Zkoumání výstrah v Microsoft Defender XDR

Poznámka

Tento článek popisuje výstrahy zabezpečení v Microsoft Defender XDR. Zásady upozornění ale můžete použít k odesílání e-mailových oznámení sobě nebo jiným správcům, když uživatelé provádějí určité aktivity v Microsoftu 365. Další informace najdete v tématu Zásady upozornění na portálu Microsoft Defender.

Výstrahy jsou signály, které jsou výsledkem různých aktivit detekce hrozeb. Tyto signály jsou vytvářeny mnoha službami zabezpečení, které se nacházejí na portálu Microsoft Defender, a indikují výskyt škodlivých nebo podezřelých událostí ve vašem prostředí.

Tyto podezřelé události jsou obvykle součástí širšího scénáře útoku. Na portálu Microsoft Defender představují výstrahy jednotlivé důkazy, které Defender XDR vzájemně korelují a vytvářejí incidenty. Incidenty vyprávějí celý příběh útoku; Analýza výstrah však může být cenná, pokud je vyžadována hlubší analýza.

Fronta upozornění zobrazuje aktuální sadu výstrah. Celou frontu výstrah můžete zobrazit v části Incidenty & výstrahy > Výstrahy na rychlém spuštění portálu Microsoft Defender. Výstrahy pro každý incident můžete zobrazit také ve frontě incidentů a na stránce každého jednotlivého incidentu na kartě Výstrahy .

Výstrahy z různých řešení zabezpečení Microsoftu, jako jsou Microsoft Defender for Endpoint, Defender for Office 365, Microsoft Sentinel, Defender for Cloud, Defender for Identity, Defender for Cloud Apps Defender XDR, Zásady správného řízení aplikací, Microsoft Entra ID Protection a Ochrana před únikem informací od Microsoftu se zobrazí tady.

Ve výchozím nastavení se ve frontě upozornění na portálu Microsoft Defender zobrazují nová a probíhající upozornění z posledních sedmi dnů. Nejnovější výstraha je v horní části seznamu, abyste ho viděli jako první. Celkový počet upozornění najdete také ve frontě uvedené vedle panelu hledání. Celkový počet výstrah se liší v závislosti na filtrech použitých ve frontě.

Ve výchozí frontě upozornění můžete výběrem možnosti Filtr zobrazit všechny dostupné filtry, ze kterých můžete zadat podmnožinu výstrah. Tady je příklad.

Výstrahy můžete filtrovat podle těchto kritérií:

• Závažnosti
• Stav
• Kategorie
• Služba / zdroje detekce
• Značky
• Zásady nebo pravidlo zásad
• Typ výstrahy
• Název produktu
• ID odběru upozornění
• Entity (ovlivněné prostředky)
• Stav automatizovaného šetření
• Workspace
• Datový proud (úloha nebo umístění)
• Popisek citlivosti

Poznámka

Microsoft Defender XDR zákazníci teď můžou filtrovat incidenty s výstrahami, kdy ohrožené zařízení komunikovalo se zařízeními OT připojenými k podnikové síti prostřednictvím integrace zjišťování zařízení Microsoft Defender pro IoT a Microsoft Defender for Endpoint. Pokud chcete tyto incidenty filtrovat, vyberte v části Služba/zdroje detekce možnost Libovolná a pak v názvu produktu vyberte Microsoft Defender pro IoT nebo se podívejte na téma Zkoumání incidentů a upozornění v Microsoft Defender pro IoT na portálu Defender. Skupiny zařízení můžete také použít k filtrování výstrah specifických pro web. Další informace o požadavcích na Defender for IoT najdete v tématu Začínáme s podnikovým monitorováním IoT v Microsoft Defender XDR.

Výstraha může obsahovat systémové značky nebo vlastní značky s určitým barevným pozadím. Vlastní značky používají bílé pozadí, zatímco systémové značky obvykle používají červené nebo černé barvy pozadí. Systémové značky identifikují v incidentu následující:

• Typ útoku, jako je ransomware nebo phishing s přihlašovacími údaji
• Automatické akce, jako je automatické vyšetřování a reakce a automatické přerušení útoku
• Experti defenderu zpracovávající incident
• Kritické prostředky zapojené do incidentu

Tip

Správa míry rizika zabezpečení Microsoftu na základě předdefinovaných klasifikací automaticky označí zařízení, identity a cloudové prostředky jako kritický prostředek. Tato předefinované funkce zajišťuje ochranu nejcennějších a nejdůležitějších prostředků organizace. Pomáhá také týmům pro operace zabezpečení určit prioritu vyšetřování a nápravy. Přečtěte si další informace o správě důležitých prostředků.

Důležité

Některé informace v tomto článku se týkají předem vydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje žádné záruky vyjádřené ani předpokládané s ohledem na zde uvedené informace.

Výstrahy můžete vyhledat pomocí vlastního rozsahu data a času nebo pomocí panelu hledání a vyhledat konkrétní výstrahy. Pokud chcete vyhledat výstrahy v určitém časovém nebo datovém rozsahu, vyberte ve výběru data možnost Vlastní rozsah a pak zadejte počáteční a koncové datum a časy.

Pokud chcete vyhledat konkrétní výstrahy, zadejte hledaný termín do vyhledávacího panelu. Výstrahy můžete vyhledávat na základě názvu nebo ID výstrahy.

Požadované role pro výstrahy Defenderu for Office 365

Pro přístup k Microsoft Defender Office 365 upozornění musíte mít některou z následujících rolí:

• Globální role Microsoft Entra:

  • Globální správce
  • Správce zabezpečení
  • Operátor zabezpečení
  • Globální čtenář
  • Čtenář zabezpečení

• Office 365 skupiny rolí & zabezpečení & dodržování předpisů

  • Správce dodržování předpisů
  • Správa organizace

• Vlastní role

Poznámka

Microsoft pro lepší zabezpečení doporučuje používat role s menším počtem oprávnění. Roli globálního správce, která má mnoho oprávnění, by se měla používat pouze v případě mimořádných událostí, pokud se žádná jiná role nehodí.

Analýza upozornění

Pokud chcete zobrazit hlavní stránku upozornění, vyberte název výstrahy. Tady je příklad.

Můžete také vybrat akci Otevřít hlavní výstrahu v podokně Spravovat upozornění .

Stránka upozornění se skládá z těchto částí:

• Scénář upozornění, což je řetězec událostí a výstrah souvisejících s touto výstrahou v chronologickém pořadí.
• Souhrnné podrobnosti

Na stránce upozornění můžete vybrat tři tečky (...) vedle libovolné entity a zobrazit tak dostupné akce, například propojení výstrahy s jiným incidentem. Seznam dostupných akcí závisí na typu upozornění.

Zdroje upozornění

Microsoft Defender XDR upozornění pocházejí z řešení, jako jsou Microsoft Defender for Endpoint, Defender for Office 365, Defender for Identity Defender for Cloud Apps, doplněk zásad správného řízení aplikací pro Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection a Microsoft Data Loss Prevention. Můžete si všimnout výstrah s předem zadanými znaky. Následující tabulka obsahuje doprovodné materiály, které vám pomůžou pochopit mapování zdrojů upozornění na základě předem zadaného znaku výstrahy.

Poznámka

• Předem připravené identifikátory GUID jsou specifické pouze pro sjednocená prostředí, jako jsou sjednocená fronta upozornění, stránka sjednocených upozornění, sjednocené šetření a sjednocený incident.
• Předpřipoucený znak nezmění identifikátor GUID výstrahy. Jedinou změnou identifikátoru GUID je předem připravená komponenta.

Zdroj upozornění	ID upozornění s předpřihlednými znaky
Microsoft Defender XDR	ra{GUID} ta{GUID} pro výstrahy z ThreatExperts ea{GUID} pro výstrahy z vlastních detekcí
Microsoft Defender pro Office 365	fa{GUID} Například: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Endpoint	da{GUID} ed{GUID} pro výstrahy z vlastních detekcí
Microsoft Defender for Identity	aa{GUID} ri{GUID} pro výstrahy z modulu pro detekci XDR Příklad: aa123a456b-c789-1d2e-12f1g33h445h6i, ri001122334455667788_-0123456789
Microsoft Defender for Cloud Apps	ca{GUID} ma{GUID} pro výstrahy ze zásad správného řízení aplikací a detekce rm{GUID} pro výstrahy z modulu pro detekci XDR Například: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID Protection	ad{GUID}
Zásady správného řízení aplikací	ma{GUID}
Microsoft Data Loss Prevention	dl{GUID}
Microsoft Defender for Cloud	dc{GUID}
Microsoft Sentinel	sn{GUID}
Správa insiderských rizik Microsoft Purview	ir{GUID}
Microsoft Security Copilot	sc{GUID}

Poznámka

Pokud jste zřídili přístup k Správa insiderských rizik Microsoft Purview, můžete na portálu Microsoft Defender zobrazit a spravovat upozornění na řízení insiderských rizik a vyhledávat události řízení insiderských rizik. Další informace najdete v tématu Zkoumání hrozeb insiderských rizik na portálu Microsoft Defender.

Konfigurace nastavení služby upozornění

Konfigurace nastavení služby upozornění v Microsoft Defender XDR:

1. Přejděte na portál Microsoft Defender (security.microsoft.com), vyberte Nastavení>Microsoft Defender XDR.

2. V seznamu vyberte Nastavení služby upozornění a pak nakonfigurujte nastavení upozornění pro službu.

   Důležité

   Od 11. prosince 2025 Microsoft Defender XDR zavádí rozšířené možnosti konfigurace pro výstrahy ochrany Entra ID Ve verzi Public Preview. Tyto aktualizace poskytují podrobnější kontrolu nad upozorňováním na základě rizik. Nové výchozí nastavení je pouze detekce vysokého rizika. Změňte výchozí nastavení na Vysoká + Střední nebo Všechny detekce podle potřeb vaší organizace.

   

K nastavení služby výstrah můžete také přistupovat přímo ze stránky Incidenty na portálu Microsoft Defender.

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Analýza ovlivněných prostředků

Oddíl Provedené akce obsahuje seznam ovlivněných prostředků, jako jsou poštovní schránky, zařízení a uživatelé ovlivnění touto výstrahou.

Můžete také vybrat Zobrazit v centru akcí a zobrazit kartu Historiev Centru akcí na portálu Microsoft Defender.

Trasování role upozornění v příběhu upozornění

Text upozornění zobrazuje všechny prostředky nebo entity související s upozorněním v zobrazení stromu procesu. Na upozornění v názvu se fokus zaměřuje, když se poprvé dostanete na vybranou stránku výstrahy. Prostředky v textu upozornění se dají rozbalit a dají se kliknout. Poskytují další informace a urychlí vaši odpověď tím, že vám umožní provést akci přímo v kontextu stránky upozornění.

Poznámka

Část s informacemi o upozorněních může obsahovat více než jedno upozornění, přičemž další výstrahy související se stejným stromem spuštění se zobrazují před nebo za vybranou výstrahou.

Zobrazení dalších informací o upozorněních na stránce s podrobnostmi

Na stránce podrobností se zobrazí podrobnosti vybrané výstrahy s podrobnostmi a souvisejícími akcemi. Pokud v textu upozornění vyberete některý z ovlivněných prostředků nebo entit, stránka podrobností se změní a poskytne kontextové informace a akce pro vybraný objekt.

Jakmile vyberete entitu, která vás zajímá, stránka podrobností se změní a zobrazí informace o vybraném typu entity, historické informace, pokud je k dispozici, a možnosti provedení akce s touto entitou přímo ze stránky upozornění.

Správa upozornění

Pokud chcete výstrahu spravovat, vyberte Spravovat výstrahu v části souhrnných podrobností na stránce upozornění. Tady je příklad podokna Spravovat výstrahy pro jednu výstrahu.

Podokno Spravovat výstrahy umožňuje zobrazit nebo zadat:

• Stav upozornění (Nové, Vyřešeno, Probíhá).
• Uživatelský účet, kterému byla výstraha přiřazena.
• Klasifikace výstrahy:
  • Nenastaví se (výchozí).
  • Pravdivě pozitivní s typem hrozby. Tuto klasifikaci použijte pro výstrahy, které přesně označují skutečnou hrozbu. Zadání tohoto typu hrozby upozorní váš bezpečnostní tým na vzory hrozeb a zasadí se o ochranu vaší organizace před nimi.
  • Informační, očekávaná aktivita s typem aktivity. Tuto možnost použijte pro výstrahy, které jsou technicky přesné, ale představují normální chování nebo simulovanou aktivitu hrozeb. Obecně chcete tyto výstrahy ignorovat, ale očekávat je u podobných aktivit v budoucnu, kdy tyto aktivity aktivují skuteční útočníci nebo malware. Pomocí možností v této kategorii můžete klasifikovat výstrahy pro testy zabezpečení, aktivitu červeného týmu a očekávané neobvyklé chování důvěryhodných aplikací a uživatelů.
  • Falešně pozitivní pro typy výstrah, které byly vytvořeny, i když nedochází k žádné škodlivé aktivitě nebo k falešnému poplachu. Pomocí možností v této kategorii klasifikujte výstrahy, které jsou omylem identifikovány jako normální události nebo aktivity, jako škodlivé nebo podezřelé. Na rozdíl od upozornění na informační očekávanou aktivitu, která může být užitečná i při zachytávání reálných hrozeb, obvykle nechcete, aby se tato upozornění znovu zobrazovala. Klasifikace výstrah jako falešně pozitivních pomáhá Microsoft Defender XDR zlepšit kvalitu jejich detekce.
• Komentář k upozornění

Poznámka

• V srpnu 2022 byly dříve podporované hodnoty určení výstrah (Apt a SecurityPersonnel) zastaralé a už nejsou dostupné prostřednictvím rozhraní API.

• Jeden ze způsobů, jak ho spravovat, ho upozorní pomocí značek. Funkce označování pro Microsoft Defender pro Office 365 je aktuálně ve verzi Preview, která se zavádí postupně.

V současné době se upravené názvy značek použijí jenom u upozornění vytvořených po aktualizaci. Výstrahy, které byly generovány před úpravou, nebudou odrážet aktualizovaný název značky.

Pokud chcete spravovat sadu upozornění podobnou konkrétní výstraze, vyberte Zobrazit podobné výstrahy v poli PŘEHLED v části souhrnu podrobností na stránce upozornění.

V podokně Spravovat výstrahy pak můžete klasifikovat všechny související výstrahy najednou. Tady je příklad.

Pokud už podobné výstrahy byly klasifikované v minulosti, můžete ušetřit čas tím, že použijete Microsoft Defender XDR doporučení, abyste zjistili, jak byly ostatní výstrahy vyřešeny. V části souhrnu podrobností vyberte Doporučení.

Karta Doporučení poskytuje akce a rady pro další kroky pro šetření, nápravu a prevenci. Tady je příklad.

Integrovaná pravidla ladění upozornění

Poznámka

Tato funkce je aktuálně ve verzi Preview, není dostupná ve všech organizacích a může se změnit.

Microsoft Defender XDR obsahuje integrovaná pravidla ladění upozornění, která pomáhají snižovat šum při hlášení při běžných neškodných aktivitách. Tato integrovaná pravidla potlačují upozornění, aniž by ovlivnila další funkce, jako jsou vyšetřování air a e-mailová oznámení. Pokud vyšetřování air zjistí škodlivou nebo podezřelou aktivitu, nová výstraha se znovu aktivuje.

Pokud chcete zobrazit integrovaná pravidla ladění upozornění na portálu Microsoft Defender, přejděte dočásti Nastavení>systému>Microsoft Defender XDR>Odladění>pravidel nebo přímo na stránce ladění upozornění na adrese https://security.microsoft.com/securitysettings/defender/alert_suppression.

Nezapomeňte si projít tato pravidla, abyste pochopili, jak můžou ovlivnit upozornění, která se zobrazují na portálu Microsoft Defender.

Ladění upozornění

Jako analytik soc (Security Operations Center) je jedním z hlavních problémů posouzení velkého počtu výstrah, které se aktivují denně. Čas analytika je cenný a chce se zaměřit pouze na výstrahy s vysokou závažností a vysokou prioritou. Mezitím musí analytici také provádět třídění a řešení výstrah s nižší prioritou, což bývá ruční proces.

Ladění výstrah, dříve označované jako potlačení výstrah, umožňuje předem ladit a spravovat výstrahy. Tím se zjednoduší fronta upozornění a ušetří se čas třídění tím, že automaticky skryjete nebo vyřešíte výstrahy pokaždé, když dojde k určitému očekávanému chování organizace a splní se podmínky pravidla.

Pravidla ladění výstrah podporují podmínky založené na typech důkazů , jako jsou soubory, procesy, naplánované úlohy a další typy důkazů, které aktivují výstrahy. Po vytvoření pravidla ladění upozornění ho použijte na vybranou výstrahu nebo na jakýkoli typ výstrahy, který splňuje definované podmínky, a vylaďte ho.

Ladění výstrah jako obecné dostupnosti zaznamenává výstrahy jenom z Defenderu for Endpoint. Ve verzi Preview se ale ladění upozornění rozšiřuje i na další Microsoft Defender XDR služby, včetně Defenderu for Office 365, Defenderu for Identity, Defender for Cloud Apps, Microsoft Entra ID Protection (Microsoft Entra IP), a další, pokud jsou k dispozici na vaší platformě a plánu.

Microsoft Defender XDR obsahuje integrovaná pravidla ladění upozornění (aktuálně ve verzi Preview), která pomáhají snižovat šum při hlášení z běžné neškodné aktivity. Tato integrovaná pravidla potlačují upozornění, aniž by ovlivnila další funkce, jako jsou vyšetřování air a e-mailová oznámení. Pokud vyšetřování air zjistí škodlivou nebo podezřelou aktivitu, nová výstraha se znovu aktivuje.

Můžete také vytvořit vlastní pravidla ladění upozornění, která automaticky skryjí nebo vyřeší výstrahy při splnění konkrétních podmínek.

Upozornění

Doporučujeme používat ladění upozornění s opatrností ve scénářích, kdy známé interní obchodní aplikace nebo testy zabezpečení aktivují očekávanou aktivitu a nechcete, aby se upozornění zobrazovala.

Vytvoření podmínek pravidla pro ladění upozornění

Pravidla ladění upozornění můžete vytvářet v oblasti nastavení Microsoft Defender XDR nebo na stránce s podrobnostmi upozornění. Pokračujte výběrem jedné z následujících karet.

Stránka Nastavení

1. Na portálu Microsoft Defender vyberte Nastavení > Microsoft Defender XDR > Ladění upozornění.

   

2. Vyberte Přidat nové pravidlo a vylaďte nové upozornění nebo vyberte existující řádek pravidla a proveďte změny. Výběrem názvu pravidla se otevře stránka s podrobnostmi pravidla, kde můžete zobrazit seznam přidružených upozornění, upravit podmínky nebo pravidlo zapnout a vypnout.

3. V podokně Ladění upozornění v části Vybrat zdroje služeb vyberte zdroje služeb, u kterých chcete pravidlo použít. V seznamu se zobrazí jenom služby, u kterých máte oprávnění. Příklady:

   

4. V oblasti Podmínky přidejte podmínku pro triggery výstrahy. Pokud například chcete zabránit aktivaci upozornění při vytvoření konkrétního souboru, definujte podmínku triggeru Soubor:Vlastní a definujte podrobnosti o souboru:

   

   • Uvedené triggery se liší v závislosti na vybraných zdrojích služeb. Triggery jsou všechny indikátory ohrožení zabezpečení (IOC), jako jsou soubory, procesy, naplánované úlohy a další typy důkazů, které můžou aktivovat výstrahu, včetně skriptů rozhraní AMSI (AntiMalware Scan Interface), událostí rozhraní WMI (Windows Management Instrumentation) nebo plánovaných úloh.

   • Pokud chcete nastavit více podmínek pravidla, vyberte Přidat filtr a použijte možnosti AND, OR a seskupování, abyste definovali vztahy mezi několika typy důkazů, které aktivují výstrahu. Další vlastnosti důkazů se automaticky vyplní jako nová podskupina, ve které můžete definovat hodnoty podmínek. V hodnotách podmínek se nerozlišují malá a velká písmena a některé vlastnosti podporují zástupné cardy.

5. V oblasti Akce podokna Ladit upozornění vyberte příslušnou akci, kterou má pravidlo provést, buď Skrýt výstrahu nebo Vyřešit výstrahu.

6. Zadejte výstižný název upozornění a komentář, který výstrahu popisuje, a pak vyberte Uložit.

Stránka Upozornění

1. Na portálu Microsoft Defender přejděte na stránku Upozornění nebo na stránku podrobností výstrahy. Pokud jste na stránce Výstrahy , vyberte nejdřív výstrahu, kterou chcete ladit, a pak vyberte Ladit upozornění. V závislosti na rozlišení obrazovky možná budete muset vybrat tři tečky (...), aby se zobrazila možnost Ladit upozornění . Příklady:

   

   Na straně se otevře podokno Ladit výstrahu , kde můžete definovat podmínky výstrahy. Příklady:

   

2. Nakonfigurujte následující podrobnosti a pak vyberte Uložit:

3. V oblasti Typy výstrah vyberte, jestli chcete pravidlo ladění upozornění použít jenom na výstrahy vybraného typu nebo na jakýkoli typ výstrahy založené na stejných podmínkách. Pokud vyberete Libovolný typ upozornění na základě určitých podmínek, vyberte také zdroje služeb, na které se má pravidlo použít. V seznamu se zobrazí jenom služby, u kterých máte oprávnění. Příklady:

   

4. V oblasti Podmínky přidejte podmínku pro triggery výstrahy. Pokud například chcete zabránit aktivaci upozornění při vytvoření konkrétního souboru, definujte podmínku triggeru Soubor:Vlastní a definujte podrobnosti o souboru:

   

   • Uvedené triggery se liší v závislosti na vybraných zdrojích služeb. Triggery jsou všechny indikátory ohrožení zabezpečení (IOC), jako jsou soubory, procesy, naplánované úlohy a další typy důkazů, které můžou aktivovat výstrahu, včetně skriptů rozhraní AMSI (AntiMalware Scan Interface), událostí rozhraní WMI (Windows Management Instrumentation) nebo plánovaných úloh.

   • Pokud chcete nastavit více podmínek pravidla, vyberte Přidat filtr a použijte možnosti AND, OR a seskupování, abyste definovali vztahy mezi několika typy důkazů, které aktivují výstrahu. Další vlastnosti důkazů se automaticky vyplní jako nová podskupina, ve které můžete definovat hodnoty podmínek. V hodnotách podmínek se nerozlišují malá a velká písmena a některé vlastnosti podporují zástupné cardy.

5. V oblasti Akce podokna Ladit upozornění vyberte příslušnou akci, kterou má pravidlo provést, buď Skrýt výstrahu nebo Vyřešit výstrahu.

6. Zadejte výstižný název upozornění a komentář k popisu upozornění.

Poznámka

Název upozornění (Název) je založený na typu upozornění (IoaDefinitionId), který o názvu výstrahy rozhoduje. Dvě výstrahy, které mají stejný typ upozornění, se můžou změnit na jiný název výstrahy. Funkce Skrýt upozornění je dostupná jenom v upozorněních Defenderu for Endpoint.

Po vytvoření pravidla ladění upozornění ze stránky s podrobnostmi upozornění přidejte na stránce Úspěšné vytvoření pravidla všechny IOC související s upozorněními jako indikátory do seznamu povolených , aby se zabránilo jejich zablokování v budoucnu. Ve výchozím nastavení jsou vybrané IOC, které jsou nakonfigurované jako součást pravidla ladění upozornění. Příklady:

1. Přidejte soubor do seznamu Pro výběr důkazů (IOC) k povolení . Ve výchozím nastavení je už vybraný soubor, který výstrahu aktivoval.
2. Definujte obor pro vyberte obor, který chcete použít na hodnotu. Ve výchozím nastavení je vybraný obor, který se vztahuje na vaše upozornění.
3. Vyberte Uložit , abyste soubor přidali do seznamu povolených a zabránili jeho blokování.

Řešení upozornění

Jakmile dokončíte analýzu výstrahy a dá se vyřešit, přejděte do podokna Spravovat upozornění pro výstrahu nebo podobné výstrahy, označte stav jako Vyřešeno a pak ho klasifikujte jako pravdivě pozitivní s typem hrozby, informační, očekávanou aktivitu typu aktivity nebo falešně pozitivní.

Klasifikace výstrah pomáhá Microsoft Defender XDR zlepšit kvalitu jejich detekce.

Určení priorit výstrah pomocí Power Automate

Moderní týmy pro operace zabezpečení (SecOps) potřebují automatizaci, aby fungovaly efektivně. Aby se týmy SecOps zaměřily na proaktivní vyhledávání a prošetřování skutečných hrozeb, používají Power Automate k třídění ze seznamu výstrah a eliminují ty, které nejsou hrozbami.

Kritéria pro řešení výstrah

• Uživatel má zapnutou funkci Zpráva mimo kancelář
• Uživatel není označený jako vysoce rizikový

Pokud platí obojí, funkce SecOps označí výstrahu jako legitimní cestu a vyřeší ji. Po vyřešení upozornění se v Microsoft Teams publikuje oznámení.

Připojení Power Automate k Microsoft Defender for Cloud Apps

Abyste mohli vytvořit automatizaci, budete před připojením Power Automate k Microsoft Defender for Cloud Apps potřebovat token rozhraní API.

1. Otevřete Microsoft Defender, vyberte Nastavení>Token rozhraní APICloud Apps> a pak na kartě Tokeny rozhraní API vyberte Přidat token.

2. Zadejte název tokenu a pak vyberte Generovat. Uložte token, protože ho budete potřebovat později.

Vytvoření automatizovaného toku

V tomto krátkém videu se dozvíte, jak automatizace efektivně funguje při vytváření plynulého pracovního postupu a jak připojit Power Automate k Defender for Cloud Apps.

Použití agenta dynamické detekce hrozeb k určení priorit výstrah

Microsoft Security Copilot v Microsoft Defender zahrnuje agenta dynamické detekce hrozeb, což je vždy zapnutá adaptivní back-endová služba, která odkrývá skryté hrozby v prostředích Defenderu a Microsoft Sentinel. Používá umělou inteligenci k identifikaci mezer a odhalování falešně negativních výsledků korelací výstrah, událostí, anomálií a analýzy hrozeb. Když agent identifikuje mezeru, vygeneruje dynamické upozornění s úplným kontextem v podrobnostech výstrah, včetně vysvětlení přirozeného jazyka, mapovaných mitre ATT&technik CK a přizpůsobených nápravných kroků.

Další informace najdete v tématu Microsoft Security Copilot agenta dynamického zjišťování hrozeb.

Další kroky

Podle potřeby v případě incidentů v procesu pokračujte ve vyšetřování.

Viz také

• Přehled incidentů
• Správa incidentů
• Prověřování incidentů
• Zkoumání upozornění ochrany před únikem informací v Defenderu
• Microsoft Entra ID Protection

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.