Automatizált vizsgálat és reagálás (AIR) Office 365-höz készült Microsoft Defender 2. csomagban

Ahogy a microsoftos 365-ös szervezet biztonsági riasztásai megjelennek a címen https://security.microsoft.com/alerts, a biztonsági üzemeltetési (SecOps) csapatának kell áttekintenie, rangsorolnia és megválaszolnia ezeket a riasztásokat. A bejövő riasztások mennyiségének fenntartása túl sok lehet. Ezen feladatok némelyikének automatizálása segíthet.

Office 365-höz készült Microsoft Defender 2. csomag (amely része a Microsoft 365-licenceknek, például az E5-nek vagy önálló előfizetésnek) hatékony automatizált vizsgálati és reagálási (AIR) képességeket tartalmaz, amelyekkel időt és energiát takaríthat meg a SecOps-csapatok számára.

Az AIR nagy hatású, nagy mennyiségű riasztást végez a szervezeti szintű vizsgálatok elvégzésével. Az AIR-vizsgálatok kiterjesztik az észleléseket, vagy további elemzéseket nyújtanak a szervezet fenyegetési állapotának meghatározásához. Amikor az AIR azonosítja a fenyegetéseket, várólistára állítja a fenyegetés-elhárítási műveleteket, hogy a SecOps személyzete jóváhagyhassa. Az AIR a következő előnyöket eredményezi:

• Jól ismert fenyegetésekre reagáló automatizált vizsgálati folyamatok.
• A jóváhagyásra váró megfelelő szervizelési műveletek, amelyek lehetővé teszik a SecOps-csapat számára, hogy hatékonyan reagáljon az észlelt fenyegetésekre.
• A SecOps-csapat a magasabb prioritású feladatokra összpontosíthat anélkül, hogy szem elől tévesztené az aktivált fontos riasztásokat.

A Office 365-höz készült Defender 2. csomagban az AIR használatához be kell kapcsolni a naplózást (alapértelmezés szerint be van kapcsolva).

Az AIR teljes áramlása

Egy riasztás aktiválódik, és egy biztonsági forgatókönyv elindít egy automatizált vizsgálatot, amely eredményekhez és javasolt műveletekhez vezet. Íme az AIR teljes folyamata, lépésről lépésre:

1. Az automatizált vizsgálat az alábbi módszerek egyikével indítható el:

   • Speciális riasztások, amelyek az AIR indítására szolgálnak. Ezek a riasztások a következők:

     • Az e-mailben valami gyanúsat azonosítunk (például magát az üzenetet, egy mellékletet, egy URL-címet vagy egy feltört felhasználói fiókot).

     • Nulla órás automatikus végleges törlés (ZAP).

     • Felhasználói beküldések.

     • A felhasználó a riasztásokra kattint.

     • Gyanús postaláda-viselkedés.

       Tipp

       Győződjön meg arról, hogy rendszeresen áttekinti a szervezet riasztáseit. Az automatikus vizsgálatot kiváltó riasztási szabályzatokról a Fenyegetéskezelés kategóriában található alapértelmezett riasztási szabályzatok című témakörben talál további információt. Az Igen értéket tartalmazó bejegyzések automatikus vizsgálatot indíthatnak. Ha ezek a riasztások le vannak tiltva, vagy egyéni riasztások váltják fel őket, az AIR nem aktiválódik.

   • A biztonsági elemzők manuálisan indítják el a vizsgálatot a Művelet végrehajtása a Fenyegetéskezelőben, a Speciális veszélyforrás-keresés, az egyéni észlelés, az Email entitáslap vagy a Email összegző panel kiválasztásával. További információ: Veszélyforrás-keresés: Email szervizelés. Példákért lásd: Példák: Automatizált vizsgálat és reagálás (AIR) példák Office 365-höz készült Microsoft Defender 2. csomagban.

2. Az automatizált vizsgálat kiértékeli és elemzi a riasztás természetét, az érintett üzenetet és az üzenet körüli további bizonyítékokat. A vizsgálat hatóköre a vizsgálat során feltárt és gyűjtött bizonyítékok alapján növekedhet.

3. Az automatizált vizsgálat során és után elérhetők a részletek és az eredmények . Az eredmények között szerepelhetnek a SecOps személyzetének javasolt műveletei a talált fenyegetések elhárításához.

4. A SecOps-csapat áttekinti a vizsgálati eredményeket és javaslatokat (magában a vizsgálatban, az incidensben vagy a Műveletközpontban), és jóváhagyja vagy elutasítja a javítási műveleteket.

   Tipp

   A szervizelési műveletek nem történnek automatikusan. A szervizelési műveletekhez a SecOps személyzetének manuális jóváhagyása szükséges. Az AIR képességei időt takaríthatnak meg azzal, hogy az összes részletet tartalmazó javasolt szervizelési műveletekhez eljutnak, hogy megalapozott döntést hozhassanak.

   Az AIR emellett időt takarít meg azzal, hogy kiértékeli és automatikusan feloldja azokat a riasztásokat és incidenseket, ahol nem találhatók fenyegetések. Ez az eredmény nagyon gyakori a felhasználói beküldési forgatókönyvekben. Az AIR lezárja a vizsgálatot, ha nem talált fenyegetést, vagy ha a már javított üzenetekben fenyegetéseket találtak. Jellemzően

5. A függőben lévő szervizelési műveletek jóváhagyása vagy elutasítása után az automatizált vizsgálat befejeződik.

   Az automatikus vizsgálat automatikusan bezárul, ha nem találhatók javasolt műveletek. A vizsgálat részletei továbbra is elérhetők a Vizsgálat oldalon.https://security.microsoft.com/airinvestigation

Az egyes automatizált vizsgálatok során és után a SecOps-csapat a következő feladatokat végezheti el:

• Vizsgálathoz kapcsolódó riasztás részleteinek megtekintése
• Vizsgálat eredményeinek megtekintése
• Műveletek áttekintése és jóváhagyása egy vizsgálat eredményeként

Az AIR-hez szükséges engedélyek és licencelés

Az AIR használatához engedélyeket kell hozzárendelnie. Az alábbi lehetőségek közül választhat:

• Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha Email & együttműködést>Office 365-höz készült Defender az engedélyek Aktívak. Csak a Defender portált érinti, a PowerShellt nem):
  • Automatizált vizsgálat indítása vagy javasolt műveletek jóváhagyása vagy elutasítása: Biztonsági műveletek/Email speciális javítási műveletek (kezelés).
• Email & együttműködési engedélyeket a Microsoft Defender portálon:
  • AIR-szolgáltatások beállítása: Tagság a Szervezetkezelés vagy a Biztonsági rendszergazda szerepkörcsoportban.
  • Automatizált vizsgálat indítása vagy javasolt műveletek jóváhagyása vagy elutasítása:
    • Tagság a Szervezetkezelés, a Biztonsági rendszergazda, a Biztonsági operátor, a Biztonsági olvasó vagy a Globális olvasó szerepkörcsoportban. és
    • A Keresés és végleges törlés szerepkör, amely alapértelmezés szerint csak az Adatfelügyelő vagy a Szervezetfelügyelet szerepkörcsoporthoz van hozzárendelve. Vagy létrehozhat egy új szerepkörcsoportot a Hozzárendelt Keresés és végleges törlés szerepkörrel, és hozzáadhatja a felhasználókat az egyéni szerepkörcsoporthoz.
• Microsoft Entra engedélyek: Adja meg a felhasználóknak a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket:
  • AIR-funkciók beállítása Tagság globális rendszergazdai vagy biztonsági rendszergazdai szerepkörökben.
  • Automatizált vizsgálat indítása vagy javasolt műveletek jóváhagyása vagy elutasítása:
    • Tagság a globális rendszergazda, a biztonsági rendszergazda, a biztonsági operátor, a biztonsági olvasó vagy a globális olvasó szerepkörben. és
    • Tagság egy Email & együttműködési szerepkörcsoportban a korábban leírtak szerint hozzárendelt Keresési és végleges törlési szerepkörrel.

Az AIR használatához hozzá kell rendelnie egy licencet Office 365-höz készült Defender 2. csomaghoz (az előfizetésben vagy egy bővítménylicencben).

Következő lépések

• AIR-példák
• Automatizált vizsgálat részleteinek és eredményeinek megtekintése
• Függőben lévő műveletek áttekintése és jóváhagyása
• Függőben lévő vagy befejezett javítási műveletek megtekintése