Sdílet prostřednictvím


Zobrazení a správa výstrah zabezpečení

Fronta upozornění zobrazuje seznam výstrah, které byly označeny příznakem identit ve vaší síti. Ve výchozím nastavení fronta zobrazuje výstrahy, které se zobrazily za posledních sedm dní v seskupeném zobrazení. Nejnovější výstrahy se zobrazují v horní části seznamu, abyste si jako první zobrazili nejnovější výstrahy.

Zobrazení fronty upozornění

Na portálu Microsoft Defender přejděte na Incidenty & výstrahy a pak na Výstrahy.

Výstrahy za posledních sedm dnů se zobrazují s následujícími informacemi:

  • Název upozornění
  • Značky
  • Závažnost
  • Stav šetření
  • Stav
  • Kategorie
  • Zdroj detekce
  • Ovlivněné prostředky
  • První aktivita
  • Poslední aktivita

Snímek obrazovky zobrazující stránku Upozornění na portálu Defender Dvě výstrahy s názvem Podezření hrubou silou jsou uvedené s úplnými podrobnostmi o upozorněních.

Přizpůsobení zobrazení fronty upozornění

Zobrazení fronty upozornění můžete přizpůsobit několika způsoby. Pomocí nástrojů v horní části stránky můžete:

  • Přizpůsobte zobrazení tak, aby se přidávaly nebo odebíraly sloupce.
  • Použijte filtry.
  • Přizpůsobte dobu trvání. Zobrazí upozornění na určitou dobu, například 1 den, 3 dny, 1 týden, 30 dní a 6 měsíců.
  • Exportujte podrobnou excelovou sestavu pro účely analýzy.

Filtrování zobrazení upozornění

Pokud chcete získat přehlednější zobrazení výstrah, můžete použít následující filtry.

Upozornění Popis
Závažnost Závažnost výstrahy je založena na několika faktorech, mezi které patří možný přístup útočníka, potenciální dopad v případě úspěšného útoku a pravděpodobnost, že je výstraha skutečně pozitivní. Úplný seznam typů výstrah a jejich přiřazených úrovní závažnosti najdete v tématu Mapování názvů výstrah zabezpečení a jedinečná externí ID.
Stav Seznam výstrah můžete filtrovat podle jejich stavu. Můžete například filtrovat tak, aby zobrazovala jenom upozornění, která jsou Nová, Probíhá nebo Vyřešeno.
Zdroje detekce Výstrahy můžete filtrovat podle následujících zdrojů detekce: Microsoft Defender for Identity nebo Microsoft Defender XDR
Značky Výstrahy můžete filtrovat na základě značek přiřazených k upozorněním.

Zobrazení upozornění

K jednotlivým upozorněním můžete přistupovat z více umístění tak, že vyberete název výstrahy z některé z následujících možností:

  • Stránka Upozornění
  • Stránka Incidenty
  • Stránka Identity
  • Stránky jednotlivých zařízení
  • Stránka Rozšířené proaktivní vyhledávání

Stránka upozornění

Stránka výstrah poskytuje kontext výstrahy tím, že zkombinuje signály útoku a výstrahy související s vybranou výstrahou a vytvoří podrobný scénář upozornění. Stránka upozornění vám pomůže rychle analyzovat, zkoumat a efektivně provádět akce s upozorněními.

Poznámka

Microsoft Defender for Identity výstrahy se na portálu Microsoft Defender XDR aktuálně zobrazují ve dvou různých rozloženích. Zobrazení upozornění sice zobrazují různé informace, ale všechna upozornění jsou založená na detekcích ze senzorů Defenderu for Identity. Rozdíly v rozložení a zobrazených informacích jsou součástí probíhajícího přechodu na jednotné prostředí pro upozorňování napříč Microsoft Defender produkty.

Pokud chcete zobrazit výstrahy z Defenderu for Identity i z Defender XDR, vyberte Filtr, pak v části Zdroje služeb zvolte Microsoft Defender for Identity a Defender XDR a vyberte Použít:

Snímek obrazovky zobrazující nabídku filtru upozornění pro jednotlivé služby

Microsoft Defender for Identity výstrahy

V horní části stránky jsou oddíly pro účty, cílový hostitel a zdrojový hostitel výstrahy. V závislosti na upozornění se můžou zobrazit podrobnosti o dalších hostitelích, účtech, IP adresách, doménách a skupinách zabezpečení. Vyberte některou z nich a získejte další podrobnosti o zúčastněných entitách.

  • Část Scénář upozornění obsahuje informace, které poskytují úplný příběh s podrobnostmi o upozornění. Scénář upozornění je rozdělený do dvou částí:
    • To, co se stalo , zahrnuje časovou osu výstrahy a entity, které jsou součástí výstrahy.
    • Graf výstrah poskytuje vizuální znázornění výstrahy, včetně entit zapojených do výstrahy a jejich vztahů. Graf vám pomůže pochopit, jak jsou entity propojené a jak souvisí s upozorněním.
  • Důležité informace poskytují technický kontext, který podporuje šetření výstrah. Tyto informace můžete použít k ověření, jestli byla aktivita očekávaná nebo podezřelá, a rozhodnout, jaké akce se mají provést, aby se incident zamešil nebo eskaloval.
  • Podrobnosti o aktivitě poskytují podrobné informace, včetně časového razítka, základního objektu, oboru vyhledávání a dalších podrobností o upozornění.
  • Podokno podrobností na pravé straně stránky obsahuje další informace o upozornění, včetně podrobností výstrahy, komentářů & historie. Podokno podrobností také nabízí další možnosti, například:
    • Správa upozornění
    • Upozornění na export
    • Přesunutí upozornění na jiný incident
    • Klasifikace upozornění

Snímek obrazovky znázorňující strukturu upozornění služby Defender for Identity

Microsoft Defender XDR výstrahy

V horní části stránky jsou oddíly pro účty, cílový hostitel a zdrojový hostitel výstrahy. V závislosti na upozornění se můžou zobrazit tlačítka s podrobnostmi o dalších hostitelích, účtech, IP adresách, doménách a skupinách zabezpečení. Vyberte některou z nich a získejte další podrobnosti o zúčastněných entitách.

  • Část Scénář upozornění obsahuje informace, které poskytují úplný příběh s podrobnostmi o upozornění. Scénář upozornění je rozdělený do dvou částí:
    • To, co se stalo , zahrnuje časovou osu výstrahy a entity, které jsou součástí výstrahy.
  • Podokno podrobností na pravé straně stránky obsahuje další informace o upozornění, včetně podrobností výstrahy, komentářů & historie. Podokno podrobností také nabízí další možnosti, například:
    • Správa upozornění
    • Přesunutí upozornění na jiný incident
    • Klasifikace upozornění

Snímek obrazovky znázorňující strukturu upozornění Defenderu for XDR

Správa upozornění zabezpečení

Výběrem výstrahy se otevře podokno Správa výstrah, kde můžete provádět následující akce:

Změna stavu výstrahy

Výstrahy můžete kategorizovat jako Nová, Probíhá nebo Vyřešeno tak, že změníte jejich stav v průběhu vyšetřování. To vám pomůže uspořádat a spravovat, jak může váš tým reagovat na upozornění. Vedoucí týmu může například zkontrolovat všechna nová upozornění a rozhodnout se je přiřadit do fronty Probíhá pro další analýzu. Vedoucí týmu může výstrahu přiřadit do fronty Vyřešeno, pokud ví, že je upozornění neškodné nebo pochází ze zařízení, které je irelevantní (například zařízení patřící správci zabezpečení) nebo se s ním pracuje prostřednictvím dřívější výstrahy.

Přesunutí upozornění na jiný incident

Můžete vytvořit nový incident z výstrahy nebo vytvořit odkaz na existující incident.

Snímek obrazovky znázorňující možnost přesunout upozornění na jiný incident

Přiřadit výstrahy

Pokud upozornění ještě není přiřazené, můžete vybrat Přiřadit mně a přiřadit ho sami sobě.

Snímek obrazovky, který ukazuje, jak přiřadit upozornění sami sobě

Přidání komentářů k upozornění

K upozornění můžete přidat komentáře a poskytnout tak další kontext nebo informace. To je užitečné pro sdílení přehledů s týmem nebo dokumentaci procesu šetření. Kdykoli se v upozornění provede změna nebo komentář, zaznamená se v části Komentáře a historie.

Snímek obrazovky s oddílem Historie & komentáře na portálu Microsoft Defender Pro zadávání komentářů je k dispozici textové pole.

Klasifikace výstrah zabezpečení

U každé výstrahy položte následující otázky, abyste určili klasifikaci výstrah a mohli se rozhodnout, jak postupovat dál:

  1. Jedná se o výstrahu zabezpečení TP, B-TP nebo FP?
  2. Jak běžná je tato konkrétní výstraha zabezpečení ve vašem prostředí?
  3. Aktivovaly výstrahy stejné typy počítačů nebo uživatelů? Například servery se stejnou rolí nebo uživatelé ze stejné skupiny nebo oddělení? Pokud byly počítače nebo uživatelé podobné, můžete se rozhodnout je vyloučit, abyste se vyhnuli dalším dalším upozorněním na FP.

Po řádném prošetření je možné všechny výstrahy zabezpečení služby Defender for Identity klasifikovat jako jeden z následujících typů aktivit:

  • True positive (TP): Škodlivá akce detekovaná defenderem for Identity.

  • Neškodná pravdivě pozitivní akce (B-TP): Akce zjištěná programem Defender for Identity, která je skutečná, ale není škodlivá, například penetrační test nebo známá aktivita generovaná schválenou aplikací.

  • Falešně pozitivní (FP): Falešný poplach, což znamená, že k aktivitě nedošlo.

Snímek obrazovky, který ukazuje, jak klasifikovat výstrahu jako pravdivou nebo nepravdivou výstrahu

Poznámka

Zvýšení počtu výstrah stejného typu obvykle snižuje úroveň podezření nebo důležitosti výstrahy. V případě opakovaných výstrah ověřte konfigurace a použijte podrobnosti a definice výstrah zabezpečení, abyste přesně pochopili, co se děje, co aktivuje opakování.

Ladění upozornění

Vylaďte upozornění tak, abyste je upravili a optimalizovali a snížili počet falešně pozitivních výsledků. Ladění výstrah umožňuje týmům SOC soustředit se na výstrahy s vysokou prioritou a zlepšit pokrytí detekce hrozeb v celém systému. V Microsoft Defender XDR vytvořte podmínky pravidla založené na typech důkazů a pak pravidlo použijte pro jakýkoli typ pravidla, který odpovídá vašim podmínkám.

Další informace najdete v tématu Ladění upozornění.