Автоматизированное исследование и реагирование (AIR) в Microsoft Defender для Office 365 план 2

Так как оповещения системы безопасности отображаются в организации Microsoft 365 по адресу https://security.microsoft.com/alerts, команда по операциям безопасности (SecOps) может просматривать эти оповещения, определять приоритеты и реагировать на них. Объем входящих оповещений может быть подавляющим. Автоматизация некоторых из этих задач может помочь.

Microsoft Defender для Office 365 плана 2 (входит в лицензии Microsoft 365, такие как E5 или как автономная подписка), включает в себя мощные возможности автоматического исследования и реагирования (AIR), которые экономят время и усилия для команд SecOps.

AIR проверяет оповещения с высоким влиянием и большим объемом, завершая исследования на уровне организации. Исследования AIR расширяют обнаружение или предоставляют дополнительный анализ для определения состояния угрозы для организации. Когда AIR обнаруживает угрозы, он ставит в очередь действия по исправлению угроз для утверждения сотрудниками SecOps. Air обеспечивает следующие преимущества:

• Автоматизированные процессы исследования в ответ на известные угрозы.
• Соответствующие действия по исправлению в ожидании утверждения, позволяющие команде SecOps эффективно реагировать на обнаруженные угрозы.
• Ваша команда SecOps может сосредоточиться на более приоритетных задачах, не упуская из виду важные оповещения, которые активируются.

Air в Defender для Office 365 плана 2 требует, чтобы ведение журнала аудита было включено (по умолчанию включено).

Общий поток AIR

Активируется оповещение, а сборник схем безопасности запускает автоматическое исследование, в результате которого будут получены результаты и рекомендуемые действия. Вот общий поток AIR, шаг за шагом:

1. Автоматическое исследование инициируется одним из следующих способов:

   • Конкретные оповещения, предназначенные для запуска AIR. К таким оповещениям относятся:

     • Что-то подозрительное определяется в электронной почте (например, само сообщение, вложение, URL-адрес или скомпрометированная учетная запись пользователя).

     • Автоматическая очистка за нулевой час (ZAP).

     • Отправка пользователем.

     • Пользователь щелкает оповещения.

     • Подозрительное поведение почтового ящика.

       Совет

       Не забудьте регулярно просматривать оповещения вашей организации. Дополнительные сведения о политиках оповещений, запускающих автоматизированные исследования, см. в разделе Политики оповещений по умолчанию в категории Управление угрозами. Записи, содержащие значение Да для автоматического исследования , могут активировать автоматические исследования. AIR не активируется, когда:

       • Эти оповещения отключены.
       • Эти оповещения заменяются пользовательскими оповещениями.

   • Аналитик по безопасности вручную активирует исследование, выбрав Действие в Обозреватель угроз, Расширенной охоте, пользовательском обнаружении, на странице сущности Email или на панели сводки Email. Дополнительные сведения см. в разделе Охота на угрозы: исправление Email. Примеры см. в статье Примеры автоматизированного исследования и реагирования (AIR) в Microsoft Defender для Office 365 плана 2.

2. Автоматическое исследование оценивает и анализирует характер оповещения, связанное с этим сообщением, и дополнительные доказательства, связанные с сообщением. Область расследования может увеличиться на основе доказательств, обнаруженных и собранных в ходе расследования.

3. Во время и после автоматического исследования доступны сведения и результаты . Результаты могут включать рекомендуемые действия для сотрудников SecOps по устранению обнаруженных угроз.

4. Команда SecOps проверяет результаты исследования и рекомендации в самом расследовании, инциденте или в центре уведомлений, а также утверждает или отклоняет действия по исправлению.

   Совет

   Действия по исправлению не выполняются автоматически. Действия по исправлению требуют утверждения вручную сотрудниками SecOps. Возможности AIR экономят время, приступая к рекомендуемым действиям по исправлению со всеми сведениями для принятия обоснованного решения.

   AIR также экономит время за счет оценки и автоматического разрешения оповещений и инцидентов, в которых не было обнаружено угроз. Этот результат часто используется в сценариях отправки пользователем. AIR закрывает расследование, если в сообщениях, которые уже были исправлены, не обнаружены угрозы или обнаружены угрозы. Обычно

5. Так как ожидающие действия по исправлению утверждаются или отклоняются, выполняется автоматическое исследование.

   Автоматическое исследование автоматически закрывается, если не определены рекомендуемые действия. Подробные сведения о расследовании по-прежнему доступны на странице Исследования по адресу https://security.microsoft.com/airinvestigation.

Во время и после каждого автоматизированного исследования команда SecOps может выполнять следующие задачи:

• Просмотр сведений об оповещении, связанном с исследованием
• Просмотр сведений о результатах исследования
• Проверка и утверждение действий в результате исследования

Встроенные правила настройки оповещений

Microsoft Defender XDR включает встроенные правила настройки оповещений, которые помогают снизить уровень шума от общих неопасных действий. Эти встроенные правила подавляют оповещения, не затрагивая другие функции, такие как исследования AIR и Уведомления по электронной почте. Если исследование AIR обнаруживает вредоносные или подозрительные действия, новое оповещение активируется повторно.

Чтобы просмотреть встроенные правила настройки оповещений на портале Microsoft Defender, перейдите в раздел > Параметры системы>Microsoft Defender XDR>Rulesнастройка оповещений или непосредственно на странице Настройка оповещений> по адресу https://security.microsoft.com/securitysettings/defender/alert_suppression.

Обязательно ознакомьтесь с этими правилами, чтобы понять, как они могут повлиять на то, какие оповещения отображаются на портале Microsoft Defender.

Необходимые разрешения и лицензирование для AIR

Для использования AIR вам должны быть назначены разрешения. Возможны следующие варианты:

• Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & разрешения для совместной работы>Defender для Office 365активны. Влияет только на портал Defender, а не На PowerShell:
  • Запуск автоматического исследования или утверждение или отклонение рекомендуемых действий: операции безопасности/Email расширенные действия по исправлению (управление).
• Email & разрешения на совместную работу на портале Microsoft Defender:
  • Настройка функций AIR: членство в группах ролей "Управление организацией " или "Администратор безопасности ".
  • Запустите автоматическое исследование или утвердите или отклоните рекомендуемые действия:
    • Членство в группах ролей "Управление организацией", "Администратор безопасности", "Оператор безопасности", "Читатель безопасности" или "Глобальный читатель". и
    • Роль поиска и очистки , которая по умолчанию назначается только группам ролей "Исследователь данных " или "Управление организацией ". Кроме того, можно создать новую группу ролей с назначенной ролью "Поиск и очистка " и добавить пользователей в настраиваемую группу ролей.
• Microsoft Entra разрешения. Предоставьте пользователям необходимые разрешения и разрешения для других функций Microsoft 365:
  • Настройка функций AIR Членство в ролях глобального администратора или администратора безопасности .
  • Запустите автоматическое исследование или утвердите или отклоните рекомендуемые действия:
    • Членство в ролях "Глобальный администратор", "Администратор безопасности", "Оператор безопасности", "Читатель безопасности" или "Глобальный читатель ". и
    • Членство в группе ролей Email & совместной работы с назначенной ролью поиска и очистки, как описано ранее.

Чтобы использовать AIR, вам необходимо назначить лицензию на Defender для Office 365 плана 2 (включенную в подписку или лицензию надстройки).

Дальнейшие действия

• Примеры AIR
• Просмотр сведений и результатов автоматического исследования
• Проверка и утверждение ожидающих действий
• Просмотр ожидающих или завершенных действий по исправлению