Automatisk undersökning och svar i Microsoft 365 DefenderAutomated investigation and response in Microsoft 365 Defender

Viktigt

Välkommen till Microsoft 365 Defender , det nya namnet på Microsoft Threat Protection.Welcome to Microsoft 365 Defender , the new name for Microsoft Threat Protection. Läs mer om detta och andra uppdateringar här.Read more about this and other updates here.

Gäller för:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Vill du uppleva Microsoft 365 Defender?Want to experience Microsoft 365 Defender? Du kan utvärdera det i en labb miljö eller köra ett pilot projekt i produktionen.You can evaluate it in a lab environment or run your pilot project in production.

När säkerhets varningar utlöses är det upp till din säkerhets åtgärds grupp för att titta på dessa meddelanden och vidta åtgärder för att skydda din organisation.As security alerts are triggered, it's up to your security operations team to look into those alerts and take steps to protect your organization. Det kan ta väldigt lång tid att prioritera och undersöka aviseringar, särskilt när nya meddelanden fortsätter när en undersökning pågår.Prioritizing and investigating alerts can be very time consuming, especially when new alerts keep coming in while an investigation is going on. Säkerhets Operations team kan känna av sig som skir volymen av de hot som de måste övervaka och skydda mot.Security operations teams can feel overwhelmed by the sheer volume of threats they must monitor and protect against. Automatisk utredning och svars kapacitet, med själv återställning, i Microsoft 365 Defender kan hjälpa dig.Automated investigation and response capabilities, with self-healing, in Microsoft 365 Defender can help.

Titta på följande video för att se hur själv återställning fungerar:Watch the following video to see how self-healing works:

I Microsoft 365 Defender går det att automatisera undersökningar och svar med själv lagnings funktion på dina enheter, e-& innehåll och identiteter.In Microsoft 365 Defender, automated investigation and response with self-healing capabilities works across your devices, email & content, and identities. I Microsoft 365 Defender samlas funktioner från:Microsoft 365 Defender brings together capabilities from:

I den här artikeln beskrivs hur automatisk undersökning och svar fungerar.This article describes how automated investigation and response works. Information om hur du konfigurerar de här funktionerna finns i Konfigurera automatiserade undersökningar och svars funktioner i Microsoft 365 Defender.To configure these capabilities, see Configure automated investigation and response capabilities in Microsoft 365 Defender.

Din virtuella analytikerYour virtual analyst

Föreställ dig att du har en virtuell analys i ditt team för säkerhets åtgärder för nivå 1/nivå 2.Imagine having a virtual analyst in your Tier 1 / Tier 2 security operations team. Den virtuella analytikern imiterar de idealiska stegen som säkerhets åtgärder skulle vidta för att undersöka och åtgärda hot.The virtual analyst mimics the ideal steps that security operations would take to investigate and remediate threats. Den virtuella assistenten kan arbeta dygnet runt, med obegränsad kapacitet och få en omfattande inläsning av undersökningar och hot.The virtual assistant could work 24x7, with unlimited capacity, and take on a significant load of investigations and threat remediation. En sådan virtuell assistent kan avsevärt minska tiden för att svara och på så sätt frigöra dina säkerhets åtgärder för andra viktiga strategiska projekt.Such a virtual assistant could significantly reduce the time to respond, freeing up your security operations team for other important strategic projects. Om det här scenariot liknar vetenskaps gilla är det inte!If this scenario sounds like science fiction, it's not! En sådan virtuell analytiker är en del av Microsoft 365 Defender-sviten och dess namn är automatiserad undersökning och svar.Such a virtual analyst is part of your Microsoft 365 Defender suite, and its name is automated investigation and response.

Med den automatiska undersökningen och svaret kan säkerhets åtgärds gruppen markant öka organisationens kapacitet att hantera säkerhets varningar och-händelser.Automated investigation and response enables your security operations team to dramatically increase your organization's capacity to deal with security alerts and incidents. Genom att automatisera undersökningar och svar kan du minska kostnaderna för att hantera undersökningar och reparations aktiviteter och få ut mesta möjliga av skydds paketet.With automated investigation and response, you can reduce the cost of dealing with investigation and remediation activities and get the most out of your threat protection suite. automatisk undersökning och svar hjälper din säkerhets åtgärd att:automated investigation and response helps your security operations team by:

  1. Avgöra om ett hot kräver en åtgärd;Determining whether a threat requires action;
  2. Utföra (eller rekommendera) alla nödvändiga reparations åtgärder;Performing (or recommending) any necessary remediation actions;
  3. Avgöra vilka ytterligare undersökningar som bör uppstå; ochDetermining what additional investigations should occur; and
  4. Upprepa processen när det behövs för andra aviseringar.Repeating the process as necessary for other alerts.

Den automatiserade gransknings processenThe automated investigation process

Avisering > incident > Automatisk undersökning > Verdict > reparations åtgärdAlert > incident > automated investigation > verdict > remediation action

En utlöst varning skapar en olycka som kan starta en automatiserad undersökning.A triggered alert creates an incident, which can start an automated investigation. Denna undersökning kan resultera i en eller flera reparations åtgärder.That investigation can result in one or more remediation actions. I Microsoft 365 Defender är varje automatiserad undersökning en översikt över Microsoft Defender för identitet, Microsoft Defender för slut punkt och Defender för Office 365, som sammanfattas i följande tabell:In Microsoft 365 Defender, each automated investigation correlates signals across Microsoft Defender for Identity, Microsoft Defender for Endpoint, and Defender for Office 365, as summarized in the following table:

PosternaEntities Hot Protection ServicesThreat protection services
Enheter (kallas även slut punkter)Devices (also referred to as endpoints) Microsoft Defender för EndpointMicrosoft Defender for Endpoint
Microsoft Defender for IdentityMicrosoft Defender for Identity
E-postinnehåll (filer och meddelanden i post lådor)Email content (files and messages in mailboxes) Microsoft Defender för Office 365Microsoft Defender for Office 365

Varje undersökning ger upphov till verdicts (skadlig, misstänkt eller Inga hot) för varje undersöknings bevis.Each investigation generates verdicts (Malicious, Suspicious, or No threats found) for each piece of evidence investigated. Beroende på typen av hot och resulterande Verdict inträffar reparations åtgärder automatiskt eller efter godkännande av organisationens säkerhets åtgärds team.Depending on the type of threat and resulting verdict, remediation actions occur automatically or upon approval by your organization's security operations team. Pågående och slutförda åtgärder visas i Åtgärds centret.Pending and completed actions are listed in the Action center.

När en undersökning körs läggs eventuella andra relaterade aviseringar till i undersökningen tills den är klar.While an investigation is running, any other related alerts that arise are added to the investigation until it completes. Om en incriminated-enhet visas någon annan stans expanderar den automatiserade undersökningen dess omfattning för att inkludera den enheten och en allmän säkerhets Playbook körs.If an incriminated entity is seen elsewhere, the automated investigation will expand its scope to include that entity, and a general security playbook will run.

Anteckning

Alla notifieringar utlöser en automatiserad undersökning och alla undersöknings resultat leder till automatiska reparations åtgärder; Detta beror på hur automatisk undersökning och svar är konfigurerat för din organisation.Not every alert triggers an automated investigation, and not every investigation results in automated remediation actions; this all depends on how automated investigation and response is configured for your organization. Mer information finns i Konfigurera automatiserade undersökningar och svars funktioner i Microsoft 365 Defender.See Configure automated investigation and response capabilities in Microsoft 365 Defender.

Nästa stegNext steps