Microsoft Threat Protection
advanced threat protection, cloud security, modern security
Служба защиты от угроз Microsoft Threat Protction предоставляет новую информацию об угрозах в режиме реального времени, которая отображается в обновленном пользовательском интерфейсе. Для службы безопасности очень важно мгновенно получить доступ к информации об угрозе, а также определять и устранять последствия этих угроз для компании.
Оповещение пользователя об угрозах фишинга
Функция автоматического реагирования на инциденты Automated Incident Response (AIR) помогает улучшить работу администратора. Информация об угрозах обновляется мгновенно, показывая последние сведения об угрозах в вашей среде.
В вашу среду каждый день могут попадать тысячи или даже десятки тысяч фишинговых писем. Если команды SecOps пытаются рассматривать каждое из этих писем как отдельные оповещения, это превращается в непростую и трудоемкую задачу. AIR принимает большую часть этих предупреждений, изучает их и предоставляет действенные рекомендации, облегчая повседневную работу SecOps. Служба Microsoft Threat Protection AIR также предназначена для считывающих алгоритмов системы безопасности для доступа к автоматизированным расследованиям.
Инженеры SecOps могут использовать портал Office 365 Security & Compliance, а затем перейти на панель мониторинга предупреждений. Microsoft упростила переход к странице предупреждений и их непосредственному изучению. Надстройка «Report Message» для Outlook в облаке и в интернете позволяет пользователю легко сообщать в Microsoft о подозрительной электронной почте (как безопасной, так и вредоносной) с целью последующего анализа. Сведения появляются в информационной панели безопасности и в других отчетах. Организация использует эти материалы для проверки и обновления политик безопасности.
Система может изучить несколько различных элементов на основе одного электронного письма. Можно выполнить повторную сортировку по типу объекта, чтобы увидеть различные фрагменты, которые просматривались в электронном письме. Система Microsoft Threat Protection анализирует огромное количество электронных писем и группирует их по схожим критериям. Они могут быть одинаковыми по содержанию, теме или приходить с одного и того же IP-адреса. AIR анализирует URL-адреса, IP-адреса, а также домен отправителя. Благодаря этой встроенной информации, AIR сможет найти ненадежные URL-адреса в среде, даже если злоумышленник изменил адрес отправителя, темы сообщений электронной почты или инфраструктуру отправки.
AIR также анализирует пользователей. Если система идентифицирует клик на вредоносный URL-адрес, связанный с пользователем, вы можете перейти на вкладку улик, чтобы узнать больше об этом пользователе. Это даст вам общую картину того, что из себя представляет пользователь, и что ним происходит в последнее время в среде Office 365. SecOps должен связаться с этим пользователем и продолжить расследование. Такая интеграция Office 365 Advanced Threat Protection с MCAS помогает организации в полной мере видеть весь спектр угроз. Такая комплексная защита – ключевая особенность Microsoft Threat Protection.
Изменение на вредоносный URL Verdict, на который кликнул пользователь
Изменения URL Verdict – это простой и легкий способ попадания вредоносного контента в среду компании. Простая безобидная ссылка может быть изменена после доставки на сайт или в файл, открытия которого не ожидал конечный пользователь.
SecOps получает оповещения «Обнаружена потенциально вредоносная URL ссылка» из другой системы. Но для облегчения процесса Microsoft упростила переход к странице предупреждений и их непосредственному изучению. График расследования разбивает инцидент и содержит все действия и объекты, связанные с конкретным инцидентом. После того, как запускается расследование, начинается анализ конкретного электронного письма, в котором был обнаружен вредоносный URL, а затем выполняется процедура расследования с рядом определенных шагов. Эти шаги включают просмотр электронных писем, которые могут быть связаны с этим случаем, а также анализ пользователя и любых машин, на которые может повлиять интеграция Microsoft Defender ATP.
SecOps может легко связаться непосредственно с пользователем, который показал какое-то рискованное поведение, и продолжить расследование, потому что, возможно, это действие вообще не выполнялось реальным пользователем. Эта интеграция Office 365 ATP с MCAS помогает клиентам получить полное представление обо всем спектре угроз. Такая комплексная интегрированная защита – отличительная черта MTP.
Вкладка Logs (журналы) предоставляет вам разбивку инцидента в виде подробной временной шкалы событий: от первого щелчка, идентификации изменения вердикта URL, расследования пользователя, вплоть до рекомендуемых действий. Здесь вы можете по-настоящему проследить последовательность действий, предпринятых AIR во время расследования инцидента. При нажатии на эти объекты откроется проводник AIR, и оттуда вы сможете получить больше информации о каждом элементе.
MTP с автоматическим расследованием и реагированием позволяет командам безопасности быстро проверять и реагировать на угрозы, чтобы защитить компанию от вредоносных действий, а также выявлять потенциальные угрозы и активно реагировать на них, не допуская рискованного поведения пользователей.
Расследование автоматической очистки нулевого часа
Автоматическая очистка нулевого часа позволяет удалять зараженные сообщения из ваших почтовых ящиков Office 365.
На вкладке электронной почты все электронные письма сгруппированы по типам, точно так же, как и файлы, например, вложения, которые несут схожие угрозы (вредоносные программы, фишинг). Если вы хотите получить более подробную информацию – вернитесь на вкладку сведений о кластере электронной почты. Со страницы обозревателя вы можете просматривать похожие сообщения в электронной почте, включая отправителя (отправителей), темы (темы), а также текст сообщения, которые совпадают с отпечатком исходного оповещения.
Вы также можете выявить, были ли какие-то вредоносные URL-адреса в Zapped-почте, и нажимал ли кто-то на них, а также просмотреть источник электронной почты в виде карты.
Нажав на вкладку пользователя, вы найдете первоначально целевого пользователя, а также оценку риска для этого пользователя. Нажав на этого пользователя, а затем на вкладку Evidence (свидетельства) вы можете проанализировать соответствующие действия пользователя и риски, выявленные в журналах аудита, Exchange Online Protection и Microsoft Cloud App Security.
Нажав на вкладку Machine (устройство), вы увидите, как Microsoft Defender ATP с MTP AIR вместе могут реально защитить вашу компанию и помочь выявить угрозу на вашем компьютере.
Вы всегда можете вернуться к предупреждению об инциденте, чтобы узнать, какую информацию Microsoft Defender ATP AIR обнаружил об этом инциденте. MTP AIR тесно связан с расследованиями Microsoft Defender ATP на компьютерах с Azure AD или Hybrid Azure AD, которые подключены и зарегистрированы в службах Microsoft Defender ATP. Для этого применяются политики, основанные на предупреждениях и расследованиях Office ATP. Этот «обмен сигналами / информацией» между Office ATP и Microsoft Defender ATP способствует интеграции этих служб, причем автоматически, когда вредоносное ПО нулевого часа обнаружено и уничтожено.
Нажатие на вкладку объектов на странице расследования, вы увидите все объекты, которые причастны к инциденту. Вам будут видны устройства, пользователи, электронные письма, файлы и почтовые кластеры, расположенные в центре этого раздела. Вкладка Action (действие) содержит список рекомендуемых действий для SecOps, которые сдержат и смягчат угрозы в анализе.
Microsoft Threat Protection дает возможность командам SecOps быстрее, проще проверять инциденты и защищать свои конечные точки.
