Microsoft 365 Defender 中的自动调查和响应

  • 项目

备注

希望体验 Microsoft 365 Defender? 详细了解如何评估和试点Microsoft 365 Defender

适用于:

  • Microsoft 365 Defender

如果组织使用Microsoft 365 Defender,则每当检测到恶意或可疑活动或项目时,安全运营团队都会在Microsoft 365 Defender门户中收到警报。 鉴于可能出现的威胁似乎永无止境,安全团队通常面临着应对大量警报的挑战。 幸运的是,Microsoft 365 Defender包括自动调查和响应 (AIR) 功能,可帮助安全运营团队更高效、更有效地应对威胁。

本文概述了 AIR,并包含指向后续步骤和其他资源的链接。

自动化调查和自我修复的工作原理

在触发安全警报时,安全操作团队将负责调查这些警报,并采取措施保护组织。 对警报进行优先级划分和调查可能会非常耗时,如果在调查期间不断发出新警报,则尤为如此。 安全运营团队可能对必须监视和防范的大量威胁感到不知所措。 自动调查和响应功能,通过自我修复,在Microsoft 365 Defender可以帮助。

观看以下视频,了解自我修复的工作原理:

在Microsoft 365 Defender中,使用自我修复功能的自动调查和响应可在设备、电子邮件&内容和标识之间工作。

提示

本文介绍自动调查和响应的工作原理。 若要配置这些功能,请参阅Microsoft 365 Defender中配置自动调查和响应功能

你自己的虚拟分析师

Imagine第 1 层或第 2 层安全运营团队中拥有虚拟分析师。 虚拟分析师模仿安全运营团队调查和修正威胁所采取的理想步骤。 虚拟分析师可以使用 24x7,容量不受限制,并承担大量的调查和威胁修正。 此类虚拟分析师可以显著减少响应时间,从而为其他重要威胁或战略项目释放安全运营团队。 如果这个场景听起来像科幻小说, 不是! 此类虚拟分析师是Microsoft 365 Defender套件的一部分,其名称是 自动调查和响应

自动调查和响应功能使安全运营团队能够大幅提高组织处理安全警报和事件的能力。 通过自动调查和响应,可以降低处理调查和响应活动的成本,并充分利用威胁防护套件。 自动调查和响应功能通过以下方式帮助安全运营团队:

  1. 确定是否需要针对某个威胁采取行动。
  2. 执行(或建议执行)任何必要的修正操作。
  3. 确定是否应执行其他调查以及应执行哪些其他调查。
  4. 根据需要对其他警报重复此流程。

自动调查流程

警报会创建一个事件,该事件可以启动自动调查。 自动调查结果为每一件证据做出判决。 判决可以是:

  • 恶意
  • 可疑
  • 未发现威胁

识别恶意或可疑实体的修正操作。 修正操作的示例包括:

  • 将文件发送到隔离区
  • 停止进程
  • 正在隔离设备
  • 阻止 URL
  • 其他操作

有关详细信息,请参阅Microsoft 365 Defender中的修正操作

根据为组织 配置自动调查和响应功能的方式 ,修正操作是自动执行的,或者仅在安全运营团队批准后才执行。 操作 中心中列出了所有操作(无论是挂起还是已完成)。

运行调查时,出现的所有其他相关警报将被添加到调查中,直到调查完成。 如果在其他位置看到受影响的实体,则自动调查会扩展其范围以包含该实体,并且重复调查流程。

在Microsoft 365 Defender中,每个自动调查都会将Microsoft Defender for Identity、Microsoft Defender for Endpoint和Microsoft Defender for Office 365,如下表所述:

实体 威胁防护服务
设备 (也称为终结点或计算机) Defender for Endpoint
本地 Active Directory 用户、实体行为和活动 Defender for Identity
电子邮件内容 (可以包含文件和 URL 的电子邮件) Defender for Office 365

备注

并非每个警报都会触发自动调查,而不是每个调查都会导致自动修正操作。 这取决于如何为组织配置自动调查和响应。 请参阅 配置自动调查和响应功能

查看调查列表

若要查看调查,请转到 "事件" 页。 选择事件,然后选择" 调查 "选项卡。若要了解详细信息,请参阅 自动化调查的详细信息和结果

针对安全分析师的培训

使用 Microsoft Learn 中的此学习模块了解Microsoft 365 Defender如何使用自动自我修复进行事件调查和响应。

培训: 使用 Microsoft 365 Defender 自动 self-healing
使用Microsoft 365 Defender训练图标自动自我修复。 Microsoft 365 Defender使用 AI 自动修正事件,帮助安全运营团队更高效、更有效地应对威胁。

11 分钟 - 5 个单位

开始>

后续步骤