Automatizované šetření a reakce v Microsoft Defender XDR
Článek
Platí pro:
Microsoft Defender XDR
Pokud vaše organizace používá Microsoft Defender XDR, obdrží váš tým pro operace zabezpečení na portálu Microsoft Defender upozornění při každém zjištění škodlivé nebo podezřelé aktivity nebo artefaktu. Vzhledem k zdánlivě nekonečnému toku hrozeb, které mohou přijít, se bezpečnostní týmy často potýkají s výzvou řešit velký objem výstrah. Naštěstí Microsoft Defender XDR zahrnuje funkce automatizovaného vyšetřování a reakce (AIR), které můžou vašemu provoznímu týmu zabezpečení pomoct efektivněji a efektivněji řešit hrozby.
Tento článek obsahuje přehled prostředí AIR a obsahuje odkazy na další kroky a další zdroje informací.
Jak funguje automatizované vyšetřování a samoopravení
Při aktivaci výstrah zabezpečení je na vašem provozním týmu zabezpečení, aby se na ně podíval a podnikl kroky k ochraně vaší organizace. Stanovení priorit a prošetřování výstrah může být časově velmi náročné, zejména v případě, že během vyšetřování stále přicházejí nová upozornění. Týmy operací zabezpečení se můžou cítit zahlcené množstvím hrozeb, které musí monitorovat a chránit před nimi. V Microsoft Defender XDR vám můžou pomoct funkce automatizovaného vyšetřování a reakce se samoopravením.
Podívejte se na následující video, ve které se dozvíte, jak funguje samoopravení:
V Microsoft Defender XDR funguje automatizované vyšetřování a reakce s funkcemi samoopravení napříč vašimi zařízeními, e-mailovými & obsahem a identitami.
Představte si, že máte virtuálního analytika v týmu operací zabezpečení vrstvy 1 nebo vrstvy 2. Virtuální analytik napodobuje ideální kroky, které by operace zabezpečení podnikly k vyšetřování a nápravě hrozeb. Virtuální analytik by mohl pracovat 24× 7 s neomezenou kapacitou a převzít značnou zátěž vyšetřování a nápravy hrozeb. Takový virtuální analytik by mohl výrazně zkrátit dobu odezvy a uvolnit tak váš tým pro operace zabezpečení pro další důležité hrozby nebo strategické projekty. Pokud tento scénář zní jako sci-fi, není to tak! Takový virtuální analytik je součástí vaší sady Microsoft Defender XDR a jeho název je automatizované vyšetřování a reakce.
Funkce automatizovaného vyšetřování a reakce umožňují vašemu provoznímu týmu zabezpečení výrazně zvýšit kapacitu vaší organizace při řešení výstrah zabezpečení a incidentů. Díky automatizovanému vyšetřování a reakcím můžete snížit náklady na zpracování aktivit vyšetřování a reakcí a získat ze sady ochrany před hrozbami maximum. Funkce automatizovaného vyšetřování a reakce pomáhají vašemu týmu operací zabezpečení:
Určení, jestli hrozba vyžaduje akci
Provedení (nebo doporučení) všech potřebných nápravných akcí
Určení, zda a jaká další šetření by měla proběhnout.
Opakování procesu podle potřeby pro ostatní výstrahy
Automatizovaný proces šetření
Výstraha vytvoří incident, který může zahájit automatizované šetření. Výsledkem automatizovaného vyšetřování je verdikt u každého důkazu. Verdikty můžou být:
Škodlivý
Podezřelé
Nenašly se žádné hrozby.
Identifikují se akce nápravy škodlivých nebo podezřelých entit. Příklady nápravných akcí:
Během vyšetřování se do vyšetřování přidají všechny ostatní související výstrahy, které se objeví, dokud se šetření neskončí. Pokud se ovlivněná entita zobrazí jinde, automatizované šetření rozšíří její rozsah tak, aby zahrnovalo tuto entitu, a proces šetření se opakuje.
V Microsoft Defender XDR každé automatizované šetření koreluje signály napříč Microsoft Defender for Identity, Microsoft Defender for Endpoint a Microsoft Defender pro Office 365, jak je shrnuto v následující tabulce:
Entity
Služby ochrany před hrozbami
Zařízení (označovaná také jako koncové body nebo počítače)
Ne každé upozornění aktivuje automatizované šetření a ne každé šetření vede k automatizovaným nápravným akcím. Záleží na tom, jak je pro vaši organizaci nakonfigurované automatizované vyšetřování a reakce. Viz Konfigurace možností automatizovaného prověřování a reakce.
Zobrazení seznamu vyšetřování
Pokud chcete zobrazit šetření, přejděte na stránku Incidenty . Vyberte incident a pak vyberte kartu Šetření . Další informace najdete v tématu Podrobnosti a výsledky automatizovaného šetření.
Karta odpovědi automatizovaného šetření &
Nová karta odpovědi automatizovaného šetření & je k dispozici na portálu Microsoft Defender (https://security.microsoft.com). Tato nová karta zobrazí celkový počet dostupných nápravných akcí. Karta také poskytuje přehled o všech výstrahách a požadované době schválení jednotlivých výstrah.
Pomocí karty odpovědi automatizovaného šetření & může váš tým pro operace zabezpečení rychle přejít do Centra akcí tak, že vybere odkaz Schválit v Centru akcí a pak provede příslušné akce. Karta umožňuje týmu pro operace zabezpečení efektivněji spravovat akce čekající na schválení.
Pro získání těchto přihlašovacích údajů Microsoft Applied Skills předvádějí studenti schopnost používat XDR v programu Microsoft Defender k detekci kybernetických útoků a reagování na ně. Kandidáti na tyto přihlašovací údaje by měli být obeznámeni s vyšetřováním a shromažďováním důkazů o útocích na koncové body. Měli by mít také zkušenosti s používáním programu Microsoft Defender for Endpoint a dotazovací jazyk Kusto (KQL).