Náprava prvního incidentu v Microsoft Defenderu XDR
Platí pro:
- Microsoft Defender XDR
Microsoft Defender XDR poskytuje funkce detekce a analýzy, které zajišťují omezování a vymýcení hrozeb. Omezení zahrnuje kroky ke snížení dopadu útoku, zatímco vymýcení zajistí, aby se ze sítě odebrala všechna trasování aktivit útočníka.
Náprava v programu Microsoft Defender XDR může být automatizovaná nebo ručně prováděná akcemi, které provádějí osoby reagující na incidenty. Nápravné akce je možné provádět na zařízeních, souborech a identitách.
Automatická náprava
Microsoft Defender XDR využívá svoji analýzu hrozeb a signály ve vaší síti k boji proti nejrušnějším útokům. Ransomware, ohrožení zabezpečení obchodních e-mailů (BEC) a phishing typu adversary-in-the-middle (AiTM) jsou jedny z nejsložitějších útoků, které je možné prostřednictvím funkce automatického přerušení útoku okamžitě zvládnou. Jakmile dojde k přerušení útoku, můžou osoby reagující na incidenty převzít a plně ho prošetřit a použít požadovanou nápravu.
Zjistěte, jak automatické přerušení útoku pomáhá v reakci na incidenty:
Funkce automatizovaného vyšetřování a reakce v programu Microsoft Defender XDR mezitím můžou automaticky prošetřovat a aplikovat nápravné akce u škodlivých a podezřelých položek. Tyto funkce škálují šetření a řešení hrozeb a uvolní osoby reagující na incidenty, aby se zaměřily na útoky s velkým dopadem.
Můžete nakonfigurovat a spravovat možnosti automatizovaného šetření a reakce. Můžete také zobrazit všechny minulé a čekající akce prostřednictvím Centra akcí.
Poznámka
Automatické akce můžete po kontrole vrátit zpět.
Pokud chcete urychlit některé úlohy šetření, můžete pomocí Power Automate určit prioritu výstrah. Kromě toho je možné vytvořit automatizovanou nápravu pomocí automatizace a playbooků. Microsoft má na GitHubu šablony playbooků pro následující scénáře:
- Odebrání citlivého sdílení souborů po žádosti o ověření uživatele
- Automatické posouzení zřídka používaných výstrah zemí
- Žádost o akci správce před zakázáním účtu
- Zákaz škodlivých pravidel doručené pošty
Playbooky používají Power Automate k vytváření vlastních toků automatizace robotických procesů pro automatizaci určitých aktivit po aktivaci konkrétních kritérií. Organizace můžou playbooky vytvářet buď z existujících šablon, nebo úplně od začátku. Playbooky je také možné vytvořit během závěrečné kontroly incidentu a vytvořit nápravné akce z vyřešených incidentů.
V tomto videu se dozvíte, jak vám Power Automate může pomoct automatizovat reakce na incidenty:
Ruční náprava
Při reakci na útok můžou bezpečnostní týmy využít ruční nápravné akce portálu k tomu, aby zabránily dalšímu poškození útokům. Některé akce můžou hrozbu okamžitě zastavit, zatímco jiné pomáhají s další forenzní analýzou. Tyto akce můžete použít pro libovolnou entitu v závislosti na úlohách Defenderu nasazených ve vaší organizaci.
Akce na zařízeních
Izolace zařízení – izoluje ovlivněné zařízení odpojením zařízení od sítě. Zařízení zůstane připojené ke službě Defender for Endpoint, aby bylo nadále monitorování.
Omezení spouštění aplikací – omezuje aplikaci použitím zásad integrity kódu, které umožňují spouštění souborů jenom v případě, že jsou podepsané certifikátem vydaným Microsoftem.
Spustit antivirovou kontrolu – zahájí vzdáleně kontrolu zařízení v programu Defender Antivirus. Kontrola může běžet společně s dalšími antivirovými řešeními, ať už je Antivirová ochrana v programu Defender aktivním antivirovým řešením nebo ne.
Shromáždit balíček pro šetření – v rámci procesu šetření nebo odpovědi můžete ze zařízení shromáždit balíček pro šetření. Shromážděním balíčku pro šetření můžete identifikovat aktuální stav zařízení a dále porozumět nástrojům a technikám, které útočník používá.
Zahájení automatizovaného vyšetřování – zahájí na zařízení nové automatizované šetření pro obecné účely. Za běhu vyšetřování se všechny ostatní výstrahy vygenerované ze zařízení přidají do probíhajícího automatizovaného vyšetřování, dokud se šetření nedokončí. Pokud se navíc stejná hrozba zobrazí na jiných zařízeních, přidají se tato zařízení do vyšetřování.
Zahájení živé reakce – poskytuje okamžitý přístup k zařízení pomocí připojení vzdáleného prostředí, abyste mohli provádět hloubkové šetření a okamžitě reagovat na zjištěné hrozby v reálném čase. Živá reakce je navržená tak, aby zlepšila vyšetřování tím, že umožňuje shromažďovat forenzní data, spouštět skripty, odesílat podezřelé entity k analýze, opravovat hrozby a aktivně vyhledávat nově vznikající hrozby.
Ptejte se expertů programu Defender – další informace o potenciálně ohrožených nebo již ohrožených zařízeních vám může pomoct odborník na Microsoft Defender. Odborníci na Microsoft Defender se můžou zapojit přímo z portálu a získat tak včasnou a přesnou odpověď. Tato akce je dostupná pro zařízení i soubory.
Další akce na zařízeních jsou k dispozici v následujícím kurzu:
Poznámka
Na zařízeních můžete provádět akce přímo z grafu v rámci scénáře útoku.
Akce se soubory
- Zastavení a karanténa souboru – zahrnuje zastavení spuštěných procesů, karanténu souborů a odstranění trvalých dat, jako jsou klíče registru.
- Přidání indikátorů pro blokování nebo povolení souboru – zabrání dalšímu šíření útoku tím, že zakáže potenciálně škodlivé soubory nebo podezřelý malware. Tato operace zabrání čtení, zápisu nebo spuštění souboru na zařízeních ve vaší organizaci.
- Stáhnout nebo shromáždit soubor – umožňuje analytikům stáhnout soubor v souboru chráněném heslem .zip archivu pro další analýzu ze strany organizace.
- Hloubková analýza – spustí soubor v zabezpečeném, plně instrumentovaném cloudovém prostředí. Výsledky hloubkové analýzy ukazují aktivity souboru, pozorované chování a související artefakty, jako jsou vyřazené soubory, úpravy registru a komunikace s IP adresami.
Náprava jiných útoků
Poznámka
Tyto kurzy platí, když jsou ve vašem prostředí povolené jiné úlohy Defenderu.
V následujících kurzech najdete výčet kroků a akcí, které můžete použít při vyšetřování entit nebo při reagování na konkrétní hrozby:
- Reagování na ohrožený e-mailový účet prostřednictvím Defenderu pro Office 365
- Náprava ohrožení zabezpečení pomocí služby Defender for Vulnerability Management
- Nápravné akce pro uživatelské účty prostřednictvím Defenderu for Identity
- Použití zásad k řízení aplikací pomocí Defenderu for Cloud Apps
Další kroky
- Simulace útoků prostřednictvím trénování simulace útoku
- Prozkoumejte Microsoft Defender XDR prostřednictvím školení Virtual Ninja
Viz také
- Prověřování incidentů
- Seznámení s funkcemi portálu prostřednictvím školení Microsoft Defender XDR Ninja
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.