Η Microsoft έχει αναπτύξει βελτιωμένες δυνατότητες αποκατάστασης στο Defender για το Office 365 (O365), επιτρέποντας στις ομάδες ασφαλείας να ξεκινούν αυτοματοποιημένες έρευνες και άλλες ενέργειες απευθείας από τη διεπαφή Advanced Hunting.
Αυτή η δυνατότητα, που κυκλοφόρησε στις 10 Νοεμβρίου 2025, δίνει τη δυνατότητα στους διαχειριστές και τους αναλυτές να ανταποκρίνονται σε απειλές μέσω email πιο γρήγορα χωρίς να απαιτούνται τροποποιήσεις πολιτικής.
Οι νέες ενέργειες Υποβολή στη Microsoft, προσθήκη καταχωρίσεων στη Λίστα άδειας/αποκλεισμού ενοικιαστών και έναρξη αυτοματοποιημένης έρευνας — προηγουμένως περιορίζονταν στο εργαλείο Εξερεύνηση απειλών, αλλά τώρα είναι ενσωματωμένες στο Advanced Hunting.
Αυτό επιτρέπει την προγραμματική αναζήτηση απειλών με χρήση προσαρμοσμένου Kusto Query Language (KQL) ερωτήματα, εξορθολογίζοντας τις ροές εργασίας για κέντρα λειτουργιών ασφαλείας (SOC).
Συνδυάζοντας αυτά τα εργαλεία, η Microsoft ανταποκρίνεται στα σχόλια των πελατών, μειώνοντας τον χρόνο που απαιτείται για τη διαλογή και την αποκατάσταση κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου.
Microsoft Defender για O365
Το Advanced Hunting, μέρος του Microsoft Defender XDR, παρέχει ήδη βαθιά ορατότητα σε απειλές μεταξύ τομέων σε email, τελικά σημεία και ταυτότητες. Με αυτήν την ενημέρωση, οι χρήστες μπορούν να επιλέξουν αποτελέσματα ερωτημάτων και να ενεργοποιήσουν απαντήσεις με βάση τα συμφραζόμενα με βάση την κατάσταση παράδοσης μηνυμάτων, όπως η εκκαθάριση από τα εισερχόμενα ή τις καραντίνες.
Για μαζικές επιλογές που υπερβαίνουν τα 100 μηνύματα, επιλογές όπως η εκκαθάριση μέσω email και οι προτεινόμενες διορθώσεις παραμένουν διαθέσιμες, διασφαλίζοντας επεκτασιμότητα για περιστατικά μεγάλης κλίμακας. Το Threat Explorer συνεχίζει να λειτουργεί ανεξάρτητα, παρέχοντας συμπληρωματικές προβολές ανιχνεύσεων σε πραγματικό χρόνο.
Αυτή η διάθεση επηρεάζει τους διαχειριστές και τους αναλυτές ασφαλείας που αξιοποιούν το Microsoft Defender XDR, με ενέργειες ενεργοποιημένες από προεπιλογή σε ενοικιαστές σε όλο τον κόσμο.
Δεν είναι δυνατή η κατάργηση της διεπαφής χρήστη, αλλά οι υπάρχουσες διοικητικές πολιτικές, συμπεριλαμβανομένου του ελέγχου πρόσβασης βάσει ρόλων (RBAC), τηρούνται πλήρως για τη διατήρηση της συμμόρφωσης. Οι οργανισμοί μπορούν να καλύπτουν την πρόσβαση μέσω της πύλης Microsoft 365 Defender στις Ρυθμίσεις > Δικαιώματα > Ρόλοι, αποτρέποντας τη μη εξουσιοδοτημένη χρήση.
Για να προετοιμαστούν, οι ομάδες πρέπει να ελέγξουν τα τρέχοντα ερωτήματα κυνηγιού και να ενσωματώσουν τις νέες ενέργειες σε βιβλία παιχνιδιού για αυτοματοποιημένες απαντήσεις. Η κοινοποίηση αυτών των αλλαγών στους ενδιαφερόμενους φορείς SOC και η παροχή στοχευμένης εκπαίδευσης θα ελαχιστοποιήσει τις διακοπές.
Για παράδειγμα, η ενημέρωση της τεκμηρίωσης για την έναρξη αυτοματοποιημένων ερευνών μπορεί να επιταχύνει την υιοθέτηση, ειδικά σε περιβάλλοντα που χειρίζονται μεγάλους όγκους ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος ή κακόβουλου λογισμικού.
Η βελτίωση ευθυγραμμίζεται με ευρύτερες τάσεις στην αυτοματοποιημένη έρευνα και απόκριση (AIR) στο Defender για O365 Plan 2, όπου η αποκατάσταση συγκεντρώνεται γύρω από κακόβουλα αρχεία ή διευθύνσεις URL για ταχύτερη εξουδετέρωση απειλών.
Από προεπιλογή, οι ενέργειες AIR απαιτούν έγκριση, αλλά οι διαμορφώσεις για αυτόματη αποκατάσταση σε συμπλέγματα μηνυμάτων μπορούν να μειώσουν περαιτέρω τις μη αυτόματες επιβαρύνσεις, αν και τα συμπλέγματα άνω των 10.000 στοιχείων απαιτούν έλεγχο. Στα σχήματα Advanced Hunting, όπως το EmailPostDeliveryEvents, τα στοιχεία που διορθώνονται αυτόματα εμφανίζονται με ActionType “Automated Remediation” και ActionTrigger “Automation”, βοηθώντας την ιατροδικαστική ανάλυση.
Αυτή η ενημερωμένη έκδοση διατηρεί προληπτική άμυνα σε μια εποχή εξελιγμένων επιθέσεων που βασίζονται σε email, όπως ransomware και συμβιβασμούς εταιρικών email.
