Sdílet prostřednictvím


Automatizované šetření a reakce v Microsoft Defender XDR

Platí pro:

  • Microsoft Defender XDR

Pokud vaše organizace používá Microsoft Defender XDR, obdrží váš tým pro operace zabezpečení na portálu Microsoft Defender upozornění při každém zjištění škodlivé nebo podezřelé aktivity nebo artefaktu. Vzhledem k zdánlivě nekonečnému toku hrozeb, které mohou přijít, se bezpečnostní týmy často potýkají s výzvou řešit velký objem výstrah. Naštěstí Microsoft Defender XDR zahrnuje funkce automatizovaného vyšetřování a reakce (AIR), které můžou vašemu provoznímu týmu zabezpečení pomoct efektivněji a efektivněji řešit hrozby.

Tento článek obsahuje přehled prostředí AIR a obsahuje odkazy na další kroky a další zdroje informací.

Jak funguje automatizované vyšetřování a samoopravení

Při aktivaci výstrah zabezpečení je na vašem provozním týmu zabezpečení, aby se na ně podíval a podnikl kroky k ochraně vaší organizace. Stanovení priorit a prošetřování výstrah může být časově velmi náročné, zejména v případě, že během vyšetřování stále přicházejí nová upozornění. Týmy operací zabezpečení se můžou cítit zahlcené množstvím hrozeb, které musí monitorovat a chránit před nimi. V Microsoft Defender XDR vám můžou pomoct funkce automatizovaného vyšetřování a reakce se samoopravením.

Podívejte se na následující video, ve které se dozvíte, jak funguje samoopravení:

V Microsoft Defender XDR funguje automatizované vyšetřování a reakce s funkcemi samoopravení napříč vašimi zařízeními, e-mailovými & obsahem a identitami.

Tip

Tento článek popisuje, jak funguje automatizované vyšetřování a reakce. Informace o konfiguraci těchto možností najdete v tématu Konfigurace možností automatizovaného šetření a reakce v Microsoft Defender XDR.

Váš vlastní virtuální analytik

Představte si, že máte virtuálního analytika v týmu operací zabezpečení vrstvy 1 nebo vrstvy 2. Virtuální analytik napodobuje ideální kroky, které by operace zabezpečení podnikly k vyšetřování a nápravě hrozeb. Virtuální analytik by mohl pracovat 24× 7 s neomezenou kapacitou a převzít značnou zátěž vyšetřování a nápravy hrozeb. Takový virtuální analytik by mohl výrazně zkrátit dobu odezvy a uvolnit tak váš tým pro operace zabezpečení pro další důležité hrozby nebo strategické projekty. Pokud tento scénář zní jako sci-fi, není to tak! Takový virtuální analytik je součástí vaší sady Microsoft Defender XDR a jeho název je automatizované vyšetřování a reakce.

Funkce automatizovaného vyšetřování a reakce umožňují vašemu provoznímu týmu zabezpečení výrazně zvýšit kapacitu vaší organizace při řešení výstrah zabezpečení a incidentů. Díky automatizovanému vyšetřování a reakcím můžete snížit náklady na zpracování aktivit vyšetřování a reakcí a získat ze sady ochrany před hrozbami maximum. Funkce automatizovaného vyšetřování a reakce pomáhají vašemu týmu operací zabezpečení:

  1. Určení, jestli hrozba vyžaduje akci
  2. Provedení (nebo doporučení) všech potřebných nápravných akcí
  3. Určení, zda a jaká další šetření by měla proběhnout.
  4. Opakování procesu podle potřeby pro ostatní výstrahy

Automatizovaný proces šetření

Výstraha vytvoří incident, který může zahájit automatizované šetření. Výsledkem automatizovaného vyšetřování je verdikt u každého důkazu. Verdikty můžou být:

  • Škodlivý
  • Podezřelé
  • Nenašly se žádné hrozby.

Identifikují se akce nápravy škodlivých nebo podezřelých entit. Příklady nápravných akcí:

  • Odeslání souboru do karantény
  • Zastavení procesu
  • Izolace zařízení
  • Blokování adresy URL
  • Další akce

Další informace najdete v tématu Nápravné akce v Microsoft Defender XDR.

V závislosti na tom , jak jsou pro vaši organizaci nakonfigurované možnosti automatizovaného vyšetřování a reakce , se nápravné akce provádějí automaticky nebo pouze po schválení vaším týmem pro operace zabezpečení. Všechny akce, ať už čekající nebo dokončené, jsou uvedené v Centru akcí.

Během vyšetřování se do vyšetřování přidají všechny ostatní související výstrahy, které se objeví, dokud se šetření neskončí. Pokud se ovlivněná entita zobrazí jinde, automatizované šetření rozšíří její rozsah tak, aby zahrnovalo tuto entitu, a proces šetření se opakuje.

V Microsoft Defender XDR každé automatizované šetření koreluje signály napříč Microsoft Defender for Identity, Microsoft Defender for Endpoint a Microsoft Defender pro Office 365, jak je shrnuto v následující tabulce:

Entity Služby ochrany před hrozbami
Zařízení (označovaná také jako koncové body nebo počítače) Defender for Endpoint
Místní uživatelé, chování a aktivity entit služby Active Directory Defender for Identity
Email obsah (e-mailové zprávy, které můžou obsahovat soubory a adresy URL) Defender for Office 365

Poznámka

Ne každé upozornění aktivuje automatizované šetření a ne každé šetření vede k automatizovaným nápravným akcím. Záleží na tom, jak je pro vaši organizaci nakonfigurované automatizované vyšetřování a reakce. Viz Konfigurace možností automatizovaného prověřování a reakce.

Zobrazení seznamu vyšetřování

Pokud chcete zobrazit šetření, přejděte na stránku Incidenty . Vyberte incident a pak vyberte kartu Šetření . Další informace najdete v tématu Podrobnosti a výsledky automatizovaného šetření.

Karta odpovědi automatizovaného šetření &

Nová karta odpovědi automatizovaného šetření & je k dispozici na portálu Microsoft Defender (https://security.microsoft.com). Tato nová karta zobrazí celkový počet dostupných nápravných akcí. Karta také poskytuje přehled o všech výstrahách a požadované době schválení jednotlivých výstrah.

Snímek obrazovky znázorňující kartu odpovědi automatizovaného šetření &

Pomocí karty odpovědi automatizovaného šetření & může váš tým pro operace zabezpečení rychle přejít do Centra akcí tak, že vybere odkaz Schválit v Centru akcí a pak provede příslušné akce. Karta umožňuje týmu pro operace zabezpečení efektivněji spravovat akce čekající na schválení.

Další kroky

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.