Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender ominaisuuksia ilmaiseksi palvelupakettiin 2 Office 365? Käytä 90 päivän Defender-Office 365 kokeiluversiota Microsoft Defender portaalin kokeilukeskuksessa. Lue lisää siitä, ketkä voivat rekisteröityä ja käyttää kokeiluehtoja Office 365 Try Microsoft Defender -ruudussa.
Office 365 palvelupaketti 2:n (sisältyy Microsoft 365 -käyttöoikeuksiin, kuten E5 tai erillisenä tilauksena) automatisoitu tutkimus ja reagointi Microsoft Defender avulla SecOps-tiimisi voi toimia tehokkaammin ja tehokkaammin. AIR sisältää automatisoituja tutkimuksia tunnetuista uhista ja tarjoaa suositeltuja korjaustoimia. SecOps-tiimi voi tarkastella todisteita ja hyväksyä tai hylätä suositellut toimet. Lisätietoja ILMA-ilmasta on Office 365 suunnitelman 2 kohdassa Microsoft Defender automaattinen tutkinta ja reagointi.
Tässä artikkelissa kuvataan, miten AIR toimii useiden esimerkkien kautta:
- Esimerkki: Käyttäjän ilmoittama tietojenkalasteluviesti käynnistää tutkimusleikkikirjan
- Esimerkki: Suojauksen järjestelmänvalvoja käynnistää tutkimuksen Threat Explorerista
- Esimerkki: Suojaustoimintaryhmä integroi ILMAN SIEM:nsä Office 365 Hallintatoimintojen ohjelmointirajapinnan avulla
Esimerkki: Käyttäjän ilmoittama tietojenkalasteluviesti käynnistää tutkimusleikkikirjan
Käyttäjä saa tietojenkalasteluyritykseltä näyttävän sähköpostiviestin. Käyttäjä raportoi viestin Outlookin sisäisellä Raportti-painikkeella, mikä aiheuttaa ilmoituksen, jonka käyttäjä on ilmoittanut haittaohjelmaksi tai tietojen kalasteluhälytyskäytännöksi, joka käynnistää automaattisesti tutkimuksen toistokirjan.
Ilmoitetun sähköpostiviestin eri osa-alueita arvioidaan. Esimerkki:
- Tunnistettu uhkatyyppi
- Kuka viestin lähetti?
- Viestin lähetyspaikka (infrastruktuurin lähetys)
- Toimitettiinko vai estettiinkö viestin muut esiintymät
- Vuokraajaympäristö, mukaan lukien samanlaiset viestit ja niiden tuomiot sähköpostiklusteroinnin kautta
- Liittyykö viesti tunnettuihin kampanjoihin
- Ja paljon muuta.
Pelikirja arvioi ja ratkaisee lähetykset automaattisesti, kun mitään toimia ei tarvita (mikä tapahtuu usein käyttäjän ilmoittamille viesteille). Muille lähetuksille annetaan luettelo suositelluista toimista alkuperäisen viestin ja siihen liittyvien entiteettien (esimerkiksi liitettyjen tiedostojen, sisällytettyjen URL-osoitteiden ja vastaanottajien) osalta:
- Tunnista samankaltaiset sähköpostiviestit sähköpostiklusterihauilla.
- Selvitä, napsauttivatko käyttäjät epäilyttävissä sähköpostiviesteissä olevia haitallisia linkkejä.
- Riskejä ja uhkia määritetään. Lisätietoja on artikkelissa Automaattisen tutkimuksen tiedot ja tulokset.
- Korjausvaiheet. Lisätietoja on Office 365 kohdassa Microsoft Defender olevat korjaustoiminnot.
Esimerkki: Suojauksen järjestelmänvalvoja käynnistää tutkimuksen Threat Explorerista
Olet Resurssienhallinnassa (Threat Explorer) kaikissa sähköposti-, haittaohjelma- tai tietojenkalastelunäkymissähttps://security.microsoft.com/threatexplorerv3. Olet Sähköposti-välilehdellä (näkymä) tiedot-alueella kaavion alla. Valitset tutkittavan viestin käyttämällä jompaakumpaa seuraavista menetelmistä:
Valitse vähintään yksi taulukon merkintä valitsemalla ensimmäisen sarakkeen vieressä oleva valintaruutu.
Toiminto on käytettävissä suoraan välilehdessä.
Napsauta taulukon merkinnän Aihe-arvoa . Näyttöön avautuvassa tiedot-pikaikkunassa on
Suorita toiminto pikaikkunan yläosassa.
Kun olet valinnut Toimi, valitse Aloita automaattinen tutkimus. Lisätietoja on artikkelissa Sähköpostin korjaaminen.
Kuten hälytyksen käynnistämät pelikirjat, Threat Explorerista käynnistettyjä automaattisia tutkimuksia ovat muun muassa seuraavat:
- Päätutkimus.
- Vaiheet uhkien tunnistamiseen ja korreloimiseen. Lisätietoja on artikkelissa Automaattisen tutkimuksen tiedot ja tulokset.
- Suositellut toiminnot uhkien lieventämiseksi. Lisätietoja on Office 365 kohdassa Microsoft Defender olevat korjaustoiminnot.
Esimerkki: Suojaustoimintaryhmä integroi ILMAN SIEM:nsä Office 365 Hallintatoimintojen ohjelmointirajapinnan avulla
Defender for Office 365 Plan 2 :n AIR-ominaisuudet sisältävät raportteja ja tietoja, joita SecOps-tiimi voi käyttää uhkien tarkkailemiseen ja käsittelemiseen. Voit myös integroida AIR-ominaisuuksia muihin ratkaisuihin. Esimerkki:
- Suojaustieto- ja tapahtumahallintajärjestelmät (SIEM).
- Tapauksenhallintajärjestelmät.
- Mukautetut raportointiratkaisut.
Integroi nämä ratkaisut Office 365 hallintatoiminnon ohjelmointirajapinnan avulla.
Esimerkki mukautetusta ratkaisusta, joka integroi hälytykset airin jo käsittelemistä tietojenkalasteluviesteistä SIEM-palvelimeen ja tapaustenhallintajärjestelmään, on microsoft security blog - improve the effectiveness of your SOC with Microsoft Defender for Office 365 and the Office 365 Management -ohjelmointirajapinnassa.
Integroitu ratkaisu vähentää huomattavasti false-positiivisten määrää, mikä antaa SecOps-tiimille mahdollisuuden keskittää aikansa ja ponnistelunsa todellisiin uhkiin.