威胁调查和响应

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

Microsoft Defender for Office 365中的威胁调查和响应功能通过以下方式帮助安全分析师和管理员保护组织的 Microsoft 365 业务用户:

  • 轻松识别、监视和了解网络攻击。
  • 帮助快速解决 Exchange Online、SharePoint Online、OneDrive for Business 和 Microsoft Teams 中的威胁。
  • 提供见解和知识,帮助安全运营防止针对其组织的网络攻击。
  • 在Office 365中对基于电子邮件的关键威胁采用自动调查和响应

威胁调查和响应功能提供对Microsoft Defender门户中提供的威胁和相关响应操作的见解。 这些见解可帮助组织的安全团队保护用户免受基于电子邮件或文件的攻击。 这些功能有助于监视信号并收集来自多个源的数据,例如用户活动、身份验证、电子邮件、被入侵的电脑和安全事件。 业务决策者和安全运营团队可以使用此信息来了解和响应针对组织的威胁,并保护你的知识产权。

熟悉威胁调查和响应工具

Microsoft Defender 门户中https://security.microsoft.com的威胁调查和响应功能是一组工具和响应工作流,其中包括:

资源管理器

使用 资源管理器 (和实时检测) 来分析威胁、查看一段时间内的攻击量,以及按威胁系列、攻击者基础结构等分析数据。 资源管理器 (也称为威胁资源管理器) 是任何安全分析师调查工作流的起点。

“威胁资源管理器”页

若要在 Microsoft Defender 门户中https://security.microsoft.com查看和使用此报表,请转到Email &协作>资源管理器。 或者,若要直接转到 “资源管理器” 页,请使用 https://security.microsoft.com/threatexplorer

Office 365威胁情报连接

仅当你拥有活动Office 365 E5或 G5、Microsoft 365 E5或 G5 订阅或威胁情报加载项时,此功能才可用。 有关详细信息,请参阅 Office 365 企业版 E5 产品页。

来自 Microsoft Defender for Office 365 的数据合并到 Microsoft Defender XDR 中,以跨Office 365邮箱和 Windows 设备进行全面的安全调查。

事件

使用事件列表 (这也称为“调查) ”查看飞行中安全事件的列表。 事件用于跟踪威胁(如可疑电子邮件),并进一步进行调查和修正。

Office 365中的当前威胁事件列表

若要在 Microsoft Defender 门户中https://security.microsoft.com查看组织的当前事件列表,请转到事件 & 警报>事件。 或者,若要直接转到 “事件 ”页,请使用 https://security.microsoft.com/incidents

攻击模拟培训

使用攻击模拟训练在组织中设置和运行真实的网络攻击,并在真正的网络攻击影响你的业务之前识别易受攻击的人员。 若要了解详细信息,请参阅 模拟钓鱼攻击

若要在 Microsoft Defender 门户中https://security.microsoft.com查看和使用此功能,请转到Email &协作>攻击模拟训练。 或者,若要直接转到攻击模拟训练页,请使用 https://security.microsoft.com/attacksimulator?viewid=overview

自动调查和响应

使用自动调查和响应 (AIR) 功能,以节省时间和精力,使内容、设备和组织中面临威胁的人员相关联。 每当触发某些警报或安全运营团队启动时,AIR 进程都可以开始。 若要了解详细信息,请参阅 Office 365 中的自动调查和响应

威胁情报小组件

作为Microsoft Defender for Office 365计划 2 产品/服务的一部分,安全分析师可以查看有关已知威胁的详细信息。 这对于确定是否可以采取其他预防措施/步骤来保证用户的安全非常有用。

显示有关最近威胁的信息的“安全趋势”窗格

如何获取这些功能?

Microsoft 365 威胁调查和响应功能包含在Microsoft Defender for Office 365计划 2 中,该计划包含在企业 E5 中或作为某些订阅的附加内容。 若要了解详细信息,请参阅Defender for Office 365计划 1 与计划 2 备忘单

所需角色和权限

Microsoft Defender for Office 365使用基于角色的访问控制。 权限是通过Microsoft Entra ID、Microsoft 365 管理中心或Microsoft Defender门户中的某些角色分配的。

提示

尽管某些角色(如安全管理员)可以在Microsoft Defender门户中分配,但请考虑改用Microsoft 365 管理中心或Microsoft Entra ID。 有关角色、角色组和权限的信息,请参阅以下资源:

活动 角色和权限
使用Microsoft Defender 漏洞管理 仪表板

查看有关最近或当前威胁的信息
以下各项之一:
  • 全局管理员*
  • 安全管理员
  • 安全信息读取者

可以在Microsoft Entra ID (https://portal.azure.com) 或Microsoft 365 管理中心 (https://admin.microsoft.com) 中分配这些角色。
使用 资源管理器 (和实时检测) 来分析威胁 以下各项之一:
  • 全局管理员*
  • 安全管理员
  • 安全信息读取者

可以在Microsoft Entra ID (https://portal.azure.com) 或Microsoft 365 管理中心 (https://admin.microsoft.com) 中分配这些角色。
查看事件 (也称为调查)

向事件添加电子邮件
以下各项之一:
  • 全局管理员*
  • 安全管理员
  • 安全信息读取者

可以在Microsoft Entra ID (https://portal.azure.com) 或Microsoft 365 管理中心 (https://admin.microsoft.com) 中分配这些角色。
在事件中触发电子邮件操作

查找和删除可疑电子邮件
以下各项之一:
  • 全局管理员*
  • 安全管理员 以及 搜索和清除 角色

可以在Microsoft Entra ID () 或https://admin.microsoft.comMicrosoft 365 管理中心 () https://portal.azure.com 中分配全局管理员*和安全管理员角色。

必须在 Microsoft 36 Defender 门户 https://security.microsoft.com () Email &协作角色中分配搜索和清除角色。
将 Microsoft Defender for Office 365 计划 2 与 Microsoft Defender for Endpoint 集成

将 Microsoft Defender for Office 365 计划 2 与 SIEM 服务器集成
在 Microsoft Entra ID () 或 Microsoft 365 管理中心 () https://portal.azure.com 中分配的全局*管理员或https://admin.microsoft.com安全管理员角色。

--- ---

其他应用程序 (分配的相应角色,例如Microsoft Defender 安全中心或 SIEM 服务器) 。

重要

* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

后续步骤