Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender Office 365 Plan 2? Użyj 90-dniowej wersji próbnej usługi Defender for Office 365 w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Microsoft Defender for Office 365.
Ponieważ alerty zabezpieczeń są wyświetlane w organizacji platformy Microsoft 365 pod adresem https://security.microsoft.com/alerts, zespół ds. operacji zabezpieczeń (SecOps) musi przejrzeć, ustalić priorytety i odpowiedzieć na te alerty. Nadążanie za ilością alertów przychodzących może być przytłaczające. Automatyzacja niektórych z tych zadań może pomóc.
Microsoft Defender dla Office 365 plan 2 (zawarty w licencjach platformy Microsoft 365, takich jak E5 lub jako subskrypcja autonomiczna) obejmuje zaawansowane możliwości zautomatyzowanego badania i reagowania (AIR), które oszczędzają czas i nakład pracy dla zespołów SecOps.
Funkcja AIR klasyfikuje alerty o dużym wpływie i dużej liczbie, wykonując badania na poziomie organizacji. Badania air rozszerzają wykrywanie lub zapewniają dodatkową analizę w celu określenia stanu zagrożenia dla organizacji. Gdy usługa AIR identyfikuje zagrożenia, kolejkuje akcje korygowania zagrożeń do zatwierdzenia przez personel SecOps. Funkcja AIR zapewnia następujące korzyści:
- Zautomatyzowane procesy badania w odpowiedzi na dobrze znane zagrożenia.
- Odpowiednie akcje korygowania oczekujące na zatwierdzenie, umożliwiające zespołowi SecOps skuteczne reagowanie na wykryte zagrożenia.
- Twój zespół SecOps może skoncentrować się na zadaniach o wyższym priorytecie bez utraty z oczu ważnych alertów, które są wyzwalane.
Funkcja AIR w usłudze Defender dla Office 365 Plan 2 wymaga włączenia rejestrowania inspekcji (domyślnie jest włączone).
Ogólny przepływ powietrza
Wyzwalany jest alert, a podręcznik zabezpieczeń uruchamia zautomatyzowane badanie, co skutkuje ustaleniami i zalecanymi akcjami. Oto ogólny przepływ air, krok po kroku:
Zautomatyzowane badanie jest inicjowane na jeden z następujących sposobów:
Określone alerty, które są przeznaczone do inicjowania funkcji AIR. Te alerty obejmują:
Coś podejrzanego jest identyfikowane w wiadomości e-mail (na przykład sam komunikat, załącznik, adres URL lub konto użytkownika z naruszeniem zabezpieczeń).
Przesłania użytkowników.
Użytkownik klika alerty.
Podejrzane zachowanie skrzynki pocztowej.
Porada
Pamiętaj, aby regularnie przeglądać alerty w organizacji. Aby uzyskać więcej informacji na temat zasad alertów wyzwalających zautomatyzowane badania, zobacz domyślne zasady alertów w kategorii Zarządzanie zagrożeniami. Wpisy zawierające wartość Tak dla zautomatyzowanego badania mogą wyzwalać zautomatyzowane badania. Jeśli te alerty zostaną wyłączone lub zastąpione przez alerty niestandardowe, funkcja AIR nie zostanie wyzwolona.
Analityk zabezpieczeń ręcznie wyzwala badanie, wybierając
pozycję Podejmij akcję w Eksploratorze zagrożeń, Zaawansowane wyszukiwanie zagrożeń, wykrywanie niestandardowe, stronę jednostki Email lub panel podsumowania Email. Aby uzyskać więcej informacji, zobacz Wyszukiwanie zagrożeń: Email korygowanie. Przykłady można znaleźć w temacie Przykłady zautomatyzowanego badania i reagowania (AIR) w Microsoft Defender dla planu Office 365 2.
Zautomatyzowane badanie ocenia i analizuje charakter alertu, związanego z tym komunikatu oraz dodatkowe dowody otaczające komunikat. Zakres dochodzenia może wzrosnąć w oparciu o dowody, które zostały odkryte i zebrane podczas dochodzenia.
W trakcie i po zautomatyzowanym badaniu dostępne są szczegóły i wyniki . Wyniki mogą obejmować zalecane akcje dla personelu Usługi SecOps w celu skorygowania wykrytych zagrożeń.
Zespół SecOps przegląda wyniki badania i zalecenia (w samym badaniu, w zdarzeniu lub w centrum akcji) oraz zatwierdza lub odrzuca akcje korygowania.
Porada
Żadne akcje korygowania nie są wykonywane automatycznie. Akcje korygowania wymagają ręcznego zatwierdzenia przez personel SecOps. Funkcje AIR oszczędzają czas, przechodząc do zalecanych akcji korygowania ze wszystkimi szczegółami w celu podjęcia świadomej decyzji.
Air oszczędza również czas, oceniając i automatycznie usuwając alerty i incydenty, w których nie znaleziono zagrożeń. Ten wynik jest bardzo powszechny w scenariuszach przesyłania użytkowników. AIR zamyka dochodzenie, jeśli nie znaleziono żadnych zagrożeń lub nie znaleziono zagrożeń w komunikatach, które zostały już skorygowane. Zazwyczaj
Ponieważ oczekujące akcje korygowania zostaną zatwierdzone lub odrzucone, zautomatyzowane badanie zostanie zakończone.
Automatyczne badanie zostanie automatycznie zamknięte, jeśli nie zostaną zidentyfikowane żadne zalecane akcje. Szczegóły dochodzenia są nadal dostępne na stronie Badania pod adresem https://security.microsoft.com/airinvestigation.
Podczas i po każdym zautomatyzowanym badaniu zespół SecOps może wykonywać następujące zadania:
- Wyświetlanie szczegółów dotyczących alertu związanego z badaniem
- Wyświetlanie szczegółów wyników badania
- Przeglądanie i zatwierdzanie akcji w wyniku badania
Wbudowane reguły dostrajania alertów
Uwaga
Ta funkcja jest obecnie dostępna w wersji zapoznawczej, nie jest dostępna we wszystkich organizacjach i może ulec zmianie.
Microsoft Defender XDR zawiera wbudowane reguły dostrajania alertów, które pomagają zmniejszyć szum raportowania z typowych niegroźnych działań. Te wbudowane reguły pomijają alerty bez wpływu na inne funkcje, takie jak badania air i powiadomienia e-mail. Jeśli badanie AIR wykryje złośliwe lub podejrzane działanie, nowy alert zostanie ponownie aktywowany.
Aby wyświetlić wbudowane reguły dostrajania alertów w portalu Microsoft Defender, przejdź do sekcjiUstawienia>systemu>Microsoft Defender XDR>Rules sekcję >Dostrajanie alertów lub bezpośrednio na stronie Dostrajanie alertów pod adresem https://security.microsoft.com/securitysettings/defender/alert_suppression.
Zapoznaj się z tymi regułami, aby zrozumieć, jak mogą one wpływać na alerty wyświetlane w portalu Microsoft Defender.
Wymagane uprawnienia i licencjonowanie dla air
Musisz mieć przypisane uprawnienia do korzystania z funkcji AIR. Masz następujące możliwości:
-
Microsoft Defender XDR Ujednolicona kontrola dostępu oparta na rolach (RBAC) (Jeśli Email & do współpracy>w usłudze Defender w celu uzyskania uprawnień Office 365 jest
aktywna. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell): - Rozpocznij automatyczne badanie lub zatwierdź lub odrzuć zalecane akcje: Operacje zabezpieczeń/Email zaawansowane akcje korygowania (zarządzanie).
-
Email & uprawnienia do współpracy w portalu Microsoft Defender:
- Konfigurowanie funkcji AIR: członkostwo w grupach ról Zarządzanie organizacją lub Administrator zabezpieczeń .
-
Rozpocznij automatyczne badanie lub zatwierdź lub odrzuć zalecane akcje:
- Członkostwo w grupach ról Zarządzanie organizacją, Administrator zabezpieczeń, Operator zabezpieczeń, Czytelnik zabezpieczeń lub Czytelnik globalny . i
- Rola Wyszukiwanie i przeczyszczanie , która jest domyślnie przypisana tylko do grup ról Badacz danych lub Zarządzanie organizacją . Możesz też utworzyć nową grupę ról z przypisaną rolą Wyszukiwanie i przeczyszczanie oraz dodać użytkowników do niestandardowej grupy ról.
-
uprawnienia Microsoft Entra: nadaj użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji na platformie Microsoft 365:
- Konfigurowanie funkcji AIR Członkostwo w rolach administratora globalnego lub administratora zabezpieczeń .
-
Rozpocznij automatyczne badanie lub zatwierdź lub odrzuć zalecane akcje:
- Członkostwo w rolach Administrator globalny, Administrator zabezpieczeń, Operator zabezpieczeń, Czytelnik zabezpieczeń lub Czytelnik globalny . i
- Członkostwo w grupie ról współpracy Email & z rolą Wyszukiwania i przeczyszczania przypisaną zgodnie z wcześniejszym opisem.
Aby korzystać z funkcji AIR, musisz mieć przypisaną licencję na usługę Defender for Office 365 Plan 2 (dołączoną do twojej subskrypcji lub licencji dodatku).