Sdílet prostřednictvím

Vyšetřování incidentů na portálu Microsoft Defender

  • Platí pro: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Portál Microsoft Defender nabízí korelovaná upozornění, prostředky, šetření a důkazy ze všech vašich prostředků do incidentu, abyste získali komplexní přehled o celé šíři útoku.

V rámci incidentu analyzujete výstrahy, pochopíte, co znamenají, a shromáždíte důkazy, abyste mohli navrhnout efektivní plán nápravy.

Počáteční šetření

Než se ponoříte do podrobností, podívejte se na vlastnosti a celý příběh útoku incidentu.

Můžete začít tak, že vyberete řádek incidentu, ale nevyberete název incidentu. Otevře se podokno souhrnu s klíčovými informacemi o incidentu, včetně posouzení priority, faktorů ovlivňujících skóre priority, podrobností incidentu, doporučených akcí a souvisejících hrozeb. Pomocí šipek nahoru a dolů v horní části podokna přejděte na předchozí nebo další incident ve frontě incidentů.

Výběr incidentu na portálu Microsoft Defender

Tady můžete vybrat Otevřít stránku incidentu. Otevře se hlavní stránka incidentu, kde najdete úplné informace o scénáři útoku a karty pro výstrahy, zařízení, uživatele, vyšetřování a důkazy. Můžete také otevřít hlavní stránku incidentu výběrem názvu incidentu z fronty incidentů.

Poznámka

Uživatelům se zřízeným přístupem k Microsoft Security Copilot se při otevření incidentu na pravé straně obrazovky zobrazí podokno Copilot. Copilot poskytuje přehledy a doporučení v reálném čase, které vám pomůžou vyšetřovat incidenty a reagovat na ně. Další informace najdete v tématu Microsoft Copilot v Microsoft Defender.

Příběh útoku

Scénáře útoku vám pomůžou rychle kontrolovat, prošetřovat a opravovat útoky při zobrazení celého příběhu útoku na stejné kartě. Umožňuje také zkontrolovat podrobnosti entity a provést nápravné akce, jako je odstranění souboru nebo izolace zařízení bez ztráty kontextu.

Příběh útoku je stručně popsán v následujícím videu.

V příběhu útoku najdete stránku upozornění a graf incidentů.

Stránka s upozorněním na incidenty obsahuje tyto části:

  • Scénář upozornění, který zahrnuje:

    • Co se přihodilo
    • Provedené akce
    • Související události

  • Vlastnosti upozornění v pravém podokně (stav, podrobnosti, popis a další)

Ne každé upozornění obsahuje všechny uvedené dílčí části v části Příběh upozornění .

Graf ukazuje úplný rozsah útoku, způsob, jakým se útok v průběhu času šířil přes vaši síť, kde začal a jak daleko útočník zašel. Propojuje různé podezřelé entity, které jsou součástí útoku, s jejich souvisejícími prostředky, jako jsou uživatelé, zařízení a poštovní schránky.

V grafu můžete:

  • Přehrajte výstrahy a uzly v grafu tak, jak k nim došlo v průběhu času, abyste pochopili chronologii útoku.

    Snímek obrazovky znázorňující přehrávání upozornění a uzlů na stránce grafu příběhu útoku

  • Otevřete podokno entity, které vám umožní zkontrolovat podrobnosti entity a reagovat na nápravné akce, jako je odstranění souboru nebo izolace zařízení.

    Snímek obrazovky znázorňující kontrolu podrobností entity na stránce grafu příběhu útoku

  • Zvýrazněte výstrahy na základě entity, se kterou souvisí.

  • Vyhledávání informací o entitách zařízení, souboru, IP adresy, adresy URL, uživatele, e-mailu, poštovní schránky nebo cloudového prostředku

Běžte lovit

Akce go hunt využívá funkci rozšířeného proaktivního vyhledávání k vyhledání relevantních informací o entitě. Dotaz go hunt zkontroluje relevantní tabulky schématu pro všechny události nebo výstrahy týkající se konkrétní entity, kterou zkoumáte. Pokud chcete najít relevantní informace o entitě, můžete vybrat některou z možností:

  • Zobrazit všechny dostupné dotazy – možnost vrátí všechny dostupné dotazy pro typ entity, který zkoumáte.
  • Všechna aktivita – dotaz vrátí všechny aktivity přidružené k entitě a poskytne vám komplexní přehled o kontextu incidentu.
  • Související výstrahy – dotaz vyhledá a vrátí všechny výstrahy zabezpečení týkající se konkrétní entity a zajistí, abyste nezmeškali žádné informace.
  • Všechny uživatelské anomálie (Preview) – dotaz vrátí všechny anomálie spojené s uživatelem za posledních 30 dnů, což vám pomůže identifikovat neobvyklé chování, které může být pro incident relevantní. K dispozici pouze pro entity uživatelů, pokud jste povolili Microsoft Sentinel Analýza chování uživatelů a entit (UEBA).

Snímek obrazovky s vybranou možností Přejít na lov na zařízení v příběhu útoku

Výsledné protokoly nebo výstrahy je možné propojit s incidentem tak, že vyberete výsledek a pak vyberete Propojit s incidentem.

Zvýraznění odkazu na možnost incidentu ve výsledcích dotazu go hunt

Pokud incident nebo související výstrahy byly výsledkem analytického pravidla, které jste nastavili, můžete také vybrat Spustit dotaz a zobrazit další související výsledky.

Důležité

Některé informace v tomto článku se týkají předem vydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Analýza poloměru výbuchu

Analýza poloměru výbuchu je pokročilá vizualizace grafu integrovaná do prostředí pro vyšetřování incidentů. Vychází z infrastruktury Microsoft Sentinel data lake a grafů a generuje interaktivní graf znázorňující možné cesty šíření z vybraného uzlu k předdefinovaným kritickým cílům vymezeným na oprávnění uživatele.

Poznámka

Analýza poloměru výbuchu rozšiřuje a nahrazuje analýzu cesty útoku.

Graf poloměru výbuchu poskytuje jedinečný jednotný pohled na informace o předběžném i následném úniku na stránce incidentu. Během vyšetřování incidentu analytici vidí aktuální dopad narušení zabezpečení a možný budoucí dopad v jednom konsolidovaném grafu. Vzhledem k tomu, že je graf poloměru výbuchu integrovaný do grafu incidentů, pomáhá bezpečnostním týmům rychleji pochopit rozsah incidentu zabezpečení a vylepšit jejich obranná opatření, aby se snížila pravděpodobnost rozsáhlého poškození. Analýza poloměru výbuchu pomáhá analytikům lépe vyhodnotit riziko pro vysoce hodnocené cíle a porozumět obchodnímu dopadu.

K použití grafu poloměru výbuchu jsou vyžadovány následující požadavky:

Důležité

Cesty útoku a funkce poloměru výbuchu se počítají na základě dostupných dat prostředí organizace. Hodnota v grafu se zvyšuje s tím, jak je pro výpočet k dispozici více dat. Pokud nejsou povolené žádné další úlohy nebo nejsou plně definované kritické prostředky, grafy poloměru výbuchu nebudou plně představovat vaše rizika pro životní prostředí. Další informace o definování důležitých prostředků najdete v tématu Kontrola a klasifikace důležitých prostředků.

Následující tabulka shrnuje případy použití analýzy poloměru výbuchu pro různé role uživatelů:

Role uživatele Případ použití
Analytik zabezpečení K vyšetřování incidentu použijte analýzu poloměru výbuchu. Okamžitě uvidíte ohroženou komponentu ve středu grafu a cesty k potenciálně ohroženým cílům. Graf poskytuje intuitivní vizuální porozumění incidentu a pomůže vám rychle zjistit potenciální rozsah porušení zabezpečení. Na základě cíle a cest můžete eskalovat a aktivovat akce, které naruší, izolují a zadržují incident na uzlech podél cest k cíli.
Správci IT a technici SOC Pomocí analýzy poloměru výbuchu můžete mobilizovat prostředky na základě obchodního dopadu a odhadu potenciálních škod. Technici můžou určit prioritu nejdůležitějších ohrožení zabezpečení, která vyžadují okamžitou pozornost. Technik může proaktivně přidělit požadované prostředky na základě dosahu poloměru výbuchu kritickým cílům v organizaci tím, že prozkoumá několik uzlů označených ohroženími zabezpečení na mapě. Technik může jasně sdělit, co bylo chráněno a co bylo ovlivněno, a naplánovat a určit prioritu další ochrany a segmentace sítě potřebné k omezení dalšího dopadu budoucích potenciálních útoků.
Tým reakce na incidenty Rychle určete rozsah incidentu pomocí dynamické vizuální mapy incidentů, která jim umožní provádět cílené akce v systémech uvedených v grafu.
CISO nebo vedoucí pracovníci zabezpečení Pomocí funkce poloměru výbuchu můžete určit aktuální stav, nastavit cíle a indikátory metrik a použít ji k hlášení a auditování z důvodů dodržování předpisů. Tato funkce se dá použít ke sledování průběhu investic do ochranných akcí a ochranných opatření.

Zobrazení grafů poloměru výbuchu

Po výběru incidentu ze seznamu na stránce Incidenty se zobrazí zobrazení grafu zobrazující entity a prostředky, které jsou součástí incidentu.

Výběrem uzlu otevřete místní nabídku a pak vyberte Zobrazit poloměr výbuchu. Pokud chcete zobrazit poloměr výbuchu jednoho uzlu ve skupině, použijte přepínač oddělit nad mřížkou, abyste zobrazili všechny uzly.

Snímek obrazovky znázorňující položku místní nabídky poloměru výbuchu

Načte se nové zobrazení grafu zobrazující 8 nejlépe hodnocených cest útoku. Úplný seznam cest se zobrazí na pravém bočním panelu při výběru možnosti Zobrazit seznam úplných poloměrů výbuchu nad grafem. V seznamu dosažitelných cílů můžete cestu dále prozkoumat tak, že vyberete jeden z uvedených cílů. Na pravém panelu se zobrazuje potenciální cesta ze vstupního bodu k tomuto cíli. Některé uzly nemusí mít přidružené cesty.

Snímek obrazovky znázorňující graf poloměru výbuchu

Vysvětlení ikon používaných pro uzly a hrany v grafu poloměru výbuchu najdete v tématu Vysvětlení grafů a vizualizací v Microsoft Defender.

Pokud chcete zobrazit seznam cílových prostředků, vyberte Zobrazit seznam poloměrů výbuchu . Výběrem cílového prostředku ze seznamu zobrazíte jeho podrobnosti a potenciální cesty útoku. Výběrem odznáčku v připojení se zobrazí další podrobnosti o připojení.

Pokud cesty vedou k seskupeným cílům stejných typů, vyberte seskupené ikony, abyste zobrazili samostatné cesty k cílům. Otevře se panel na pravé straně zobrazující všechny cíle ve skupině. Když zaškrtnete políčko na levé straně a nahoře vyberete tlačítko Rozbalit , zobrazí se každý cíl a jeho cesty samostatně.

Snímek obrazovky se seznamem poloměrů výbuchu

Skryjte graf poloměru výbuchu a vraťte se k původnímu grafu incidentů tak, že vyberete uzel a zvolíte Skrýt poloměr výbuchu.

Omezení

Následující omezení platí pro graf poloměru výbuchu:

  • Omezení délky cesty (rozsah analýzy): Výpočty délky grafu o poloměru výbuchu jsou od zdrojového uzlu vázané až na 7 segmentů směrování. Poloměr výbuchu je aproximace úplného dosahu útoku. Maximální počet segmentů směrování závisí na prostředí:

    • 5 segmentů směrování pro cloud
    • 5 segmentů směrování pro místní prostředí
    • 3 segmenty směrování pro hybridní

  • Aktuálnost dat: Mezi změnou prostředí organizace a odrazem této změny v grafu poloměru výbuchu můžou existovat latence. Během této doby může být model neúplný.

  • Možné cesty: Graf poloměru výbuchu zobrazuje možné cesty. Nezaručuje, že by útočník zvolil každou zobrazenou cestu.

  • Známé vektory útoku: Graf spoléhá na známé vektory útoku. Pokud útočníci najdou nový laterální pohyb nebo novou techniku, která ještě nebyla modelována, nezobrazí se v grafu poloměru výbuchu.

  • Obory uživatelů: Zobrazený graf vychází z povolených oborů pro uživatele zobrazení. V grafu jsou viditelné pouze uzly a hrany, které jsou pro uživatele vymezeny na základě definovaného nastavení řízení přístupu na základě role a rozsahu. Cesty obsahující uzly nebo hrany mimo obor nejsou viditelné.

  • Ostrovní uzly: Nepřipojené uzly se můžou v grafu objevit kvůli změnám, ke kterým může dojít mezi časem shromáždění dat a výpočtem poloměru výbuchu.

Podrobnosti incidentu

Podrobnosti o incidentu si můžete prohlédnout v pravém podokně stránky incidentu. Podrobnosti o incidentu zahrnují přiřazení incidentu, ID, klasifikaci, kategorie a datum a čas první a poslední aktivity. Obsahuje také popis incidentu, ovlivněných prostředků, aktivních výstrah a případně souvisejících hrozeb, doporučení a souhrnu a dopadu přerušení. Tady je příklad podrobností incidentu, kde je zvýrazněn popis incidentu.

Příklad podrobností incidentu, kde je zvýrazněn popis.

Popis incidentu poskytuje stručný přehled incidentu. V některých případech se jako popis incidentu použije první výstraha v incidentu. V tomto případě se popis zobrazuje jenom na portálu a neukládá se v protokolu aktivit, v tabulkách rozšířeného vyhledávání ani v Microsoft Sentinel v Azure Portal.

Tip

Microsoft Sentinel zákazníci můžou stejný popis incidentu zobrazit a přepsat také v Azure Portal nastavením popisu incidentu prostřednictvím rozhraní API nebo automatizace.

Upozornění

Na kartě Výstrahy můžete zobrazit frontu výstrah pro výstrahy související s incidentem a další informace o nich, například následující:

  • Závažnost výstrah.
  • Entity, které byly součástí výstrahy.
  • Zdroj výstrah (Microsoft Defender for Identity, Microsoft Defender for Endpoint, Microsoft Defender pro Office 365, Defender for Cloud Apps a doplněk zásad správného řízení aplikací).
  • Důvod, proč spolu byli spojeni.

Tady je příklad.

Podokno Výstrahy pro incident na portálu Microsoft Defender

Ve výchozím nastavení jsou výstrahy seřazené chronologicky, abyste viděli, jak se útok v průběhu času odehrával. Když vyberete výstrahu v rámci incidentu, Microsoft Defender XDR zobrazí informace o upozornění specifické pro kontext celého incidentu.

Můžete zobrazit události výstrahy, které další aktivované výstrahy způsobily aktuální výstrahu, a všechny ovlivněné entity a aktivity, které jsou součástí útoku, včetně zařízení, souborů, uživatelů, cloudových aplikací a poštovních schránek.

Tady je příklad.

Podrobnosti o upozornění v rámci incidentu na portálu Microsoft Defender.

Naučte se používat frontu upozornění a stránky upozornění při zkoumání výstrah.

Poznámka

Pokud jste zřídili přístup k Správa insiderských rizik Microsoft Purview, můžete na portálu Microsoft Defender zobrazit a spravovat upozornění na řízení insiderských rizik a vyhledávat události řízení insiderských rizik. Další informace najdete v tématu Zkoumání hrozeb insiderských rizik na portálu Microsoft Defender.

Aktiva

Pomocí nové karty Prostředky můžete snadno zobrazit a spravovat všechny prostředky na jednom místě. Toto jednotné zobrazení zahrnuje zařízení, uživatele, poštovní schránky a aplikace.

Na kartě Assets (Prostředky) se vedle názvu zobrazuje celkový počet prostředků. Při výběru karty Prostředky se zobrazí seznam různých kategorií s počtem prostředků v této kategorii.

Stránka Prostředky pro incident na portálu Microsoft Defender

Zařízení

Zobrazení Zařízení obsahuje seznam všech zařízení souvisejících s incidentem. Tady je příklad.

Stránka Zařízení pro incident na portálu Microsoft Defender

Výběrem zařízení ze seznamu se otevře panel, který umožňuje spravovat vybrané zařízení. Můžete rychle exportovat, spravovat značky, zahájit automatizované šetření a provádět další možnosti.

Zaškrtnutím políčka u zařízení můžete zobrazit podrobnosti o zařízení, data adresáře, aktivní upozornění a přihlášené uživatele. Výběrem názvu zařízení zobrazíte podrobnosti o zařízení v inventáři zařízení Defender for Endpoint. Tady je příklad.

Možnosti Zařízení na stránce Prostředky na portálu Microsoft Defender.

Na stránce zařízení můžete shromáždit další informace o zařízení, jako jsou všechny jeho výstrahy, časová osa a doporučení k zabezpečení. Na kartě Časová osa můžete například procházet časovou osu zařízení a zobrazit všechny události a chování zjištěné na počítači v chronologickém pořadí, které jsou proložené se vyvolanými výstrahami.

Uživatelé

Zobrazení Uživatelé obsahuje seznam všech uživatelů, kteří byli identifikováni jako součást incidentu nebo s ním souvisejí. Tady je příklad.

Stránka Uživatelé na portálu Microsoft Defender.

Pokud chcete uživateli zobrazit podrobnosti o hrozbě, ohrožení a kontaktních informacích uživatelského účtu, můžete vybrat značku zaškrtnutí. Výběrem uživatelského jména zobrazíte další podrobnosti o uživatelském účtu.

Zjistěte, jak zobrazit další informace o uživatelích a spravovat uživatele incidentu při vyšetřování uživatelů.

Poštovní schránky

Zobrazení Poštovní schránky obsahuje seznam všech poštovních schránek, které byly identifikovány jako součást incidentu nebo s ním souvisejí. Tady je příklad.

Stránka Poštovní schránky pro incident na portálu Microsoft Defender.

Pokud chcete zobrazit seznam aktivních upozornění, můžete u poštovní schránky vybrat značku zaškrtnutí. Výběrem názvu poštovní schránky zobrazíte další podrobnosti o poštovní schránce na stránce Průzkumníka pro Defender for Office 365.

Apps

V zobrazení Aplikace se zobrazí seznam všech aplikací, u které bylo zjištěno, že jsou součástí incidentu nebo s ním souvisejí. Tady je příklad.

Stránka Aplikace pro incident na portálu Microsoft Defender.

Výběrem zaškrtnutí u aplikace zobrazíte seznam aktivních upozornění. Výběrem názvu aplikace zobrazíte další podrobnosti na stránce Průzkumníka pro Defender for Cloud Apps.

Cloudové prostředky

Zobrazení Cloudové prostředky obsahuje seznam všech cloudových prostředků, které jsou identifikované jako součást incidentu nebo s ním souvisejí. Tady je příklad.

Stránka cloudových prostředků pro incident na portálu Microsoft Defender.

Zaškrtnutím políčka pro cloudový prostředek zobrazíte podrobnosti o prostředku a seznam aktivních výstrah. Výběrem možnosti Otevřít cloudový prostředek zobrazíte další podrobnosti a úplné podrobnosti v Microsoft Defender for Cloud.

Vyšetřování

Karta Šetření obsahuje seznam všech automatizovaných šetření aktivovaných výstrahami v tomto incidentu. Automatizované vyšetřování bude provádět nápravné akce nebo čekat na schválení akcí analytikem v závislosti na tom, jak jste nakonfigurovali automatizované šetření tak, aby se spouštěla v Defenderu for Endpoint a Defenderu for Office 365.

Stránka Vyšetřování incidentu na portálu Microsoft Defender

Vyberte šetření a přejděte na stránku s podrobnostmi, kde najdete úplné informace o stavu šetření a nápravy. Pokud v rámci šetření čekají nějaké akce čekající na schválení, zobrazí se na kartě Čekající akce . V rámci nápravy incidentu proveďte akci.

K dispozici je také karta s grafem Šetření , která zobrazuje:

  • Připojení výstrah k ovlivněným prostředkům ve vaší organizaci.
  • Které entity souvisejí s kterými výstrahami a jak jsou součástí příběhu útoku.
  • Výstrahy pro incident.

Graf šetření vám pomůže rychle pochopit úplný rozsah útoku tím, že propojí různé podezřelé entity, které jsou součástí útoku, s jejich souvisejícími prostředky, jako jsou uživatelé, zařízení a poštovní schránky.

Další informace najdete v tématu Automatizované šetření a reakce v Microsoft Defender XDR.

Evidence a reakce

Na kartě Evidence a reakce se zobrazují všechny podporované události a podezřelé entity v výstrahách incidentu. Tady je příklad.

Stránka Důkaz a reakce na incident na portálu Microsoft Defender

Microsoft Defender XDR automaticky prošetřuje všechny podporované události incidentů a podezřelé entity v výstrahách a poskytuje vám informace o důležitých e-mailech, souborech, procesech, službách, IP adresách a dalších. To vám pomůže rychle detekovat a blokovat potenciální hrozby v incidentu.

Každá z analyzovaných entit je označená verdiktem (Škodlivý, Podezřelý, Čistý) a stavem nápravy. To vám pomůže pochopit stav nápravy celého incidentu a jaké další kroky je možné provést.

Schválení nebo odmítnutí nápravných akcí

V případě incidentů se stavem nápravy Čekající na schválení můžete schválit nebo odmítnout nápravnou akci, otevřít v Průzkumníkovi nebo přejít k vyhledávání na kartě Důkazy a odpověď. Tady je příklad.

Možnost Schválit\Odmítnout v podokně Správa důkazů a odpovědí pro incident na portálu Microsoft Defender.

Souhrn

Na stránce Souhrn můžete vyhodnotit relativní důležitost incidentu a rychle získat přístup k souvisejícím výstrahami a ovlivněným entitami. Na stránce Souhrn najdete přehled hlavních věcí, které si o incidentu můžete všimnout.

Snímek obrazovky se souhrnnými informacemi o incidentu na portálu Microsoft Defender

Informace jsou uspořádané v těchto částech.

Oddíl Popis
Upozornění a kategorie Vizuální a číselné zobrazení pokročilého postupu útoku proti řetězci kill. Stejně jako u jiných bezpečnostních produktů Microsoftu je Microsoft Defender XDR v souladu s architekturou MITRE ATT&CK™. Časová osa výstrah zobrazuje chronologické pořadí, ve kterém se výstrahy objevily, a jejich stav a název.
Rozsah Zobrazuje počet ovlivněných zařízení, uživatelů a poštovních schránek a uvádí entity v pořadí podle úrovně rizika a priority šetření.
Upozornění Zobrazí výstrahy, kterých se incident týká.
Důkaz Zobrazí počet entit ovlivněných incidentem.
Informace o incidentu Zobrazí vlastnosti incidentu, jako jsou značky, stav a závažnost.

Podobné incidenty

Některé incidenty můžou mít podobné incidenty uvedené na stránce Podobné incidenty . Tato část ukazuje incidenty, které mají podobné výstrahy, entity a další vlastnosti. To vám může pomoct pochopit rozsah útoku a identifikovat další incidenty, které můžou souviset. Tady je příklad.

Snímek obrazovky znázorňující kartu Podobné incidenty pro incident na portálu Microsoft Defender

Tip

Defender Boxed, série karet ukazující úspěchy, vylepšení a reakce vaší organizace za posledních šest měsíců/rok, se v lednu a červenci každého roku zobrazuje po omezenou dobu. Přečtěte si, jak můžete sdílet hlavní body programu Defender Boxed .

Další kroky

Podle potřeby:

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.

  • Last updated on