Microsoft Defender for Office 365中的 AIR) (自动调查和响应

备注

希望体验 Microsoft 365 Defender? 详细了解如何评估和试点Microsoft 365 Defender

适用对象

Microsoft Defender for Office 365包括强大的自动调查和响应 (AIR) 功能,可以节省安全运营团队的时间和精力。 触发警报时,由安全运营团队来查看、确定优先级并响应这些警报。 跟上传入警报的数量可能会让人难以忍受。 自动执行其中一些任务可能会有所帮助。

AIR 使安全运营团队能够更高效、更有效地运行。 AIR 功能包括自动调查流程,以应对当前存在的已知威胁。 适当的补救措施等待批准,使安全运营团队能够有效地响应检测到的威胁。 通过 AIR,安全运营团队可以专注于优先级较高的任务,而不会忽视触发的重要警报。

本文内容:

本文还包括 后续步骤以及了解详细信息的资源。

AIR 的总体流

触发警报,安全 playbook 启动自动调查,从而导致发现结果和建议的操作。 下面是 AIR 的总体流程,分步执行以下操作:

  1. 通过以下方式之一启动自动调查:
  2. 自动调查运行时,它会收集有关相关电子邮件和与该电子邮件相关的实体的数据。 此类实体可以包括文件、URL 和收件人。 随着新警报和相关警报的触发,调查的范围可能会增加。
  3. 在自动调查期间和之后,可以查看 详细信息和结果 。 结果包括 可采取的建议操作 来响应和修正找到的任何威胁。
  4. 安全运营团队会审查 调查结果和建议,并 批准或拒绝修正操作
  5. 由于挂起的修正操作 (或) 被拒绝,自动调查完成。

在Microsoft Defender for Office 365中,不会自动执行修正操作。 只有在组织的安全团队批准后,才会执行修正操作。 AIR 功能通过识别修正操作并提供做出明智决策所需的详细信息,节省安全运营团队的时间。

每次自动调查期间和之后,安全运营团队可以:

提示

有关更详细的概述,请参阅 AIR 的工作原理

如何获取 AIR

MICROSOFT DEFENDER FOR OFFICE 365中包含 AIR 功能,前提是配置了策略和警报。 需要一些帮助? 按照《 防范威胁 》中的指南设置或配置以下保护设置:

此外,请确保 查看组织的警报策略,尤其是 威胁管理类别中的默认策略

哪些警报策略触发自动调查?

Microsoft 365提供了许多内置警报策略,可帮助识别Exchange管理员权限滥用、恶意软件活动、潜在的外部和内部威胁以及信息治理风险。 一些 默认警报策略 可以触发自动调查。 下表介绍了触发自动调查的警报、Microsoft 365 Defender门户中的严重性以及生成方式:

通知 Severity 如何生成警报
检测到潜在的恶意 URL 单击 High 发生以下任一情况时,将生成此警报:
  • 组织中受保险箱链接保护的用户单击恶意链接
  • URL 的判决更改由Microsoft Defender for Office 365标识
  • 用户根据组织的保险箱链接策略替代保险箱链接警告页面 (

有关触发此警报的事件的详细信息,请参阅设置保险箱链接策略

用户将电子邮件报告为恶意软件或网络钓鱼 信息 当组织中的用户使用 报表消息加载 项或 报表网络钓鱼加载项将邮件报告为网络钓鱼电子邮件时,会生成此警报。
传递后删除包含恶意软件的电子邮件 信息 当包含恶意软件的任何电子邮件传递到组织中的邮箱时,将生成此警报。 如果发生此事件,Microsoft 将使用零小时自动清除 (ZAP ) 从Exchange Online邮箱中删除受感染的邮件。
传递后删除包含网络钓鱼 URL 的电子邮件 信息 当任何包含网络钓鱼的消息传递到组织中的邮箱时,将生成此警报。 如果发生此事件,Microsoft 将使用 ZAP 从Exchange Online邮箱中删除受感染的邮件。
检测到可疑的电子邮件发送模式 Medium 当组织中的某人发送可疑电子邮件并面临被限制发送电子邮件的风险时,会生成此警报。 该警报是行为的早期警告,可能指示帐户遭到入侵,但不够严重,无法限制用户。

尽管这种情况很少见,但此策略生成的警报可能是异常。 但是,最好 检查用户帐户是否遭到入侵

限制用户发送电子邮件 High 当组织中的某人被限制发送出站邮件时,会生成此警报。 当 电子邮件帐户遭到入侵时,通常会出现此警报。

有关受限用户的详细信息,请参阅Microsoft 365中的受限用户门户中删除被阻止的用户

提示

若要详细了解警报策略或编辑默认设置,请 参阅 Microsoft Purview 合规性门户中的警报策略

使用 AIR 功能所需的权限

权限是通过某些角色授予的,例如下表中所述的权限:

任务 需要角色 ()
设置 AIR 功能 以下角色之一:
  • 全局管理员
  • 安全管理员

可以在Azure Active DirectoryMicrosoft 365 Defender门户中分配这些角色。

启动自动调查

--- 或 ---

批准或拒绝建议的操作

Azure Active Directory或Microsoft 365 Defender门户中分配的以下角色之
  • 全局管理员
  • 安全管理员
  • 安全操作员
  • 安全信息读取者
    --- 和 ---
  • 搜索和清除 (仅在Microsoft 365 Defender门户中分配此角色。 可能需要在其中创建新的 电子邮件&协作 角色组,并将搜索和清除角色添加到该新角色组。

所需的许可证

Microsoft Defender for Office 365计划 2 许可证应分配给:

  • 安全管理员 (包括全局管理员)
  • 组织的安全运营团队 (包括安全读取器和具有 搜索和清除 角色)
  • 最终用户

即将在Microsoft 365 Defender门户中进行更改

如果已在Microsoft Defender for Office 365中使用 AIR 功能,则会在改进的Microsoft 365 Defender门户中看到一些更改。

统一操作中心

新的和改进的Microsoft 365 Defender门户https://security.microsoft.comMicrosoft Defender for Office 365Microsoft Defender for Endpoint中的 AIR 功能汇集在一起。 通过这些更新和改进,安全操作团队将能够在一处查看电子邮件、协作内容、用户帐户和设备中的自动调查和修正操作的详细信息。

提示

新的Microsoft 365 Defender门户将替换以下管理中心:

除了 URL 更改之外,还有一种全新的外观,旨在为安全团队提供更简化的体验,在一个位置查看更多威胁检测。

预期内容

下表列出了 Microsoft Defender for Office 365 中 AIR 的更改和改进。

Item 有什么变化?
“调查 ”页 更新后 的“调查”页更符合你在 Microsoft Defender for Endpoint中看到的内容。 你将看到一些与新的统一 调查 视图一致的常规格式和样式更改。 例如,调查图具有更统一的格式。
“用户 ”选项卡 用户 ”选项卡现在是 “邮箱 ”选项卡。“ 邮箱 ”选项卡上列出了有关用户的详细信息。
“电子邮件” 选项卡 已删除 “电子邮件 ”选项卡;访问 “实体” 选项卡,查看电子邮件和电子邮件群集项的列表。
“实体” 选项卡 实体 ”选项卡具有选项卡内样式,其中包含全摘要视图和按实体类型进行筛选的功能。 除了“在 资源管理器中打开”选项外,“实体”选项卡现在还包括一个 Go 搜寻 选项。 现在可以使用 资源管理器高级搜寻 来查找实体和威胁,并筛选结果。
“操作” 选项卡 更新后的 “操作” 选项卡现在包含 “挂起操作 ”选项卡和“ 操作历史记录” 选项卡。可以在选择挂起的操作时打开的侧窗格中批准 (或拒绝操作) 。
“证据” 选项卡 新的 “证据” 选项卡显示与操作相关的关键实体发现。 在选择挂起的操作时打开的侧窗格中,可以批准 (或拒绝与每条证据相关的操作) 。
操作中心 更新后的 操作中心 (https://security.microsoft.com/action-center) 跨电子邮件、设备和标识将挂起和已完成的操作汇集在一起。 若要了解详细信息,请参阅操作中心。 (若要了解详细信息,请 参阅操作中心)
“事件” 事件” 页现在将多个调查关联在一起,以提供更好的综合调查视图。 (详细了解事件.)

后续步骤