Microsoft Defender для Office 365 включает в себя мощные возможности автоматического расследования и реагирования (AIR), которые могут сэкономить время и усилия вашей команды по обеспечению безопасности. По мере срабатывания предупреждений ваша команда по обеспечению безопасности должна просматривать эти предупреждения, расставлять приоритеты и реагировать на них. Не отставать от объема входящих предупреждений может быть ошеломляющим. Автоматизация некоторых из этих задач может помочь.
AIR позволяет вашей команде по обеспечению безопасности работать более эффективно и результативно. Возможности AIR включают автоматизированные процессы расследования в ответ на известные сегодня угрозы. Соответствующие действия по исправлению ожидают утверждения, что позволит вашей команде по обеспечению безопасности эффективно реагировать на обнаруженные угрозы. С AIR ваша команда по обеспечению безопасности может сосредоточиться на задачах с более высоким приоритетом, не упуская из виду важные оповещения, которые инициируются.

AIR flow

Срабатывает триггер и программа безопасности запускает автоматическое расследование, в результате которого выявляются результаты и рекомендуются действия. Вот flow AIR, шаг за шагом:

1. Автоматическое расследование инициируется одним из следующих способов:
• Либо оповещение вызывается чем-то подозрительным в электронной почте (например, сообщением, вложением, URL-адресом или скомпрометированной учетной записью пользователя). Создается инцидент, и начинается автоматическое расследование; или же
• Аналитик безопасности запускает автоматическое расследование при использовании Explorer.
2. Во время автоматического расследования система собирает данные о рассматриваемом электронном письме и объектах, связанных с этим электронным письмом. Такие объекты могут включать файлы, URL-адреса и получателей. Объем расследования может увеличиваться по мере появления новых и связанных предупреждений.
3. Во время и после автоматизированного расследования подробности и результаты доступны для просмотра. Результаты могут включать рекомендуемые действия, которые можно предпринять для реагирования на любые обнаруженные существующие угрозы и их устранения.
4. Ваша команда по обеспечению безопасности просматривает результаты расследования и рекомендации, а также утверждает или отклоняет действия по исправлению.
5. По мере утверждения (или отклонения) действий по исправлению, автоматическое расследование завершается.

В Microsoft Defender для Office 365 никакие действия по исправлению не выполняются автоматически. Действия по исправлению предпринимаются только после утверждения группой безопасности вашей организации. Возможности AIR экономят время специалистов по обеспечению безопасности, определяя действия по исправлению и предоставляя сведения, необходимые для принятия обоснованного решения.

Во время и после каждого автоматизированного расследования ваша команда по обеспечению безопасности может:

• Просмотреть сведения об оповещении, связанном с расследованием
• Просмотреть сведения о результатах расследования
• Рассмотреть и утвердить действия по результатам расследования

Какие триггеры запускают автоматические расследования?

Microsoft 365 предоставляет множество встроенных политик предупреждений, которые помогают выявлять злоупотребление привиллегиями администратора Exchange, действия вредоносных программ, потенциальные внешние и внутренние угрозы и риски управления информацией. Некоторые политики предупреждений по умолчанию могут инициировать автоматические расследования. В следующей таблице описаны оповещения, запускающие автоматические расследования, их серьезность на портале Microsoft 365 Defender и способы их создания.

Требуемые лицензии

В  Microsoft Defender для Office 365 Plan 2 должны быть назначены:

• Администраторы безопасности (включая глобальных администраторов)
• Группа по обеспечению безопасности вашей организации
• Конечные пользователи

Остались вопросы?

Мы в Fanetech занимаемся интеграцией решений Microsoft в IT-инфраструктуру любого бизнеса. Просто свяжитесь с нами для получения консультации.