Reakce na incidenty na portálu Microsoft Defender
Incident na portálu Microsoft Defender je kolekce souvisejících výstrah a přidružených dat, která tvoří příběh útoku. Je to také soubor případu, který váš SOC může použít k prošetření útoku a správě, implementaci a zdokumentování reakce na něj.
Služby Microsoft Sentinel a Microsoft Defender vytvářejí výstrahy, když zjistí podezřelou nebo škodlivou událost nebo aktivitu. Jednotlivá upozornění poskytují cenné důkazy o dokončeného nebo probíhajícím útoku. Stále rozšířenější a sofistikovanější útoky však obvykle používají různé techniky a vektory proti různým typům entit prostředků, jako jsou zařízení, uživatelé a poštovní schránky. Výsledkem je několik výstrah z více zdrojů pro více entit aktiv v digitálních aktivech.
Vzhledem k tomu, že jednotlivá upozornění vyprávějí jenom část příběhu a ruční seskupení jednotlivých výstrah za účelem získání přehledu o útoku může být náročné a časově náročné, sjednocená platforma operací zabezpečení automaticky identifikuje související výstrahy – ze služby Microsoft Sentinel i Microsoft Defender XDR – a agreguje je a jejich přidružené informace do incidentu.
Seskupením výstrah souvisejících do incidentu získáte komplexní přehled o útoku. Můžete například vidět:
- Kde útok začal.
- Jaká taktika byla použita.
- Jak daleko útok zašel do vašeho digitálního majetku.
- Rozsah útoku, například počet ovlivněných zařízení, uživatelů a poštovních schránek
- Všechna data spojená s útokem.
Sjednocená platforma operací zabezpečení na portálu Microsoft Defender obsahuje metody pro automatizaci a pomoc při třídění, vyšetřování a řešení incidentů.
Microsoft Copilot v Programu Defender využívá AI k podpoře analytiků komplexních a časově náročných každodenních pracovních postupů, včetně komplexního vyšetřování incidentů a reakce na ně pomocí jasně popsaných scénářů útoku, podrobných pokynů k nápravě a souhrnných sestav aktivit incidentů, proaktivního vyhledávání KQL v přirozeném jazyce a analýzy odborných kódů – optimalizace efektivity SOC v rámci služby Microsoft Sentinel a Defender XDR dat.
Tato funkce doplňuje další funkce založené na umělé inteligenci, které Microsoft Sentinel přináší na jednotnou platformu, a to v oblastech analýzy chování uživatelů a entit, detekce anomálií, detekce vícefázových hrozeb a dalších.
Automatické přerušení útoku využívá vysoce důvěryhodné signály shromážděné od Microsoft Defender XDR a služby Microsoft Sentinel k automatickému přerušení aktivních útoků rychlostí počítače, které hrozbu obsahují a omezují jejich dopad.
Pokud je tato možnost povolená, Microsoft Defender XDR může automaticky zkoumat a řešit výstrahy ze zdrojů Microsoft 365 a Entra ID prostřednictvím automatizace a umělé inteligence. K vyřešení útoku můžete také provést další nápravné kroky.
Pravidla automatizace služby Microsoft Sentinel můžou automatizovat třídění, přiřazování a správu incidentů bez ohledu na jejich zdroj. Můžou použít značky na incidenty na základě jejich obsahu, potlačit hlučné (falešně pozitivní) incidenty a zavřít vyřešené incidenty, které splňují příslušná kritéria, určit důvod a přidat komentáře.
Důležité
Microsoft Sentinel je k dispozici jako součást verze Public Preview pro sjednocenou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Incidenty a výstrahy na portálu Microsoft Defender
Tip
Po omezenou dobu během ledna 2024 se při návštěvě stránky Incidenty zobrazí Defender Boxed. Defender Boxed zvýrazňuje úspěchy, vylepšení a reakce vaší organizace ohledně zabezpečení během roku 2023. Pokud chcete znovu otevřít Defender Boxed, přejděte na portálu Microsoft Defender na Incidenty a pak vyberte Váš Defender Boxed.
Incidenty spravujete z vyšetřování & reakce > Incidenty & výstrahy > Incidenty na rychlém spuštění portálu Microsoft Defender. Tady je příklad:
Když vyberete název incidentu, zobrazí se stránka incidentu, která začíná celým příběhem útoku incidentu, včetně:
Stránka upozornění v rámci incidentu: Rozsah výstrah souvisejících s incidentem a jejich informace na stejné kartě.
Graf: Vizuální znázornění útoku, které propojuje různé podezřelé entity, které jsou součástí útoku, s entitami prostředků, které tvoří cíle útoku, jako jsou uživatelé, zařízení, aplikace a poštovní schránky.
Podrobnosti o aktivu a dalších entitách můžete zobrazit přímo z grafu a pracovat s nimi pomocí možností odpovědi, jako je zakázání účtu, odstranění souboru nebo izolace zařízení.
Stránka incidentu se skládá z následujících karet:
Příběh útoku
Výše uvedená karta obsahuje časovou osu útoku, včetně všech výstrah, entit prostředků a nápravných akcí.
Upozornění
Všechny výstrahy související s incidentem, jejich zdroji a informacemi
Aktiv
Všechny prostředky (chráněné entity, jako jsou zařízení, uživatelé, poštovní schránky, aplikace a cloudové prostředky), které byly identifikovány jako součást incidentu nebo s ním souvisejí.
Vyšetřování
Všechna automatizovaná šetření aktivovaná výstrahami v incidentu, včetně stavu vyšetřování a jejich výsledků.
Evidence a reakce
Všechny podezřelé entity v výstrahách incidentu, které představují důkazy podporující příběh útoku. Tyto entity můžou zahrnovat IP adresy, soubory, procesy, adresy URL, klíče registru a hodnoty a další.
Souhrn
Rychlý přehled ovlivněných prostředků přidružených k výstrahám
Poznámka
Pokud se zobrazí stav upozornění typu Nepodporovaný , znamená to, že funkce automatizovaného vyšetřování nemůžou tuto výstrahu vyzvednout, aby spustily automatizované šetření. Tyto výstrahy ale můžete prozkoumat ručně.
Příklad pracovního postupu reakce na incidenty na portálu Microsoft Defender
Tady je příklad pracovního postupu pro reakci na incidenty v Microsoftu 365 pomocí portálu Microsoft Defender.
Průběžně identifikujte incidenty s nejvyšší prioritou pro analýzu a řešení ve frontě incidentů a připravte je k reakci. Toto je kombinace:
- Posouzení pro určení incidentů s nejvyšší prioritou prostřednictvím filtrování a řazení fronty incidentů
- Incidenty můžete spravovat tak, že upravíte jejich název, přiřadíte je analytikům a přidáte značky a komentáře.
Pomocí pravidel automatizace služby Microsoft Sentinel můžete automaticky určit prioritu a spravovat (a dokonce i reagovat) na některé incidenty při jejich vytváření. Tím zabráníte tomu, aby nejsnadnější incidenty zabíjely místo ve vaší frontě.
Pro vlastní pracovní postup reakce na incidenty zvažte tyto kroky:
Fázi | Kroky |
---|---|
U každého incidentu zahajte šetření a analýzu útoku a výstrah. |
|
Po analýze nebo během analýzy proveďte uzavření, abyste snížili jakýkoli další dopad útoku a vymýcení bezpečnostní hrozby. | Například, |
Pokud je to možné, obnovte se z útoku obnovením prostředků tenanta do stavu, ve který byly před incidentem. | |
Vyřešte incident a zdokumentujte svá zjištění. | Udělejte si čas na to, aby se po incidentu naučili: |
Pokud s analýzou zabezpečení teprve začínáte, přečtěte si úvod k reakci na první incident , kde najdete další informace a postup mezi ukázkovými incidenty.
Další informace o reakcích na incidenty napříč produkty Microsoftu najdete v tomto článku.
Integrace operací zabezpečení na portálu Microsoft Defender
Tady je příklad integrace procesů operací zabezpečení (SecOps) na portálu Microsoft Defender.
Mezi každodenní úkoly patří:
- Správa incidentů
- Kontrola akcí automatizovaného šetření a reakce (AIR) v Centru akcí
- Kontrola nejnovější analýzy hrozeb
- Reakce na incidenty
Měsíční úkoly můžou zahrnovat:
- Kontrola nastavení AIR
- Kontrola zabezpečeného skóre a Microsoft Defender Správa zranitelností
- Vytváření sestav do vašeho řetězce správy zabezpečení IT
Čtvrtletní úkoly mohou zahrnovat zprávu a instruktážní výsledky zabezpečení pro hlavního pracovníka pro zabezpečení informací (CISO).
Roční úkoly můžou zahrnovat provedení závažného incidentu nebo porušení zabezpečení za účelem testování zaměstnanců, systémů a procesů.
Denní, měsíční, čtvrtletní a roční úkoly je možné použít k aktualizaci nebo upřesňování procesů, zásad a konfigurací zabezpečení.
Další podrobnosti najdete v tématu Integrace Microsoft Defender XDR do operací zabezpečení.
Prostředky SecOps napříč produkty Microsoftu
Další informace o nástroji SecOps v produktech Microsoftu najdete v těchto zdrojích informací:
Oznámení o incidentech e-mailem
Portál Microsoft Defender můžete nastavit tak, aby informoval zaměstnance e-mailem o nových incidentech nebo aktualizacích stávajících incidentů. Můžete se rozhodnout, že chcete dostávat oznámení na základě:
- Závažnost upozornění
- Zdroje upozornění
- Skupina zařízení
Informace o nastavení e-mailových oznámení pro incidenty najdete v tématu Získání e-mailových oznámení o incidentech.
Školení pro analytiky zabezpečení
V tomto výukovém modulu z Microsoft Learn se dozvíte, jak používat Microsoft Defender XDR ke správě incidentů a výstrah.
Školení: | Vyšetřování incidentů pomocí Microsoft Defender XDR |
---|---|
Microsoft Defender XDR sjednocuje data hrozeb z více služeb a pomocí umělé inteligence je kombinuje do incidentů a výstrah. Zjistěte, jak minimalizovat dobu mezi incidentem a jeho správou pro následnou reakci a řešení. 27 min - 6 jednotek |
Další kroky
Použijte uvedené kroky na základě vaší úrovně zkušeností nebo role v týmu zabezpečení.
Úroveň zkušeností
Podle této tabulky získáte úroveň zkušeností s analýzou zabezpečení a reakcí na incidenty.
Úrovni | Kroky |
---|---|
Nwe |
|
Zkušený |
|
Role týmu zabezpečení
Postupujte podle této tabulky na základě role bezpečnostního týmu.
Role | Kroky |
---|---|
Reakce na incidenty (vrstva 1) | Začněte s frontou incidentů na stránce Incidenty na portálu Microsoft Defender. Tady můžete:
|
Bezpečnostní vyšetřovatel nebo analytik (vrstva 2) |
|
Pokročilý analytik zabezpečení nebo lovec hrozeb (vrstva 3) |
|
Manažer SOC | Podívejte se, jak integrovat Microsoft Defender XDR do služby Security Operations Center (SOC). |
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro