Prozkoumání výstrah zabezpečení služby Defender for Identity v XDR v programu Microsoft Defender

Tento článek vysvětluje základy práce s výstrahami zabezpečení v programu Microsoft Defender for Identity v XDR v programu Microsoft Defender.

Výstrahy defenderu for Identity jsou nativně integrované do XDR v programu Microsoft Defender s vyhrazeným formátem stránky upozornění identity.

Stránka Upozornění identity poskytuje zákazníkům Microsoft Defenderu for Identity lepší rozšiřování signálu mezi doménami a nové možnosti automatické reakce na identity. Zajišťuje, že zůstanete v bezpečí a zlepšíte efektivitu operací zabezpečení.

Jednou z výhod vyšetřování výstrah prostřednictvím XDR v programu Microsoft Defender je to, že výstrahy v programu Microsoft Defender for Identity jsou dále korelovány s informacemi získanými z jednotlivých produktů v sadě. Tato rozšířená upozornění jsou konzistentní s ostatními formáty upozornění XDR v programu Microsoft Defender pocházející z Microsoft Defender pro Office 365 a Microsoft Defenderu for Endpoint. Nová stránka efektivně eliminuje nutnost přejít na jiný produktový portál a prozkoumat výstrahy spojené s identitou.

Výstrahy pocházející z programu Defender for Identity teď můžou aktivovat funkce automatizovaného vyšetřování a reakce v programu Microsoft Defender (AIR), včetně automatické nápravy výstrah a zmírnění rizik nástrojů a procesů, které můžou přispět k podezřelé aktivitě.

Důležité

V rámci konvergence s XDR v programu Microsoft Defender se některé možnosti a podrobnosti změnily z jejich umístění na portálu Defender for Identity Portal. Přečtěte si podrobnosti níže a zjistěte, kde najdete známé i nové funkce.

Kontrola výstrah zabezpečení

K výstrahám je možné přistupovat z několika míst, včetně stránky Výstrahy , stránky Incidenty , stránek jednotlivých zařízení a stránky rozšířeného proaktivního vyhledávání . V tomto příkladu se podíváme na stránku Upozornění.

V XDR v programu Microsoft Defender přejděte na Incidenty a výstrahy a pak na Výstrahy.

The Alerts menu item

Pokud chcete zobrazit upozornění z programu Defender for Identity, v pravém horním rohu vyberte Filtr a pak v části Zdroje služeb vyberte Microsoft Defender for Identity a vyberte Použít:

The filter for the Defender for Identity events

Výstrahy se zobrazují s informacemi v následujících sloupcích: název výstrahy, značky, závažnosti, stav šetření, stav, kategorie, zdroj detekce, ovlivněné prostředky, první aktivita a poslední aktivita.

The Defender for Identity events

Kategorie výstrah zabezpečení

Výstrahy zabezpečení Defenderu for Identity jsou rozdělené do následujících kategorií nebo fází, jako jsou fáze typického řetězce útoku kyber-útoku.

Správa výstrah

Pokud pro jednu z výstrah vyberete název upozornění, přejdete na stránku s podrobnostmi o upozornění. V levém podokně se zobrazí souhrn toho , co se stalo:

The What happened pane

Nad polem Co se stalo jsou tlačítka pro klienty, cílového hostitele a zdrojového hostitele výstrahy. U jiných výstrah se můžou zobrazit tlačítka pro podrobnosti o dalších hostitelích, účtech, IP adresách, doménách a skupinách zabezpečení. Výběrem některého z nich získáte další podrobnosti o zahrnutých entitách.

V pravém podokně se zobrazí podrobnosti výstrahy. Tady můžete zobrazit další podrobnosti a provést několik úloh:

  • Klasifikovat tuto výstrahu – tady můžete tuto výstrahu určit jako výstrahu True nebo Nepravda.

    The page on which you can classify an alert

  • Stav výstrahy – V části Nastavit klasifikaci můžete výstrahu klasifikovat jako true nebo false. V části Přiřazeno můžete upozornění přiřadit sami sobě nebo zrušit jeho přiřazení.

    The Alert state pane

  • Podrobnosti výstrahy – V části Podrobnosti výstrahy najdete další informace o konkrétní výstraze, postupujte podle odkazu na dokumentaci o typu výstrahy, podívejte se, ke kterému incidentu je výstraha přidružená, zkontrolujte všechna automatizovaná šetření propojená s tímto typem výstrahy a podívejte se na ovlivněná zařízení a uživatele.

    The Alert details page

  • Komentáře a historie – Tady můžete přidat komentáře k upozornění a zobrazit historii všech akcí přidružených k upozornění.

    The Comments & history page

  • Spravovat upozornění – Pokud vyberete Možnost Spravovat upozornění, přejdete do podokna, které vám umožní upravit:

    • Stav – Můžete zvolit Možnost Nový, Vyřešeno nebo Probíhá.

    • Klasifikace – Můžete zvolit výstrahu True (Pravda) nebo False alert (Nepravda).

    • Komentář – Můžete přidat komentář k upozornění.

    • Pokud vyberete tři tečky vedle možnosti Spravovat výstrahy, můžete propojit výstrahu s jiným incidentem, vytvořit pravidlo potlačení (dostupné jenom pro zákazníky verze Preview) nebo Odborníky v programu Ask Defender.

      The Manage alert option

      Výstrahu můžete také exportovat do excelového souboru. Uděláte to tak, že vyberete Exportovat.

      Poznámka:

      V excelovém souboru teď máte k dispozici dva odkazy: Zobrazení v programu Microsoft Defender pro identitu a zobrazení v XDR v programu Microsoft Defender. Každý odkaz vás přenese na příslušný portál a poskytne informace o upozornění.

Ladění upozornění

Vylaďte upozornění tak, aby je upravovala a optimalizovala a snížila počet falešně pozitivních výsledků. Ladění výstrah umožňuje týmům SOC zaměřit se na výstrahy s vysokou prioritou a zlepšit pokrytí detekce hrozeb ve vašem systému. V XDR v programu Microsoft Defender vytvořte podmínky pravidla na základě typů důkazů a pak pravidlo použijte u libovolného typu pravidla, který odpovídá vašim podmínkám.

Další informace najdete v tématu Ladění výstrahy.

Viz také

Další informace