Automatizované šetření a reakce (AIR) v Microsoft Defender pro Office 365
Tip
Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Microsoft Defender pro Office 365 zahrnuje výkonné funkce automatizovaného vyšetřování a reakce (AIR), které šetří čas a úsilí týmu operací zabezpečení. Při aktivaci upozornění je na vašem týmu pro operace zabezpečení, aby tyto výstrahy zkontroloval, upřednostnily je a reagoval na ně. Udržování objemu příchozích upozornění může být ohromující. Automatizace některých z těchto úkolů může pomoct.
Prostředí AIR umožňuje vašemu provoznímu týmu zabezpečení pracovat efektivněji a efektivněji. Funkce AIR zahrnují automatizované procesy vyšetřování v reakci na dobře známé hrozby, které dnes existují. Vhodné nápravné akce čekají na schválení, což vašemu provoznímu týmu zabezpečení umožní efektivně reagovat na zjištěné hrozby. Se službou AIR se váš tým pro operace zabezpečení může soustředit na úkoly s vyšší prioritou, aniž by ztratil ze zřetele důležité výstrahy, které se aktivují.
Tento článek popisuje:
- Celkový tok VZDUCHU;
- Jak získat AIR; a
- Požadovaná oprávnění ke konfiguraci nebo používání funkcí AIR.
Tento článek obsahuje také další kroky a zdroje informací o dalších informacích.
Celkový tok airu
Aktivuje se výstraha a playbook zabezpečení zahájí automatizované šetření, jehož výsledkem jsou zjištění a doporučené akce. Tady je celkový tok air krok za krokem:
Automatizované šetření se zahájí jedním z následujících způsobů:
- Výstrahu aktivuje něco podezřelého v e-mailu (například zpráva, příloha, adresa URL nebo ohrožený uživatelský účet). Vytvoří se incident a zahájí se automatizované šetření. nebo
- Analytik zabezpečení zahájí automatizované šetření při používání Průzkumníka.
Zatímco probíhá automatizované šetření, shromažďuje data o příslušném e-mailu a entitách souvisejících s tímto e-mailem (například soubory, adresy URL a příjemce). Rozsah šetření se může zvyšovat s tím, jak se aktivují nové a související výstrahy.
Během automatizovaného šetření a po jeho skončení jsou k dispozici podrobnosti a výsledky . Výsledky můžou zahrnovat doporučené akce , které je možné provést k reakci na zjištěné hrozby a jejich nápravě.
Váš provozní tým zabezpečení kontroluje výsledky šetření a doporučení aschvaluje nebo zamítá nápravné akce.
Vzhledem k tomu, že čekající nápravné akce jsou schválené (nebo zamítnuté), automatizované šetření se dokončí.
Poznámka
Pokud šetření nevede k doporučeným akcím, automatizované šetření se zavře a podrobnosti o tom, co bylo zkontrolováno v rámci automatizovaného šetření, budou stále k dispozici na stránce šetření.
V Microsoft Defender pro Office 365 se automaticky neprovedou žádné nápravné akce. Nápravné akce se provedou jenom po schválení bezpečnostním týmem vaší organizace. Funkce AIR šetří vašemu týmu operací zabezpečení čas tím, že identifikují nápravné akce a poskytují podrobnosti potřebné k informovanému rozhodnutí.
Během a po každém automatizovaném vyšetřování může váš tým pro operace zabezpečení:
- Zobrazení podrobností o upozornění souvisejícím s šetřením
- Zobrazení podrobností o výsledcích šetření
- Kontrola a schválení akcí v důsledku šetření
Tip
Podrobnější přehled najdete v tématu Jak air funguje.
Jak získat AIR
Funkce AIR jsou součástí Microsoft Defender pro Office 365 Plánu 2, pokud je protokolování auditu zapnuté (ve výchozím nastavení je zapnuté).
Kromě toho nezapomeňte zkontrolovat zásady upozornění vaší organizace, zejména výchozí zásady v kategorii Správa hrozeb.
Které zásady upozornění aktivují automatizované šetření?
Microsoft 365 nabízí řadu předdefinovaných zásad upozornění, které pomáhají identifikovat zneužití oprávnění správce Exchange, aktivitu malwaru, potenciální externí a interní hrozby a rizika zásad správného řízení informací. Několik výchozích zásad upozornění může aktivovat automatizovaná šetření. Pokud jsou tato upozornění zakázaná nebo nahrazená vlastními výstrahami, air se neaktivuje.
Následující tabulka popisuje výstrahy, které aktivují automatizovaná šetření, jejich závažnost na portálu Microsoft Defender a způsob jejich generování:
| Upozornění | Závažnost | Jak se výstraha generuje |
|---|---|---|
| Bylo zjištěno kliknutí na potenciálně škodlivou adresu URL. | High (Vysoká) | Tato výstraha se vygeneruje, když dojde k některému z následujících stavů:
Další informace o událostech, které aktivují toto upozornění, najdete v tématu Nastavení zásad bezpečných odkazů. |
| Uživatel nahlásí e-mailovou zprávu jako malware nebo phish. | Nízký | Toto upozornění se vygeneruje, když uživatelé ve vaší organizaci hlásí zprávy jako phishingové e-maily pomocí doplňků Microsoft Report Message nebo Report Phishing. |
| Email zprávy obsahující škodlivý soubor odebraný po doručení | Informační | Toto upozornění se vygeneruje, když se do poštovních schránek ve vaší organizaci doručí všechny zprávy obsahující škodlivý soubor. Pokud dojde k této události, Microsoft odebere nakažené zprávy z Exchange Online poštovních schránek pomocí zap automatického vymazání (ZAP) nula hodin. |
| Email zprávy obsahující malware se po doručení odeberou | Informační | Toto upozornění se vygeneruje, když se do poštovních schránek ve vaší organizaci doručí všechny e-mailové zprávy obsahující malware. Pokud dojde k této události, Microsoft odebere nakažené zprávy z Exchange Online poštovních schránek pomocí zap automatického vymazání (ZAP) nula hodin. |
| Email zprávy obsahující škodlivou adresu URL odebrané po doručení | Informační | Toto upozornění se vygeneruje, když se do poštovních schránek ve vaší organizaci doručí všechny zprávy obsahující škodlivou adresu URL. Pokud dojde k této události, Microsoft odebere nakažené zprávy z Exchange Online poštovních schránek pomocí zap automatického vymazání (ZAP) nula hodin. |
| Email zprávy obsahující adresy URL phish se po doručení odeberou. | Informační | Toto upozornění se vygeneruje, když se do poštovních schránek ve vaší organizaci doručí zprávy obsahující fish. Pokud dojde k této události, Microsoft odebere nakažené zprávy z Exchange Online poštovních schránek pomocí ZAP. |
| Byly zjištěny podezřelé vzorce odesílání e-mailů. | Střední | Toto upozornění se vygeneruje v případě, že někdo ve vaší organizaci odeslal podezřelý e-mail a hrozí mu, že mu bude zakázáno odesílat e-maily. Toto upozornění je včasné upozornění na chování, které může naznačovat, že došlo k ohrožení zabezpečení účtu, ale není to dostatečně závažné, aby bylo možné uživatele omezit. I když je to vzácné, výstraha vygenerovaná touto zásadou může být anomálií. Je ale vhodné zkontrolovat, jestli uživatelský účet není napadený. |
| Uživatel nemůže odesílat e-maily | High (Vysoká) | Toto upozornění se vygeneruje, když někdo ve vaší organizaci nemůže odesílat odchozí poštu. Toto upozornění se obvykle zobrazí v případě ohrožení zabezpečení e-mailového účtu. Další informace o omezených uživatelích najdete v tématu Odebrání blokovaných uživatelů ze stránky Omezené entity. |
| Správa aktivovalo ruční prošetření e-mailu | Informační | Tato výstraha se vygeneruje, když správce aktivuje ruční šetření e-mailu z Průzkumníka hrozeb. Tato výstraha oznámí vaší organizaci, že vyšetřování bylo zahájeno. |
| Správa aktivované šetření ohrožení zabezpečení uživatelů | Střední | Tato výstraha se vygeneruje, když správce aktivuje ruční šetření ohrožení uživatele odesílatele e-mailu nebo příjemce z Průzkumníka hrozeb. Tato výstraha oznámí vaší organizaci, že bylo zahájeno šetření ohrožení zabezpečení uživatele. |
Tip
Další informace o zásadách upozornění nebo úpravu výchozího nastavení najdete v tématu Zásady upozornění na portálu Microsoft Defender.
Požadovaná oprávnění k používání funkcí AIR
Abyste mohli používat AIR, musíte mít přiřazená oprávnění. Budete mít také následující možnosti:
Microsoft Defender XDR Jednotné řízení přístupu na základě role (RBAC) (Pokud Email & spolupráce>Defender pro Office 365 oprávnění jsou
aktivní. Ovlivňuje jenom portál Defender, ne PowerShell:- Zahájení automatizovaného šetření nebo Schválení nebo odmítnutí doporučených akcí: Operátor zabezpečení / Email pokročilé nápravné akce (správa)
Email & oprávnění ke spolupráci na portálu Microsoft Defender:
- Nastavení funkcí AIR: Členství ve skupinách rolí Správa organizace nebo Správce zabezpečení .
-
Zahájení automatizovaného šetření nebo schválení nebo odmítnutí doporučených akcí:
- Členství ve skupinách rolí Správa organizace, Správce zabezpečení, Operátor zabezpečení, Čtenář zabezpečení nebo Globální čtenář . a
- Členství ve skupině rolí s přiřazenou rolí Hledat a Vyprázdnit Ve výchozím nastavení je tato role přiřazená skupinám rolí Vyšetřovatel dat a Správa organizace . Nebo můžete vytvořit vlastní skupinu rolí , která přiřadí roli Hledat a vyprázdnit .
-
- Nastavení funkcí AIR Členství v rolích globálního správce nebo správce zabezpečení .
-
Zahájení automatizovaného šetření nebo schválení nebo odmítnutí doporučených akcí:
- Členství v rolích globálního správce, správce zabezpečení, operátora zabezpečení, čtenáře zabezpečení nebo globálního čtenáře a
- Členství ve skupině rolí Email & spolupráce s přiřazenou rolí Hledat a Vyprázdnit. Ve výchozím nastavení je tato role přiřazená skupinám rolí Vyšetřovatel dat a Správa organizace . Nebo můžete vytvořit vlastní Email & skupinu rolí pro spolupráci a přiřadit roli Hledat a vyprázdnit.
Microsoft Entra oprávnění poskytují uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.
Požadované licence
licence Microsoft Defender pro Office 365 Plán 2 by měly být přiřazeny:
- Správci zabezpečení (včetně globálních správců)
- Provozní tým zabezpečení vaší organizace (včetně čtenářů zabezpečení a uživatelů s rolí Hledat a vyprázdnit )
- Koncoví uživatelé