Руководство по операциям безопасности Microsoft Defender для Office 365

Совет

Знаете ли вы, что можно бесплатно опробовать возможности плана 2 Microsoft Defender для Office 365? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

В этой статье приводятся общие сведения о требованиях и задачах для успешной работы Microsoft Defender для Office 365 в организации. Эти задачи помогают гарантировать, что центр управления безопасностью (SOC) предоставляет высококачественный и надежный подход к защите, обнаружению и реагированию на угрозы безопасности, связанные с электронной почтой и совместной работой.

В остальной части этого руководства описаны необходимые действия для персонала SecOps. Операции разделены на регламентированные ежедневные, еженедельные, ежемесячные и внеплановые задачи.

В этой статье приведен обзор управления инцидентами и оповещениями Defender для Office 365.

Руководство по операциям безопасности Microsoft Defender XDR содержит дополнительные сведения, которые можно использовать для планирования и разработки.

Видео о требованиях и задачах SecOps для Defender для Office 365 см. по ссылке https://youtu.be/eQanpq9N1Ps.

Ежедневные мероприятия

Отслеживайте очередь инцидентов Microsoft Defender XDR

Страница Инциденты на портале Microsoft Defender по адресу https://security.microsoft.com/incidents (также известная как очередь инцидентов) позволяет управлять событиями из следующих источников в Defender для Office 365:

Дополнительные сведения об очереди инцидентов см. в разделе Определение приоритетов инцидентов в Microsoft Defender XDR.

Ваш план сортировки при мониторинге очереди инцидентов должен предусматривать следующий порядок приоритизации инцидентов:

  1. Обнаружен щелчок по потенциально вредоносному URL-адресу.
  2. Пользователю запрещено отправлять сообщения электронной почты.
  3. Обнаружены подозрительные шаблоны отправки электронной почты.
  4. Письмо отмечено пользователем как вредоносное ПО или фишинг, а несколько пользователей отметили письмо как вредоносное ПО или фишинг.
  5. Сообщения электронной почты, содержащие вредоносный файл, удалённые после доставки, Сообщения электронной почты, содержащие вредоносный URL-адрес, удалённые после доставки и Сообщения электронной почты, связанные с кампанией, удалённые после доставки.
  6. Фишинг доставлен из-за переопределения ETR, фишинг доставлен, потому что папка нежелательной почты пользователя отключена, а фишинг доставлен из-за политики разрешения IP-адресов
  7. Вредоносная программа не была забита, так как ZAP отключена , а фишинг не был забит, так как ZAP отключен.

Управление очередью инцидентов и ответственные лица описаны в следующей таблице:

Действие Частота Описание Персона
Выполняйте сортировку инцидентов в очереди инцидентов по адресу https://security.microsoft.com/incidents. Ежедневно Убедитесь, что все инциденты среднего и высокого уровня серьезности в Defender для Office 365 прошли первичный анализ. Группа по операциям с безопасностью
Исследуйте инциденты и принимайте меры реагирования на инциденты. Ежедневно Исследуйте все инциденты и активно выполняйте рекомендуемые или вручную действия по реагированию. Группа по операциям с безопасностью
Устраните инциденты. Ежедневно Если инцидент был исправлен, устраните инцидент. При устранении инцидента закрываются все связанные с ним активные оповещения. Группа по операциям с безопасностью
Классификация инцидентов. Ежедневно Классифицируйте инциденты как истинные или ложные. Для истинных оповещений укажите тип угрозы. Классификация инцидентов и оповещений помогает вашей группе безопасности просматривать шаблоны угроз и защищать организацию от них. Группа по операциям с безопасностью

Управление обнаружением ложноположительных и ложноотрицательных результатов

Совет

  • Чтобы быстро ознакомиться с тем, как управлять ложноположительными результатами, посмотрите это короткое видео: https://youtu.be/yuduVj6wvsw
  • Чтобы быстро ознакомиться с тем, как приступить к исследованию ложноотрицательных результатов, посмотрите это короткое видео: https://youtu.be/sFMAI8MeDKQ

В Microsoft Defender для Office 365 можно управлять ложноположительными срабатываниями (хорошая почта, помеченная как плохая) и ложноотрицательными срабатываниями (вредоносная почта, которая была разрешена) в следующих местах:

Ложноположительное и ложноотрицательное управление и ответственные лица описаны в следующей таблице:

Действие Частота Описание Персона
Отправка ложноположительных и ложноотрицательных результатов в Корпорацию Майкрософт по адресу https://security.microsoft.com/reportsubmission. Ежедневно Предоставляйте сигналы корпорации Майкрософт, сообщая о неправильном обнаружении электронной почты, URL-адреса и файлов. Группа по операциям с безопасностью
Анализ сведений об отправке администратором. Ежедневно Учитывайте следующие факторы при отправке материалов в Microsoft:
  • Что вызвало ложноположительный или ложноотрицательный результат.
  • Состояние конфигурации Defender для Office 365 на момент отправки.
  • Необходимо ли внести изменения в конфигурацию Defender для Office 365.
Группа по операциям с безопасностью

Администрирование безопасности
Добавьте записи о блокировке в список разрешений и блокировок организации по ссылке https://security.microsoft.com/tenantAllowBlockList. Ежедневно Используйте список разрешенных и заблокированных клиентов, чтобы при необходимости добавлять блоки для обнаружения ложноотрицательных URL-адресов, файлов или отправителей. Группа по операциям с безопасностью
Освобождение ложноположительных результатов из карантина. Ежедневно После того как получатель подтвердит, что сообщение было ошибочно помещено в карантин, вы можете выпустить его из карантина или утвердить запросы пользователей на выпуск из карантина.

Сведения о том, что пользователи могут делать со своими сообщениями в карантине (включая выпуск или запрос на выпуск), см. в статье Политики карантина.
Группа по операциям с безопасностью

Команда по обмену сообщениями

Просмотр фишинговых и вредоносных кампаний, которые привели к доставке почты

Просмотрите фишинговые и вредоносные кампании, которые привели к доставке почты, и выполните действия по удалению вредоносных сообщений из почтовых ящиков пользователей.

Действие Частота Описание Персона
Просмотр кампаний по электронной почте. Ежедневно Просмотрите кампании по электронной почте, предназначенные для вашей организации по адресу https://security.microsoft.com/campaigns. Сосредоточьтесь на кампаниях, которые привели к доставке сообщений получателям.

Удалите сообщения из кампаний, которые существуют в почтовых ящиках пользователей. Удаление сообщений из кампаний требуется, только если кампания содержит электронные письма, которые еще не были устранены действиями по инцидентам, автоматической очисткой в нулевой час (ZAP) или ручным устранением.
Группа по операциям с безопасностью

Еженедельные мероприятия

В Defender для Office 365 можно использовать следующие отчеты для просмотра тенденций обнаружения электронной почты в организации:

Действие Частота Описание Персона
Просмотрите отчеты об обнаружении электронной почты по адресу: Еженедельно Просмотрите тенденции обнаружения вредоносных программ, фишинга и нежелательной почты по сравнению с хорошей электронной почтой. Наблюдение в течение некоторого времени позволяет увидеть характер угроз и определить, нужно ли скорректировать политики Defender для Office 365. Администрирование безопасности

Группа по операциям с безопасностью

Отслеживание новых угроз и реагирование на них с помощью аналитики угроз

Используйте аналитику угроз для просмотра активных и популярных угроз.

Действие Частота Описание Персона
Ознакомьтесь с угрозами в аналитике угроз по адресу https://security.microsoft.com/threatanalytics3. Еженедельно Аналитика угроз предоставляет подробный анализ, включая следующие элементы:
  • IoC.
  • Поисковые запросы об активных субъектах угроз и их кампаниях.
  • Популярные и новые методы атак.
  • Критические уязвимости.
  • Распространенные области атак.
  • Распространенные вредоносные программы.
Группа по операциям с безопасностью

Команда поиска угроз

Проверка наиболее целевых пользователей на наличие вредоносных программ и фишинга

Используйте вкладку Top targeted users (представление) в области сведений в представлениях Вся электронная почта, Вредоносные программы и Фишинг в Threat Explorer, чтобы находить или подтверждать пользователей, которые чаще всего становятся целями вредоносных и фишинговых сообщений электронной почты.

Действие Частота Описание Персона
Просмотрите вкладку Основные целевые пользователи в Обозреватель угроз по адресу https://security.microsoft.com/threatexplorer. Еженедельно Используйте данные основных целевых пользователей, чтобы решить, нужно ли настраивать политики или защиту для идентифицированных пользователей. Добавьте затронутых пользователей в учетные записи Priority, чтобы получить следующие преимущества: Администрирование безопасности

Группа по операциям с безопасностью

Обзор основных вредоносных программ и фишинговых кампаний, предназначенных для вашей организации

Campaign Views показывает вредоносные программы и фишинговые атаки, направленные на вашу организацию. Дополнительные сведения см. в разделе Представления кампаний в Microsoft Defender для Office 365.

Действие Частота Описание Персона
Используйте Представления кампаний в https://security.microsoft.com/campaigns, чтобы просматривать атаки с использованием вредоносного ПО и фишинга, которые затрагивают вас. Еженедельно Узнайте об атаках и методах, а также о том, какие средства Defender для Office 365 удалось идентифицировать и блокировать.

Подробные сведения о кампании см. в разделе Скачивание отчета об угрозах в представлениях кампании.
Группа по операциям с безопасностью

Специальные действия

Совет

Чтобы получить краткий обзор того, как анализировать сообщения электронной почты в Microsoft Defender для Office 365, посмотрите это короткое видео: https://youtu.be/5hA7VfaMvqs.

Ручное исследование и удаление электронной почты

При необходимости используйте следующее действие, чтобы вручную изучить и удалить вредоносные сообщения электронной почты.

Действие Частота Описание Персона
Проверяйте и удаляйте вредоносные сообщения электронной почты в Threat Explorer https://security.microsoft.com/threatexplorer по запросам пользователей. Специальный Используйте действие Запустить расследование в Обозревателе угроз, чтобы запустить сценарий автоматизированного расследования и реагирования для любого сообщения электронной почты за последние 30 дней. Запуск исследования вручную экономит время и усилия за счет централизованного включения следующих компонентов:
  • Корневое исследование.
  • Действия по выявлению и корреляции угроз.
  • Рекомендуемые действия по устранению этих угроз.

Дополнительные сведения см. в статье Пример: сообщение о фишинге, о котором сообщил пользователь, запускает сценарий расследования

Вы также можете использовать Обозреватель угроз, чтобы вручную исследовать электронную почту с помощью мощных возможностей поиска и фильтрации и выполнять действия реагирования вручную непосредственно из того же места. Доступные действия вручную:
  • Переместить во Входящие
  • Переместить в нежелательную папку
  • Переход к удаленным элементам
  • Мягкое удаление
  • Необратимое удаление.
Группа по операциям с безопасностью

Заблаговременный поиск угроз

Используйте следующие действия для упреждающего поиска угроз в Defender для Office 365 средствах.

Действие Частота Описание Персона
Регулярный, проактивный поиск угроз: . Специальный Ищите угрозы с помощью Threat Explorer и расширенного поиска угроз. Группа по операциям с безопасностью

Команда поиска угроз
Общий доступ к запросам охоты. Специальный Активно делитесь часто используемыми полезными запросами в команде безопасности для ускорения охоты на угрозы вручную и их устранения.

Используйте средства отслеживания угроз и общие запросы в расширенной охоте.
Группа по операциям с безопасностью

Команда поиска угроз
Создайте настраиваемые правила обнаружения в https://security.microsoft.com/custom_detection. Специальный Создайте настраиваемые правила обнаружения, чтобы заблаговременно отслеживать события, закономерности и угрозы на основе данных Defender для Office 365 в расширенном поиске. Правила обнаружения содержат расширенные запросы охоты, которые создают оповещения на основе соответствующих критериев. Группа по операциям с безопасностью

Команда поиска угроз

Просмотр конфигураций политик Defender для Office 365

Ознакомьтесь со следующими действиями по настройке политики, чтобы обеспечить безопасность вашей организации.

Действие Частота Описание Персона
Просмотрите конфигурацию политик Defender для Office 365 на странице https://security.microsoft.com/configurationAnalyzer. Специальный

Ежемесячно
Используйте анализатор конфигурации, чтобы сравнить существующие параметры политики с рекомендуемыми значениями Standard или Strict для Defender для Office 365. Анализатор конфигурации определяет случайные или вредоносные изменения, которые могут снизить уровень безопасности вашей организации.

Можно также использовать средство ORCA на основе PowerShell.
Администрирование безопасности

Команда по обмену сообщениями
Просмотрите переопределения обнаружения в Defender для Office 365 наhttps://security.microsoft.com/reports/TPSMessageOverrideReportATP Специальный

Ежемесячно
Используйте представление Просмотр данных по системному переопределению > Разбивка диаграммы по причинам в отчете о состоянии защиты от угроз, чтобы просмотреть сообщения электронной почты, которые были определены как фишинговые, но все же доставлены из-за параметров переопределения, заданных политикой или пользователем.

Активно проверяйте, удаляйте или точно настраивайте переопределения, чтобы не допустить доставки сообщений электронной почты, которые были признаны вредоносными.
Администрирование безопасности

Команда по обмену сообщениями

Проверка обнаружения подмены и олицетворения

Используйте следующую процедуру, чтобы просмотреть случаи обнаружения спуфинга и выдачи себя за другое лицо и при необходимости скорректировать фильтрацию.

Действие Частота Описание Персона
Просмотрите аналитику по подмене и аналитику по обнаружению случаев выдачи себя за другое лицо в разделе . Специальный

Ежемесячно
Используйте аналитику по спуфингу и аналитику по выдаче себя за другое лицо, чтобы настроить фильтрацию для обнаружений спуфинга и выдачи себя за другое лицо. Администрирование безопасности

Команда по обмену сообщениями

Проверка статуса приоритетной учетной записи

Регулярно проверяйте состав привилегированных учетных записей, чтобы меры защиты соответствовали изменениям в организации.

Действие Частота Описание Персона
Проверьте, кто определен в качестве приоритетной учетной записи по адресу https://security.microsoft.com/securitysettings/userTags. Специальный Поддерживайте актуальность состава приоритетных учетных записей в соответствии с изменениями в организации, чтобы эти пользователи получали следующие преимущества:
  • Улучшенная видимость в отчетах.
  • Фильтрация по инцидентам и оповещениям.
  • Адаптированная эвристика для шаблонов потока обработки почты руководителей (защита учетных записей с приоритетом).

Используйте пользовательские теги пользователей для других пользователей, чтобы получить:
  • Улучшенная видимость в отчетах.
  • Фильтрация по инцидентам и оповещениям.
Группа по операциям с безопасностью

Приложение: Defender для Office 365 средства, разрешения и интеграция SIEM/SOAR

Сведения об инструментах и процессах Microsoft Defender для Office 365

Сотрудникам группы по обеспечению безопасности и реагированию необходимо интегрировать средства и функции Defender для Office 365 в существующие процессы исследования и реагирования. Изучение новых средств и возможностей может занять время, но это важная часть процесса подключения. Самый простой способ для участников команд SecOps и обеспечения безопасности электронной почты узнать о Defender для Office 365 — воспользоваться учебными материалами, доступными в составе материалов Ninja по адресу https://aka.ms/mdoninja.

Содержимое обучения Ninja структурировано для различных уровней знаний (основы, промежуточный и расширенный) с несколькими модулями на уровне.

Короткие видео по конкретным задачам также доступны на YouTube-канале Microsoft Defender для Office 365.

Разрешения для действий и задач Defender для Office 365

Разрешения для управления Defender для Office 365 на портале Microsoft Defender и PowerShell основаны на модели разрешений управления доступом на основе ролей (RBAC). RBAC — это та же модель разрешений, которая используется большинством служб Microsoft 365. Дополнительные сведения см. в разделе Разрешения на портале Microsoft Defender.

Примечание.

управление привилегированными пользователями (PIM) в Microsoft Entra ID также является способом назначения необходимых разрешений персоналу SecOps. Дополнительные сведения см. в разделе управление привилегированными пользователями (PIM) и почему его следует использовать с Microsoft Defender для Office 365.

Следующие разрешения (роли и группы ролей) доступны в Defender для Office 365 и могут использоваться для предоставления доступа членам группы безопасности:

  • Microsoft Defender единое управление доступом на основе ролей (RBAC) — единый интерфейс управления разрешениями, предоставляющий администраторам одно централизованное расположение для управления разрешениями пользователей в различных решениях безопасности. Дополнительные сведения см. в статье Унифицированная модель RBAC в Microsoft Defender. Сведения о разрешениях для Defender для Office 365 см. в разделе "Унифицированные разрешения RBAC" для Defender для Office 365. Пошаговые инструкции по настройке см. в статье Настройка единого RBAC для Defender для Office 365.

    • Доступ для чтения заголовков сообщений электронной почты и Teams: Операции безопасности/Необработанные данные (электронная почта и совместная работа)/Метаданные электронной почты и совместной работы (чтение).
    • Предварительный просмотр и скачивание электронных писем: Операции безопасности/Необработанные данные (электронная почта и совместная работа)/Содержимое электронной почты и совместной работы (чтение).
    • Устранение вредоносных сообщений электронной почты: Операции безопасности/Данные безопасности/Расширенные действия для электронной почты и совместной работы (управление).
  • Microsoft Entra ID: централизованные роли, которые назначают разрешения для всех служб Microsoft 365, включая Defender для Office 365. Роли Microsoft Entra и назначенные пользователи можно просмотреть на портале Microsoft Defender, но управлять ими напрямую нельзя. Вместо этого вы управляете ролями и членами Microsoft Entra в разделе https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. Наиболее часто используемые группами безопасности роли:

  • Exchange Online и Электронная почта и совместная работа: роли и группы ролей, предоставляющие разрешения, относящиеся к Microsoft Defender для Office 365. Следующие роли недоступны в Microsoft Entra ID, но могут быть важны для групп безопасности:

    • Роль "Предварительный просмотр" (Электронная почта и совместная работа): назначьте эту роль участникам команды, которым необходимо просматривать или скачивать сообщения электронной почты в рамках расследования. Позволяет пользователям просматривать и скачивать сообщения электронной почты из облачных почтовых ящиков с помощью Threat Explorer (Explorer) или Real-time detections, а также страницы сущности сообщения электронной почты.

      По умолчанию роль предварительного просмотра назначается только следующим группам ролей:

      • Следователь данных
      • Менеджер по обнаружению электронных данных

      Вы можете добавить пользователей в эти группы ролей или создать новую группу ролей с назначенной ролью предварительного просмотра и добавить пользователей в настраиваемую группу ролей.

    • Роль "Search and Purge" (Электронная почта и совместная работа): утверждайте удаление вредоносных сообщений в соответствии с рекомендацией AIR или выполняйте действия с сообщениями вручную в таких средствах поиска угроз, как Threat Explorer.

      По умолчанию роль поиска и очистки назначается только следующим группам ролей:

      • Следователь данных
      • Управление организацией

      Вы можете добавить пользователей в эти группы ролей или создать новую группу ролей с назначенной ролью Поиск и очистка , а также добавить пользователей в настраиваемую группу ролей.

    • Диспетчер списка разрешений и блокировок организации (Exchange Online): Управление записями разрешений и блокировок в списке разрешений и блокировок организации. Блокировка URL-адресов, файлов (с использованием хэша файлов) или отправителей — это полезное действие, которое следует предпринять при изучении доставленного вредоносного сообщения электронной почты.

      По умолчанию эта роль назначается только группе ролей "Оператор безопасности" в Exchange Online, а не в Microsoft Entra ID. Членство в роли "Оператор безопасности" в Microsoft Entra IDне позволяет управлять записями в списке разрешенных/заблокированных объектов арендатора.

      Члены ролей администратора безопасности или управления организацией в Microsoft Entra ID или соответствующие группы ролей в Exchange Online могут управлять записями в списке разрешенных и заблокированных клиентов.

Интеграция SIEM/SOAR

Defender для Office 365 предоставляет большую часть своих данных с помощью набора программных API. Эти API помогают автоматизировать рабочие процессы и в полной мере использовать возможности Defender для Office 365. Данные доступны через API Microsoft Defender и могут использоваться для интеграции Defender для Office 365 в существующие решения SIEM/SOAR.

  • API для инцидентов: оповещения Defender для Office 365 и автоматизированные расследования являются активными компонентами инцидентов в Microsoft Defender. Группы безопасности могут сосредоточиться на критически важных действиях, группируя все область атаки и все затронутые ресурсы вместе.

  • API потоковой передачи событий. Позволяет передавать события и оповещения в режиме реального времени в одном потоке данных по мере их возникновения. Поддерживаемые типы событий в Defender для Office 365:

    События содержат данные об обработке всех сообщений электронной почты (включая сообщения внутри организации) за последние 30 дней.

  • API расширенного поиска угроз: позволяет выполнять поиск угроз в разных продуктах.

  • API оценки угроз. Можно использовать для отправки сообщений о спаме, фишинговых URL-адресах или вложениях вредоносных программ непосредственно в корпорацию Майкрософт.

Чтобы подключить Defender для инцидентов Office 365 и необработанных данных с помощью Microsoft Sentinel, можно использовать соединитель Microsoft Defender XDR (M365D)

Вы можете использовать следующий пример "Hello World" для проверки доступа к API Microsoft Defender API: Hello World для MICROSOFT DEFENDER XDR REST API.

Дополнительные сведения об интеграции средств SIEM см. в статье Интеграция средств SIEM с Microsoft Defender XDR.

Устранение ложных срабатываний и ложноотрицательных результатов в Defender для Office 365

Сообщения, сообщаемые пользователем, и отправка сообщений электронной почты администраторами являются критическими положительными сигналами с подкреплением для наших систем обнаружения машинного обучения. Отчёты помогают нам анализировать, расставлять приоритеты, быстро получать информацию и смягчать последствия атак. Активное сообщение о ложных срабатываниях и ложноотрицательных срабатываниях — важная задача, которая обеспечивает обратную связь для Defender для Office 365, если при обнаружении были допущены ошибки.

В организациях есть несколько вариантов настройки сообщений, сообщаемого пользователями. В зависимости от конфигурации команды безопасности могут быть более активными, когда пользователи передают ложноположительные или ложные отрицательные отчеты в Корпорацию Майкрософт:

  • Сообщения, сообщаемые пользователем, отправляются в корпорацию Майкрософт для анализа, если параметры, сообщаемые пользователем , настроены с помощью любого из следующих параметров:

    • Отправьте сообщения о проблеме в: только Microsoft.
    • Отправьте сообщения по адресуМайкрософт и моему почтовому ящику отчетов.

    Сотрудники групп безопасности должны выполнять разовые отправки от имени администратора, когда команда эксплуатации обнаруживает ложноположительные или ложноотрицательные срабатывания, о которых пользователи не сообщали.

  • Если сообщения, о которых сообщают пользователи, настроены так, чтобы отправляться только в почтовый ящик организации, команды безопасности должны активно отправлять в Microsoft сведения о ложноположительных и ложноотрицательных результатах, о которых сообщают пользователи, с помощью функции отправки администратором.

Когда пользователь помечает сообщение как фишинговое, Defender для Office 365 создает оповещение, и это оповещение запускает сценарий AIR. Логика инцидентов сопоставляет эту информацию с другими оповещениями и событиями, где это возможно. Такая консолидация информации помогает группам безопасности рассматривать сообщения, сообщаемые пользователями, исследовать их и реагировать на них.

Совет

В организациях с Defender для Office 365 Plan 2 и Security Copilot Phishing Triage Agent может автономно выполнять первичный анализ и классификацию фишинговых сообщений, о которых сообщили пользователи, в больших объёмах, сокращая объём рутинной работы по расследованию и ускоряя реагирование.

Конвейер отправки в службе следует строго интегрированному процессу, когда пользователи сообщают сообщения и администраторы передают сообщения. Этот процесс включает:

  • Снижение шума.
  • Автоматическая сортировка.
  • Оценка, выполняемая аналитиками по безопасности и решениями на базе машинного обучения с участием человека.

Дополнительные сведения см. в статье Блог Microsoft Defender для Office 365 — как сообщить о сообщении электронной почты в Defender для Office 365.

Участники группы безопасности могут отправлять материалы в нескольких местах на портале Microsoft Defender по адресу https://security.microsoft.com:

  • Отправка администратором: Используйте страницу Отправки, чтобы отправлять в Microsoft предполагаемый спам, фишинг, URL-адреса и файлы.

  • Непосредственно из Обозревателя угроз с помощью одного из следующих действий с сообщением:

    • Очистить отчет
    • Сообщение о фишинге
    • Сообщить о вредоносных программах
    • Сообщить о спаме

    Для массовой отправки можно выбрать до 10 сообщений. Отправки, созданные администратором с помощью этих методов, отображаются на соответствующих вкладках страницы Отправки.

Для краткосрочного устранения ложных отрицательных значений группы безопасности могут напрямую управлять записями блокировки для файлов, URL-адресов и доменов или адресов электронной почты в списке разрешенных и заблокированных клиентов.

Для краткосрочного снижения числа ложных срабатываний группы безопасности не могут напрямую управлять разрешающими записями для доменов и адресов электронной почты в списке разрешений/блокировок арендатора. Вместо этого они должны использовать отправки администратора , чтобы сообщить сообщение электронной почты как ложноположительное. Инструкции см. в статье Сообщить в Microsoft о неопасном сообщении электронной почты.

Карантин в Defender для Office 365 содержит потенциально опасные или нежелательные сообщения и файлы. Группы безопасности могут просматривать, выпускать и удалять все типы сообщений, помещенных в карантин для всех пользователей. Эта возможность позволяет специалистам по безопасности эффективно реагировать, если сообщение или файл были ошибочно помечены как вредоносные и помещены в карантин.

Интегрировать не относящиеся к Microsoft средства создания отчетов с сообщениями, отправляемыми пользователями в Defender для Office 365

Если в вашей организации используется средство отчетности сторонних разработчиков, которое позволяет пользователям внутренне сообщать о подозрительных сообщениях электронной почты, вы можете интегрировать это средство с возможностями сообщений, сообщаемых пользователями, в Defender для Office 365. Интеграция средства отчетов, отличного от Microsoft, с Defender для Office 365 возможностями сообщений, сообщаемых пользователем, обеспечивает следующие преимущества для команд безопасности:

  • Интеграция с возможностями AIR Defender для Office 365.
  • Упрощённый триаж.
  • Сокращение времени исследования и ответа.

Назначьте почтовый ящик отчетов, куда отправляются сообщения, сообщаемые пользователем, на странице Параметры отчета пользователя на портале Microsoft Defender по адресу https://security.microsoft.com/securitysettings/userSubmission. Дополнительные сведения см. в разделе Параметры, сообщаемые пользователем.

Примечание.

Когда сообщение, о котором сообщил пользователь, поступает в почтовый ящик для отчетов, Defender для Office 365 автоматически создает оповещение с названием Пользователь сообщил, что сообщение является вредоносным или фишинговым. Оповещение Электронное письмо, помеченное пользователем как вредоносное или фишинговое запускает плейбук AIR. Плейбук выполняет ряд автоматизированных шагов расследования:

  • Соберите данные о указанном сообщении электронной почты.
  • Соберите данные об угрозах и сущностях , связанных с этим сообщением электронной почты (например, о файлах, URL-адресах и получателях).
  • Предоставьте рекомендуемые действия, которые команда SecOps будет выполнять на основе результатов исследования.

Оповещения о сообщениях электронной почты, отмеченных пользователем как вредоносные или фишинговые, автоматизированные расследования и рекомендуемые ими меры автоматически сопоставляются с инцидентами в Microsoft Defender. Сопоставление оповещений, автоматизированных расследований и рекомендуемых действий с инцидентами упрощает процесс обработки и реагирования для групп безопасности. Если несколько пользователей сообщают одинаковые или похожие сообщения, все пользователи и сообщения сопоставляются с тем же инцидентом.

Данные из оповещений и расследований в Defender для Office 365 автоматически сравниваются с оповещениями и исследованиями в других Microsoft Defender продуктах:

  • Microsoft Defender для конечных точек
  • Microsoft Defender для облачных приложений
  • Microsoft Defender для идентификации

Если связь обнаружена, система создает инцидент, который обеспечивает видимость всей атаки.