Automatisierte Untersuchung und Reaktion (AIR) in Microsoft Defender for Office 365 Plan 2

Wenn Sicherheitswarnungen in einer Microsoft 365-organization unter https://security.microsoft.com/alertsangezeigt werden, liegt es am Security Operations-Team (SecOps), diese Warnungen zu überprüfen, zu priorisieren und darauf zu reagieren. Es kann überwältigend sein, mit der Menge eingehender Warnungen Schritt zu halten. Die Automatisierung einiger dieser Aufgaben kann hilfreich sein.

Microsoft Defender for Office 365 Plan 2 (enthalten in Microsoft 365-Lizenzen wie E5 oder als eigenständiges Abonnement) umfasst leistungsstarke AIR-Funktionen (Automated Investigation and Response), die SecOps-Teams Zeit und Aufwand sparen.

AIR selektieren Warnungen mit hoher Auswirkung und hohem Volumen, indem untersuchungen auf organization Ebene abgeschlossen werden. AIR-Untersuchungen erweitern Erkennungen oder bieten zusätzliche Analysen, um die bedrohungs status für die organization zu bestimmen. Wenn AIR Bedrohungen identifiziert, werden Bedrohungsbehebungsaktionen für SecOps-Mitarbeiter in die Warteschlange gestellt, um sie zu genehmigen. AIR führt zu den folgenden Vorteilen:

• Automatisierte Untersuchungsprozesse als Reaktion auf bekannte Bedrohungen.
• Geeignete Abhilfemaßnahmen, die auf die Genehmigung warten, damit Ihr SecOps-Team effektiv auf erkannte Bedrohungen reagieren kann.
• Ihr SecOps-Team kann sich auf Aufgaben mit höherer Priorität konzentrieren, ohne wichtige Warnungen aus den Augen zu verlieren, die ausgelöst werden.

AIR in Defender for Office 365 Plan 2 erfordert, dass die Überwachungsprotokollierung aktiviert ist (standardmäßig aktiviert).

Der Gesamtstrom von AIR

Eine Warnung wird ausgelöst, und ein Sicherheitsplaybook startet eine automatisierte Untersuchung, die zu Ergebnissen und empfohlenen Aktionen führt. Hier sehen Sie den Gesamtfluss von AIR, Schritt für Schritt:

1. Eine automatisierte Untersuchung wird auf eine der folgenden Arten initiiert:

   • Bestimmte Warnungen, die zum Initiieren von AIR entwickelt wurden. Diese Warnungen umfassen:

     • Etwas Verdächtiges wird in einer E-Mail identifiziert (z. B. die Nachricht selbst, eine Anlage, eine URL oder ein kompromittiertes Benutzerkonto).

     • Automatische Bereinigung (Zero-Hour Auto Purge, ZAP)

     • Benutzerübermittlungen.

     • Benutzer klicken auf Warnungen.

     • Verdächtiges Postfachverhalten.

       Tipp

       Überprüfen Sie regelmäßig die Warnungen, die Ihre organization. Weitere Informationen zu Warnungsrichtlinien, die automatisierte Untersuchungen auslösen, finden Sie unter Standardwarnungsrichtlinien in der Kategorie Bedrohungsverwaltung. Die Einträge, die den Wert Ja für Automatisierte Untersuchung enthalten, können automatisierte Untersuchungen auslösen. Wenn diese Warnungen deaktiviert oder durch benutzerdefinierte Warnungen ersetzt werden, wird AIR nicht ausgelöst.

   • Ein Sicherheitsanalyst löst die Untersuchung manuell aus, indem er aktion in Threat Explorer, Advanced hunting, custom detection, the Email entity page oder the Email summary panel auswählt. Weitere Informationen finden Sie unter Bedrohungssuche: Email Wartung. Beispiele finden Sie unter Beispiele unter Beispiele für automatisierte Untersuchung und Reaktion (Air) in Microsoft Defender for Office 365 Plan 2.

2. Die automatisierte Untersuchung wertet und analysiert die Art der Warnung, die betroffene Nachricht und zusätzliche Beweise im Zusammenhang mit der Nachricht. Der Umfang der Untersuchung kann basierend auf den Beweisen, die während der Untersuchung aufgedeckt und gesammelt werden, erhöht werden.

3. Während und nach einer automatisierten Untersuchung sind Details und Ergebnisse verfügbar. Die Ergebnisse können empfohlene Maßnahmen für SecOps-Mitarbeiter enthalten, um die gefundenen Bedrohungen zu beheben.

4. Das SecOps-Team überprüft die Untersuchungsergebnisse und -empfehlungen (in der Untersuchung selbst, im Incident oder im Info-Center) und genehmigt oder lehnt die Korrekturaktionen ab.

   Tipp

   Es werden keine Korrekturaktionen automatisch ausgeführt. Korrekturmaßnahmen erfordern eine manuelle Genehmigung durch SecOps-Mitarbeiter. Air-Funktionen sparen Zeit, indem sie die empfohlenen Abhilfemaßnahmen mit allen Details abrufen, um eine fundierte Entscheidung zu treffen.

   AIR spart außerdem Zeit, indem Warnungen und Vorfälle, bei denen keine Bedrohungen gefunden wurden, ausgewertet und automatisch aufgelöst werden. Dieses Ergebnis kommt in Benutzerübermittlungsszenarien sehr häufig vor. AIR schließt die Untersuchung ab, wenn in nachrichten, die bereits behoben wurden, keine Bedrohungen gefunden wurden. Typischerweise

5. Wenn ausstehende Korrekturaktionen genehmigt oder abgelehnt werden, wird die automatisierte Untersuchung abgeschlossen.

   Die automatisierte Untersuchung wird automatisch geschlossen, wenn keine empfohlenen Aktionen identifiziert werden. Die Details der Untersuchung sind weiterhin auf der Seite Untersuchungen unter https://security.microsoft.com/airinvestigationverfügbar.

Während und nach jeder automatisierten Untersuchung kann das SecOps-Team die folgenden Aufgaben ausführen:

• Anzeigen von Details zu einer Warnung im Zusammenhang mit einer Untersuchung
• Anzeigen der Ergebnisdetails einer Untersuchung
• Überprüfen und Genehmigen von Aktionen als Ergebnis einer Untersuchung

Erforderliche Berechtigungen und Lizenzen für AIR

Ihnen müssen Berechtigungen zugewiesen sein, um AIR verwenden zu können. Sie haben folgende Optionen:

• Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell):
  • Starten Einer automatisierten Untersuchung oder Genehmigen oder Ablehnen empfohlener Aktionen: Sicherheitsvorgänge/Email erweiterte Wartungsaktionen (Verwalten).
• Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal:
  • Einrichten von AIR-Features: Mitgliedschaft in den Rollengruppen "Organisationsverwaltung" oder "Sicherheitsadministrator ".
  • Starten Einer automatisierten Untersuchung oder Genehmigen oder Ablehnen empfohlener Aktionen:
    • Mitgliedschaft in den Rollengruppen "Organisationsverwaltung", "Sicherheitsadministrator", "Sicherheitsoperator", "Sicherheitsleseberechtigter" oder " Globaler Leser ". und
    • Die Rolle Suchen und Bereinigen , die standardmäßig nur den Rollengruppen Datenermittler oder Organisationsverwaltung zugewiesen ist. Alternativ können Sie eine neue Rollengruppe mit zugewiesener Rolle Suchen und Bereinigen erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.
• Microsoft Entra Berechtigungen: Erteilen Sie Benutzern die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365:
  • Einrichten von AIR-Features Mitgliedschaft in der Rolle "Globaler Administrator " oder "Sicherheitsadministrator ".
  • Starten Einer automatisierten Untersuchung oder Genehmigen oder Ablehnen empfohlener Aktionen:
    • Mitgliedschaft in den Rollen "Globaler Administrator", "Sicherheitsadministrator", "Sicherheitsoperator", "Sicherheitsleseberechtigter" oder " Globaler Leser ". und
    • Mitgliedschaft in einer Email & Rollengruppe für die Zusammenarbeit, der die Rolle Suchen und Löschen zugewiesen ist, wie zuvor beschrieben.

Um AIR verwenden zu können, muss Ihnen eine Lizenz für Defender for Office 365 Plan 2 (in Ihrem Abonnement oder einer Add-On-Lizenz enthalten) zugewiesen werden.

Nächste Schritte

• AIR-Beispiele
• Anzeigen von Details und Ergebnissen einer automatisierten Untersuchung
• Überprüfen und Genehmigen ausstehender Aktionen
• Anzeigen ausstehender oder abgeschlossener Wartungsaktionen