Spravovaná detekce a odpověď
Platí pro:
Pokyny ke spravované detekci a odpovědi najdete v tomto krátkém videu.
Prostřednictvím kombinace automatizace a lidských znalostí odborníci na Microsoft Defender for XDR posudí incidenty Microsoft Defender XDR, upřednostní je vaším jménem, odfiltrují šum, provádějí podrobná šetření a poskytují týmům soC (Security Operations Center) spravovanou reakci s možností reakce.
Aktualizace incidentů
Jakmile naši odborníci začnou vyšetřovat incident, aktualizují se pole Přiřazeno do a Stav na Defender Experts a Probíhá.
Když naši odborníci uzavřou šetření incidentu, pole Klasifikace incidentu se v závislosti na zjištěních odborníků aktualizuje na jednu z následujících hodnot:
- Pravdivě pozitivní
- Falešně pozitivní
- Informační, očekávaná aktivita
Pole Určení odpovídající každé klasifikaci je také aktualizováno, aby poskytovalo více přehledů o zjištěních, která vedla naše odborníky k určení uvedené klasifikace.
Pokud je incident klasifikován jako falešně pozitivní nebo informativní, očekávaná aktivita, pole Stav incidentu se aktualizuje na Vyřešeno. Naši odborníci pak uzavřou práci na tomto incidentu a pole Přiřazeno se aktualizuje na Nepřiřazeno. Naši odborníci můžou při řešení incidentu sdílet aktuální informace z jejich šetření a jejich závěry. Tyto aktualizace se publikují v části Souhrn šetření na informačním panelu Spravovaná odpověď na incident.
V opačném případě, pokud je incident klasifikován jako pravdivě pozitivní, naši odborníci pak identifikují požadované akce reakce, které je potřeba provést. Metoda, ve které se akce provádějí, závisí na oprávněních a úrovních přístupu, které jste udělili službě Defender Experts for XDR. Přečtěte si další informace o udělování oprávnění našim odborníkům.
Pokud jste odborníkům na defender pro XDR udělili doporučená přístupová oprávnění operátora zabezpečení, naši odborníci by mohli provést požadované akce reakce na incident vaším jménem. Tyto akce se společně se souhrnem šetření zobrazí na informačním panelu Spravovaná odpověď na portálu Microsoft Defenderu, který si můžete prohlédnout vy nebo váš tým SOC. Všechny akce, které dokončili odborníci na Defender pro XDR, se zobrazí v části Dokončené akce . Všechny čekající akce, které vyžadují dokončení vy nebo tým SOC, jsou uvedené v části Čekající akce . Další informace najdete v části Akce . Jakmile naši odborníci u incidentu podniknou všechny potřebné akce, jeho pole Stav se pak aktualizuje na Vyřešeno a pole Přiřazeno se aktualizuje pro zákazníka.
Pokud jste expertům programu Defender pro XDR udělili výchozí přístup čtenáře zabezpečení, zobrazí se požadované akce odpovědi spolu se souhrnem šetření na informačním panelu Spravované odpovědi na incidentu v části Čekající akce na portálu Microsoft Defender, které máte provést vy nebo váš tým SOC. Další informace najdete v části Akce . K identifikaci tohoto předání se pole Stav incidentu aktualizuje na Čekání na akci zákazníka a pole Přiřazeno se aktualizuje na zákazníka.
Počet incidentů, které vyžadují vaši akci, můžete zkontrolovat v banneru Defender Experts v horní části domovské stránky Programu Microsoft Defender.
Incidenty související s odborníky na Defender můžete zobrazit filtrováním fronty incidentů na portálu Microsoft Defender pomocí několika sad filtrů. Další informace o přidávání filtrů front incidentů
Pokud chcete zobrazit incidenty, které naši odborníci momentálně prošetřují, použijte filtr Přiřazení incidentů a vyberte Přiřazeno expertům programu Defender.
Pokud chcete zobrazit incidenty, které naši odborníci prošetřili a předali vašemu týmu, aby reagoval na čekající nápravné akce, pomocí filtru Přiřazení incidentu zvolte Přiřazeno týmu zákazníka.
Pokud chcete zobrazit incidenty, které naši odborníci prošetřili a předali vašemu týmu, aby reagoval na čekající nápravné akce, pomocí filtru Stav zvolte Čekání na akci zákazníka.
Pokud chcete zobrazit incidenty, u kterých naši odborníci dokončili šetření (a buď přímo vyřešili nebo přiřadili vašemu týmu pro čekající nápravné akce), zvolte pomocí filtru Značkymožnost Odborníci v programu Defender.
Jak používat spravovanou odpověď v Microsoft DefenderU XDR
Na portálu Microsoft Defender má incident, který vyžaduje vaši pozornost pomocí spravované odpovědi, pole Stav nastaveno na Čekání na akci zákazníka, pole Přiřazeno na hodnotu Zákazník a kartu úkolu v horní části podokna Incidenty . Vaše určené kontakty incidentu také obdrží odpovídající e-mailové oznámení s odkazem na portál Defenderu, aby se incident zobrazil. Přečtěte si další informace o kontaktech oznámení. Obdržíte také oznámení Teams, které vás bude o aktualizacích informovat. Další informace o nastavení Teams
Výběrem možnosti Zobrazit spravovanou odpověď na kartě úkolu nebo v horní části stránky portálu (karta Spravovaná odpověď ) otevřete informační panel, kde si můžete přečíst souhrn šetření našich odborníků, dokončit čekající akce určené našimi odborníky nebo se s nimi spojit prostřednictvím chatu.
Souhrn šetření
Část Souhrn šetření poskytuje další kontext o incidentu analyzovaném našimi odborníky, abyste měli přehled o jeho závažnosti a potenciálním dopadu, pokud není vyřešený okamžitě. Může zahrnovat časovou osu zařízení, indikátory útoku a indikátory ohrožení zabezpečení (IOC) a další podrobnosti.
Akce
Na kartě Akce se zobrazují karty úkolů, které obsahují akce odpovědí doporučené našimi odborníky.
Defender Experts for XDR v současné době podporuje následující akce spravovaných odpovědí jedním kliknutím:
Akce | Popis |
---|---|
Izolace zařízení | Izoluje zařízení, což pomáhá zabránit útočníkovi v jeho kontrole a provádění dalších aktivit, jako je exfiltrace dat a laterální pohyb. Izolované zařízení bude stále připojené k Microsoft Defenderu for Endpoint. |
Umístit soubor do karantény | Zastaví spouštění procesů, umístí soubory do karantény a odstraní trvalá data, jako jsou klíče registru. |
Omezení spuštění aplikace | Omezuje spouštění potenciálně škodlivých programů a uzamkne zařízení, aby se zabránilo dalším pokusům. |
Uvolnění z izolace | Vrátí zpět izolaci zařízení. |
Odebrání omezení aplikace | Vrátí zpět uvolnění z izolace. |
Zakázat uživatele | Zakažte identitě přístup k síti a různým koncovým bodům. |
Kromě těchto akcí jedním kliknutím můžete také přijímat spravované odpovědi od našich odborníků, které musíte provést ručně.
Poznámka
Před provedením některé z doporučených akcí spravovaných odpovědí se ujistěte, že je vaše konfigurace automatizovaného vyšetřování a odpovědí ještě neřeší. Přečtěte si další informace o možnostech automatizovaného vyšetřování a reakce v microsoft defenderu XDR.
Zobrazení a provedení akcí spravovaných odpovědí:
Výběrem tlačítek se šipkami na kartě akce ji rozbalte a přečtěte si další informace o požadované akci.
U karet s akcemi odpovědi jedním kliknutím vyberte požadovanou akci. Stav akce na kartě se v závislosti na výsledku akce změní na Probíhá a pak na Neúspěšné nebo Dokončené.
Tip
Stav akcí odpovědí na portálu můžete také monitorovat v Centru akcí. Pokud se akce odpovědi nezdaří, zkuste to udělat znovu na stránce Zobrazit podrobnosti o zařízení nebo zahájit chat s odborníky na Defender.
U karet s požadovanými akcemi, které je potřeba provést ručně, vyberte Po provedení této akce jsem tuto akci dokončil (a) a pak v zobrazeném potvrzovacím dialogovém okně vyberte Ano, udělal(a) jsem to .
Pokud nechcete dokončit požadovanou akci hned, vyberte Přeskočit a pak vyberte Ano, přeskočit tuto akci v potvrzovacím dialogovém okně, které se zobrazí.
Důležité
Pokud si všimnete, že některá z tlačítek na kartách akcí jsou neaktivní, může to znamenat, že nemáte potřebná oprávnění k provedení akce. Ujistěte se, že jste přihlášení k portálu Microsoft Defender XDR s příslušnými oprávněními. Většina spravovaných akcí odpovědí vyžaduje, abyste měli alespoň přístup operátora zabezpečení. Pokud k tomuto problému stále dochází, i když máte příslušná oprávnění, přejděte na Zobrazit podrobnosti o zařízení a proveďte kroky odsud.
Získejte přehled o vyšetřováních expertů programu Defender ve vaší aplikaci SIEM nebo ITSM
Jako odborníci na Defender pro XDR prošetřují incidenty a přicházejí s nápravnými akcemi, můžete mít přehled o jejich práci na incidentech v aplikacích pro správu událostí a informací o zabezpečení (SIEM) a správě IT služeb (ITSM), včetně aplikací, které jsou k dispozici po dokončení balení.
Microsoft Sentinel
Viditelnost incidentů ve službě Microsoft Sentinel získáte zapnutím jeho předem definovaného datového konektoru XDR v programu Microsoft Defender. Další informace
Jakmile konektor zapnete, zobrazí se v odpovídajících polích Stav, Vlastník a Důvod ukončení ve službě Sentinel od odborníků z programu Defender na pole Stav, Přiřazeno k, Klasifikace a Určení.
Poznámka
Stav incidentů vyšetřovaných odborníky na Defender v XDR v programu Microsoft Defender se obvykle přepíná z aktivního na probíhající na Čekání na Vyřešení akce zákazníka, zatímco ve službě Sentinel se používá cesta Od nového na aktivní až po vyřešené. Stav V programu Microsoft Defender XDR čekající na akci zákazníka nemá ve službě Sentinel ekvivalentní pole. Místo toho se v incidentu ve službě Sentinel zobrazí jako značka.
Následující část popisuje, jak se incident zpracovávaný našimi odborníky aktualizuje ve službě Sentinel při jeho průběhu v průběhu šetření:
Incident vyšetřovaný našimi odborníky má stavAktivní a vlastník jako Odborníci na Defender.
Incident, který naši odborníci potvrdili jako pravdivě pozitivní , má spravovanou odpověď publikovaná v microsoft defenderu XDR a značkačekající na akci zákazníka a vlastník je uvedená jako zákazník. Na incident musíte reagovat na základě poskytnuté spravované odpovědi na portálu Defender.
U incidentu, který naši odborníci potvrdili jako pravdivě pozitivní, se všemi nápravnými akcemi, které provedli experti programu Defender, se stav incidentu aktualizoval na Vyřešeno a vlastník je uvedený jako Zákazník. Akce dokončené u incidentu můžete zkontrolovat pomocí poskytnuté spravované odpovědi na portálu Defender.
Jakmile naši odborníci uzavřou šetření a uzavřou incident jako falešně pozitivní nebo informativní, očekávaná aktivita, stav incidentu se aktualizuje na Vyřešeno, vlastník se aktualizuje na Nepřiřazeno a zobrazí se důvod pro uzavření .
Další aplikace
Přehled o incidentech v aplikaci SIEM nebo ITSM můžete získat pomocí rozhraní XDR API nebo konektorů Microsoft Defenderu ve službě Sentinel.
Po konfiguraci konektoru je možné aktualizace polí Stav incidentu, Přiřazeno, Klasifikace a Určení v Microsoft DefenderU XDR synchronizovat s aplikacemi SIEM nebo ITSM třetích stran v závislosti na tom, jak bylo mapování polí implementováno. Pro ilustraci se můžete podívat na konektor dostupný ze služby Sentinel pro ServiceNow.
Viz také
- Principy a správa oznámení o incidentech v programu Defender Experts for XDR
- Principy spravované odpovědi
- Získání přehledu v reálném čase pomocí sestav defenderových expertů pro XDR
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.