Hantera incidenter och aviseringar från Microsoft Defender för Office 365 i Microsoft Defender XDR

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

En incident i Microsoft Defender XDR är en samling korrelerade aviseringar och associerade data som definierar hela historien om en attack. Defender för Office 365 aviseringar, automatiserad undersökning och svar (AIR) och resultatet av undersökningarna är internt integrerade och korrelerade på sidan Incidenter i Microsoft Defender XDR på https://security.microsoft.com/incidents-queue. Vi refererar till den här sidan som incidentkön.

Aviseringar skapas när skadlig eller misstänkt aktivitet påverkar en entitet (till exempel e-post, användare eller postlådor). Aviseringar ger värdefulla insikter om pågående eller slutförda attacker. En pågående attack kan dock påverka flera entiteter, vilket resulterar i flera aviseringar från olika källor. Vissa inbyggda aviseringar utlöser automatiskt AIR-spelböcker. Dessa spelböcker utför en serie undersökningssteg för att leta efter andra påverkade entiteter eller misstänkt aktivitet.

Titta på den här korta videon om hur du hanterar Microsoft Defender för Office 365 aviseringar i Microsoft Defender XDR.

Defender för Office 365 aviseringar, undersökningar och deras data korreleras automatiskt. När en relation fastställs skapar systemet en incident för att ge säkerhetsteam synlighet för hela attacken.

Vi rekommenderar starkt att SecOps-team hanterar incidenter och aviseringar från Defender för Office 365 i incidentkön på https://security.microsoft.com/incidents-queue. Den här metoden har följande fördelar:

• Flera alternativ för hantering:

  • Prioritering
  • Filtrering
  • Klassificering
  • Tagghantering

  Du kan ta incidenter direkt från kön eller tilldela dem till någon. Kommentarer och kommentarshistorik kan hjälpa dig att spåra förloppet.

• Om attacken påverkar andra arbetsbelastningar som skyddas av Microsoft Defender^* korreleras även relaterade aviseringar, undersökningar och deras data med samma incident.

  ^*Microsoft Defender för Endpoint, Microsoft Defender for Identity och Microsoft Defender for Cloud Apps.

• Komplex korrelationslogik krävs inte eftersom logiken tillhandahålls av systemet.

• Om korrelationslogik inte helt uppfyller dina behov kan du lägga till aviseringar till befintliga incidenter eller skapa nya incidenter.

• Relaterade Defender för Office 365 aviseringar, AIR-undersökningar och väntande åtgärder från undersökningar läggs automatiskt till i incidenter.

• Om AIR-undersökningen inte hittar något hot löser systemet automatiskt relaterade aviseringar Om alla aviseringar i en incident har lösts ändras även incidentstatusen till Löst.

• Relaterade bevis- och svarsåtgärder aggregeras automatiskt på fliken Bevis och svar för incidenten.

• Medlemmar i säkerhetsteamet kan vidta åtgärder direkt från incidenterna. De kan till exempel mjuk borttagning av e-post i postlådor eller ta bort misstänkta inkorgsregler från postlådor.

• Rekommenderade e-poståtgärder skapas endast när den senaste leveransplatsen för ett skadligt e-postmeddelande är en molnpostlåda.

• Väntande e-poståtgärder uppdateras baserat på den senaste leveransplatsen. Om e-postmeddelandet redan har åtgärdats av en manuell åtgärd visar statusen detta.

• Rekommenderade åtgärder skapas endast för e-post- och e-postkluster som bedöms vara de mest kritiska hoten:

  • Malware
  • Nätfiske med hög konfidens
  • Skadliga URL:er
  • Skadliga filer

Obs!

Incidenter representerar inte bara statiska händelser. De representerar också angreppsberättelser som inträffar över tid. När attacken fortskrider läggs nya Defender för Office 365 aviseringar, AIR-undersökningar och deras data kontinuerligt till i den befintliga incidenten.

Hantera incidenter på sidan Incidenter i Microsoft Defender-portalen på https://security.microsoft.com/incidents-queue:

Hantera incidenter på sidan Incidenter i Microsoft Sentinel på https://portal.azure.com/#blade/HubsExtension/BrowseResource/resourceType/microsoft.securityinsightsarg%2Fsentinel:

Svarsåtgärder att vidta

Säkerhetsteam kan vidta en mängd olika svarsåtgärder på e-post med hjälp av Defender för Office 365 verktyg:

• Du kan ta bort meddelanden, men du kan också vidta följande åtgärder för e-post:

  • Flytta till inkorgen
  • Flytta till skräppost
  • Flytta till borttagna objekt
  • Mjuk borttagning
  • Hård borttagning.

  Du kan vidta dessa åtgärder från följande platser:

  • Fliken Bevis och svar från informationen om incidenten på sidan Incidenter ** på https://security.microsoft.com/incidents-queue (rekommenderas).
  • Threat Explorer på https://security.microsoft.com/threatexplorer.
  • Det enhetliga åtgärdscentret på https://security.microsoft.com/action-center/pending.

• Du kan starta en AIR-spelbok manuellt i alla e-postmeddelanden med hjälp av åtgärden Trigger investigation (Utlösa undersökning ) i Threat Explorer.

• Du kan rapportera falska positiva eller falska negativa identifieringar direkt till Microsoft med hotutforskaren eller administratörsöverföringar.

• Du kan blockera oupptäckta skadliga filer, URL:er eller avsändare med hjälp av listan Tillåt/blockera klientorganisation.

Åtgärder i Defender för Office 365 integreras sömlöst i jaktupplevelser och åtgärdshistoriken visas på fliken Historik i det enhetliga åtgärdscentret på https://security.microsoft.com/action-center/history.

Det mest effektiva sättet att vidta åtgärder är att använda den inbyggda integreringen med incidenter i Microsoft Defender XDR. Du kan godkänna de åtgärder som rekommenderades av AIR i Defender för Office 365 på fliken Bevis och svar för en incident i Microsoft Defender XDR. Den här metoden för att fästa åtgärder rekommenderas av följande skäl:

• Du undersöker hela attackberättelsen.
• Du kan dra nytta av den inbyggda korrelationen med andra arbetsbelastningar: Microsoft Defender för Endpoint, Microsoft Defender for Identity och Microsoft Defender for Cloud Apps.
• Du vidtar åtgärder på e-post från en enda plats.

Du vidtar åtgärder på e-post baserat på resultatet av en manuell undersökning eller jaktaktivitet. Med Threat Explorer kan medlemmar i säkerhetsteamet vidta åtgärder för e-postmeddelanden som fortfarande kan finnas i molnpostlådor. De kan vidta åtgärder för meddelanden inom organisationen som har skickats mellan användare i din organisation. Threat Explorer-data är tillgängliga för de senaste 30 dagarna.

Titta på den här korta videon och lär dig hur Microsoft Defender XDR kombinerar aviseringar från olika identifieringskällor, till exempel Defender för Office 365, till incidenter.