Prozkoumání výstrah zabezpečení služby Defender for Identity v XDR v programu Microsoft Defender

Poznámka:

Defender for Identity není navržený tak, aby sloužil jako řešení auditování nebo protokolování, které zachycuje každou jednu operaci nebo aktivitu na serverech, na kterých je senzor nainstalovaný. Zaznamenává pouze data potřebná pro mechanismy detekce a doporučení.

Tento článek vysvětluje základy práce s výstrahami zabezpečení v programu Microsoft Defender for Identity v XDR v programu Microsoft Defender.

Výstrahy defenderu for Identity jsou nativně integrované do XDR v programu Microsoft Defender s vyhrazeným formátem stránky upozornění identity.

Stránka Upozornění identity poskytuje zákazníkům Microsoft Defenderu for Identity lepší rozšiřování signálu mezi doménami a nové možnosti automatické reakce na identity. Zajišťuje, že zůstanete v bezpečí a zlepšíte efektivitu operací zabezpečení.

Jednou z výhod vyšetřování výstrah prostřednictvím XDR v programu Microsoft Defender je to, že výstrahy v programu Microsoft Defender for Identity jsou dále korelovány s informacemi získanými z jednotlivých produktů v sadě. Tato rozšířená upozornění jsou konzistentní s ostatními formáty upozornění XDR v programu Microsoft Defender pocházející z Microsoft Defender pro Office 365 a Microsoft Defenderu for Endpoint. Nová stránka efektivně eliminuje nutnost přejít na jiný produktový portál a prozkoumat výstrahy spojené s identitou.

Výstrahy pocházející z programu Defender for Identity teď můžou aktivovat funkce automatizovaného vyšetřování a reakce v programu Microsoft Defender (AIR), včetně automatické nápravy výstrah a zmírnění rizik nástrojů a procesů, které můžou přispět k podezřelé aktivitě.

Důležité

V rámci konvergence s XDR v programu Microsoft Defender se některé možnosti a podrobnosti změnily z jejich umístění na portálu Defender for Identity Portal. Přečtěte si podrobnosti níže a zjistěte, kde najdete známé i nové funkce.

Kontrola výstrah zabezpečení

K výstrahám je možné přistupovat z několika míst, včetně stránky Výstrahy , stránky Incidenty , stránek jednotlivých zařízení a stránky rozšířeného proaktivního vyhledávání . V tomto příkladu se podíváme na stránku Upozornění.

V XDR v programu Microsoft Defender přejděte na Incidenty a výstrahy a pak na Výstrahy.

Pokud chcete zobrazit upozornění z programu Defender for Identity, v pravém horním rohu vyberte Filtr a pak v části Zdroje služeb vyberte Microsoft Defender for Identity a vyberte Použít:

Výstrahy se zobrazují s informacemi v následujících sloupcích: název výstrahy, značky, závažnosti, stav šetření, stav, kategorie, zdroj detekce, ovlivněné prostředky, první aktivita a poslední aktivita.

Kategorie výstrah zabezpečení

Výstrahy zabezpečení Defenderu for Identity jsou rozdělené do následujících kategorií nebo fází, jako jsou fáze typického řetězce útoku kyber-útoku.

• Upozornění na rekognoskaci
• Upozornění na ohrožené přihlašovací údaje
• Upozornění laterálního pohybu
• Výstrahy před dominantní doménou
• Upozornění exfiltrace

Správa výstrah

Pokud pro jednu z výstrah vyberete název upozornění, přejdete na stránku s podrobnostmi o upozornění. V levém podokně se zobrazí souhrn toho , co se stalo:

Nad polem Co se stalo jsou tlačítka pro klienty, cílového hostitele a zdrojového hostitele výstrahy. U jiných výstrah se můžou zobrazit tlačítka pro podrobnosti o dalších hostitelích, účtech, IP adresách, doménách a skupinách zabezpečení. Výběrem některého z nich získáte další podrobnosti o zahrnutých entitách.

V pravém podokně se zobrazí podrobnosti výstrahy. Tady můžete zobrazit další podrobnosti a provést několik úloh:

• Klasifikovat tuto výstrahu – tady můžete tuto výstrahu určit jako výstrahu True nebo Nepravda.

  

• Stav výstrahy – V části Nastavit klasifikaci můžete výstrahu klasifikovat jako true nebo false. V části Přiřazeno můžete upozornění přiřadit sami sobě nebo zrušit jeho přiřazení.

  

• Podrobnosti výstrahy – V části Podrobnosti výstrahy najdete další informace o konkrétní výstraze, postupujte podle odkazu na dokumentaci o typu výstrahy, podívejte se, ke kterému incidentu je výstraha přidružená, zkontrolujte všechna automatizovaná šetření propojená s tímto typem výstrahy a podívejte se na ovlivněná zařízení a uživatele.

  

• Komentáře a historie – Tady můžete přidat komentáře k upozornění a zobrazit historii všech akcí přidružených k upozornění.

  

• Spravovat upozornění – Pokud vyberete Možnost Spravovat upozornění, přejdete do podokna, které vám umožní upravit:

  • Stav – Můžete zvolit Možnost Nový, Vyřešeno nebo Probíhá.

  • Klasifikace – Můžete zvolit výstrahu True (Pravda) nebo False alert (Nepravda).

  • Komentář – Můžete přidat komentář k upozornění.

  • Pokud vyberete tři tečky vedle možnosti Spravovat výstrahy, můžete propojit výstrahu s jiným incidentem, vytvořit pravidlo potlačení (dostupné jenom pro zákazníky verze Preview) nebo Odborníky v programu Ask Defender.

    

    Výstrahu můžete také exportovat do excelového souboru. Uděláte to tak, že vyberete Exportovat.

    Poznámka:

    V excelovém souboru teď máte k dispozici dva odkazy: Zobrazení v programu Microsoft Defender pro identitu a zobrazení v XDR v programu Microsoft Defender. Každý odkaz vás přenese na příslušný portál a poskytne informace o upozornění.

Ladění upozornění

Vylaďte upozornění tak, aby je upravovala a optimalizovala a snížila počet falešně pozitivních výsledků. Ladění výstrah umožňuje týmům SOC zaměřit se na výstrahy s vysokou prioritou a zlepšit pokrytí detekce hrozeb ve vašem systému. V XDR v programu Microsoft Defender vytvořte podmínky pravidla na základě typů důkazů a pak pravidlo použijte u libovolného typu pravidla, který odpovídá vašim podmínkám.

Další informace najdete v tématu Ladění výstrahy.

Viz také

• Výstrahy zabezpečení v programu Microsoft Defender for Identity

Další informace

• Vyzkoušejte naši interaktivní příručku: Detekce podezřelých aktivit a potenciálních útoků pomocí Microsoft Defenderu for Identity