Reakce na incidenty pomocí Microsoft 365 Defender

Poznámka

Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotní Microsoft 365 Defender.

Platí pro:

  • Microsoft 365 Defender

Incident v Microsoft 365 Defender je kolekce korelovaných upozornění a přidružených dat, která tvoří příběh útoku.

Služby a aplikace Microsoftu 365 vytvářejí upozornění, když detekují podezřelou nebo škodlivou událost nebo aktivitu. Jednotlivá upozornění poskytují cenné informace o dokončených nebo probíhajících útocích. Útoky ale obvykle využívají různé techniky proti různým typům entit, jako jsou zařízení, uživatelé a poštovní schránky. Výsledkem je několik upozornění pro více entit ve vašem tenantovi.

Vzhledem k tomu, že společné vysouvání jednotlivých výstrah za účelem získání přehledu o útoku může být náročné a časově náročné, Microsoft 365 Defender automaticky agreguje výstrahy a související informace do incidentu.

Jak Microsoft 365 Defender koreluje události z entit do incidentu.

Podívejte se na tento krátký přehled incidentů v Microsoft 365 Defender (4 minuty).


Seskupování souvisejících výstrah do incidentu vám poskytne komplexní přehled o útoku. Můžete například vidět:

  • Kde útok začal.
  • Jaká taktika byla použita.
  • Jak daleko útok zašel do vašeho tenanta.
  • Rozsah útoku, například počet zařízení, uživatelů a poštovních schránek, byl ovlivněn.
  • Všechna data spojená s útokem.

Pokud je tato možnost povolená, Microsoft 365 Defender může automaticky prošetřovat a řešit výstrahy prostřednictvím automatizace a umělé inteligence. K vyřešení útoku můžete také provést další nápravné kroky.

Incidenty a upozornění na portálu Microsoft 365 Defender

Incidenty z incidentů & výstrahy > incidenty spravujete při rychlém spuštění portálu Microsoft 365 Defender. Tady je příklad.

Stránka Incidenty na portálu Microsoft 365 Defender

Výběrem názvu incidentu se zobrazí souhrn incidentu a přístup k kartám s dalšími informacemi. Tady je příklad.

Stránka Souhrn incidentu na portálu Microsoft 365 Defender

Další karty incidentu:

  • Upozornění

    Všechna upozornění související s incidentem a jejich informacemi.

  • Zařízení

    Všechna zařízení, která byla identifikována jako součást incidentu nebo která s incidentem souvisejí.

  • Uživatelé

    Všichni uživatelé, u kterých bylo zjištěno, že jsou součástí incidentu nebo s incidentem souvisejí.

  • Poštovní schránky

    Všechny poštovní schránky, které byly identifikovány jako součást incidentu nebo související s incidentem.

  • Vyšetřování

    Všechna automatizovaná vyšetřování aktivovaná upozorněními v incidentu.

  • Důkazy a reakce

    Všechny podporované události a podezřelé entity v upozorněních incidentu.

  • Graf (Preview)

    Vizuální znázornění útoku, který spojuje různé podezřelé entity, které jsou součástí útoku, s jejich souvisejícími prostředky, jako jsou uživatelé, zařízení a poštovní schránky.

Tady je vztah mezi incidentem a jeho daty a kartami incidentu na portálu Microsoft 365 Defender.

Vztah incidentu a jeho data k kartách incidentu na portálu Microsoft 365 Defender.

Poznámka

Pokud se zobrazí stav upozornění na nepodporovaný typ výstrahy , znamená to, že funkce automatizovaného šetření nemohou toto upozornění vyzvednout a spustit automatizované šetření. Tato upozornění ale můžete prozkoumat ručně.

Příklad pracovního postupu reakce na incidenty pro Microsoft 365 Defender

Tady je ukázkový pracovní postup pro reakci na incidenty v Microsoftu 365 pomocí portálu Microsoft 365 Defender.

Příklad pracovního postupu reakce na incidenty pro portál Microsoft 365 Defender.

Průběžně identifikujte incidenty s nejvyšší prioritou pro analýzu a řešení ve frontě incidentů a připravte je na reakci. Toto je kombinace:

  • Třídění k určení incidentů s nejvyšší prioritou prostřednictvím filtrování a řazení fronty incidentů.
  • Incidenty můžete spravovat úpravou jejich názvu, jejich přiřazením analytikům a přidáním značek a komentářů.

Zvažte následující kroky pro vlastní pracovní postup reakce na incidenty:

  1. U každého incidentu zahajte vyšetřování a analýzu výstrah:

    1. Podívejte se na souhrn incidentu, abyste pochopili jeho rozsah a závažnost a jaké entity jsou ovlivněné kartami Souhrn a Graf (Preview).

    2. Začněte analyzovat výstrahy, abyste porozuměli jejich původu, rozsahu a závažnosti pomocí karty Výstrahy .

    3. Podle potřeby shromážděte informace o ovlivněných zařízeních, uživatelích a poštovních schránkách pomocí karet Zařízení, Uživatelé a Poštovní schránky .

    4. Podívejte se, jak Microsoft 365 Defender automaticky vyřešila některá upozornění na kartě Vyšetřování.

    5. Podle potřeby použijte informace v datové sadě pro incident a získáte další informace na kartě Důkaz a Odpověď .

  2. Po analýze nebo během analýzy proveďte omezení, abyste snížili případná další dopad útoku a vymýcení bezpečnostní hrozby.

  3. Pokud je to možné, zotavte se z útoku obnovením prostředků tenanta do stavu, ve které se nacházely před incidentem.

  4. Vyřešte incident a udělejte si čas na to, abyste se po incidentu naučili:

    • Seznamte se s typem útoku a jeho dopadem.
    • Prozkoumání útoku v Analýze hrozeb a komunity zabezpečení s využitím trendu útoku na zabezpečení
    • Vzpomeňte si na pracovní postup, který jste použili k vyřešení incidentu, a podle potřeby aktualizujte standardní pracovní postupy, procesy, zásady a playbooky.
    • Určete, jestli jsou potřeba změny konfigurace zabezpečení, a implementujte je.

Pokud s analýzou zabezpečení teprve začínáte, přečtěte si úvod k reagování na první incident , ve které najdete další informace a příklad incidentu.

Další informace o reakci na incidenty napříč produkty Microsoftu najdete v tomto článku.

Příklady operací zabezpečení pro Microsoft 365 Defender

Tady je příklad operací zabezpečení (SecOps) pro Microsoft 365 Defender.

Příklad operací zabezpečení pro Microsoft 365 Defender

Mezi denní úkoly patří:

Mezi měsíční úkoly patří:

Čtvrtletní úkoly mohou obsahovat sestavu a instruktáž výsledků zabezpečení řediteli CISO (Information Security Officer).

Mezi roční úkoly patří provedení velkého incidentu nebo porušení zabezpečení, které otestují vaše zaměstnance, systémy a procesy.

Denní, měsíční, čtvrtletní a roční úkoly se dají použít k aktualizaci nebo upřesnění procesů, zásad a konfigurací zabezpečení.

Další podrobnosti najdete v tématu Integrace Microsoft 365 Defender do operací zabezpečení.

Prostředky SecOps napříč produkty Microsoftu

Další informace o SecOps v produktech Microsoftu najdete v těchto zdrojích informací:

Zasílání oznámení o incidentech e-mailem

Můžete nastavit Microsoft 365 Defender, které zaměstnancům oznámí e-mail o nových incidentech nebo aktualizacích stávajících incidentů. Oznámení můžete dostávat na základě:

  • Závažnost výstrahy
  • Zdroje upozornění
  • Skupina zařízení

Zvolte, jestli chcete dostávat e-mailová oznámení jenom pro konkrétní zdroj služby: Můžete snadno vybrat konkrétní zdroje služeb, pro které chcete dostávat e-mailová oznámení.

Získejte podrobnější informace o konkrétních zdrojích detekce: Oznámení můžete dostávat jenom pro konkrétní zdroj detekce.

Nastavte závažnost podle detekce nebo zdroje služby: E-mailová oznámení můžete dostávat jenom na konkrétní závažnosti podle zdroje. Můžete například dostávat oznámení o středních a vysokých výstrahách pro EDR a všech závažnostech pro odborníky v programu Microsoft Defender.

E-mailové oznámení obsahuje mimo jiné důležité podrobnosti o incidentu, jako je název incidentu, závažnost a kategorie. Můžete také přejít přímo na incident a hned spustit analýzu. Další informace najdete v tématu Vyšetřování incidentů.

V e-mailových oznámeních můžete přidávat nebo odebírat příjemce. Noví příjemci dostanou oznámení o incidentech po jejich přidání.

Poznámka

Ke konfiguraci nastavení e-mailového oznámení potřebujete oprávnění Spravovat nastavení zabezpečení . Pokud jste se rozhodli používat základní správu oprávnění, můžou e-mailová oznámení konfigurovat uživatelé s rolemi Správce zabezpečení nebo Globální správce.

Podobně platí, že pokud vaše organizace používá řízení přístupu na základě role (RBAC), můžete vytvářet, upravovat, odstraňovat a přijímat oznámení jenom na základě skupin zařízení, které můžete spravovat.

Vytvoření pravidla pro e-mailová oznámení

Podle těchto kroků vytvořte nové pravidlo a přizpůsobte nastavení e-mailového oznámení.

  1. V navigačním podokně přejděte na Microsoft 365 Defender a vyberte Nastavení > Microsoft 365 Defender > E-mailová oznámení incidentu.

  2. Vyberte Přidat položku.

  3. Na stránce Základy zadejte název pravidla a popis a pak vyberte Další.

  4. Na stránce Nastavení oznámení nakonfigurujte:

    • Závažnost výstrahy – Zvolte závažnost výstrahy, která aktivuje oznámení o incidentu. Pokud například chcete být informováni pouze o incidentech s vysokou závažností, vyberte Možnost Vysoká.
    • Obor skupiny zařízení – Můžete zadat všechny skupiny zařízení nebo vybrat ze seznamu skupin zařízení ve vašem tenantovi.
    • Odeslat pouze jedno oznámení na incident – Vyberte, jestli chcete jedno oznámení na incident.
    • Do e-mailu zahrňte název organizace – Vyberte, jestli chcete, aby se v e-mailovém oznámení zobrazil název vaší organizace.
    • Zahrnout odkaz na portál specifický pro tenanta – Vyberte, jestli chcete přidat odkaz s ID tenanta do e-mailového oznámení pro přístup ke konkrétnímu tenantovi Microsoftu 365.

    Snímek obrazovky se stránkou Nastavení oznámení pro e-mailová oznámení incidentů na portálu Microsoft 365 Defender

  5. Vyberte Další. Na stránce Příjemci přidejte e-mailové adresy, které budou dostávat oznámení o incidentu. Po zadání každé nové e-mailové adresy vyberte Přidat . Pokud chcete otestovat oznámení a ujistit se, že je příjemci dostanou do doručené pošty, vyberte Odeslat testovací e-mail.

  6. Vyberte Další. Na stránce Zkontrolovat pravidlo zkontrolujte nastavení pravidla a pak vyberte Vytvořit pravidlo. Příjemci začnou dostávat oznámení o incidentu prostřednictvím e-mailu na základě nastavení.

Pokud chcete upravit existující pravidlo, vyberte ho ze seznamu pravidel. V podokně s názvem pravidla vyberte Upravit pravidlo a proveďte změny na stránkách Základy, Nastavení oznámení a Příjemci .

Pokud chcete pravidlo odstranit, vyberte ho ze seznamu pravidel. V podokně s názvem pravidla vyberte Odstranit.

Jakmile obdržíte oznámení, můžete přejít přímo na incident a zahájit šetření okamžitě. Další informace o vyšetřování incidentů najdete v tématu Vyšetřování incidentů v Microsoft 365 Defender.

Školení pro analytiky zabezpečení

V tomto výukovém modulu z Microsoft Learn zjistíte, jak používat Microsoft 365 Defender ke správě incidentů a výstrah.

Školení: Vyšetřování incidentů pomocí Microsoft 365 Defender
Prozkoumejte incidenty pomocí ikony trénování Microsoft 365 Defender. Microsoft 365 Defender sjednocuje data o hrozbách z více služeb a používá umělou inteligenci ke kombinování dat do incidentů a výstrah. Zjistěte, jak minimalizovat dobu mezi incidentem a jeho správou pro následnou reakci a řešení.

27 min- 6 jednotek

Další kroky

Postupujte podle uvedených kroků na základě úrovně nebo role vašeho týmu zabezpečení.

Úroveň prostředí

V této tabulce najdete úroveň svých zkušeností s analýzou zabezpečení a reakcí na incidenty.

Úrovni Kroky
Nwe
  1. Projděte si názorný postup reakce na první incident a získejte na portálu Microsoft 365 Defender s ukázkovým útokem prohlídku typického procesu analýzy, nápravy a závěrečného vyhodnocení incidentu.
  2. Zjistěte, které incidenty by měly být upřednostněné na základě závažnosti a dalších faktorů.
  3. Spravujte incidenty, mezi které patří přejmenování, přiřazování, klasifikace a přidávání značek a komentářů na základě pracovního postupu správy incidentů.
Zkušený
  1. Začněte s frontou incidentů na stránce Incidenty na portálu Microsoft 365 Defender. Tady můžete:
    • Zjistěte, které incidenty by měly být upřednostněné na základě závažnosti a dalších faktorů.
    • Spravujte incidenty, mezi které patří přejmenování, přiřazování, klasifikace a přidávání značek a komentářů na základě pracovního postupu správy incidentů.
    • Prošetřovat incidenty.
  2. Sledujte nově vznikající hrozby a reagujte na ně pomocí analýzy hrozeb.
  3. Proaktivní vyhledávání hrozeb s pokročilým proaktivním vyhledáváním hrozeb
  4. Podrobné pokyny k útokům phishing, útoku password spray a udělení souhlasu s aplikací najdete v těchto playboocích pro reakce na incidenty .

Role týmu zabezpečení

Postupujte podle této tabulky na základě role týmu zabezpečení.

Role Kroky
Respondér incidentu (vrstva 1) Začněte s frontou incidentů na stránce Incidenty na portálu Microsoft 365 Defender. Tady můžete:
  • Zjistěte, které incidenty by měly být upřednostněné na základě závažnosti a dalších faktorů.
  • Spravujte incidenty, mezi které patří přejmenování, přiřazování, klasifikace a přidávání značek a komentářů na základě pracovního postupu správy incidentů.
Bezpečnostní vyšetřovatel nebo analytik (vrstva 2)
  1. Prošetřujte incidenty na stránce Incidenty na portálu Microsoft 365 Defender.
  2. Podrobné pokyny k útokům phishing, útoku password spray a udělení souhlasu s aplikací najdete v těchto playboocích pro reakce na incidenty .
Pokročilý analytik zabezpečení nebo lovec hrozeb (vrstva 3)
  1. Prošetřujte incidenty na stránce Incidenty na portálu Microsoft 365 Defender.
  2. Sledujte nově vznikající hrozby a reagujte na ně pomocí analýzy hrozeb.
  3. Proaktivní vyhledávání hrozeb s pokročilým proaktivním vyhledáváním hrozeb
  4. Podrobné pokyny k útokům phishing, útoku password spray a udělení souhlasu s aplikací najdete v těchto playboocích pro reakce na incidenty .
Správce SOC Podívejte se, jak integrovat Microsoft 365 Defender do služby Security Operations Center (SOC).