer.

För varje incident använder du arbetsflödet för incidentsvar för att analysera incidenten och dess varningar och data för att innehålla attacken, radera hoten, återställa dem från attacken och lära dig av den. Se det här exemplet för Microsoft 365 Defender.

Automatiska undersökningar och åtgärd

Om din organisation använder Microsoft 365 Defender får säkerhetsteamet en avisering i Microsoft 365 Defender-portalen när skadlig eller misstänkt aktivitet eller artefakt upptäcks. Med den aldrig slutna flödet av hot som kan komma in står säkerhetsteam ofta inför utmaningen att hantera den stora mängden aviseringar. Som tur är Microsoft 365 Defender även funktioner för automatisk undersökning och svar (AIR) som kan hjälpa din säkerhetsgrupp att hantera hot mer effektivt och effektivare.

När en automatisk undersökning har slutförts nås en bedömning för alla bevis för en händelse som ingår. Beroende på omdömet identifieras åtgärdsåtgärder. I vissa fall vidtas åtgärder automatiskt. I andra fall väntar åtgärdsåtgärder på godkännande via Microsoft 365 Defender Åtgärdscenter.

Mer information finns i Automatisk undersökning och Microsoft 365 Defender svar i Microsoft 365 Defender undersökning.

Proaktiv sökning efter hot med avancerad sökning

Det räcker inte för att svara på attacker när de inträffar. För utökade flerfasattacker som utpressningstrojaner måste du proaktivt söka efter bevis för en pågående attack och vidta åtgärder för att stoppa den innan den har slutförts.

Avancerad sökning är ett frågebaserat sökverktyg i Microsoft 365 Defender där du kan utforska upp till 30 dagars rådata. Du kan proaktivt kontrollera händelser i nätverket för att hitta hotindikatorer och enheter. Den här flexibla åtkomsten till Microsoft 365 Defender av data gör att du inte behöver hålla i dig för att hitta både kända och potentiella hot.

Du kan använda samma sökfrågor för hot för att skapa anpassade identifieringsregler. Dessa regler körs automatiskt för att kontrollera och sedan svara på misstänkt intrång, felkonfigurerade datorer och andra resultat.

Mer information finns i Proaktivt leta efter hot med avancerad Microsoft 365 Defender i sök efter hot.

Kom igång med nya hot med hotanalyser

Hotanalyser är en funktion för hotinformation i Microsoft 365 Defender som utformats för att hjälpa din säkerhetsgrupp att bli så effektiv som möjligt samtidigt som de står inför nya hot. Den innehåller detaljerad analys och information om:

  • Aktiva hot-aktör och deras kampanjer
  • Populära och nya attacktekniker
  • Kritiska säkerhetsproblem
  • Vanliga attackytor
  • Vanligast förekommande skadlig programvara

Hotanalys innehåller även information om relaterade incidenter och påverkade tillgångar i din Microsoft 365 för varje identifierat hot.

Alla identifierade hot innehåller en analytiker, en omfattande analys av hoten som skrivits av Microsoft-säkerhetschefer som ligger i förgrunden för identifiering och analys av cybersäkerhet och som kan ge information om hur attackeren visas i Microsoft 365 Defender.

Mer information finns i Hotanalyser i Microsoft 365 Defender.

Samarbeta med Microsofts experter

Microsoft Hotexperter – Riktade attackmeddelanden är en hanterad tjänst för hot efter hot. När du har ansökt och godkänts får du riktade attackmeddelanden från Microsofts experter för hot så att du inte missar kritiska hot i din miljö. Dessa meddelanden hjälper dig att skydda din organisations slutpunkter, e-post och identiteter. Microsoft Hotexperter – Med experter på begäran kan du få expertråd om hot organisationen står inför och du kan kontakta dem för att få hjälp med hot som din organisation står inför. Det är tillgängligt som ytterligare en prenumerationstjänst.

Mer information finns i avsnittet Microsoft Hotexperter i Microsoft 365 översikt.