Автоматическое исследование и реагирование (AIR) в Microsoft Defender для Office 365
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Microsoft Defender для Office 365 включает в себя мощные возможности автоматического исследования и реагирования (AIR), которые могут сэкономить время и усилия вашей команды по операциям безопасности. По мере активации оповещений ваша команда по операциям безопасности будет проверять эти оповещения, определять приоритеты и реагировать на них. Объем входящих оповещений может быть подавляющим. Автоматизация некоторых из этих задач может помочь.
AIR позволяет команде по обеспечению безопасности работать более эффективно и эффективно. Возможности AIR включают автоматизированные процессы исследования в ответ на известные угрозы, существующие в настоящее время. Соответствующие действия по исправлению ожидают утверждения, что позволит вашей группе по операциям безопасности эффективно реагировать на обнаруженные угрозы. С помощью AIR ваша команда по операциям безопасности может сосредоточиться на более приоритетных задачах, не упуская из виду важные оповещения, которые активируются.
В этой статье описываются:
- Общий поток AIR;
- Как получить AIR; и
- Необходимые разрешения для настройки или использования возможностей AIR.
В этой статье также содержатся дальнейшие действия и ресурсы, чтобы узнать больше.
Общий поток AIR
Активируется оповещение, а сборник схем безопасности запускает автоматическое исследование, в результате которого будут получены результаты и рекомендуемые действия. Вот общий поток AIR, шаг за шагом:
Автоматическое исследование инициируется одним из следующих способов:
- Оповещение активируется подозрительным сообщением электронной почты (например, сообщением, вложением, URL-адресом или скомпрометированной учетной записью пользователя). Создается инцидент и начинается автоматическое исследование; или
- Аналитик по безопасности начинает автоматическое исследование при использовании Обозреватель.
Пока выполняется автоматическое исследование, оно собирает данные о соответствующем сообщении электронной почты и сущностях , связанных с ним (например, файлах, URL-адресах и получателях). Область исследования может увеличиваться по мере активации новых и связанных оповещений.
Во время и после автоматического исследования доступны сведения и результаты . Результаты могут включать рекомендуемые действия , которые можно предпринять для реагирования и устранения любых обнаруженных угроз.
Группа по операциям безопасности проверяет результаты исследования и рекомендации, а также утверждает или отклоняет действия по исправлению.
Так как ожидающие действия по исправлению утверждаются (или отклоняются), автоматическое исследование завершается.
Примечание.
Если расследование не приводит к выполнению рекомендуемых действий, автоматическое расследование закроется, а сведения о том, что было проверено в рамках автоматического исследования, по-прежнему будут доступны на странице исследования.
В Microsoft Defender для Office 365 никакие действия по исправлению не выполняются автоматически. Действия по устранению угроз и их последствий предпринимаются только после их утверждения группой безопасности вашей организации. Возможности AIR экономят время команды по обеспечению безопасности, определяя действия по исправлению и предоставляя сведения, необходимые для принятия обоснованного решения.
Во время и после каждого автоматизированного исследования группа по операциям безопасности может:
- Просмотр сведений об оповещении, связанном с исследованием
- Просмотр сведений о результатах исследования
- Проверка и утверждение действий в результате исследования
Совет
Более подробный обзор см. в разделе Принцип работы AIR.
Как получить AIR
Возможности AIR включены в Microsoft Defender для Office 365 план 2, если ведение журнала аудита включено (по умолчанию включено).
Кроме того, обязательно просмотрите политики оповещений организации, особенно политики по умолчанию в категории Управление угрозами.
Какие политики оповещений активируют автоматизированные исследования?
Microsoft 365 предоставляет множество встроенных политик оповещений, которые помогают выявлять злоупотребления разрешениями администратора Exchange, активность вредоносных программ, потенциальные внешние и внутренние угрозы, а также риски управления информацией. Некоторые политики оповещений по умолчанию могут активировать автоматические исследования. Если эти оповещения отключены или заменены пользовательскими оповещениями, функция AIR не активируется.
В следующей таблице описаны оповещения, которые запускают автоматизированные исследования, их серьезность на портале Microsoft Defender и способы их создания.
Оповещение | Severity | Как создается оповещение |
---|---|---|
Обнаружен потенциально вредоносный url-адрес щелчка | Высокий | Это оповещение создается при возникновении любого из следующих действий:
Дополнительные сведения о событиях, которые активируют это оповещение, см. в разделе Настройка политик безопасных связей. |
Сообщение электронной почты сообщается пользователем как вредоносная программа или фишинг | Низкая | Это оповещение создается, когда пользователи в вашей организации сообщают о сообщениях как о фишинговых сообщениях с помощью надстроек Microsoft Report Message или Report Phishing. |
Сообщения электронной почты, содержащие вредоносный файл, удалены после доставки | Информационный | Это оповещение создается, когда все сообщения, содержащие вредоносный файл, доставляются в почтовые ящики в вашей организации. В этом случае корпорация Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью автоматической очистки (ZAP) нулевого часа. |
Email сообщения, содержащие вредоносные программы, удаляются после доставки | Информационный | Это оповещение создается, когда все сообщения электронной почты, содержащие вредоносные программы, доставляются в почтовые ящики в вашей организации. В этом случае корпорация Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью автоматической очистки (ZAP) нулевого часа. |
Сообщения электронной почты, содержащие вредоносный URL-адрес, удалены после доставки | Информационный | Это оповещение создается, когда все сообщения, содержащие вредоносный URL-адрес, доставляются в почтовые ящики в вашей организации. В этом случае корпорация Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью автоматической очистки (ZAP) нулевого часа. |
Email сообщения, содержащие фишинговые URL-адреса, удаляются после доставки | Информационный | Это оповещение создается при доставке любых сообщений, содержащих фишинг, в почтовые ящики в вашей организации. В случае возникновения этого события корпорация Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью ZAP. |
Обнаружены подозрительные шаблоны отправки электронной почты | Средний | Это оповещение создается, когда кто-то в вашей организации отправляет подозрительные сообщения электронной почты и может быть ограничен отправкой электронной почты. Оповещение — это раннее предупреждение о поведении, которое может указывать на компрометацию учетной записи, но недостаточно серьезное, чтобы ограничить пользователя. Хотя это редко, предупреждение, созданное этой политикой, может быть аномалией. Однако рекомендуется проверка, компрометация учетной записи пользователя. |
Пользователю запрещено отправлять сообщения электронной почты | Высокий | Это оповещение создается, если кому-то в вашей организации запрещено отправлять исходящую почту. Обычно это оповещение возникает при компрометации учетной записи электронной почты. Дополнительные сведения о ограниченных пользователях см. в статье Удаление заблокированных пользователей на странице Ограниченные сущности. |
Администратор инициированное вручную исследование электронной почты | Информационный | Это оповещение создается, когда администратор запускает расследование электронной почты вручную из Обозреватель угрозы. Это оповещение уведомляет вашу организацию о начале расследования. |
Администратор инициированное расследование компрометации пользователя | Средний | Это оповещение создается, когда администратор запускает расследование компрометации пользователя вручную отправителя электронной почты или получателя из Обозреватель угрозы. Это оповещение уведомляет вашу организацию о начале расследования компрометации пользователя. |
Совет
Дополнительные сведения о политиках оповещений или изменении параметров по умолчанию см. в статье Политики оповещений на портале Microsoft Defender.
Необходимые разрешения для использования возможностей AIR
Для использования AIR вам должны быть назначены разрешения. Возможны следующие варианты:
Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell:
- Запуск автоматического исследования или утверждение или отклонение рекомендуемых действий: оператор безопасности или Email расширенные действия по исправлению (управление).
Email & разрешения на совместную работу на портале Microsoft Defender:
- Настройка функций AIR: членство в группах ролей "Управление организацией " или "Администратор безопасности ".
-
Запустите автоматическое исследование или утвердите или отклоните рекомендуемые действия:
- Членство в группах ролей "Управление организацией", "Администратор безопасности", "Оператор безопасности", "Читатель безопасности" или "Глобальный читатель". и
- Членство в группе ролей с назначенной ролью "Поиск и очистка ". По умолчанию эта роль назначается группам ролей "Исследователь данных " и "Управление организацией ". Кроме того, можно создать пользовательскую группу ролей , чтобы назначить роль "Поиск и очистка ".
-
- Настройка функций AIR Членство в ролях глобального администратора или администратора безопасности .
-
Запустите автоматическое исследование или утвердите или отклоните рекомендуемые действия:
- Членство в ролях "Глобальный администратор", "Администратор безопасности", "Оператор безопасности", "Читатель безопасности" или "Глобальный читатель ". и
- Членство в группе ролей совместной работы Email & с назначенной ролью поиска и очистки. По умолчанию эта роль назначается группам ролей "Исследователь данных " и "Управление организацией ". Кроме того, можно создать пользовательскую группу ролей Email & совместной работы, чтобы назначить роль "Поиск и очистка".
Microsoft Entra разрешения предоставляют пользователям необходимые разрешения и разрешения для других функций Microsoft 365.
Необходимые лицензии
лицензии Microsoft Defender для Office 365 плана 2 должны быть назначены следующим:
- Администраторы безопасности (включая глобальных администраторов)
- Группа по обеспечению безопасности вашей организации (включая читателей безопасности и пользователей с ролью поиска и очистки )
- Пользователи