Microsoft Defender for Office 365 (AIR) 自动调查和响应

• 适用于:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

Microsoft Defender for Office 365包括强大的自动调查和响应 (AIR) 功能，可节省安全运营团队的时间和精力。 触发警报时，安全运营团队负责查看这些警报、确定其优先级并做出响应。 跟上传入警报的数量可能会令人难以承受。 自动执行其中一些任务可能会有所帮助。

AIR 使安全运营团队能够更高效地运营。 AIR 功能包括自动调查过程，以响应当前存在的已知威胁。 适当的修正操作等待审批，使安全运营团队能够有效响应检测到的威胁。 使用 AIR，安全运营团队可以专注于优先级更高的任务，而不会忽略触发的重要警报。

本文内容：

• AIR 的总体流量;
• 如何获取 AIR;和
• 配置或使用 AIR 功能 所需的权限 。

本文还包括 后续步骤以及用于了解详细信息的资源。

AIR 的整体流

将触发警报，安全 playbook 将启动自动调查，从而得出结果和建议的操作。 下面是 AIR 的整体流程，分步介绍：

1. 自动调查通过以下方式之一启动：

   • 电子邮件 (可疑内容（如邮件、附件、URL 或用户帐户) 泄露） 触发警报 。 创建事件，并开始自动调查;或
   • 安全分析师在使用资源管理器时启动自动调查。

2. 在运行自动调查时，它会收集有关相关电子邮件的数据以及与该电子邮件相关的 实体 (例如文件、URL 和收件人) 。 随着新的和相关警报的触发，调查范围可能会增加。

3. 在自动调查期间和之后，可以查看 详细信息和结果 。 结果可能包括 可以采取的建议操作 ，以响应和修正发现的任何现有威胁。

4. 安全运营团队评审 调查结果和建议，并 批准或拒绝修正操作。

5. 由于挂起的修正操作 (批准或拒绝) ，自动调查完成。

注意

如果调查未导致建议的操作，则自动调查将关闭，并且作为自动调查的一部分审查的内容的详细信息仍将在调查页面上提供。

在 Microsoft Defender for Office 365 中，不会自动执行任何修正操作。 只有在组织的安全团队批准后，才会执行修正操作。 AIR 功能通过识别修正操作并提供做出明智决策所需的详细信息来节省安全运营团队的时间。

在每次自动调查期间和之后，安全运营团队可以：

• 查看与调查相关的警报的详细信息
• 查看调查的结果详细信息
• 查看和批准因调查而执行的操作

提示

有关更详细的概述，请参阅 AIR 工作原理。

如何获取 AIR

AIR 功能包含在Microsoft Defender for Office 365计划 2 中，只要审核日志记录处于打开状态 (默认) 。

此外，请确保查看组织的 警报策略，尤其是 威胁管理类别中的默认策略。

哪些警报策略会触发自动调查？

Microsoft 365 提供了许多内置警报策略，可帮助识别 Exchange 管理员权限滥用、恶意软件活动、潜在的外部和内部威胁以及信息治理风险。 一些 默认警报策略 可以触发自动调查。 下表介绍了触发自动调查的警报、它们在Microsoft Defender门户中的严重性以及生成方式：

通知	Severity	警报的生成方式
检测到潜在的恶意 URL 单击	High	发生以下任一情况时，将生成此警报： 组织中受 安全链接 保护的用户单击恶意链接 URL 的判决更改由 Microsoft Defender for Office 365 用户根据组织的安全链接策略替代 (安全链接警告页。 有关触发此警报的事件的详细信息，请参阅 设置安全链接策略。
用户将电子邮件报告为恶意软件或网络钓鱼	低	当组织中的用户使用 Microsoft 报告邮件或报告钓鱼加载项将邮件报告为钓鱼电子邮件时，会生成此警报。
送达后，删除包含恶意文件的电子邮件	信息	当包含恶意文件的任何邮件传递到组织中的邮箱时，将生成此警报。 如果发生此事件，Microsoft 将使用零小时自动清除 (ZAP) 从Exchange Online邮箱中删除受感染的邮件。
Email包含恶意软件的邮件在传递后被删除	信息	当包含恶意软件的任何电子邮件传递到组织中的邮箱时，将生成此警报。 如果发生此事件，Microsoft 将使用零小时自动清除 (ZAP) 从Exchange Online邮箱中删除受感染的邮件。
送达后删除的包含恶意 URL 的电子邮件	信息	当包含恶意 URL 的任何邮件传递到组织中的邮箱时，将生成此警报。 如果发生此事件，Microsoft 将使用零小时自动清除 (ZAP) 从Exchange Online邮箱中删除受感染的邮件。
Email包含钓鱼 URL 的邮件在传递后被删除	信息	当包含网络钓鱼的任何邮件传递到组织中的邮箱时，将生成此警报。 如果发生此事件，Microsoft 将使用 ZAP 从Exchange Online邮箱中删除受感染的邮件。
检测到可疑的电子邮件发送模式	Medium	当组织中的某人发送了可疑电子邮件，并面临被限制发送电子邮件的风险时，将生成此警报。 警报是针对可能指示帐户已泄露的行为的早期警告，但不够严重，无法限制用户。 虽然这种情况很少见，但此策略生成的警报可能是异常。 但是，最好检查用户帐户是否遭到入侵。
用户被限制发送电子邮件	High	当组织中的某人被限制发送出站邮件时，将生成此警报。 当 电子邮件帐户遭到入侵时，通常会出现此警报。 有关受限用户的详细信息，请参阅从“受限 实体”页中删除阻止的用户。
管理员触发了对电子邮件的手动调查	信息	当管理员从威胁资源管理器触发对电子邮件的手动调查时，将生成此警报。 此警报通知你的组织调查已开始。
管理员触发的用户泄露调查	Medium	当管理员从威胁资源管理器触发电子邮件发件人或收件人的手动用户泄露调查时，将生成此警报。 此警报通知组织用户泄露调查已启动。

提示

若要详细了解警报策略或编辑默认设置，请参阅Microsoft Defender门户中的警报策略。

使用 AIR 功能所需的权限

需要为你分配权限才能使用 AIR。 可以选择下列选项：

• Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (仅影响 Defender 门户，而不会影响 PowerShell) ：

  • 启动自动调查或批准或拒绝建议的操作：安全操作员/Email高级修正操作 (管理) 。

• Email & Microsoft Defender门户中的协作权限：

  • 设置 AIR 功能： 组织管理 或 安全管理员 角色组中的成员身份。
  • 启动自动调查 或 批准或拒绝建议的操作：
    • 组织管理、安全管理员、安全操作员、安全读取者或全局读取者角色组中的成员身份。 和
    • 分配有搜索和清除角色的角色组中的成员身份。 默认情况下，此角色分配给 数据调查员 和组织 管理 角色组。 或者，可以创建自定义角色组来分配搜索和清除角色。

• Microsoft Entra权限：

  • 设置 AIR 功能全局管理员或安全管理员角色的成员身份。
  • 启动自动调查 或 批准或拒绝建议的操作：
    • 全局管理员、安全管理员、安全操作员、安全读取者或全局读取者角色的成员身份。 和
    • 分配有搜索和清除角色的Email &协作角色组中的成员身份。 默认情况下，此角色分配给 数据调查员 和组织 管理 角色组。 或者，可以创建自定义Email &协作角色组来分配搜索和清除角色。

  Microsoft Entra权限为用户提供 Microsoft 365 中其他功能的所需权限和权限。

需要的许可证

Microsoft Defender for Office 365计划 2 许可证应分配给：

• 安全管理员 (包括全局管理员)
• 组织的安全运营团队 (包括安全读取者和具有搜索和清除角色)
• 最终用户

后续步骤

• 开始使用 AIR
• 查看自动调查的详细信息和结果
• 查看和批准挂起的操作
• 查看挂起或已完成的修正操作