Sdílet prostřednictvím


Vyšetřování incidentů na portálu Microsoft Defender

Portál Microsoft Defender nabízí korelovaná upozornění, prostředky, šetření a důkazy ze všech vašich prostředků do incidentu, abyste získali komplexní přehled o celé šíři útoku.

V rámci incidentu analyzujete výstrahy, pochopíte, co znamenají, a shromáždíte důkazy, abyste mohli navrhnout efektivní plán nápravy.

Počáteční šetření

Než se ponoříte do podrobností, podívejte se na vlastnosti a celý příběh útoku incidentu.

Můžete začít výběrem incidentu ve sloupci se značkou zaškrtnutí. Tady je příklad.

Výběr incidentu na portálu Microsoft Defender

Když to uděláte, otevře se podokno souhrnu s klíčovými informacemi o incidentu, jako jsou podrobnosti incidentu, doporučené akce a související hrozby. Tady je příklad.

Podokno zobrazující souhrnné podrobnosti incidentu na portálu Microsoft Defender.

Tady můžete vybrat Otevřít stránku incidentu. Otevře se hlavní stránka incidentu, kde najdete úplné informace o scénáři útoku a karty pro výstrahy, zařízení, uživatele, vyšetřování a důkazy. Můžete také otevřít hlavní stránku incidentu výběrem názvu incidentu z fronty incidentů.

Poznámka

Uživatelům se zřízeným přístupem k Microsoft Security Copilot se při otevření incidentu na pravé straně obrazovky zobrazí podokno Copilot. Copilot poskytuje přehledy a doporučení v reálném čase, které vám pomůžou vyšetřovat incidenty a reagovat na ně. Další informace najdete v tématu Microsoft Copilot v Microsoft Defender.

Příběh útoku

Scénáře útoku vám pomůžou rychle kontrolovat, prošetřovat a opravovat útoky při zobrazení celého příběhu útoku na stejné kartě. Umožňuje také zkontrolovat podrobnosti entity a provést nápravné akce, jako je odstranění souboru nebo izolace zařízení bez ztráty kontextu.

Příběh útoku je stručně popsán v následujícím videu.

V příběhu útoku najdete stránku upozornění a graf incidentů.

Stránka s upozorněním na incidenty obsahuje tyto části:

  • Scénář upozornění, který zahrnuje:

    • Co se přihodilo
    • Provedené akce
    • Související události
  • Vlastnosti upozornění v pravém podokně (stav, podrobnosti, popis a další)

Mějte na paměti, že ne každé upozornění bude obsahovat všechny uvedené pododdíly v části Scénář upozornění .

Graf ukazuje úplný rozsah útoku, způsob, jakým se útok v průběhu času šířil přes vaši síť, kde začal a jak daleko útočník zašel. Propojuje různé podezřelé entity, které jsou součástí útoku, s jejich souvisejícími prostředky, jako jsou uživatelé, zařízení a poštovní schránky.

V grafu můžete:

  • Přehrajte výstrahy a uzly v grafu tak, jak k nim došlo v průběhu času, abyste pochopili chronologii útoku.

    Snímek obrazovky znázorňující přehrávání upozornění a uzlů na stránce grafu příběhu útoku

  • Otevřete podokno entity, které vám umožní zkontrolovat podrobnosti entity a reagovat na nápravné akce, jako je odstranění souboru nebo izolace zařízení.

    Snímek obrazovky znázorňující kontrolu podrobností entity na stránce grafu příběhu útoku

  • Zvýrazněte výstrahy na základě entity, se kterou souvisejí.

  • Vyhledávání informací o entitách zařízení, souboru, IP adresy, adresy URL, uživatele, e-mailu, poštovní schránky nebo cloudového prostředku

Běžte lovit

Akce go hunt využívá funkci rozšířeného proaktivního vyhledávání k vyhledání relevantních informací o entitě. Dotaz go hunt zkontroluje relevantní tabulky schématu pro všechny události nebo výstrahy týkající se konkrétní entity, kterou zkoumáte. Pokud chcete najít relevantní informace o entitě, můžete vybrat některou z možností:

  • Zobrazit všechny dostupné dotazy – možnost vrátí všechny dostupné dotazy pro typ entity, který zkoumáte.
  • Všechna aktivita – dotaz vrátí všechny aktivity přidružené k entitě a poskytne vám komplexní přehled o kontextu incidentu.
  • Související výstrahy – dotaz vyhledá a vrátí všechny výstrahy zabezpečení týkající se konkrétní entity a zajistí, abyste nezmeškali žádné informace.

Výběr možnosti go hunt na zařízení v příběhu útoku

Výsledné protokoly nebo výstrahy můžete propojit s incidentem tak, že vyberete výsledky a pak vyberete Propojit s incidentem.

Zvýraznění odkazu na možnost incidentu ve výsledcích dotazu go hunt

Pokud incident nebo související výstrahy byly výsledkem analytického pravidla, které jste nastavili, můžete také vybrat Spustit dotaz a zobrazit další související výsledky.

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Cesty útoku

Graf incidentů obsahuje také informace o cestách útoku. Tyto cesty umožňují analytikům zabezpečení identifikovat další entity, na které útočník bude pravděpodobně cílit dál. Pokud chcete zobrazit cestu útoku, můžete kliknout na entitu v grafu incidentů a vybrat Zobrazit cesty útoku. Pro entity se značkou kritického prostředku jsou dostupné cesty útoku.

Zvýraznění akce Zobrazit cesty útoku v grafu incidentu

Po výběru možnosti Zobrazit cesty útoku se otevře boční podokno se seznamem cest útoku pro vybranou entitu. Cesty útoku se zobrazují ve formátu tabulky s názvem cesty útoku, vstupním bodem, typem vstupního bodu, cílem, typem cíle a závažností cíle.

Při výběru cesty útoku ze seznamu se zobrazí graf cest útoku, který zobrazuje cestu útoku ze vstupního bodu do cíle. Když vyberete Zobrazit mapu , otevře se nové okno, ve které se zobrazí úplná cesta útoku.

Příklad grafu cesty útoku zobrazeného v bočním podokně

Poznámka

Pokud chcete zobrazit podrobnosti o cestě útoku, musíte mít na portálu Microsoft Defender oprávnění ke čtení a licenci pro Správa míry rizika zabezpečení od Microsoftu.

Pokud chcete zobrazit podrobnosti o cestě útoku na platformě sjednocených operací zabezpečení, je vyžadována role Sentinel Reader. K vytvoření nových cest útoku se vyžaduje role Správce zabezpečení.

Upozornění

Na kartě Výstrahy můžete zobrazit frontu výstrah pro výstrahy související s incidentem a další informace o nich, například následující:

  • Závažnost výstrah.
  • Entity, které byly součástí výstrahy.
  • Zdroj výstrah (Microsoft Defender for Identity, Microsoft Defender for Endpoint, Microsoft Defender pro Office 365, Defender for Cloud Apps a doplněk zásad správného řízení aplikací).
  • Důvod, proč spolu byli spojeni.

Tady je příklad.

Podokno Výstrahy pro incident na portálu Microsoft Defender

Ve výchozím nastavení jsou výstrahy seřazené chronologicky, abyste viděli, jak se útok v průběhu času odehrával. Když vyberete výstrahu v rámci incidentu, Microsoft Defender XDR zobrazí informace o upozornění specifické pro kontext celého incidentu.

Můžete zobrazit události výstrahy, které další aktivované výstrahy způsobily aktuální výstrahu, a všechny ovlivněné entity a aktivity, které jsou součástí útoku, včetně zařízení, souborů, uživatelů, cloudových aplikací a poštovních schránek.

Tady je příklad.

Podrobnosti o upozornění v rámci incidentu na portálu Microsoft Defender.

Naučte se používat frontu upozornění a stránky upozornění při zkoumání výstrah.

Aktiva

Pomocí nové karty Prostředky můžete snadno zobrazit a spravovat všechny prostředky na jednom místě. Toto jednotné zobrazení zahrnuje zařízení, uživatele, poštovní schránky a aplikace.

Na kartě Assets (Prostředky) se vedle názvu zobrazuje celkový počet prostředků. Při výběru karty Prostředky se zobrazí seznam různých kategorií s počtem prostředků v této kategorii.

Stránka Prostředky pro incident na portálu Microsoft Defender

Zařízení

Zobrazení Zařízení obsahuje seznam všech zařízení souvisejících s incidentem. Tady je příklad.

Stránka Zařízení pro incident na portálu Microsoft Defender

Výběrem zařízení ze seznamu se otevře panel, který umožňuje spravovat vybrané zařízení. Můžete rychle exportovat, spravovat značky, zahájit automatizované šetření a provádět další možnosti.

Zaškrtnutím políčka u zařízení můžete zobrazit podrobnosti o zařízení, data adresáře, aktivní upozornění a přihlášené uživatele. Výběrem názvu zařízení zobrazíte podrobnosti o zařízení v inventáři zařízení Defender for Endpoint. Tady je příklad.

Možnosti Zařízení na stránce Prostředky na portálu Microsoft Defender.

Na stránce zařízení můžete shromáždit další informace o zařízení, jako jsou všechny jeho výstrahy, časová osa a doporučení k zabezpečení. Na kartě Časová osa můžete například procházet časovou osu zařízení a zobrazit všechny události a chování zjištěné na počítači v chronologickém pořadí, které jsou proložené se vyvolanými výstrahami.

Uživatelé

Zobrazení Uživatelé obsahuje seznam všech uživatelů, kteří byli identifikováni jako součást incidentu nebo s ním souvisejí. Tady je příklad.

Stránka Uživatelé na portálu Microsoft Defender.

Pokud chcete uživateli zobrazit podrobnosti o hrozbě, ohrožení a kontaktních informacích uživatelského účtu, můžete vybrat značku zaškrtnutí. Výběrem uživatelského jména zobrazíte další podrobnosti o uživatelském účtu.

Zjistěte, jak zobrazit další informace o uživatelích a spravovat uživatele incidentu při vyšetřování uživatelů.

Poštovní schránky

Zobrazení Poštovní schránky obsahuje seznam všech poštovních schránek, které byly identifikovány jako součást incidentu nebo s ním souvisejí. Tady je příklad.

Stránka Poštovní schránky pro incident na portálu Microsoft Defender.

Pokud chcete zobrazit seznam aktivních upozornění, můžete u poštovní schránky vybrat značku zaškrtnutí. Výběrem názvu poštovní schránky zobrazíte další podrobnosti o poštovní schránce na stránce Průzkumníka pro Defender pro Office 365.

Apps

V zobrazení Aplikace se zobrazí seznam všech aplikací, u které bylo zjištěno, že jsou součástí incidentu nebo s ním souvisejí. Tady je příklad.

Stránka Aplikace pro incident na portálu Microsoft Defender.

Výběrem zaškrtnutí u aplikace zobrazíte seznam aktivních upozornění. Výběrem názvu aplikace zobrazíte další podrobnosti na stránce Průzkumníka pro Defender for Cloud Apps.

Cloudové prostředky

Zobrazení Cloudové prostředky obsahuje seznam všech cloudových prostředků, které jsou identifikované jako součást incidentu nebo s ním souvisejí. Tady je příklad.

Stránka cloudových prostředků pro incident na portálu Microsoft Defender.

Zaškrtnutím políčka pro cloudový prostředek zobrazíte podrobnosti o prostředku a seznam aktivních výstrah. Výběrem možnosti Otevřít cloudový prostředek zobrazíte další podrobnosti a úplné podrobnosti v Microsoft Defender for Cloud.

Vyšetřování

Karta Šetření obsahuje seznam všech automatizovaných šetření aktivovaných výstrahami v tomto incidentu. Automatizované vyšetřování bude provádět nápravné akce nebo čekat na schválení akcí analytikem v závislosti na tom, jak jste nakonfigurovali automatizované šetření tak, aby se spouštěla v Defenderu for Endpoint a Defender pro Office 365.

Stránka Vyšetřování incidentu na portálu Microsoft Defender

Vyberte šetření a přejděte na stránku s podrobnostmi, kde najdete úplné informace o stavu šetření a nápravy. Pokud v rámci šetření čekají nějaké akce čekající na schválení, zobrazí se na kartě Čekající akce . V rámci nápravy incidentu proveďte akci.

K dispozici je také karta s grafem Šetření , která zobrazuje:

  • Připojení výstrah k ovlivněným prostředkům ve vaší organizaci.
  • Které entity souvisejí s kterými výstrahami a jak jsou součástí příběhu útoku.
  • Výstrahy pro incident.

Graf šetření vám pomůže rychle pochopit úplný rozsah útoku tím, že propojí různé podezřelé entity, které jsou součástí útoku, s jejich souvisejícími prostředky, jako jsou uživatelé, zařízení a poštovní schránky.

Další informace najdete v tématu Automatizované šetření a reakce v Microsoft Defender XDR.

Evidence a reakce

Na kartě Evidence a reakce se zobrazují všechny podporované události a podezřelé entity v výstrahách incidentu. Tady je příklad.

Stránka Důkaz a reakce na incident na portálu Microsoft Defender

Microsoft Defender XDR automaticky prošetřuje všechny podporované události incidentů a podezřelé entity v výstrahách a poskytuje vám informace o důležitých e-mailech, souborech, procesech, službách, IP adresách a dalších. To vám pomůže rychle detekovat a blokovat potenciální hrozby v incidentu.

Každá z analyzovaných entit je označená verdiktem (Škodlivý, Podezřelý, Čistý) a stavem nápravy. To vám pomůže pochopit stav nápravy celého incidentu a jaké další kroky je možné provést.

Schválení nebo odmítnutí nápravných akcí

V případě incidentů se stavem nápravy Čekající na schválení můžete schválit nebo odmítnout nápravnou akci, otevřít v Průzkumníkovi nebo přejít k vyhledávání na kartě Důkazy a odpověď. Tady je příklad.

Možnost Schválit\Odmítnout v podokně Správa důkazů a odpovědí pro incident na portálu Microsoft Defender.

Souhrn

Na stránce Souhrn můžete vyhodnotit relativní důležitost incidentu a rychle získat přístup k souvisejícím výstrahami a ovlivněným entitami. Na stránce Souhrn najdete přehled hlavních věcí, které si o incidentu můžete všimnout.

Snímek obrazovky se souhrnnými informacemi o incidentu na portálu Microsoft Defender

Informace jsou uspořádané v těchto částech.

Oddíl Popis
Upozornění a kategorie Vizuální a číselné zobrazení pokročilého postupu útoku proti řetězci kill. Stejně jako u jiných bezpečnostních produktů Microsoftu je Microsoft Defender XDR v souladu s architekturou MITRE ATT&CK™. Časová osa výstrah zobrazuje chronologické pořadí, ve kterém se výstrahy objevily, a jejich stav a název.
Rozsah Zobrazuje počet ovlivněných zařízení, uživatelů a poštovních schránek a uvádí entity v pořadí podle úrovně rizika a priority šetření.
Upozornění Zobrazí výstrahy, kterých se incident týká.
Důkaz Zobrazí počet entit ovlivněných incidentem.
Informace o incidentu Zobrazí vlastnosti incidentu, jako jsou značky, stav a závažnost.

Podobné incidenty

Některé incidenty můžou mít podobné incidenty uvedené na stránce Podobné incidenty . Tato část ukazuje incidenty, které mají podobné výstrahy, entity a další vlastnosti. To vám může pomoct pochopit rozsah útoku a identifikovat další incidenty, které můžou souviset. Tady je příklad.

Snímek obrazovky znázorňující kartu Podobné incidenty pro incident na portálu Microsoft Defender

Další kroky

Podle potřeby:

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.