Automatisk undersökning och svar i Microsoft 365 Defender

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Om din organisation använder Microsoft 365 Defenderfår ditt säkerhetsteam en avisering i Microsoft 365 Defender-portalen när skadlig eller misstänkt aktivitet eller artefakt upptäcks. Med den till synes oändliga flödet av hot som kan komma in står säkerhetsteam ofta inför utmaningen att hantera den stora mängden aviseringar. Som tur är Microsoft 365 Defender även funktioner för automatisk undersökning och svar (AIR) som kan hjälpa din säkerhetsgrupp att hantera hot mer effektivt och effektivare.

Den här artikeln innehåller en översikt över AIR med länkar till nästa steg och ytterligare resurser.

Tips

Vill du uppleva Microsoft 365 Defender? Du kan utvärdera det i en laboratoriemiljö eller köra ett pilotprojekt i produktionen.

Så här fungerar automatisk undersökning och självbetjäning

När säkerhetsvarningar utlöses är det upp till teamet med säkerhetsåtgärder att titta på dessa aviseringar och vidta åtgärder för att skydda din organisation. Det kan ta lång tid att prioritera och undersöka aviseringar, särskilt när nya aviseringar kommer in medan en undersökning pågår. Säkerhetsåtgärder grupper kan känna sig överhopad av mängden hot som de måste övervaka och skydda mot. Automatisk undersökning och svarsfunktioner, med självbetjäning, i Microsoft 365 Defender kan vara till hjälp.

Titta på följande video för att se hur självbetjäning fungerar:

I Microsoft 365 Defender fungerar automatiserad undersökning och svar med självutskicksfunktioner på alla dina enheter, e-& och innehåll och identiteter.

Tips

I den här artikeln beskrivs hur automatisk undersökning och svar fungerar. Information om hur du konfigurerar dessa funktioner finns i Konfigurera automatiska undersöknings- och svarsfunktioner i Microsoft 365 Defender.

Din egen virtuella analytiker

Imagine har en virtuell analytiker i ditt team för säkerhetsåtgärder på nivå 1 eller nivå 2. Den virtuella analytikern efterliknar de bästa stegen som säkerhetsåtgärder kan vidta för att undersöka och åtgärda hot. Den virtuella analytikern kan arbeta dygnet runt, med obegränsad kapacitet, och ta på sig en stor belastning av undersökningar och hotreparation. En sådan virtuell analytiker kan avsevärt minska tiden för att svara, vilket frigör din säkerhetsgrupp för andra viktiga hot eller strategiska projekt. Om det här scenariot låter som science fiction är det inte det! En sådan virtuell analytiker är en del av din Microsoft 365 Defender-programsvit, och namnet är automatiserad undersökning och svar.

Med funktionerna för automatiserad undersökning och svar kan ditt säkerhetsteam avsevärt öka organisationens kapacitet för att hantera säkerhetsvarningar och incidenter. Med automatiserad undersökning och svar kan du minska kostnaderna för hantering av undersökning och svar och få ut mesta mesta av din säkerhetssvit för hot. Automatiska undersöknings- och svarsfunktioner hjälper teamet med säkerhetsåtgärder genom att:

  1. Avgöra om ett hot kräver åtgärder.
  2. Vidta (eller rekommendera) alla nödvändiga åtgärder.
  3. Avgöra om och vilka andra undersökningar som ska ske.
  4. Upprepa processen om det behövs för andra aviseringar.

Automatisk undersökning

En avisering skapar en händelse, som kan påbörja en automatiserad undersökning. Den automatiska undersökningen resulterar i en bedömning för varje bevis. Olika beslut kan vara:

  • Skadlig
  • Misstänkt
  • Inga hot hittades

Åtgärdsåtgärder för skadliga eller misstänkta enheter identifieras. Några exempel på åtgärder:

  • Skicka en fil till karantän
  • Stoppa en process
  • Isolera en enhet
  • Blockera en URL
  • Andra åtgärder

Mer information finns i Åtgärder i Microsoft 365 Defender.

Beroende på hur automatiska undersöknings- och svarsfunktioner har konfigurerats för organisationen utförs åtgärder automatiskt eller bara om säkerhetsgruppen har godkänt det. Alla åtgärder, väntande eller slutförda, visas i Åtgärdscenter.

Medan en undersökning körs läggs alla andra relaterade aviseringar som uppstår till i undersökningen tills den slutförs. Om en berörd enhet visas någon annanstans utökar den automatiska undersökningen dess omfattning så att den omfattar den enheten, och undersökningen upprepas.

I Microsoft 365 Defender korrelerar varje automatisk undersökning signaler i Microsoft Defender för identitet, Microsoft Defender för slutpunkt och Microsoft Defender för Office 365, enligt sammanfattningen i följande tabell:

Enheter Skyddstjänster för hot
Enheter (kallas även slutpunkter eller datorer) Defender för Endpoint
Lokala Active Directory-användare, entitetsbeteende och aktiviteter Defender för identitet
E-postinnehåll (e-postmeddelanden som kan innehålla filer och URL:er) Microsoft Defender för Office 365

Anteckning

Inte alla aviseringar utlöser en automatiserad undersökning och inte varje undersökning resulterar i automatiserade åtgärdsåtgärder. Det beror på hur automatisk undersökning och svar har konfigurerats för organisationen. Se Konfigurera automatisk undersökning och svarsfunktioner.

Visa en lista över undersökningar

Om du vill visa undersökningar går du till sidan Incidenter. Välj en incident och välj sedan fliken Undersökningar. Mer information finns i Information och resultat av en automatiserad undersökning.

Nästa steg