Office 365 için Microsoft Defender Plan 2'de otomatik araştırma ve yanıt (AIR)

konumundaki bir Microsoft 365 kuruluşunda https://security.microsoft.com/alertsgüvenlik uyarıları göründüğünden, bu uyarıları gözden geçirmek, önceliklendirmek ve yanıtlamak güvenlik operasyonları (SecOps) ekibine bağlı olur. Gelen uyarıların hacmine ayak uydurmak zor olabilir. Bu görevlerden bazılarını otomatikleştirmek yardımcı olabilir.

Office 365 için Microsoft Defender Plan 2 (E5 gibi Microsoft 365 lisanslarına veya tek başına abonelik olarak dahildir), SecOps ekipleri için zaman ve çaba tasarrufu sağlayan güçlü otomatik araştırma ve yanıt (AIR) özellikleri içerir.

AIR, kuruluş düzeyindeki araştırmaları tamamlayarak yüksek etkiye ve yüksek hacimli uyarılara öncelik verir. AIR araştırmaları algılamaları genişletir veya kuruluşun tehdit durumunu belirlemek için ek analiz sağlar. AIR tehditleri belirlediğinde, SecOps personelinin onaylaması için tehdit düzeltme eylemlerini kuyruğa alır. AIR aşağıdaki avantajlara neden olur:

• İyi bilinen tehditlere yanıt olarak otomatik araştırma süreçleri.
• Onay bekleyen uygun düzeltme eylemleri, SecOps ekibinizin algılanan tehditlere etkili bir şekilde yanıt vermesini sağlar.
• SecOps ekibiniz, tetiklenen önemli uyarıları görmeden daha yüksek öncelikli görevlere odaklanabiliyor.

Office 365 için Defender Plan 2'de AIR, denetim günlüğünün açık olmasını gerektirir (varsayılan olarak açıktır).

AIR'in genel akışı

Bir uyarı tetikler ve güvenlik playbook'u otomatik bir araştırma başlatır ve bu da bulgular ve önerilen eylemlerle sonuçlanır. Air'in genel akışı aşağıdadır, adım adım:

1. Otomatik araştırma aşağıdaki yollardan biriyle başlatılır:

   • AIR'yi başlatmak için tasarlanmış belirli uyarılar. Bu uyarılar şunlardır:

     • Şüpheli bir şey e-postada tanımlanır (örneğin, iletinin kendisi, ek, URL veya güvenliği aşılmış bir kullanıcı hesabı).

     • Sıfır saatlik otomatik temizleme (ZAP).

     • Kullanıcı gönderimleri.

     • Kullanıcı uyarılar'a tıklayın.

     • Şüpheli posta kutusu davranışı.

       İpucu

       Kuruluşunuzun uyarılarını düzenli olarak gözden geçirmeyi unutmayın. Otomatik araştırma tetikleyen uyarı ilkeleri hakkında daha fazla bilgi için Tehdit yönetimi kategorisindeki varsayılan uyarı ilkelerine bakın. Otomatik araştırma için Evet değerini içeren girişler otomatik araştırma tetikleyebilir. Bu uyarılar devre dışı bırakılırsa veya özel uyarılar tarafından değiştirilirse AIR tetiklenmemiştir.

   • Güvenlik analisti Tehdit Gezgini,Gelişmiş tehdit avcılığı, özel algılama, Email varlık sayfası veya Email özet panelinde eylem gerçekleştir'i seçerek araştırmayı el ile tetikler. Daha fazla bilgi için bkz. Tehdit avcılığı: Email düzeltme. Örnekler için bkz. Örnekler için bkz. Office 365 için Microsoft Defender Plan 2'de otomatik araştırma ve yanıt (AIR) örnekleri.

2. Otomatik araştırma uyarının niteliğini, ilgili iletiyi ve iletiyi çevreleyen ek kanıtları değerlendirir ve analiz eder. Araştırmanın kapsamı, araştırma sırasında ortaya çıkarılan ve toplanan kanıtlara bağlı olarak artabilir.

3. Otomatik araştırma sırasında ve sonrasında ayrıntılar ve sonuçlar sağlanır. Sonuçlar SecOps personelinin bulunan tehditleri düzeltmesi için önerilen eylemleri içerebilir.

4. SecOps ekibi araştırma sonuçlarını ve önerilerini (araştırmanın kendisinde, olayda veya İşlem merkezinde) inceler ve düzeltme eylemlerini onaylar veya reddeder.

   İpucu

   Hiçbir düzeltme eylemi otomatik olarak gerçekleşmez. Düzeltme eylemleri için SecOps personelinin el ile onayı gerekir. AIR özellikleri, bilinçli bir karar vermek için tüm ayrıntılarla birlikte önerilen düzeltme eylemlerine giderek zaman kazandırır.

   AIR ayrıca tehdit bulunmayan uyarıları ve olayları değerlendirerek ve otomatik olarak çözümleyerek zaman kazandırır. Bu sonuç, kullanıcı gönderme senaryolarında çok yaygındır. AIR, henüz düzeltilmiş iletilerde tehdit bulunmadıysa veya tehdit bulunamazsa araştırmayı kapatır. Genellikle

5. Bekleyen düzeltme eylemleri onaylandığında veya reddedildiğinden otomatik araştırma tamamlanmıştır.

   Önerilen hiçbir eylem tanımlanmamışsa otomatik araştırma otomatik olarak kapatılır. Araştırmanın ayrıntıları konumundaki Araştırma sayfasında https://security.microsoft.com/airinvestigationyer almaya devam eder.

Her otomatik araştırma sırasında ve sonrasında SecOps ekibi aşağıdaki görevleri gerçekleştirebilir:

• Araştırmayla ilgili uyarıyla ilgili ayrıntıları görüntüleme
• Araştırmanın sonuç ayrıntılarını görüntüleme
• Araştırma sonucunda eylemleri gözden geçirme ve onaylama

AIR için gerekli izinler ve lisanslama

AIR kullanmak için size izinler atanmalıdır. Seçenekleriniz şunlardır:

• Microsoft Defender XDR Birleşik rol tabanlı erişim denetimi (RBAC) (İşbirliği Email &>Office 365 için Defender izinleri Etkin olur. Yalnızca Defender portalını etkiler, PowerShell'i etkilemez:
  • Otomatik bir araştırma başlatın veya Önerilen eylemleri onaylayın veya reddedin: Güvenlik işlemleri/Email gelişmiş düzeltme eylemleri (yönet).
• Microsoft Defender portalında işbirliği izinlerini Email &:
  • AIR özelliklerini ayarlama: Kuruluş Yönetimi veya Güvenlik Yöneticisi rol gruplarında üyelik.
  • Otomatik bir araştırma başlatın veya Önerilen eylemleri onaylayın veya reddedin:
    • Kuruluş Yönetimi, Güvenlik Yöneticisi, Güvenlik operatörü, Güvenlik Okuyucusu veya Genel Okuyucu rol gruplarında üyelik. ve
    • Varsayılan olarak yalnızca Veri Araştırmacısı veya Kuruluş Yönetimi rol gruplarına atanan Arama ve Temizleme rolü. Alternatif olarak, Arama ve Temizleme rolü atanmış yeni bir rol grubu oluşturabilir ve kullanıcıları özel rol grubuna ekleyebilirsiniz.
• Microsoft Entra izinleri: Kullanıcılara Microsoft 365'teki diğer özellikler için gerekli izinleri ve izinleri verin:
  • AIR özelliklerini ayarlamaGenel Yönetici veya Güvenlik Yöneticisi rollerine üyelik.
  • Otomatik bir araştırma başlatın veya Önerilen eylemleri onaylayın veya reddedin:
    • Genel Yönetici, Güvenlik Yöneticisi, Güvenlik operatörü, Güvenlik Okuyucusu veya Genel Okuyucu rollerine üyelik. ve
    • Daha önce açıklandığı gibi Atanmış Arama ve Temizleme rolüyle Email & işbirliği rol grubu üyeliği.

AIR kullanmak için, Office 365 için Defender Plan 2 için (aboneliğinize veya eklenti lisansına dahil) bir lisansa sahip olmanız gerekir.

Sonraki adımlar

• AIR örnekleri
• Otomatik araştırmanın ayrıntılarını ve sonuçlarını görme
• Bekleyen eylemleri gözden geçirme ve onaylama
• Bekleyen veya tamamlanan düzeltme eylemlerini görüntüleme