Reakce na incidenty na portálu Microsoft Defender

  • Článek
  • Platí pro:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Incident na portálu Microsoft Defender je kolekce souvisejících výstrah a přidružených dat, která tvoří příběh útoku. Je to také soubor případu, který váš SOC může použít k prošetření útoku a správě, implementaci a zdokumentování reakce na něj.

Služby Microsoft Sentinel a Microsoft Defender vytvářejí výstrahy, když zjistí podezřelou nebo škodlivou událost nebo aktivitu. Jednotlivá upozornění poskytují cenné důkazy o dokončeného nebo probíhajícím útoku. Stále rozšířenější a sofistikovanější útoky však obvykle používají různé techniky a vektory proti různým typům entit prostředků, jako jsou zařízení, uživatelé a poštovní schránky. Výsledkem je několik výstrah z více zdrojů pro více entit aktiv v digitálních aktivech.

Vzhledem k tomu, že jednotlivá upozornění vyprávějí jenom část příběhu a ruční seskupení jednotlivých výstrah za účelem získání přehledu o útoku může být náročné a časově náročné, sjednocená platforma operací zabezpečení automaticky identifikuje související výstrahy – ze služby Microsoft Sentinel i Microsoft Defender XDR – a agreguje je a jejich přidružené informace do incidentu.

Jak Microsoft Defender XDR korelují události z entit do incidentu

Seskupením výstrah souvisejících do incidentu získáte komplexní přehled o útoku. Můžete například vidět:

  • Kde útok začal.
  • Jaká taktika byla použita.
  • Jak daleko útok zašel do vašeho digitálního majetku.
  • Rozsah útoku, například počet ovlivněných zařízení, uživatelů a poštovních schránek
  • Všechna data spojená s útokem.

Sjednocená platforma operací zabezpečení na portálu Microsoft Defender obsahuje metody pro automatizaci a pomoc při třídění, vyšetřování a řešení incidentů.

  • Microsoft Copilot v Programu Defender využívá AI k podpoře analytiků komplexních a časově náročných každodenních pracovních postupů, včetně komplexního vyšetřování incidentů a reakce na ně pomocí jasně popsaných scénářů útoku, podrobných pokynů k nápravě a souhrnných sestav aktivit incidentů, proaktivního vyhledávání KQL v přirozeném jazyce a analýzy odborných kódů – optimalizace efektivity SOC v rámci služby Microsoft Sentinel a Defender XDR dat.

    Tato funkce doplňuje další funkce založené na umělé inteligenci, které Microsoft Sentinel přináší na jednotnou platformu, a to v oblastech analýzy chování uživatelů a entit, detekce anomálií, detekce vícefázových hrozeb a dalších.

  • Automatické přerušení útoku využívá vysoce důvěryhodné signály shromážděné od Microsoft Defender XDR a služby Microsoft Sentinel k automatickému přerušení aktivních útoků rychlostí počítače, které hrozbu obsahují a omezují jejich dopad.

  • Pokud je tato možnost povolená, Microsoft Defender XDR může automaticky zkoumat a řešit výstrahy ze zdrojů Microsoft 365 a Entra ID prostřednictvím automatizace a umělé inteligence. K vyřešení útoku můžete také provést další nápravné kroky.

  • Pravidla automatizace služby Microsoft Sentinel můžou automatizovat třídění, přiřazování a správu incidentů bez ohledu na jejich zdroj. Můžou použít značky na incidenty na základě jejich obsahu, potlačit hlučné (falešně pozitivní) incidenty a zavřít vyřešené incidenty, které splňují příslušná kritéria, určit důvod a přidat komentáře.

Důležité

Microsoft Sentinel je k dispozici jako součást verze Public Preview pro sjednocenou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Incidenty a výstrahy na portálu Microsoft Defender

Tip

Po omezenou dobu během ledna 2024 se při návštěvě stránky Incidenty zobrazí Defender Boxed. Defender Boxed zvýrazňuje úspěchy, vylepšení a reakce vaší organizace ohledně zabezpečení během roku 2023. Pokud chcete znovu otevřít Defender Boxed, přejděte na portálu Microsoft Defender na Incidenty a pak vyberte Váš Defender Boxed.

Incidenty spravujete z vyšetřování & reakce > Incidenty & výstrahy > Incidenty na rychlém spuštění portálu Microsoft Defender. Tady je příklad:

Stránka Incidenty na portálu Microsoft Defender.

Když vyberete název incidentu, zobrazí se stránka incidentu, která začíná celým příběhem útoku incidentu, včetně:

  • Stránka upozornění v rámci incidentu: Rozsah výstrah souvisejících s incidentem a jejich informace na stejné kartě.

  • Graf: Vizuální znázornění útoku, které propojuje různé podezřelé entity, které jsou součástí útoku, s entitami prostředků, které tvoří cíle útoku, jako jsou uživatelé, zařízení, aplikace a poštovní schránky.

Podrobnosti o aktivu a dalších entitách můžete zobrazit přímo z grafu a pracovat s nimi pomocí možností odpovědi, jako je zakázání účtu, odstranění souboru nebo izolace zařízení.

Snímek obrazovky znázorňující stránku s příběhem útoku pro incident na portálu Microsoft Defender

Stránka incidentu se skládá z následujících karet:

  • Příběh útoku

    Výše uvedená karta obsahuje časovou osu útoku, včetně všech výstrah, entit prostředků a nápravných akcí.

  • Upozornění

    Všechny výstrahy související s incidentem, jejich zdroji a informacemi

  • Aktiv

    Všechny prostředky (chráněné entity, jako jsou zařízení, uživatelé, poštovní schránky, aplikace a cloudové prostředky), které byly identifikovány jako součást incidentu nebo s ním souvisejí.

  • Vyšetřování

    Všechna automatizovaná šetření aktivovaná výstrahami v incidentu, včetně stavu vyšetřování a jejich výsledků.

  • Evidence a reakce

    Všechny podezřelé entity v výstrahách incidentu, které představují důkazy podporující příběh útoku. Tyto entity můžou zahrnovat IP adresy, soubory, procesy, adresy URL, klíče registru a hodnoty a další.

  • Souhrn

    Rychlý přehled ovlivněných prostředků přidružených k výstrahám

Poznámka

Pokud se zobrazí stav upozornění typu Nepodporovaný , znamená to, že funkce automatizovaného vyšetřování nemůžou tuto výstrahu vyzvednout, aby spustily automatizované šetření. Tyto výstrahy ale můžete prozkoumat ručně.

Příklad pracovního postupu reakce na incidenty na portálu Microsoft Defender

Tady je příklad pracovního postupu pro reakci na incidenty v Microsoftu 365 pomocí portálu Microsoft Defender.

Příklad pracovního postupu reakce na incidenty pro portál Microsoft Defender.

Průběžně identifikujte incidenty s nejvyšší prioritou pro analýzu a řešení ve frontě incidentů a připravte je k reakci. Toto je kombinace:

  • Posouzení pro určení incidentů s nejvyšší prioritou prostřednictvím filtrování a řazení fronty incidentů
  • Incidenty můžete spravovat tak, že upravíte jejich název, přiřadíte je analytikům a přidáte značky a komentáře.

Pomocí pravidel automatizace služby Microsoft Sentinel můžete automaticky určit prioritu a spravovat (a dokonce i reagovat) na některé incidenty při jejich vytváření. Tím zabráníte tomu, aby nejsnadnější incidenty zabíjely místo ve vaší frontě.

Pro vlastní pracovní postup reakce na incidenty zvažte tyto kroky:

Fázi Kroky
U každého incidentu zahajte šetření a analýzu útoku a výstrah.
  1. Podívejte se na příběh útoku incidentu a seznamte se s jeho rozsahem, závažností, zdrojem detekce a entitami prostředků, které jsou ovlivněny.
  2. Začněte analyzovat výstrahy, abyste porozuměli jejich původu, rozsahu a závažnosti pomocí scénáře upozornění v rámci incidentu.
  3. Podle potřeby shromážděte pomocí grafu informace o ovlivněných zařízeních, uživatelích a poštovních schránkách. Výběrem libovolné entity otevřete informační panel se všemi podrobnostmi. Další přehledy najdete na stránce entity.
  4. Na kartě Šetření zjistíte, jak Microsoft Defender XDR automaticky vyřešila některá upozornění.
  5. Podle potřeby použijte informace v datové sadě pro incident, kde najdete další informace na kartě Důkazy a odpověď .
Po analýze nebo během analýzy proveďte uzavření, abyste snížili jakýkoli další dopad útoku a vymýcení bezpečnostní hrozby. Například,
  • Zakázání ohrožených uživatelů
  • Izolace ovlivněných zařízení
  • Blokovat nepřátelské IP adresy.
    		•
    Pokud je to možné, obnovte se z útoku obnovením prostředků tenanta do stavu, ve který byly před incidentem.
    Vyřešte incident a zdokumentujte svá zjištění. Udělejte si čas na to, aby se po incidentu naučili:
  • Seznamte se s typem útoku a jeho dopadem.
  • V analýze hrozeb a v komunitě zabezpečení vyhledejte trend útoků na zabezpečení.
  • Vzpomeňte si na pracovní postup, který jste použili k vyřešení incidentu, a podle potřeby aktualizujte standardní pracovní postupy, procesy, zásady a playbooky.
  • Určete, jestli jsou potřeba změny v konfiguraci zabezpečení, a implementujte je.
    		•

    Pokud s analýzou zabezpečení teprve začínáte, přečtěte si úvod k reakci na první incident , kde najdete další informace a postup mezi ukázkovými incidenty.

    Další informace o reakcích na incidenty napříč produkty Microsoftu najdete v tomto článku.

    Integrace operací zabezpečení na portálu Microsoft Defender

    Tady je příklad integrace procesů operací zabezpečení (SecOps) na portálu Microsoft Defender.

    Příklad operací zabezpečení pro Microsoft Defender XDR

    Mezi každodenní úkoly patří:

    Měsíční úkoly můžou zahrnovat:

    Čtvrtletní úkoly mohou zahrnovat zprávu a instruktážní výsledky zabezpečení pro hlavního pracovníka pro zabezpečení informací (CISO).

    Roční úkoly můžou zahrnovat provedení závažného incidentu nebo porušení zabezpečení za účelem testování zaměstnanců, systémů a procesů.

    Denní, měsíční, čtvrtletní a roční úkoly je možné použít k aktualizaci nebo upřesňování procesů, zásad a konfigurací zabezpečení.

    Další podrobnosti najdete v tématu Integrace Microsoft Defender XDR do operací zabezpečení.

    Prostředky SecOps napříč produkty Microsoftu

    Další informace o nástroji SecOps v produktech Microsoftu najdete v těchto zdrojích informací:

    Oznámení o incidentech e-mailem

    Portál Microsoft Defender můžete nastavit tak, aby informoval zaměstnance e-mailem o nových incidentech nebo aktualizacích stávajících incidentů. Můžete se rozhodnout, že chcete dostávat oznámení na základě:

    • Závažnost upozornění
    • Zdroje upozornění
    • Skupina zařízení

    Informace o nastavení e-mailových oznámení pro incidenty najdete v tématu Získání e-mailových oznámení o incidentech.

    Školení pro analytiky zabezpečení

    V tomto výukovém modulu z Microsoft Learn se dozvíte, jak používat Microsoft Defender XDR ke správě incidentů a výstrah.

    Školení: Vyšetřování incidentů pomocí Microsoft Defender XDR
    Prošetřujte incidenty s ikonou Microsoft Defender XDR trénování. Microsoft Defender XDR sjednocuje data hrozeb z více služeb a pomocí umělé inteligence je kombinuje do incidentů a výstrah. Zjistěte, jak minimalizovat dobu mezi incidentem a jeho správou pro následnou reakci a řešení.

    27 min - 6 jednotek

    Spustit >

    Další kroky

    Použijte uvedené kroky na základě vaší úrovně zkušeností nebo role v týmu zabezpečení.

    Úroveň zkušeností

    Podle této tabulky získáte úroveň zkušeností s analýzou zabezpečení a reakcí na incidenty.

    Úrovni Kroky
    Nwe
    1. Projděte si názorný postup reakce na první incident, kde najdete průvodce typickým procesem analýzy, nápravy a závěrečné kontroly incidentu na portálu Microsoft Defender s ukázkovým útokem.
    2. Podívejte se, které incidenty by měly mít prioritu na základě závažnosti a dalších faktorů.
    3. Správa incidentů, která zahrnuje přejmenování, přiřazení, klasifikaci a přidávání značek a komentářů na základě pracovního postupu řízení incidentů.
    Zkušený
    1. Začněte s frontou incidentů na stránce Incidenty na portálu Microsoft Defender. Tady můžete:
      • Podívejte se, které incidenty by měly mít prioritu na základě závažnosti a dalších faktorů.
      • Správa incidentů, která zahrnuje přejmenování, přiřazení, klasifikaci a přidávání značek a komentářů na základě pracovního postupu řízení incidentů.
      • Prošetření incidentů.
    2. Sledujte nově vznikající hrozby a reagujte na ně pomocí analýzy hrozeb.
    3. Proaktivní vyhledávání hrozeb pomocí pokročilého proaktivního vyhledávání hrozeb.
    4. Podrobné pokyny k útokům phishing, password spray a útokům na udělení souhlasu aplikací najdete v těchto playbookech reakcí na incidenty.

    Role týmu zabezpečení

    Postupujte podle této tabulky na základě role bezpečnostního týmu.

    Role Kroky
    Reakce na incidenty (vrstva 1) Začněte s frontou incidentů na stránce Incidenty na portálu Microsoft Defender. Tady můžete:
    • Podívejte se, které incidenty by měly mít prioritu na základě závažnosti a dalších faktorů.
    • Správa incidentů, která zahrnuje přejmenování, přiřazení, klasifikaci a přidávání značek a komentářů na základě pracovního postupu řízení incidentů.
    Bezpečnostní vyšetřovatel nebo analytik (vrstva 2)
    1. Prošetření incidentů můžete provádět na stránce Incidenty na portálu Microsoft Defender.
    2. Podrobné pokyny k útokům phishing, password spray a útokům na udělení souhlasu aplikací najdete v těchto playbookech reakcí na incidenty.
    Pokročilý analytik zabezpečení nebo lovec hrozeb (vrstva 3)
    1. Prošetření incidentů můžete provádět na stránce Incidenty na portálu Microsoft Defender.
    2. Sledujte nově vznikající hrozby a reagujte na ně pomocí analýzy hrozeb.
    3. Proaktivní vyhledávání hrozeb pomocí pokročilého proaktivního vyhledávání hrozeb.
    4. Podrobné pokyny k útokům phishing, password spray a útokům na udělení souhlasu aplikací najdete v těchto playbookech reakcí na incidenty.
    Manažer SOC Podívejte se, jak integrovat Microsoft Defender XDR do služby Security Operations Center (SOC).

    Tip

    Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.