Automatisk undersökning och svar (AIR) i Microsoft Defender för Office 365
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för
Microsoft Defender för Office 365 innehåller kraftfulla funktioner för automatisk undersökning och svar (AIR) som sparar tid och arbete från dina säkerhetsåtgärder. När aviseringar utlöses är det upp till ditt säkerhetsteam att granska, prioritera och svara på dessa aviseringar. Det kan vara överväldigande att hålla koll på mängden inkommande aviseringar. Att automatisera vissa av dessa uppgifter kan vara till hjälp.
AIR gör att ditt säkerhetsteam kan samarbeta mer effektivt. AIR-funktioner omfattar automatiserade undersökningsprocesser som svar på välkända hot som finns idag. Lämpliga åtgärdsåtgärder väntar på godkännande, vilket gör det möjligt för teamet med säkerhetsåtgärder att agera effektivt mot identifierade hot. Med AIR kan ditt säkerhetsteam fokusera på uppgifter med högre prioritet utan att viktiga aviseringar som utlöses går förlorade.
I den här artikeln beskrivs:
- Det övergripande flödet av AIR;
- Skaffa AIR; och
- Behörighet som krävs för att konfigurera eller använda AIR-funktioner.
- Ändringar som kommer snart till din Microsoft 365 Defender portal
Den här artikeln innehåller även nästa steg, och resurser för mer information.
Den övergripande flödet av AIR
En avisering utlöses och en säkerhetsspelbok startar en automatiserad undersökning, som resulterar i resultat och rekommenderade åtgärder. Här är det övergripande flödet av AIR, steg för steg:
- En automatiserad undersökning initieras på något av följande sätt:
- Antingen utlöses en avisering av något misstänkt i e-postmeddelanden (t.ex. ett meddelande, en bifogad fil, en URL eller ett komprometterat användarkonto). En incident skapas och en automatisk undersökning påbörjas. eller
- En säkerhetsanalytiker startar en automatiserad undersökning med hjälp av Utforskaren.
- Även om en automatiserad undersökning körs samlar den in data om e-postmeddelandet i fråga och enheter relaterade till e-postmeddelandet. Sådana enheter kan inkludera filer, URL:er och mottagare. Undersökningens omfattning kan öka allt eftersom nya och relaterade aviseringar utlöses.
- Under och efter en automatiserad undersökning finns information och resultat tillgängliga att visa. Resultaten omfattar rekommenderade åtgärder som kan vidtas för att svara på och åtgärda eventuella hot som hittades.
- Din säkerhetsgrupp granskar undersökningsresultatet och rekommendationerna och godkänner eller avvisar åtgärder.
- När väntande åtgärder godkänns (eller avvisas) slutförs den automatiska undersökningen.
I Microsoft Defender Office 365 åtgärder vidtas inga åtgärder automatiskt. Åtgärdsåtgärder vidtas endast efter godkännande av organisationens säkerhetsteam. MED AIR-funktioner sparar du din grupptid för säkerhetsåtgärder genom att identifiera åtgärdsåtgärder och tillhandahålla den information som behövs för att fatta ett välgrundat beslut.
Under och efter varje automatisk undersökning kan ditt säkerhetsteam:
- Visa information om en avisering relaterad till en undersökning
- Visa resultatinformation för en undersökning
- Granska och godkänna åtgärder som ett resultat av en undersökning
Tips
En mer detaljerad översikt finns i Hur AIR fungerar.
Skaffa AIR
AIR-funktionerna ingår i Microsoft Defender för Office 365,förutsatt att dina principer och aviseringar har konfigurerats. Behöver du hjälp? Följ instruktionerna i Skydda mot hot för att konfigurera eller konfigurera följande skyddsinställningar:
- Granskningsloggning (ska aktiveras)
- Skydd mot skadlig kod
- Skydd mot nätfiske
- Skydd mot skräppost
- Valv länkar och Valv bilagor
Dessutom bör du granska organisationens aviseringsprinciper,särskilt standardprinciperna i kategorin Hothantering.
Vilka aviseringsprinciper utlöser automatiska undersökningar?
Microsoft 365 innehåller många inbyggda aviseringsprinciper som hjälper till att identifiera Exchange administratörsbehörighets missbruk, skadlig programvara, potentiella externa och interna hot och informationsstyrningsrisker. Flera av standardaviseringsprinciperna kan utlösa automatiska undersökningar. I följande tabell beskrivs aviseringarna som utlöser automatiska undersökningar, deras allvarlighetsgrad i Microsoft 365 Defender och hur de genereras:
| Varning | Allvarlighetsgrad | Så här genereras aviseringen |
|---|---|---|
| Ett potentiellt skadligt URL-klick upptäcktes | Hög | Den här aviseringen genereras när något av följande inträffar:
Mer information om händelser som utlöser den här aviseringen finns i Konfigurera Valv Principer för länkar. |
| Ett e-postmeddelande rapporteras av en användare som skadlig kod eller nätt | Informativ | Den här varningen genereras när användare i organisationen rapporterar meddelanden som nätfiskemeddelanden med hjälp av tilläggen Rapportmeddelande eller Rapportera nätfiske. |
| E-postmeddelanden som innehåller skadlig programvara tas bort efter leverans | Informativ | Den här aviseringen genereras när e-postmeddelanden som innehåller skadlig programvara levereras till postlådor i organisationen. Om den här händelsen inträffar tar Microsoft bort de smittade meddelandena Exchange Online postlådor med zap (zero-hour auto purge). |
| E-postmeddelanden som innehåller webbadresser tas bort efter leverans | Informativ | Den här aviseringen genereras när några meddelanden som innehåller phish levereras till postlådor i din organisation. Om detta inträffar tar Microsoft bort de smittade meddelandena från Exchange Online postlådor med ZAP. |
| Mönster för att skicka misstänkta e-postmeddelanden identifieras | Medel | Den här aviseringen genereras när någon i organisationen har skickat misstänkta e-postmeddelanden och riskerar att bli begränsad från att skicka e-post. Aviseringen är en tidig varning för beteende som kan indikera att kontot har komprometterats, men inte tillräckligt allvarligt för att begränsa användaren. Även om det är ovanligt kan en varning som genereras av den här principen vara en avvikande avvikelse. Du bör dock kontrollera om användarkontot har komprometterats. |
| En användare är begränsad från att skicka e-post | Hög | Den här aviseringen genereras när någon i din organisation är begränsad från att skicka utgående e-post. Den här aviseringen resulterar vanligtvis när ett e-postkonto har komprometterats. Mer information om begränsade användare finns i Ta bort blockerade användare från portalen Begränsade användare i Microsoft 365. |
Tips
Mer information om aviseringsprinciper och om att redigera standardinställningarna finns i Aviseringsprinciper i Microsoft 365 Efterlevnadscenter.
Behörighet som krävs för att använda AIR-funktioner
Behörigheter beviljas genom vissa roller, till exempel de som beskrivs i följande tabell:
| Uppgift | Roll(er) krävs |
|---|---|
| Konfigurera AIR-funktioner | En av följande roller:
De här rollerna kan tilldelas i Azure Active Directory eller i Microsoft 365 Defender portal. |
| Starta en automatiserad undersökning --- eller --- Godkänna eller avvisa rekommenderade åtgärder |
En av följande roller, tilldelad i Azure Active Directory eller i Microsoft 365 Defender portalen:
|
Licenser som krävs
Licenser för Microsoft Defender Office 365 abonnemang 2 bör tilldelas till:
- Säkerhetsadministratörer (inklusive globala administratörer)
- Organisationens team för säkerhetsåtgärder (inklusive säkerhetsläsare och de med rollen Sök och Rensning)
- Slutanvändare:
Ändringar kommer snart i Microsoft 365 Defender portalen
Om du redan använder AIR-funktionerna i Microsoft Defender för Office 365 kommer du att se några ändringar i den förbättrade Microsoft 365 Defender portalen.
Den nya och förbättrade https://security.microsoft.com Microsoft 365 Defender-portalen sammanför AIR-funktioner i Microsoft Defender för Office 365 och i Microsoft Defender för slutpunkt. Med de här uppdateringarna och förbättringarna kommer säkerhetsgruppen att kunna visa information om automatiska undersökningar och åtgärder som gäller för e-post, samarbetsinnehåll, användarkonton och enheter, allt på ett och samma ställe.
Tips
Den nya Microsoft 365 Defender-portalen ersätter följande administrationscenter:
- Säkerhets- & efterlevnadscenter ( https://protection.office.com )
- Microsoft 365 Defender ( https://security.microsoft.com )
Förutom att URL-adressen ändras finns ett nytt utseende som är utformat för att ge din säkerhetsgrupp en mer smidig upplevelse, med synlighet för fler identifieringar av hot på ett och samma ställe.
Vad du kan förvänta dig
Följande tabell innehåller ändringar och förbättringar som kommer till AIR i Microsoft Defender för Office 365.
| Objekt | Vad är det som förändras? |
|---|---|
| Sidan Undersökningar | Den uppdaterade sidan undersökningar överensstämmer bättre med vad du ser i Microsoft Defender för Slutpunkt. Du kommer att se några allmänna format- och ändringsändringar som överensstämmer med den nya, enhetliga vyn Undersökningar. Undersökningsdiagrammet har till exempel ett mer enhetligt format. |
| Fliken Användare | Fliken Användare är nu fliken Postlådor. Information om användare visas på fliken Postlåda. |
| Fliken E-post | Fliken E-post har tagits bort. Gå till fliken Enheter om du vill se en lista över e-post- och e-postkluster. |
| Fliken Enheter | Fliken Enheter har ett flikformat med en sammanfattningsvy och möjligheten att filtrera efter entitetstyp. Fliken Enheter innehåller nu alternativet Sök efter förutom alternativet Öppna i Utforskaren. Nu kan du använda Utforskaren eller avancerad sökning för att hitta enheter och hot och filtrera på resultat. |
| Fliken Åtgärder | Den uppdaterade fliken Åtgärder innehåller nu fliken Väntande åtgärder och fliken Åtgärdshistorik. Åtgärder kan godkännas (eller avvisas) i ett sidofönster som öppnas när du väljer en väntande åtgärd. |
| Fliken Bevis | På den nya fliken Bevis visas nyckelentitetsresultat som är relaterade till åtgärder. Åtgärder relaterade till varje bevis kan godkännas (eller avvisas) i ett sidofönster som öppnas när du väljer en väntande åtgärd. |
| Åtgärdscenter | I det uppdaterade åtgärdscentret https://security.microsoft.com/action-center () samlas väntande och slutförda åtgärder via e-post, enheter och identiteter. Mer information finns i Åtgärdscenter. (Mer information finns i Åtgärdscenter.) |
| Sidan Incidenter | Sidan Incidenter korrelerar nu flera undersökningar för att ge en bättre konsoliderad vy över undersökningar. (Läs mer om incidenter.) |