Undersökning och svar på hotThreat investigation and response

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig.The improved Microsoft 365 security center is now available. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Läs om de senaste.Learn what's new.

Gäller förApplies To

Med funktionerna för undersökning av hot och svar i Microsoft Defender för Office 365 kan säkerhetsanalytiker och administratörer skydda organisationens Microsoft 365 för företagsanvändare genom att:Threat investigation and response capabilities in Microsoft Defender for Office 365 help security analysts and administrators protect their organization's Microsoft 365 for business users by:

  • Göra det enkelt att identifiera, övervaka och förstå cyberattackerMaking it easy to identify, monitor, and understand cyberattacks
  • Hjälper dig att snabbt hantera hot i Exchange Online, SharePoint Online, OneDrive för företag och Microsoft TeamsHelping to quickly address threats in Exchange Online, SharePoint Online, OneDrive for Business and Microsoft Teams
  • Tillhandahålla insikter och kunskaper för att hjälpa säkerhetsåtgärder förhindra cyberattacker mot organisationenProviding insights and knowledge to help security operations prevent cyberattacks against their organization
  • Använda automatisk undersökning och svar i Office 365 för kritiska e-postbaserade hotEmploying automated investigation and response in Office 365 for critical email-based threats

Funktionerna för undersökning av hot och svar ger insikter i hot och relaterade svarsåtgärder som är tillgängliga i Säkerhets- & efterlevnadscenter.Threat investigation and response capabilities provide insights into threats and related response actions that are available in the Security & Compliance Center. De här insikterna kan hjälpa organisationens säkerhetsteam att skydda användare från e-post- eller filbaserade attacker.These insights can help your organization's security team protect users from email- or file-based attacks. Funktionerna hjälper till att övervaka signaler och samla in data från flera källor, till exempel användaraktivitet, autentisering, e-post, komprometterade datorer och säkerhetstillbud.The capabilities help monitor signals and gather data from multiple sources, such as user activity, authentication, email, compromised PCs, and security incidents. Beslutsfattare och ditt säkerhetsteam kan använda den här informationen för att förstå och reagera på hot mot organisationen och skydda din immateriella egendom.Business decision makers and your security operations team can use this information to understand and respond to threats against your organization and protect your intellectual property.

Bekanta dig med undersökning av hot och svarsverktygGet acquainted with threat investigation and response tools

Funktionerna för undersökning av hot och svar finns i Säkerhets- & säkerhets- och efterlevnadscenter, som en uppsättning verktyg och svarsarbetsflöden, inklusive följande:Threat investigation and response capabilities surface in the Security & Compliance Center, as a set of tools and response workflows, including the following:

Instrumentpanelen för hotThreat dashboard

Använd instrumentpanelen för hot (kallas även för säkerhetsinstrumentpanel) för att snabbt se vilka hot som har åtgärdats och som ett visuellt sätt att rapportera till beslutsfattare om hur Microsoft 365 skyddar ditt företag.Use the Threat dashboard (this is also referred to as the Security dashboard) to quickly see what threats have been addressed, and as a visual way to report to business decision makers how Microsoft 365 services are securing your business.

Instrumentpanelen för hot

Om du vill visa och använda den här instrumentpanelen går du & Säkerhets- och efterlevnadscenter på Instrumentpanelen för > hothantering.To view and use this dashboard, in the Security & Compliance Center, go to Threat management > Dashboard.

HotutforskarenThreat Explorer

Använd Threat Explorer (och identifieringar i realtid) för att analysera hot, se mängden attacker över tid och analysera data efter hotfamiljer, attackers infrastruktur och mycket mer.Use Threat Explorer (and real-time detections) to analyze threats, see the volume of attacks over time, and analyze data by threat families, attacker infrastructure, and more. Threat Explorer (kallas även Utforskaren) är startpunkten för alla säkerhetsanalytikers arbetsflöde för undersökning.Threat Explorer (also referred to as Explorer) is the starting place for any security analyst's investigation workflow.

Hotutforskaren

Om du vill visa och använda den här rapporten går du & Säkerhets- och efterlevnadscenter i Utforskaren för > hothantering.To view and use this report, in the Security & Compliance Center, go to Threat management > Explorer.

IncidenterIncidents

Använd listan Incidenter (kallas även Undersökningar) om du vill se en lista över säkerhetsincidenter för flyg.Use the Incidents list (this is also called Investigations) to see a list of in flight security incidents. Incidenter används för att spåra hot som misstänkta e-postmeddelanden och för ytterligare undersökning och åtgärd.Incidents are used to track threats such as suspicious email messages, and to conduct further investigation and remediation.

Lista över aktuella hotincidenter i Office 365

Om du vill visa en lista över aktuella incidenter för organisationen går du & Säkerhets- och efterlevnadscenter på Granska incidenter för > > hothantering.To view the list of current incidents for your organization, in the Security & Compliance Center, go to Threat management > Review > Incidents.

Välj Granskning av hothantering i & säkerhets- och > efterlevnadscenter

AttacksimulatorAttack Simulator

Använd Attack Attack För att konfigurera och köra realistiska cyberattacker i organisationen och identifiera sårbara personer innan en verklig cyberattack påverkar ditt företag.Use Attack Simulator to set up and run realistic cyberattacks in your organization, and identify vulnerable people before a real cyberattack affects your business. Mer information finns i Attack Attack in Office 365.To learn more, see Attack Simulator in Office 365.

Automatiska undersökningar och svarAutomated investigation and response

Använd funktioner för automatisk undersökning och svar (AIR) för att spara tid och arbete för att korrelera innehåll, enheter och personer som riskerar från hot i organisationen.Use automated investigation and response (AIR) capabilities to save time and effort correlating content, devices, and people at risk from threats in your organization. AIR-processer kan börja när vissa aviseringar utlöses eller när de startas av ditt team för säkerhetsåtgärder.AIR processes can begin whenever certain alerts are triggered, or when started by your security operations team. Mer information finns i automatiserad undersökning och svar i Office 365.To learn more, see automated investigation and response in Office 365.

Widgetar för hotinformationThreat intelligence widgets

Som en del av Microsoft Defender för Office 365 plan 2-erbjudandet kan säkerhetsanalytiker granska information om ett känt hot.As part of the Microsoft Defender for Office 365 Plan 2 offering, security analysts can review details about a known threat. Det är användbart för att avgöra om det finns ytterligare preventativa åtgärder/steg som kan vidtas för att skydda användarna.This is useful to determine whether there are additional preventative measures/steps that can be taken to keep users safe.

Säkerhetstrender som visar information om de senaste hoten

Hur får vi de här funktionerna?How do we get these capabilities?

Microsoft 365 funktioner för undersökning av hot och svar ingår i Microsoft Defender för Office 365 abonnemang 2, som ingår i Enterprise E5 eller som ett tillägg till vissa prenumerationer.Microsoft 365 threat investigation and response capabilities are included in Microsoft Defender for Office 365 Plan 2, which is included in Enterprise E5 or as an add-on to certain subscriptions. Mer information finns i Defender för Office 365 abonnemang 1 och abonnemang 2.To learn more, see Defender for Office 365 Plan 1 and Plan 2.

Roller och behörigheter som krävsRequired roles and permissions

Microsoft Defender för Office 365 använder rollbaserad åtkomstkontroll.Microsoft Defender for Office 365 uses role-based access control. Behörigheter tilldelas via vissa roller Azure Active Directory, administrationscentret Microsoft 365 och Säkerhets- & säkerhets- och efterlevnadscenter.Permissions are assigned through certain roles in Azure Active Directory, the Microsoft 365 admin center, or the Security & Compliance Center.

Tips

Även om vissa roller, till exempel säkerhetsadministratören, kan tilldelas i säkerhets- och efterlevnadscentret för & kan du överväga att använda antingen administrationscentret Microsoft 365 eller Azure Active Directory i stället.Although some roles, such as Security Administrator, can be assigned in the Security & Compliance Center, consider using either the Microsoft 365 admin center or Azure Active Directory instead. Mer information om roller, rollgrupper och behörigheter finns i följande resurser:For information about roles, role groups, and permissions, see the following resources:


AktivitetActivity Roller och behörigheterRoles and permissions
Använd instrumentpanelen för hot (eller den nya säkerhetspanelen)Use the Threat dashboard (or the new Security dashboard)

Visa information om de senaste eller aktuella hotenView information about recent or current threats

Något av följande:One of the following:
  • Global administratörGlobal Administrator
  • SäkerhetsadministratörSecurity Administrator
  • SäkerhetsläsareSecurity Reader

De här rollerna kan tilldelas i Azure Active Directory ( https://portal.azure.com ) eller administrationscentret Microsoft 365 ( https://admin.microsoft.com ).These roles can be assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

Använd Threat Explorer (och identifieringar i realtid) för att analysera hotUse Threat Explorer (and real-time detections) to analyze threats Något av följande:One of the following:
  • Global administratörGlobal Administrator
  • SäkerhetsadministratörSecurity Administrator
  • SäkerhetsläsareSecurity Reader

De här rollerna kan tilldelas i Azure Active Directory ( https://portal.azure.com ) eller administrationscentret Microsoft 365 ( https://admin.microsoft.com ).These roles can be assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

Visa incidenter (kallas även undersökningar)View Incidents (also referred to as Investigations)

Lägga till e-postmeddelanden till ett problemAdd email messages to an incident

Något av följande:One of the following:
  • Global administratörGlobal Administrator
  • SäkerhetsadministratörSecurity Administrator
  • SäkerhetsläsareSecurity Reader

De här rollerna kan tilldelas i Azure Active Directory ( https://portal.azure.com ) eller administrationscentret Microsoft 365 ( https://admin.microsoft.com ).These roles can be assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

Utlösa e-poståtgärder i ett incidentTrigger email actions in an incident

Hitta och ta bort misstänkta e-postmeddelandenFind and delete suspicious email messages

Något av följande:One of the following:
  • Global administratörGlobal Administrator
  • Säkerhetsadministratör plus rollen Sök och rensningSecurity Administrator plus the Search and Purge role

Rollerna Global administratör och Säkerhetsadministratör kan tilldelas i antingen Azure Active Directory ( https://portal.azure.com ) eller i administrationscentret Microsoft 365 ( https://admin.microsoft.com ).The Global Administrator and Security Administrator roles can be assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

Rollen Sök och rensning måste vara tilldelad i Säkerhets- och & https://protection.office.com ().The Search and Purge role must be assigned in the Security & Compliance Center (https://protection.office.com).

Integrera Microsoft Defender för Office 365 abonnemang 2 med Microsoft Defender för SlutpunktIntegrate Microsoft Defender for Office 365 Plan 2 with Microsoft Defender for Endpoint

Integrera Microsoft Defender för Office 365 abonnemang 2 med en SIEM-serverIntegrate Microsoft Defender for Office 365 Plan 2 with a SIEM server

Rollen Global administratör eller Säkerhetsadministratör som tilldelats i antingen Azure Active Directory ( ) eller https://portal.azure.com administrationscentret Microsoft 365 ( https://admin.microsoft.com ).Either the Global Administrator or the Security Administrator role assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

--- plus --- --- plus ---

En lämplig roll tilldelad i ytterligare program (till exempel Microsoft Defender Säkerhetscenter eller SIEM-servern).An appropriate role assigned in additional applications (such as Microsoft Defender Security Center or your SIEM server).

Nästa stegNext steps