Automatiserad undersökning och svar (AIR) i Microsoft Defender för Office 365

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Microsoft Defender för Office 365 innehåller kraftfulla funktioner för automatiserad undersökning och svar (AIR) som kan spara tid och arbete för säkerhetsteamet. När aviseringar utlöses är det upp till ditt säkerhetsteam att granska, prioritera och svara på dessa aviseringar. Det kan vara överväldigande att hålla jämna steg med mängden inkommande aviseringar. Det kan vara till hjälp att automatisera vissa av dessa uppgifter.

AIR gör att ditt säkerhetsteam kan arbeta effektivare och effektivare. Air-funktionerna omfattar automatiserade undersökningsprocesser som svar på välkända hot som finns idag. Lämpliga åtgärder väntar på godkännande, vilket gör att ditt säkerhetsåtgärdsteam kan reagera effektivt på identifierade hot. Med AIR kan ditt säkerhetsteam fokusera på uppgifter med högre prioritet utan att förlora viktiga aviseringar som utlöses ur sikte.

I den här artikeln beskrivs följande:

Den här artikeln innehåller även nästa steg och resurser för att lära dig mer.

Det övergripande flödet av AIR

En avisering utlöses och en säkerhetsspelbok startar en automatiserad undersökning, vilket resulterar i resultat och rekommenderade åtgärder. Här är det övergripande flödet av AIR, steg för steg:

  1. En automatiserad undersökning initieras på något av följande sätt:

  2. Medan en automatiserad undersökning körs samlar den in data om e-postmeddelandet i fråga och entiteter relaterade till e-postmeddelandet (till exempel filer, URL:er och mottagare). Undersökningens omfång kan öka när nya och relaterade aviseringar utlöses.

  3. Under och efter en automatiserad undersökning finns information och resultat tillgängliga att visa. Resultaten kan innehålla rekommenderade åtgärder som kan vidtas för att svara på och åtgärda eventuella befintliga hot som hittades.

  4. Ditt säkerhetsteam granskar undersökningsresultaten och rekommendationerna och godkänner eller avvisar reparationsåtgärder.

  5. När väntande åtgärder godkänns (eller avvisas) slutförs den automatiserade undersökningen.

Obs!

Om undersökningen inte resulterar i rekommenderade åtgärder stängs den automatiserade undersökningen och detaljerna om vad som granskades som en del av den automatiserade undersökningen kommer fortfarande att vara tillgängliga på undersökningssidan.

I Microsoft Defender för Office 365 vidtas inga åtgärder automatiskt. Reparationsåtgärder vidtas endast efter godkännande av organisationens säkerhetsteam. Air-funktionerna sparar tid för säkerhetsteamet genom att identifiera reparationsåtgärder och tillhandahålla den information som behövs för att fatta ett välgrundat beslut.

Under och efter varje automatiserad undersökning kan ditt säkerhetsteam:

Tips

En mer detaljerad översikt finns i Så här fungerar AIR.

Så här skaffar du AIR

AIR-funktioner ingår i Microsoft Defender för Office 365 plan 2, så länge granskningsloggning är aktiverad (den är aktiverad som standard).

Se dessutom till att granska organisationens aviseringsprinciper, särskilt standardprinciperna i kategorin Hothantering.

Vilka aviseringsprinciper utlöser automatiserade undersökningar?

Microsoft 365 innehåller många inbyggda varningsprinciper som hjälper dig att identifiera missbruk av Exchange-administratörsbehörigheter, skadlig kodaktivitet, potentiella externa och interna hot och informationsstyrningsrisker. Flera av standardaviseringsprinciperna kan utlösa automatiserade undersökningar. I följande tabell beskrivs de aviseringar som utlöser automatiserade undersökningar, deras allvarlighetsgrad i Microsoft Defender-portalen och hur de genereras:

Varning Allvarlighetsgrad Så här genereras aviseringen
Ett potentiellt skadligt URL-klick upptäcktes Högsta Den här aviseringen genereras när något av följande inträffar:
  • En användare som skyddas av säkra länkar i din organisation klickar på en skadlig länk
  • Bedömningsändringar för URL:er identifieras av Microsoft Defender för Office 365
  • Användare åsidosätter varningssidor för säkra länkar (baserat på organisationens princip för säkra länkar.

Mer information om händelser som utlöser den här aviseringen finns i Konfigurera principer för säkra länkar.
Ett e-postmeddelande rapporteras av en användare som skadlig kod eller nätfiske Låg Den här aviseringen genereras när användare i din organisation rapporterar meddelanden som nätfiske-e-post med hjälp av Microsofts rapportmeddelande eller report phishing-tillägg.
E-postmeddelanden som innehåller en skadlig fil har tagits bort efter leverans Informativ Den här aviseringen genereras när meddelanden som innehåller en skadlig fil levereras till postlådor i din organisation. Om den här händelsen inträffar tar Microsoft bort de infekterade meddelandena från Exchange Online postlådor med hjälp av automatisk rensning (ZAP) i noll timmar.
Email meddelanden som innehåller skadlig kod tas bort efter leverans Informativ Den här aviseringen genereras när e-postmeddelanden som innehåller skadlig kod levereras till postlådor i din organisation. Om den här händelsen inträffar tar Microsoft bort de infekterade meddelandena från Exchange Online postlådor med hjälp av automatisk rensning (ZAP) i noll timmar.
E-postmeddelanden som innehåller en skadlig webbadress har tagits bort efter leverans Informativ Den här aviseringen genereras när meddelanden som innehåller en skadlig URL levereras till postlådor i din organisation. Om den här händelsen inträffar tar Microsoft bort de infekterade meddelandena från Exchange Online postlådor med hjälp av automatisk rensning (ZAP) i noll timmar.
Email meddelanden som innehåller nätfiske-URL:er tas bort efter leverans Informativ Den här aviseringen genereras när meddelanden som innehåller nätfiske levereras till postlådor i din organisation. Om den här händelsen inträffar tar Microsoft bort de infekterade meddelandena från Exchange Online postlådor med hjälp av ZAP.
Misstänkta e-postsändningsmönster identifieras Medel Den här aviseringen genereras när någon i din organisation har skickat misstänkt e-post och riskerar att begränsas från att skicka e-post. Aviseringen är en tidig varning för beteende som kan tyda på att kontot är komprometterat, men inte tillräckligt allvarligt för att begränsa användaren.

Även om det är ovanligt kan en avisering som genereras av den här principen vara en avvikelse. Det är dock en bra idé att kontrollera om användarkontot har komprometterats.
En användare kan inte skicka e-post Högsta Den här aviseringen genereras när någon i din organisation är begränsad från att skicka utgående e-post. Den här aviseringen resulterar vanligtvis när ett e-postkonto komprometteras.

Mer information om begränsade användare finns i Ta bort blockerade användare från sidan Begränsade entiteter.
Admin utlöste manuell undersökning av e-post Informativ Den här aviseringen genereras när en administratör utlöser en manuell undersökning av ett e-postmeddelande från Threat Explorer. Den här aviseringen meddelar din organisation att undersökningen har startats.
Admin utlöst undersökning av användarkompromisser Medel Den här aviseringen genereras när en administratör utlöser en manuell undersökning av användarens komprometterande av antingen en e-postavsändare eller mottagare från Threat Explorer. Den här aviseringen meddelar din organisation att undersökningen av användarkompromissen har startats.

Tips

Mer information om aviseringsprinciper eller redigera standardinställningarna finns i Aviseringsprinciper i Microsoft Defender-portalen.

Behörigheter som krävs för att använda AIR-funktioner

Du måste tilldelas behörigheter för att använda AIR. Du har följande alternativ:

  • Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (påverkar endast Defender-portalen, inte PowerShell):

    • Starta en automatiserad undersökning eller godkänn eller avvisa rekommenderade åtgärder: Säkerhetsoperatör/Email avancerade reparationsåtgärder (hantera).

  • Email & samarbetsbehörigheter i Microsoft Defender-portalen:

    • Konfigurera AIR-funktioner: Medlemskap i rollgrupperna Organisationshantering eller Säkerhetsadministratör .
    • Starta en automatiserad undersökning eller godkänn eller avvisa rekommenderade åtgärder:
      • Medlemskap i rollgrupperna Organisationshantering, Säkerhetsadministratör, Säkerhetsoperatör, Säkerhetsläsare eller Global läsare . och
      • Medlemskap i en rollgrupp med rollen Search och Rensa tilldelad. Som standard tilldelas den här rollen rollgrupperna Datadetektiv och Organisationshantering . Eller så kan du skapa en anpassad rollgrupp för att tilldela rollen Search och Rensa.

  • Microsoft Entra behörigheter:

    • Konfigurera AIR-funktioner Medlemskap i rollerna Global administratör eller Säkerhetsadministratör .
    • Starta en automatiserad undersökning eller godkänn eller avvisa rekommenderade åtgärder:
      • Medlemskap i rollerna Global administratör, Säkerhetsadministratör, Säkerhetsoperatör, Säkerhetsläsare eller Global läsare . och
      • Medlemskap i en Email & samarbetsrollgrupp med rollen Search och Rensa tilldelad. Som standard tilldelas den här rollen rollgrupperna Datadetektiv och Organisationshantering . Eller så kan du skapa en anpassad Email & samarbetsrollgrupp för att tilldela rollen Search och Rensa.

    Microsoft Entra behörigheter ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.

Nödvändiga licenser

Microsoft Defender för Office 365 Plan 2-licenser ska tilldelas till:

  • Säkerhetsadministratörer (inklusive globala administratörer)
  • Organisationens säkerhetsåtgärdsteam (inklusive säkerhetsläsare och de med rollen Search och rensning)
  • Slutanvändare:

Nästa steg