Undersökning och svar på hot
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för
Med funktionerna för undersökning av hot och svar i Microsoft Defender för Office 365 kan säkerhetsanalytiker och administratörer skydda organisationens Microsoft 365 för företagsanvändare genom att:
- Göra det enkelt att identifiera, övervaka och förstå cyberattacker
- Hjälper dig att snabbt hantera hot i Exchange Online, SharePoint Online, OneDrive för företag och Microsoft Teams
- Tillhandahålla insikter och kunskaper för att hjälpa säkerhetsåtgärder förhindra cyberattacker mot organisationen
- Använda automatisk undersökning och svar i Office 365 för kritiska e-postbaserade hot
Funktioner för undersökning av hot och svar ger insikter i hot och relaterade svarsåtgärder som är tillgängliga i Microsoft 365 Defender portalen. De här insikterna kan hjälpa organisationens säkerhetsteam att skydda användare från e-post- eller filbaserade attacker. Funktionerna hjälper till att övervaka signaler och samla in data från flera källor, till exempel användaraktivitet, autentisering, e-post, komprometterade datorer och säkerhetstillbud. Beslutsfattare och ditt säkerhetsteam kan använda den här informationen för att förstå och reagera på hot mot organisationen och skydda din immateriella egendom.
Bekanta dig med undersökning av hot och svarsverktyg
Funktionerna för undersökning av hot och svar finns på Microsoft 365 Defender-portalen, som en uppsättning verktyg och svarsarbetsflöden, inklusive följande:
Explorer
Använd Utforskaren (och identifieringar i realtid) för att analysera hot, se mängden attacker över tid och analysera data efter hotfamiljer, attackersinfrastruktur och mycket mer. Utforskaren (kallas även Threat Explorer) är startpunkten för alla säkerhetsanalytikers arbetsflöde för undersökning.
Du kan visa och använda den här rapporten i Microsoft 365 Defender-portalen i Utforskaren för & e-postsamarbete. >
Incidenter
Använd listan Incidenter (kallas även Undersökningar) om du vill se en lista över säkerhetsincidenter för flyg. Incidenter används för att spåra hot som misstänkta e-postmeddelanden och för ytterligare undersökning och åtgärd.
Om du vill visa en lista över aktuella incidenter för organisationen går du Microsoft 365 Defender till Incidenter i & > incidenter.
Attacksimuleringsutbildning
Använd utbildning för att skapa och köra realistiska cyberattacker i organisationen och identifiera sårbara personer innan en verklig cyberattacker påverkar ditt företag. Mer information finns i Simulera nätfiskeattacker.
Du kan visa och använda den här funktionen i Microsoft 365 Defender-portalen genom att gå & e-& av samarbete > Attack simuleringsutbildning.
Automatiska undersökningar och svar
Använd funktioner för automatisk undersökning och svar (AIR) för att spara tid och arbete för att korrelera innehåll, enheter och personer som riskerar från hot i organisationen. AIR-processer kan börja när vissa aviseringar utlöses eller när de startas av ditt team för säkerhetsåtgärder. Mer information finns i automatiserad undersökning och svar i Office 365.
Widgetar för hotinformation
Som en del av Microsoft Defender för Office 365 plan 2-erbjudandet kan säkerhetsanalytiker granska information om ett känt hot. Det är användbart för att avgöra om det finns ytterligare preventativa åtgärder/steg som kan vidtas för att skydda användarna.
Hur får vi de här funktionerna?
Microsoft 365 funktioner för undersökning av hot och svar ingår i Microsoft Defender för Office 365 abonnemang 2, som ingår i Enterprise E5 eller som ett tillägg till vissa prenumerationer. Mer information finns i Defender för Office 365 abonnemang 1 och abonnemang 2.
Roller och behörigheter som krävs
I Microsoft Defender Office 365 för företag används rollbaserad åtkomstkontroll. Behörigheter tilldelas via vissa roller i Azure Active Directory, Administrationscenter för Microsoft 365 och Microsoft 365 Defender portal.
Tips
Även om vissa roller, till exempel säkerhetsadministratör, kan tilldelas i Microsoft 365 Defender-portalen kan du använda antingen Administrationscenter för Microsoft 365 eller Azure Active Directory stället. Mer information om roller, rollgrupper och behörigheter finns i följande resurser:
| Aktivitet | Roller och behörigheter |
|---|---|
| Använd instrumentpanelen för & Vulnerability Management (eller den nya säkerhetspanelen) Visa information om de senaste eller aktuella hoten |
Något av följande:
De här rollerna kan tilldelas i Azure Active Directory ( https://portal.azure.com ) eller i Administrationscenter för Microsoft 365 ( https://admin.microsoft.com ). |
| Använd Utforskaren (och identifieringar i realtid) för att analysera hot | Något av följande:
De här rollerna kan tilldelas i Azure Active Directory ( https://portal.azure.com ) eller i Administrationscenter för Microsoft 365 ( https://admin.microsoft.com ). |
| Visa incidenter (kallas även undersökningar) Lägga till e-postmeddelanden till ett incident |
Något av följande:
De här rollerna kan tilldelas i Azure Active Directory ( https://portal.azure.com ) eller i Administrationscenter för Microsoft 365 ( https://admin.microsoft.com ). |
| Utlösa e-poståtgärder för ett incident Hitta och ta bort misstänkta e-postmeddelanden |
Något av följande:
Rollerna Global administratör och Säkerhetsadministratör kan tilldelas i antingen Azure Active Directory ( https://portal.azure.com ) eller i Administrationscenter för Microsoft 365 ( https://admin.microsoft.com ). Rollen Sök och rensning måste ha tilldelats i rollerna för e& och samarbete i Microsoft 36 Defender-portalen https://security.microsoft.com (). |
| Integrera Microsoft Defender för Office 365 abonnemang 2 med Microsoft Defender för Slutpunkt Integrera Microsoft Defender för Office 365 abonnemang 2 med en SIEM-server |
Antingen global administratör eller säkerhetsadministratörsroll som tilldelats i antingen Azure Active Directory ( https://portal.azure.com ) eller Administrationscenter för Microsoft 365 ( https://admin.microsoft.com ). --- plus --- En lämplig roll tilldelad i ytterligare program (till exempel Microsoft Defender Säkerhetscenter eller SIEM-servern). |