Automatisk undersökning och svar (AIR) i Microsoft Defender för Office 365

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

Microsoft Defender för Office 365 innehåller kraftfulla funktioner för automatisk undersökning och svar (AIR) som sparar tid och arbete från dina säkerhetsåtgärder. När aviseringar utlöses är det upp till ditt säkerhetsteam att granska, prioritera och svara på dessa aviseringar. Det kan vara överväldigande att hålla koll på mängden inkommande aviseringar. Att automatisera vissa av dessa uppgifter kan vara till hjälp.

AIR gör att ditt säkerhetsteam kan samarbeta mer effektivt. AIR-funktioner omfattar automatiserade undersökningsprocesser som svar på välkända hot som finns idag. Lämpliga åtgärdsåtgärder väntar på godkännande, vilket gör det möjligt för teamet med säkerhetsåtgärder att agera effektivt mot identifierade hot. Med AIR kan ditt säkerhetsteam fokusera på uppgifter med högre prioritet utan att viktiga aviseringar som utlöses går förlorade.

I den här artikeln beskrivs:

Den här artikeln innehåller även nästa steg, och resurser för mer information.

Den övergripande flödet av AIR

En avisering utlöses och en säkerhetsspelbok startar en automatiserad undersökning, som resulterar i resultat och rekommenderade åtgärder. Här är det övergripande flödet av AIR, steg för steg:

  1. En automatiserad undersökning initieras på något av följande sätt:
  2. Även om en automatiserad undersökning körs samlar den in data om e-postmeddelandet i fråga och enheter relaterade till e-postmeddelandet. Sådana enheter kan inkludera filer, URL:er och mottagare. Undersökningens omfattning kan öka allt eftersom nya och relaterade aviseringar utlöses.
  3. Under och efter en automatiserad undersökning finns information och resultat tillgängliga att visa. Resultaten omfattar rekommenderade åtgärder som kan vidtas för att svara på och åtgärda eventuella hot som hittades.
  4. Din säkerhetsgrupp granskar undersökningsresultatet och rekommendationerna och godkänner eller avvisar åtgärder.
  5. När väntande åtgärder godkänns (eller avvisas) slutförs den automatiska undersökningen.

I Microsoft Defender Office 365 åtgärder vidtas inga åtgärder automatiskt. Åtgärdsåtgärder vidtas endast efter godkännande av organisationens säkerhetsteam. MED AIR-funktioner sparar du din grupptid för säkerhetsåtgärder genom att identifiera åtgärdsåtgärder och tillhandahålla den information som behövs för att fatta ett välgrundat beslut.

Under och efter varje automatisk undersökning kan ditt säkerhetsteam:

Tips

En mer detaljerad översikt finns i Hur AIR fungerar.

Skaffa AIR

AIR-funktionerna ingår i Microsoft Defender för Office 365,förutsatt att dina principer och aviseringar har konfigurerats. Behöver du hjälp? Följ instruktionerna i Skydda mot hot för att konfigurera eller konfigurera följande skyddsinställningar:

Dessutom bör du granska organisationens aviseringsprinciper,särskilt standardprinciperna i kategorin Hothantering.

Vilka aviseringsprinciper utlöser automatiska undersökningar?

Microsoft 365 innehåller många inbyggda aviseringsprinciper som hjälper till att identifiera Exchange administratörsbehörighets missbruk, skadlig programvara, potentiella externa och interna hot och informationsstyrningsrisker. Flera av standardaviseringsprinciperna kan utlösa automatiska undersökningar. I följande tabell beskrivs aviseringarna som utlöser automatiska undersökningar, deras allvarlighetsgrad i Microsoft 365 Defender och hur de genereras:



Varning Allvarlighetsgrad Så här genereras aviseringen
Ett potentiellt skadligt URL-klick upptäcktes Hög Den här aviseringen genereras när något av följande inträffar:
  • En användare som skyddas Valv organisationen klickar på en skadlig länk
  • Ändringar av bedömning av webbadresser identifieras av Microsoft Defender för Office 365
  • Användarna åsidosätter Valv av varningssidor för länkar (baserat på organisationens Valv Länkar.

Mer information om händelser som utlöser den här aviseringen finns i Konfigurera Valv Principer för länkar.

Ett e-postmeddelande rapporteras av en användare som skadlig kod eller nätt Informativ Den här varningen genereras när användare i organisationen rapporterar meddelanden som nätfiskemeddelanden med hjälp av tilläggen Rapportmeddelande eller Rapportera nätfiske.
E-postmeddelanden som innehåller skadlig programvara tas bort efter leverans Informativ Den här aviseringen genereras när e-postmeddelanden som innehåller skadlig programvara levereras till postlådor i organisationen. Om den här händelsen inträffar tar Microsoft bort de smittade meddelandena Exchange Online postlådor med zap (zero-hour auto purge).
E-postmeddelanden som innehåller webbadresser tas bort efter leverans Informativ Den här aviseringen genereras när några meddelanden som innehåller phish levereras till postlådor i din organisation. Om detta inträffar tar Microsoft bort de smittade meddelandena från Exchange Online postlådor med ZAP.
Mönster för att skicka misstänkta e-postmeddelanden identifieras Medel Den här aviseringen genereras när någon i organisationen har skickat misstänkta e-postmeddelanden och riskerar att bli begränsad från att skicka e-post. Aviseringen är en tidig varning för beteende som kan indikera att kontot har komprometterats, men inte tillräckligt allvarligt för att begränsa användaren.

Även om det är ovanligt kan en varning som genereras av den här principen vara en avvikande avvikelse. Du bör dock kontrollera om användarkontot har komprometterats.

En användare är begränsad från att skicka e-post Hög Den här aviseringen genereras när någon i din organisation är begränsad från att skicka utgående e-post. Den här aviseringen resulterar vanligtvis när ett e-postkonto har komprometterats.

Mer information om begränsade användare finns i Ta bort blockerade användare från portalen Begränsade användare i Microsoft 365.

Tips

Mer information om aviseringsprinciper och om att redigera standardinställningarna finns i Aviseringsprinciper i Microsoft 365 Efterlevnadscenter.

Behörighet som krävs för att använda AIR-funktioner

Behörigheter beviljas genom vissa roller, till exempel de som beskrivs i följande tabell:



Uppgift Roll(er) krävs
Konfigurera AIR-funktioner En av följande roller:
  • Global administratör
  • Säkerhetsadministratör

De här rollerna kan tilldelas i Azure Active Directory eller i Microsoft 365 Defender portal.

Starta en automatiserad undersökning

--- eller ---

Godkänna eller avvisa rekommenderade åtgärder

En av följande roller, tilldelad i Azure Active Directory eller i Microsoft 365 Defender portalen:
  • Global administratör
  • Säkerhetsadministratör
  • Säkerhetsoperatör
  • Säkerhetsläsare
    --- och ---
  • Sök och rensning (den här rollen tilldelas endast i Microsoft 365 Defender portalen. Du kan behöva skapa en ny rollgrupp & e-postsamarbete där och lägga till rollen Sök och rensa i den nya rollgruppen.

Licenser som krävs

Licenser för Microsoft Defender Office 365 abonnemang 2 bör tilldelas till:

  • Säkerhetsadministratörer (inklusive globala administratörer)
  • Organisationens team för säkerhetsåtgärder (inklusive säkerhetsläsare och de med rollen Sök och Rensning)
  • Slutanvändare:

Ändringar kommer snart i Microsoft 365 Defender portalen

Om du redan använder AIR-funktionerna i Microsoft Defender för Office 365 kommer du att se några ändringar i den förbättrade Microsoft 365 Defender portalen.

Enhetligt åtgärdscenter.

Den nya och förbättrade https://security.microsoft.com Microsoft 365 Defender-portalen sammanför AIR-funktioner i Microsoft Defender för Office 365 och i Microsoft Defender för slutpunkt. Med de här uppdateringarna och förbättringarna kommer säkerhetsgruppen att kunna visa information om automatiska undersökningar och åtgärder som gäller för e-post, samarbetsinnehåll, användarkonton och enheter, allt på ett och samma ställe.

Tips

Den nya Microsoft 365 Defender-portalen ersätter följande administrationscenter:

Förutom att URL-adressen ändras finns ett nytt utseende som är utformat för att ge din säkerhetsgrupp en mer smidig upplevelse, med synlighet för fler identifieringar av hot på ett och samma ställe.

Vad du kan förvänta dig

Följande tabell innehåller ändringar och förbättringar som kommer till AIR i Microsoft Defender för Office 365.



Objekt Vad är det som förändras?
Sidan Undersökningar Den uppdaterade sidan undersökningar överensstämmer bättre med vad du ser i Microsoft Defender för Slutpunkt. Du kommer att se några allmänna format- och ändringsändringar som överensstämmer med den nya, enhetliga vyn Undersökningar. Undersökningsdiagrammet har till exempel ett mer enhetligt format.
Fliken Användare Fliken Användare är nu fliken Postlådor. Information om användare visas på fliken Postlåda.
Fliken E-post Fliken E-post har tagits bort. Gå till fliken Enheter om du vill se en lista över e-post- och e-postkluster.
Fliken Enheter Fliken Enheter har ett flikformat med en sammanfattningsvy och möjligheten att filtrera efter entitetstyp. Fliken Enheter innehåller nu alternativet Sök efter förutom alternativet Öppna i Utforskaren. Nu kan du använda Utforskaren eller avancerad sökning för att hitta enheter och hot och filtrera på resultat.
Fliken Åtgärder Den uppdaterade fliken Åtgärder innehåller nu fliken Väntande åtgärder och fliken Åtgärdshistorik. Åtgärder kan godkännas (eller avvisas) i ett sidofönster som öppnas när du väljer en väntande åtgärd.
Fliken Bevis På den nya fliken Bevis visas nyckelentitetsresultat som är relaterade till åtgärder. Åtgärder relaterade till varje bevis kan godkännas (eller avvisas) i ett sidofönster som öppnas när du väljer en väntande åtgärd.
Åtgärdscenter I det uppdaterade åtgärdscentret https://security.microsoft.com/action-center () samlas väntande och slutförda åtgärder via e-post, enheter och identiteter. Mer information finns i Åtgärdscenter. (Mer information finns i Åtgärdscenter.)
Sidan Incidenter Sidan Incidenter korrelerar nu flera undersökningar för att ge en bättre konsoliderad vy över undersökningar. (Läs mer om incidenter.)

Nästa steg