Office 365-höz készült Microsoft Defender biztonsági üzemeltetési útmutató
Tipp
Tudta, hogy ingyenesen kipróbálhatja Office 365-höz készült Microsoft Defender 2. csomag funkcióit? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
Ez a cikk áttekintést nyújt a Office 365-höz készült Microsoft Defender szervezeten belüli sikeres működésére vonatkozó követelményekről és feladatokról. Ezek a feladatok biztosítják, hogy a biztonsági üzemeltetési központ (SOC) kiváló minőségű, megbízható megközelítést biztosítson az e-mailekkel és az együttműködéssel kapcsolatos biztonsági fenyegetések védelméhez, észleléséhez és megválaszolásához.
Az útmutató további része a SecOps személyzetének szükséges tevékenységeit ismerteti. A tevékenységek előíró napi, heti, havi és alkalmi feladatokba vannak csoportosítva.
Az útmutató kiegészítő cikke áttekintést nyújt a Office 365-höz készült Defender incidenseinek és riasztásainak kezeléséről a Microsoft Defender portál Incidensek lapján.
A Microsoft Defender XDR biztonsági üzemeltetési útmutatója további információkat tartalmaz, amelyeket a tervezéshez és a fejlesztéshez használhat.
Erről az információról a következő videóban olvashat https://youtu.be/eQanpq9N1Ps: .
Napi tevékenységek
A Microsoft Defender XDR Incidensek üzenetsor figyelése
A Microsoft Defender portál https://security.microsoft.com/incidentsIncidensek lapja (más néven Incidensek üzenetsor) lehetővé teszi az alábbi források eseményeinek kezelését és monitorozását Office 365-höz készült Defender:
További információ az Incidensek üzenetsorról: Incidensek rangsorolása Microsoft Defender XDR.
Az Incidensek üzenetsor figyelésére szolgáló osztályozási tervnek a következő prioritási sorrendet kell használnia az incidensek esetében:
- A rendszer rosszindulatú URL-kattintást észlelt.
- A felhasználó nem küldhet e-maileket.
- Gyanús e-mail-küldési minták észlelhetők.
- Email a felhasználó kártevőként vagy adathalászként, a Több felhasználó pedig kártevőként vagy adathalászként jelentette az e-maileket.
- Email kézbesítés után eltávolított kártékony fájlokat tartalmazó üzeneteket, Email a kártékony URL-címeket tartalmazó üzeneteket a kézbesítés után, valamint Email üzeneteket a kézbesítés után eltávolított kampányból.
- ETR-felülbírálás miatt kézbesített adathalászat, adathalászat, mert a felhasználó Levélszemét mappája le van tiltva, és adathalászat egy IP-engedélyezési szabályzat miatt
- A kártevő nincs leképezve, mert a ZAP le van tiltva , az adathalászat pedig nincs leképezve, mert a ZAP le van tiltva.
Az incidenssor-kezelés és a felelős személyek leírása a következő táblázatban található:
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Incidensek osztályozása az Incidensek sorban a következő helyen https://security.microsoft.com/incidents: . | Mindennapi | Ellenőrizze, hogy az Office 365-höz készült Defender közepes és magas súlyosságú incidenseit osztályozott-e. | Biztonsági üzemeltetési csapat |
| Incidensek kivizsgálása és reagálási műveletek végrehajtása. | Mindennapi | Vizsgálja meg az összes incidenst, és aktívan hajtsa végre az ajánlott vagy manuális reagálási műveleteket. | Biztonsági üzemeltetési csapat |
| Incidensek megoldása. | Mindennapi | Ha az incidenst kijavították, oldja meg az incidenst. Az incidens feloldása az összes csatolt és kapcsolódó aktív riasztást megoldja. | Biztonsági üzemeltetési csapat |
| Incidensek besorolása. | Mindennapi | Sorolja be az incidenseket igaznak vagy hamisnak. Valódi riasztások esetén adja meg a fenyegetés típusát. Ez a besorolás segít a biztonsági csapatnak a fenyegetési minták megtekintésében és a szervezet védelmében. | Biztonsági üzemeltetési csapat |
Téves pozitív és hamis negatív észlelések kezelése
Tipp
- A téves riasztások kezelésének gyors áttekintéséhez tekintse meg ezt a rövid videót: https://youtu.be/yuduVj6wvsw
- A téves negatív vizsgálatok első lépéseinek gyors áttekintéséhez tekintse meg ezt a rövid videót: https://youtu.be/sFMAI8MeDKQ
A Office 365-höz készült Defender a következő helyeken kezelheti a téves pozitív (rosszként megjelölt jó levelek) és a hamis negatív (rossz levél engedélyezett) értékeket:
- A Beküldések lap (rendszergazdai beküldések).
- A bérlő engedélyezési/blokkolási listája
- Veszélyforrás-felderítő
További információt a cikk későbbi, Téves pozitív és hamis negatív észlelések kezelése című szakaszában talál.
A téves pozitív és hamis negatív kezelés és a felelős személyek leírása a következő táblázatban található:
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Küldjön hamis pozitív és hamis negatív értékeket a Microsoftnak a címen https://security.microsoft.com/reportsubmission. | Mindennapi | A helytelen e-mailek, URL-címek és fájlészlelések jelentésével küldjön jeleket a Microsoftnak. | Biztonsági üzemeltetési csapat |
| Rendszergazdai beküldés részleteinek elemzése. | Mindennapi | Ismerje meg a Következő tényezőket a Microsoftnak elküldött beadványok esetében:
|
Biztonsági üzemeltetési csapat Biztonsági felügyelet |
| Adjon hozzá blokkbejegyzéseket a bérlő engedélyezési/blokkolási listájához a következő helyen: https://security.microsoft.com/tenantAllowBlockList. | Mindennapi | A bérlő engedélyezési/letiltási listájával szükség szerint hozzáadhat blokkbejegyzéseket a hamis negatív URL-címekhez, fájlokhoz vagy feladókhoz. | Biztonsági üzemeltetési csapat |
| Vakriasztás feloldása a karanténból. | Mindennapi | Miután a címzett megerősítette, hogy az üzenet helytelenül lett karanténba helyezve, kiadási kérelmeket adhat ki vagy hagyhat jóvá a felhasználók számára. Ha szabályozni szeretné, hogy a felhasználók mit tehetnek saját karanténba helyezett üzeneteikhez (beleértve a kiadást vagy a kérelem kiadását), tekintse meg a karanténszabályzatokat. |
Biztonsági üzemeltetési csapat Üzenetkezelési csapat |
A kézbesített e-maileket eredményező adathalász és kártevőkampányok áttekintése
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Tekintse át az e-mail-kampányokat. | Mindennapi |
Tekintse át azokat az e-mail-kampányokat , amelyek a szervezetét célozták meg a címen https://security.microsoft.com/campaigns. A címzetteknek küldött üzeneteket eredményező kampányokra összpontosítson. Üzenetek eltávolítása a felhasználói postaládákban található kampányokból. Erre a műveletre csak akkor van szükség, ha egy kampány olyan e-mailt tartalmaz, amelyet még nem javítottak incidensek, nullaórás automatikus végleges törlés (ZAP) vagy manuális szervizelés által. |
Biztonsági üzemeltetési csapat |
Heti tevékenységek
E-mail-észlelési trendek áttekintése Office 365-höz készült Defender jelentésekben
A Office 365-höz készült Defender az alábbi jelentésekkel tekintheti át a szervezet e-mail-észlelési trendjeit:
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Tekintse át az e-mail-észlelési jelentéseket a következő helyen: | Heti | Tekintse át a kártevők, adathalászat és levélszemét észlelésének trendjeit a jó e-mailekhez képest. Az időbeli megfigyeléssel megtekintheti a fenyegetési mintákat, és meghatározhatja, hogy módosítania kell-e a Office 365-höz készült Defender szabályzatokat. | Biztonsági felügyelet Biztonsági üzemeltetési csapat |
A fenyegetések nyomon követése és az azokra való reagálás a Threat Analytics használatával
Használja a Fenyegetéselemzést az aktív, népszerű fenyegetések áttekintéséhez.
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Tekintse át a fenyegetéseket a Fenyegetéselemzésben a következő címen: https://security.microsoft.com/threatanalytics3. | Heti | A fenyegetéselemzés részletes elemzést biztosít, beleértve a következő elemeket:
|
Biztonsági üzemeltetési csapat Veszélyforrás-keresési csapat |
A kártevők és az adathalászat legcélzottbb felhasználóinak áttekintése
A Fenyegetéskezelő Minden e-mail, Kártevő és Adathalászat nézetének részletek területén található Leggyakoribb megcélzott felhasználók lap (nézet) segítségével felderítheti vagy megerősítheti azokat a felhasználókat, akik a kártevők és az adathalász e-mailek legfontosabb célpontjai.
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Tekintse át a Leggyakoribb megcélzott felhasználók lapot a Threat Explorerben a következő címen: https://security.microsoft.com/threatexplorer. | Heti | Az információk alapján döntse el, hogy módosítania kell-e a házirendeket vagy a felhasználók védelmét. Adja hozzá az érintett felhasználókat a prioritási fiókokhoz a következő előnyök eléréséhez:
|
Biztonsági felügyelet Biztonsági üzemeltetési csapat |
A szervezetet megcélzó leggyakoribb kártevők és adathalászati kampányok áttekintése
A kampánynézetek kártevőket és adathalász támadásokat tárnak fel a szervezet ellen. További információ: Kampánynézetek Office 365-höz készült Microsoft Defender.
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| A kampánynézetekhttps://security.microsoft.com/campaigns használatával áttekintheti az Önt érintő kártevőket és adathalászati támadásokat. | Heti | Megismerheti a támadásokat és technikákat, valamint azt, hogy mi Office 365-höz készült Defender képes azonosítani és blokkolni. A kampányokkal kapcsolatos részletes információkért használja a Veszélyforrás-jelentés letöltése a Kampánynézetekben című témakört. |
Biztonsági üzemeltetési csapat |
Alkalmi tevékenységek
Tipp
A Office 365-höz készült Microsoft Defender e-mail-üzeneteinek vizsgálatáról az alábbi rövid videóban talál gyors áttekintést: https://youtu.be/5hA7VfaMvqs.
E-mailek manuális vizsgálata és eltávolítása
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Vizsgálja meg és távolítsa el a hibás e-maileket a Threat Explorerben a https://security.microsoft.com/threatexplorer következő helyen: felhasználói kérések alapján. | Alkalmi | A Veszélyforrás-felderítőben a Trigger investigation művelettel automatikus vizsgálatot és válaszforgatókönyvet indíthat az elmúlt 30 nap bármely e-mailjén. A vizsgálat manuális aktiválása időt és energiát takarít meg központilag, beleértve a következőket:
További információ : Példa: Egy felhasználó által jelentett adathalász üzenet elindít egy vizsgálati forgatókönyvet Vagy használhatja a Threat Explorert a hatékony keresési és szűrési képességekkel rendelkező e-mailek manuális vizsgálatára , és közvetlenül ugyanabból a helyről hajthat végre manuális válaszműveletet . Elérhető manuális műveletek:
|
Biztonsági üzemeltetési csapat |
Proaktív veszélyforrás-keresés
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Rendszeres, proaktív veszélyforrás-keresés a következő helyen:. | Alkalmi | Veszélyforrás-keresés a Veszélyforrás-felderítő és a Speciális veszélyforrás-keresés használatával. | Biztonsági üzemeltetési csapat Veszélyforrás-keresési csapat |
| Veszélyforrás-keresési lekérdezések megosztása. | Alkalmi | Aktívan ossza meg a gyakran használt, hasznos lekérdezéseket a biztonsági csapaton belül a gyorsabb manuális veszélyforrás-keresés és -szervizelés érdekében. Veszélyforrás-követőket és megosztott lekérdezéseket használhat a speciális veszélyforrás-keresésben. |
Biztonsági üzemeltetési csapat Veszélyforrás-keresési csapat |
| Hozzon létre egyéni észlelési szabályokat a címen https://security.microsoft.com/custom_detection. | Alkalmi | Egyéni észlelési szabályok létrehozásával proaktívan monitorozhat eseményeket, mintákat és fenyegetéseket Office 365-höz készült Defender adatok alapján az előzetes veszélyforrás-keresésben. Az észlelési szabályok speciális veszélyforrás-keresési lekérdezéseket tartalmaznak, amelyek riasztásokat hoznak létre az egyező feltételek alapján. | Biztonsági üzemeltetési csapat Veszélyforrás-keresési csapat |
Szabályzatkonfigurációk áttekintése Office 365-höz készült Defender
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Tekintse át Office 365-höz készült Defender szabályzatok konfigurációját itt: https://security.microsoft.com/configurationAnalyzer. | Alkalmi Havi |
A Konfigurációelemző használatával hasonlítsa össze a meglévő szabályzatbeállításokat a Office 365-höz készült Defender ajánlott Standard vagy Szigorú értékeivel. A Konfigurációelemző azonosítja azokat a véletlen vagy rosszindulatú módosításokat, amelyek csökkenthetik a szervezet biztonsági helyzetét. Vagy használhatja a PowerShell-alapú ORCA eszközt. |
Biztonsági felügyelet Üzenetkezelési csapat |
| Az észlelési felülbírálások áttekintése Office 365-höz készült Defender itt:https://security.microsoft.com/reports/TPSMessageOverrideReportATP | Alkalmi Havi |
A Veszélyforrások elleni védelem állapotjelentésÉben az Adatok megtekintése rendszer felülbírálási diagramok szerint bontásban áttekintheti az adathalászként észlelt, de a szabályzat vagy a felhasználó felülbírálási > beállításai miatt kézbesített e-maileket. Aktívan vizsgálja meg, távolítsa el vagy finomhangolja a felülbírálásokat, hogy elkerülje a kártékonynak ítélt e-mailek kézbesítését. |
Biztonsági felügyelet Üzenetkezelési csapat |
Hamisítás és megszemélyesítés észlelésének áttekintése
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Tekintse át a hamisintelligencia-megállapítást és a megszemélyesítés észlelésére vonatkozó megállapításokat a következő helyen:. | Alkalmi Havi |
Használja a hamisintelligencia-megállapítást és a megszemélyesítési megállapítást a hamis és megszemélyesítési észlelések szűrésének módosításához. | Biztonsági felügyelet Üzenetkezelési csapat |
Prioritási fióktagság áttekintése
| Tevékenység | Ütem | Leírás | Felhasználótípus |
|---|---|---|---|
| Tekintse át, hogy ki van prioritási fiókként definiálva a következő helyen: https://security.microsoft.com/securitysettings/userTags. | Alkalmi | Tartsa naprakészen a prioritási fiókok tagságát a szervezeti módosításokkal, hogy a következő előnyöket nyújthassa ezeknek a felhasználóknak:
Egyéni felhasználói címkék használata más felhasználók számára a következőhöz:
|
Biztonsági üzemeltetési csapat |
Függelék
Tudnivalók Office 365-höz készült Microsoft Defender eszközökről és folyamatokról
A biztonsági műveleteknek és a válaszcsapat tagjainak integrálniuk kell Office 365-höz készült Defender eszközöket és funkciókat a meglévő vizsgálatokba és válaszfolyamatokba. Az új eszközök és képességek megismerése időbe telhet, de ez a beszállási folyamat kritikus része. A SecOps és az e-mail biztonsági csapattagok számára a legegyszerűbben úgy ismerheti meg a Office 365-höz készült Defender, ha a ninja képzési tartalom részeként elérhető képzési tartalmakat használja a címenhttps://aka.ms/mdoninja.
A tartalom különböző tudásszintekhez (fundamentals, intermediate és advanced) van felépítve, szintenként több modullal.
Az egyes feladatokról rövid videók is elérhetők a Office 365-höz készült Microsoft Defender YouTube-csatornán.
Engedélyek Office 365-höz készült Defender tevékenységekhez és feladatokhoz
A Microsoft Defender portálon és a PowerShellben a Office 365-höz készült Defender kezelésére vonatkozó engedélyek a szerepköralapú hozzáférés-vezérlési (RBAC) engedélymodellen alapulnak. Az RBAC ugyanaz az engedélymodell, amelyet a Microsoft 365 legtöbb szolgáltatása használ. További információ: Engedélyek a Microsoft Defender portálon.
Megjegyzés:
A Microsoft Entra ID Privileged Identity Management (PIM) is lehetővé teszi a szükséges engedélyek hozzárendelését a SecOps személyzetéhez. További információ: Privileged Identity Management (PIM), és miért érdemes használni Office 365-höz készült Microsoft Defender.
A következő engedélyek (szerepkörök és szerepkörcsoportok) érhetők el Office 365-höz készült Defender, és a biztonsági csapattagok hozzáférésének megadására használhatók:
Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC): Egyetlen engedélykezelési felület, amely egyetlen központi helyet biztosít a rendszergazdáknak a felhasználói engedélyek különböző biztonsági megoldásokban való szabályozásához. További információ: Microsoft Defender XDR Unified RBAC.
- Olvasási hozzáférés az e-mailek és a Teams üzenetfejléceihez: Biztonsági műveletek/Nyers adatok (e-mail & együttműködés)/Email & együttműködési metaadatok (olvasás).
- E-mailek előnézete és letöltése: Biztonsági műveletek/Nyers adatok (e-mail & együttműködés)/Email & együttműködési tartalom (olvasás).
- Rosszindulatú e-mailek szervizelése: Biztonsági műveletek/Biztonsági adatok/Email & együttműködés speciális műveletei (kezelése).
Microsoft Entra ID: Központosított szerepkörök, amelyek engedélyeket rendelnek az összes Microsoft 365-szolgáltatáshoz, beleértve a Office 365-höz készült Defender. A Microsoft Entra szerepköröket és a hozzárendelt felhasználókat a Microsoft Defender portálon tekintheti meg, de közvetlenül ott nem kezelheti őket. Ehelyett Microsoft Entra szerepköröket és tagokat a címen https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2Fkezelheti. A biztonsági csapatok által leggyakrabban használt szerepkörök a következők:
Exchange Online és Email & együttműködés: Olyan szerepkörök és szerepkörcsoportok, amelyek adott Office 365-höz készült Microsoft Defender engedélyt adnak. A következő szerepkörök nem érhetők el Microsoft Entra ID, de fontosak lehetnek a biztonsági csapatok számára:
Előzetes verziójú szerepkör (Email & együttműködés): Rendelje hozzá ezt a szerepkört azokhoz a csapattagokhoz, akiknek a vizsgálati tevékenységek részeként meg kell tekinteniük vagy le kell tölteniük az e-maileket. Lehetővé teszi a felhasználók számára az e-mailek megtekintését és letöltését a felhőbeli postaládákból a Threat Explorer (Explorer) vagy a valós idejű észlelések és a Email entitáslap használatával.
Alapértelmezés szerint az Előzetes verzió szerepkör csak a következő szerepkörcsoportokhoz van hozzárendelve:
- Adatnyomozó
- Elektronikus adatok feltárása kezelője
Hozzáadhat felhasználókat ezekhez a szerepkörcsoportokhoz, vagy létrehozhat egy új szerepkörcsoportot az Előzetes verzió szerepkörrel, és hozzáadhatja a felhasználókat az egyéni szerepkörcsoporthoz.
Keresési és végleges törlési szerepkör (Email & együttműködés): Hagyja jóvá a kártékony üzenetek törlését az AIR által ajánlott módon, vagy manuális műveletet hajt végre az olyan veszélyforrás-keresési élményekben lévő üzeneteken, mint a Veszélyforrás-kezelő.
Alapértelmezés szerint a Keresés és végleges törlés szerepkör csak a következő szerepkörcsoportokhoz van hozzárendelve:
- Adatnyomozó
- Szervezetfelügyelet
Hozzáadhat felhasználókat ezekhez a szerepkörcsoportokhoz, vagy létrehozhat egy új szerepkörcsoportot a Hozzárendelt Keresés és végleges törlés szerepkörrel, és hozzáadhatja a felhasználókat az egyéni szerepkörcsoporthoz.
Tenant AllowBlockList Manager (Exchange Online): Az engedélyezési és letiltott bejegyzések kezelése a bérlők engedélyezési/tiltólistájában. Az URL-címek, fájlok (fájlkivonat használatával) vagy a feladók blokkolása hasznos válaszlépés a kézbesített rosszindulatú e-mailek vizsgálatakor.
Alapértelmezés szerint ez a szerepkör csak a Biztonsági operátor szerepkörcsoporthoz van hozzárendelve a Exchange Online-ben, a Microsoft Entra ID nem. A Biztonsági operátor szerepkör tagsága a Microsoft Entra ID nem teszi lehetővé a bérlői engedélyezési/tiltólista bejegyzéseinek kezelését.
A Microsoft Entra ID biztonsági rendszergazdai vagy szervezetfelügyeleti szerepköreinek vagy a Exchange Online megfelelő szerepkörcsoportjainak tagjai kezelhetik a bérlői engedélyezési/letiltáslistán szereplő bejegyzéseket.
SIEM/SOAR-integráció
Office 365-höz készült Defender a legtöbb adatot programozott API-kon keresztül teszi elérhetővé. Ezek az API-k segítenek automatizálni a munkafolyamatokat, és teljes mértékben kihasználni Office 365-höz készült Defender képességeket. Az adatok az Microsoft Defender XDR API-kon keresztül érhetők el, és Office 365-höz készült Defender meglévő SIEM/SOAR-megoldásokba való integrálására használhatók.
Incidens API: Office 365-höz készült Defender riasztások és automatizált vizsgálatok az incidensek aktív részei a Microsoft Defender XDR. A biztonsági csapatok a teljes támadási hatókör és az összes érintett adategység csoportosításával a kritikus fontosságú dolgokra összpontosíthatnak.
Eseménystreamelési API: Lehetővé teszi valós idejű események és riasztások továbbítását egyetlen adatfolyamba, amikor azok történnek. A Office 365-höz készült Defender támogatott eseménytípusai a következők:
Az események az elmúlt 30 nap összes e-mailjének (beleértve a szervezeten belüli üzeneteket) feldolgozásából származó adatokat tartalmaznak.
Advance Hunting API: Lehetővé teszi a termékközi veszélyforrás-keresést.
Threat Assessment API: Használható arra, hogy közvetlenül a Microsoftnak jelentse a levélszeméteket, az adathalász URL-címeket vagy a kártevőmellékleteket.
Ha Office 365-höz készült Defender incidenseket és nyers adatokat szeretne csatlakoztatni Microsoft Sentinel, használhatja az Microsoft Defender XDR (M365D) összekötőt
Az alábbi "„Helló világ!” alkalmazás" példával tesztelheti Microsoft Defender API-k API-hozzáférését: „Helló világ!” alkalmazás Microsoft Defender XDR REST API-hoz.
További információ a SIEM-eszközök integrálásáról: SIEM-eszközök integrálása Microsoft Defender XDR.
A vakriasztások és a hamis negatívok kezelése a Office 365-höz készült Defender
A felhasználó által jelentett üzenetek és az e-mailek rendszergazdai elküldése kritikus pozitív megerősítési jelek a gépi tanulási észlelési rendszerek számára. A beküldések segítenek a támadások áttekintésében, osztályozásában, gyors tanulásában és enyhítésében. A téves pozitív és hamis negatív értékek aktív jelentése fontos tevékenység, amely visszajelzést nyújt Office 365-höz készült Defender az észlelés során elkövetett hibákról.
A szervezetek több lehetőséget is használhatnak a felhasználók által jelentett üzenetek konfigurálására. A konfigurációtól függően előfordulhat, hogy a biztonsági csapatok aktívabbak lesznek, amikor a felhasználók hamis pozitív vagy hamis negatív adatokat küldenek a Microsoftnak:
A rendszer elemzés céljából elküldi a felhasználó által jelentett üzeneteket a Microsoftnak, ha a felhasználó által jelentett beállítások az alábbi beállítások valamelyikével vannak konfigurálva:
- A jelentett üzeneteket csak a Microsoftnak küldje el.
- Küldje el a jelentett üzeneteket a következő címre: Microsoft és saját jelentési postaláda.
A biztonsági csapatok tagjainak eseti rendszergazdai beküldést kell végeznie, ha az üzemeltetési csapat hamis pozitív vagy hamis negatív értékeket észlel, amelyeket a felhasználók nem jelentettek.
Ha a felhasználó által jelentett üzenetek úgy vannak konfigurálva, hogy csak a szervezet postaládájába küldjenek üzeneteket, a biztonsági csapatoknak rendszergazdai beküldéseken keresztül aktívan kell elküldenie a felhasználók által jelentett hamis pozitív és hamis negatív üzeneteket a Microsoftnak.
Amikor egy felhasználó adathalászként jelent be egy üzenetet, Office 365-höz készült Defender riasztást generál, és a riasztás elindít egy AIR-forgatókönyvet. Az incidenslogika ezeket az információkat adott esetben más riasztásokkal és eseményekkel korrelálja. Az információk konszolidálása segít a biztonsági csapatoknak a felhasználók által jelentett üzenetek osztályozásában, kivizsgálásában és megválaszolásában.
A szolgáltatás beküldési folyamata szorosan integrált folyamatot követ, amikor a felhasználói jelentések üzenetei és a rendszergazdák elküldik az üzeneteket. Ez a folyamat a következőket foglalja magában:
- Zajcsökkentés.
- Automatizált osztályozás.
- Osztályozás biztonsági elemzők és emberi partner által felügyelt gépi tanulási megoldások alapján.
További információ: Office 365-höz készült Microsoft Defender Blog – E-mailek jelentése Office 365-höz készült Defender.
A biztonsági csapat tagjai több helyről is beküldhetnek a Microsoft Defender portálon:https://security.microsoft.com
Rendszergazda beküldés: A Beküldések lapon levélszemétgyanús, adathalászati, URL-címeket és fájlokat küldhet a Microsoftnak.
Közvetlenül a Threat Explorerből az alábbi üzenetműveletek egyikével:
- Jelentés tisztítása
- Adathalászat jelentése
- Kártevő bejelentése
- Levélszemét jelentése
Tömeges küldéshez legfeljebb 10 üzenetet választhat ki. Rendszergazda ezekkel a módszerekkel létrehozott beküldések a Beküldések lap megfelelő lapján láthatók.
A hamis negatívok rövid távú elhárítása érdekében a biztonsági csapatok közvetlenül kezelhetik a bérlői engedélyezési/letiltási listában található fájlok, URL-címek és tartományok vagy e-mail-címek blokkbejegyzéseit.
A téves riasztások rövid távú elhárítása érdekében a biztonsági csapatok nem kezelhetik közvetlenül a tartományok és e-mail-címek engedélyezési bejegyzéseit a bérlők engedélyezési/tiltólistájában. Ehelyett rendszergazdai beküldésekkel kell hamis pozitívként jelenteniük az e-mailt. Útmutatásért lásd: Jó e-mail küldése a Microsoftnak.
A karantén Office 365-höz készült Defender potenciálisan veszélyes vagy nemkívánatos üzeneteket és fájlokat tartalmaz. A biztonsági csapatok minden felhasználó számára megtekinthetik, feloldhatják és törölhetik a karanténba helyezett üzenetek összes típusát. Ez a képesség lehetővé teszi, hogy a biztonsági csapatok hatékonyan válaszoljanak, ha egy téves pozitív üzenet vagy fájl karanténba van helyezve.
Külső jelentéskészítő eszközök integrálása Office 365-höz készült Defender felhasználó által jelentett üzenetekkel
Ha a szervezet külső jelentéskészítő eszközt használ, amely lehetővé teszi a felhasználók számára a gyanús e-mailek belső bejelentését, integrálhatja az eszközt a felhasználók által jelentett üzenetekkel a Office 365-höz készült Defender. Ez az integráció a következő előnyöket nyújtja a biztonsági csapatok számára:
- Integráció a Office 365-höz készült Defender AIR képességeivel.
- Egyszerűsített osztályozás.
- Csökkentett vizsgálati és válaszidő.
Jelölje ki azt a jelentési postaládát, amelybe a felhasználó által jelentett üzeneteket a Microsoft Defender portál felhasználó által jelentett beállítások lapján küldi el a következő címen: https://security.microsoft.com/securitysettings/userSubmission. További információ: Felhasználó által jelentett beállítások.
Megjegyzés:
- A jelentési postaládának Exchange Online postaládának kell lennie.
- A külső jelentéskészítő eszköznek az eredeti jelentett üzenetet tömörítetlenként kell tartalmaznia. EML vagy . MSG-melléklet a jelentési postaládába küldött üzenetben (ne csak az eredeti üzenetet továbbítja a jelentési postaládába). További információ: Üzenetküldési formátum külső jelentéskészítő eszközökhöz.
- A jelentési postaláda speciális előfeltételeket követel meg ahhoz, hogy a potenciálisan hibás üzenetek szűrés vagy módosítás nélkül érkezhessenek meg. További információ: A jelentési postaláda konfigurációs követelményei.
Amikor egy felhasználó jelentett üzenetet érkezik a jelentési postaládába, Office 365-höz készült Defender automatikusan létrehozza a felhasználó által kártevőként vagy adathalászként jelentett Email nevű riasztást. Ez a riasztás elindít egy AIR-forgatókönyvet. A forgatókönyv automatizált vizsgálati lépések sorozatát hajtja végre:
- Gyűjtsön adatokat a megadott e-mail-címről.
- Gyűjtsön adatokat az e-mailhez kapcsolódó fenyegetésekről és entitásokról (például fájlokról, URL-címekről és címzettekről).
- Adja meg a secops-csapat számára a vizsgálati eredmények alapján végrehajtandó javasolt műveleteket.
Email a felhasználó által kártevőként vagy adathalászati riasztásként jelentett, az automatizált vizsgálatok és az általuk javasolt műveletek automatikusan összefüggnek a Microsoft Defender XDR incidenseivel. Ez a korreláció tovább egyszerűsíti a biztonsági csapatok osztályozási és reagálási folyamatát. Ha több felhasználó jelenti ugyanazt vagy hasonló üzeneteket, az összes felhasználó és üzenet ugyanabba az incidensbe van osztva.
A Office 365-höz készült Defender riasztásaiból és vizsgálataiból származó adatokat a rendszer automatikusan összehasonlítja a többi Microsoft Defender XDR termék riasztásaival és vizsgálataival:
- Végponthoz készült Microsoft Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
Kapcsolat észlelése esetén a rendszer létrehoz egy incidenst, amely a teljes támadást áttekinti.