Krok 4. Reakce na incident pomocí Microsoft Sentinelu a XDR v programu Microsoft Defender

• Platí pro:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Tento článek obsahuje obecnou sadu kroků a postupů pro řešení incidentu pomocí služby Microsoft Sentinel a XDR v programu Microsoft Defender, která zahrnuje třídění, vyšetřování a řešení. Sdílená složka Microsoft Sentinel a XDR v programu Microsoft Defender:

• Aktualizace životního cyklu (stav, vlastník, klasifikace) jsou sdíleny mezi produkty.
• Důkazy shromážděné během vyšetřování se zobrazují v incidentu Microsoft Sentinelu.

Následující ilustrace ukazují, jak se řešení rozšířené detekce a reakce (XDR) Od Microsoftu bezproblémově integruje s Microsoft Sentinelem v závislosti na tom, jestli jste pracovní prostor Microsoft Sentinelu nasadili na sjednocenou platformu operací zabezpečení na portálu Microsoft Defender.

Portál Defenderu

Následující obrázek ukazuje, jak se řešení XDR od Microsoftu bezproblémově integruje se službou Microsoft Sentinel s jednotnou platformou operací zabezpečení.

V tomto diagramu:

• Přehledy z signálů v celé organizaci se odkrývejte do XDR v programu Microsoft Defender a Microsoft Defenderu pro cloud.
• Microsoft Sentinel poskytuje podporu pro multicloudová prostředí a integruje se s aplikacemi a partnery třetích stran.
• Data Služby Microsoft Sentinel se ingestují společně s daty vaší organizace na portálu Microsoft Defender.
• Týmy SecOps pak můžou analyzovat hrozby identifikované microsoft Sentinelem a XDR v programu Microsoft Defender na portálu Microsoft Defender a reagovat na ně.

Azure Portal

Následující obrázek ukazuje, jak se řešení XDR od Microsoftu bezproblémově integruje s Microsoft Sentinelem.

V tomto diagramu:

• Přehledy z signálů v celé organizaci se odkrývejte do XDR v programu Microsoft Defender a Microsoft Defenderu pro cloud.
• Microsoft Defender XDR a Microsoft Defender for Cloud odesílají data protokolů SIEM prostřednictvím konektorů Microsoft Sentinelu.
• Týmy SecOps pak mohou analyzovat hrozby identifikované na portálech Microsoft Sentinel a Microsoft Defender a reagovat na ně.
• Microsoft Sentinel poskytuje podporu pro multicloudová prostředí a integruje se s aplikacemi a partnery třetích stran.

Další informace o integraci programu Microsoft Defender s Microsoft Sentinelem najdete v tématu Integrace XDR v programu Microsoft Defender s Microsoft Sentinelem. Tato interaktivní příručka vás provede detekcí a reakcí na moderní útoky pomocí jednotných bezpečnostních informací a správy událostí (SIEM) společnosti Microsoft a rozšířených možností detekce a reakce (XDR).

Proces reakce na incidenty

Proces reakce na incidenty pro řešení incidentu pomocí Microsoft Sentinelu a XDR v programu Microsoft Defender se liší v závislosti na tom, jestli jste pracovní prostor onboardovali na sjednocenou platformu operací zabezpečení a měli přístup k Microsoft Sentinelu na portálu Defender.

Portál Defenderu

1. Pomocí portálu Defender můžete určit potenciální incident, který zahrnuje pochopení podrobností incidentu a provedení okamžitých akcí.

2. Pokračujte v šetření na portálu Defender, včetně následujících:

   • Pochopení incidentu a jeho rozsahu a kontrola časových os prostředků
   • Kontrola čekajících akcí samoopravení, ruční náprava entit a provádění živé odpovědi
   • Přidání opatření prevence

   Prohlubte šetření pomocí oblasti Microsoft Sentinel na portálu Defender, včetně následujících:

   • Pochopení rozsahu incidentu tím, že ho vyhodíte s procesy zabezpečení, zásadami a postupy (3P).
   • Provádění automatizovaných akcí a nápravných akcí 3P a vytváření vlastních playbooků orchestrace zabezpečení, automatizace a reakce (SOAR).
   • Zaznamenávání důkazů pro řízení incidentů.
   • Přidání vlastních měr

3. Vyřešte incident a proveďte odpovídající následná opatření v rámci týmu zabezpečení.

Další informace naleznete v tématu:

• Vyšetřování incidentů v XDR v programu Microsoft Defender
• Reakce na incidenty pomocí XDR v programu Microsoft Defender
• Stránky entit v Microsoft Sentinelu

Azure Portal

1. Pomocí služby Microsoft Sentinel na webu Azure Portal můžete určit potenciální incident, který zahrnuje pochopení podrobností incidentu a provedení okamžitých akcí.

2. Přesuňte se na portál Microsoft Defender a zahajte šetření. Sem patří:

   • Pochopení incidentu a jeho rozsahu a kontrola časových os prostředků
   • Kontrola čekajících akcí samoopravení, ruční náprava entit a provádění živé odpovědi
   • Přidání opatření prevence

3. V případě potřeby pokračujte v šetření na portálu Microsoft Sentinel. Sem patří:

   • Pochopení rozsahu incidentu tím, že ho vyhodíte s procesy zabezpečení, zásadami a postupy (3P).
   • Provádění automatizovaných akcí a nápravných akcí 3P a vytváření vlastních playbooků orchestrace zabezpečení, automatizace a reakce (SOAR).
   • Zaznamenávání důkazů pro řízení incidentů.
   • Přidání vlastních měr

4. Vyřešte incident na portálu Microsoft Sentinel a proveďte odpovídající zpracování v rámci vašeho týmu zabezpečení.

Další informace najdete v tématu Navigace a prošetření incidentů v Microsoft Sentinelu.

Bez ohledu na to, který portál používáte, nezapomeňte využít playbook a funkce pravidel automatizace služby Microsoft Sentinel:

• Playbook je kolekce akcí vyšetřování a náprav, které je možné spustit z portálu Microsoft Sentinel jako rutinu. Playbooky můžou pomoct automatizovat a orchestrovat reakci na hrozby. Můžou se spouštět ručně na vyžádání na incidenty, entity a výstrahy nebo je nastavit tak, aby se spouštěly automaticky v reakci na konkrétní výstrahy nebo incidenty, když je aktivuje pravidlo automatizace. Další informace najdete v tématu Automatizace reakcí na hrozby pomocí playbooků.

• Pravidla automatizace představují způsob, jak centrálně spravovat automatizaci v Microsoft Sentinelu tím, že vám umožní definovat a koordinovat malou sadu pravidel, která se dají použít v různých scénářích. Další informace najdete v tématu Automatizace reakcí na hrozby v Microsoft Sentinelu pomocí pravidel automatizace.

Po připojení pracovního prostoru Microsoft Sentinelu k jednotné platformě operací zabezpečení mějte na paměti, že existují rozdíly v tom, jak funkce automatizace v pracovním prostoru fungují. Další informace najdete v tématu Automatizace s jednotnou platformou operací zabezpečení.

Krok 1: Určení priorit incidentu

Tento postup použijte jako obecnou metodu pro určení priorit incidentu pomocí služby Microsoft Sentinel a XDR v programu Microsoft Defender. Pokud jste pracovní prostor onboardovali na sjednocenou platformu operací zabezpečení, použijte portál Defender. V opačném případě použijte Azure Portal.

Portál Defenderu

Postup vyšetřování incidentů Služby Microsoft Sentinel na portálu Defender:

1. Na portálu Defender vyberte Incidenty vyšetřování a reakce > a výstrahy > incidentů a vyhledejte podezřelý incident. Vyfiltrujte zdroje služby nebo detekce na Microsoft Sentinel , abyste mohli zúžit seznam incidentů na incidenty přicházející z Microsoft Sentinelu.

2. Výběrem řádku incidentu zobrazíte základní informace v podokně souhrnu incidentu.

3. Vyberte Spravovat incident a aktualizujte podrobnosti, jako je název, závažnost, stav, klasifikace nebo přidání komentářů. Výběrem možnosti Uložit uložte změny.

4. Výběrem možnosti Otevřít stránku incidentu pokračujte v šetření.

Azure Portal

Vyšetřování incidentů na webu Azure Portal:

1. Ve službě Microsoft Sentinel v části Správa hrozeb vyberte Incidenty a vyhledejte podezřelý incident.

2. V podokně souhrnu incidentu aktualizujte podrobnosti, jako je jméno vlastníka, stav, závažnost nebo přidání komentářů.

3. Pokud chcete pokračovat v šetření, vyberte Zobrazit úplné podrobnosti .

Krok 2: Vyšetřování incidentu

Pokud je váš pracovní prostor nasazený na sjednocenou platformu operací zabezpečení, zůstanete na portálu Defender pro celý tento krok. V opačném případě začněte na webu Azure Portal. V rámci šetření přejdete na portál Defenderu a pak se vrátíte na web Azure Portal.

Portál Defenderu

Na portálu Defender na kartě Scénáře útoku na stránce s podrobnostmi o incidentu zvažte následující kroky pro váš vlastní pracovní postup reakce na incidenty:

1. Prohlédněte si příběh útoku incidentu, abyste porozuměli jeho rozsahu, závažnosti, zdroji detekce a ovlivněným entitě.

2. Analyzujte výstrahy incidentu, abyste porozuměli jejich původu, rozsahu a závažnosti pomocí scénáře výstrahy v rámci incidentu.

3. Podle potřeby shromážděte v grafu informace o ovlivněných zařízeních, uživatelích a poštovních schránkách. Výběrem libovolné entity otevřete informační nabídku se všemi podrobnostmi.

4. Podívejte se, jak XDR v programu Microsoft Defender automaticky vyřešil některé výstrahy na kartě Šetření.

5. Podle potřeby použijte informace v sadě dat pro incident z karty Důkaz a Odpověď .

6. Na kartě Prostředky zobrazte entity, které jsou součástí incidentu. Vyberte uživatelský účet, název hostitele, IP adresu nebo prostředek Azure a pokračujte v dalším zkoumání na stránce podrobností entity. Pokud jste například vybrali uživatele, v podokně podrobností o uživateli vyberte Přejít na stránku uživatele a otevřete stránku s podrobnostmi o entitě uživatele.

7. Na stránce podrobností entity vyberte události služby Sentinel, abyste zobrazili podrobné informace o časové ose vybrané entity a přehledy entit.

Azure Portal

1. Na webu Azure Portal na stránce s podrobnostmi incidentu:

   • Zobrazení obecných informací o incidentu na kartě Přehled , včetně časové osy incidentu, seznamu entit a souvisejících incidentů

   • Výběrem možnosti Prozkoumat zobrazíte graf incidentu.

   • Vyberte kartu Entity a pak vyberte entitu, která se má dále prozkoumat. Vyberte oddíl Přehledy v podokně entit a zkontrolujte přehledy shromážděné o incidentu.

   • Výběrem možnosti Prozkoumat v XDR v programu Microsoft Defender otevřete stejný incident na portálu Defender.

2. Na portálu Defender na kartě Scénáře útoku na stránce s podrobnostmi o incidentu zvažte následující kroky pro váš vlastní pracovní postup reakce na incidenty:

   1. Prohlédněte si příběh útoku incidentu, abyste porozuměli jeho rozsahu, závažnosti, zdroji detekce a ovlivněným entitě.

   2. Analyzujte výstrahy incidentu, abyste porozuměli jejich původu, rozsahu a závažnosti pomocí scénáře výstrahy v rámci incidentu.

   3. Podle potřeby shromážděte v grafu informace o ovlivněných zařízeních, uživatelích a poštovních schránkách. Výběrem libovolné entity otevřete informační nabídku se všemi podrobnostmi.

   4. Podívejte se, jak XDR v programu Microsoft Defender automaticky vyřešil některé výstrahy na kartě Šetření.

   5. Podle potřeby použijte informace v sadě dat pro incident z karty Důkaz a Odpověď .

3. Vraťte se na web Azure Portal a proveďte další akce incidentů, jako je spuštění playbooku nebo vytvoření pravidla automatizace.

   Přidejte do incidentu komentáře, abyste mohli zaznamenávat akce a výsledky analýzy.

Krok 3: Řešení incidentu

Když šetření dospělo k závěru a vy jste incident opravili na portálech, vyřešte incident nastavením stavu incidentu na Uzavřeno.

Při označení stavu incidentu jako Uzavřeno nezapomeňte vybrat klasifikaci, včetně pravdivých, neškodných nebo falešně pozitivních možností.

Příklad:

Portál Defenderu

Další informace najdete v tématu Řešení incidentu na portálu Defender.

Azure Portal

Další informace najdete v tématu Uzavření incidentu na webu Azure Portal.

Podle potřeby nahlašte incident vedoucímu reakce na incidenty, abyste mohli zjistit další akce. Příklad:

• Informujte analytiky zabezpečení vrstvy 1, aby lépe detekují útok včas.
• Prozkoumání útoku v XDR Threat Analytics v programu Microsoft Defender a komunitě zabezpečení pro trend útoku na zabezpečení
• Podle potřeby si poznamenejte pracovní postup, který jste použili k vyřešení incidentu, a aktualizujte standardní pracovní postupy, procesy, zásady a playbooky.
• Určete, jestli jsou potřeba změny v konfiguraci zabezpečení, a implementujte je.
• Vytvořte playbook orchestrace pro automatizaci a orchestraci reakce na hrozby pro podobné riziko v budoucnu. Další informace najdete v tématu Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu.

Doporučené školení

Níže jsou uvedené doporučené školicí moduly pro tento krok. Školicí obsah se zaměřuje na funkce obecné dostupnosti, a proto nezahrnuje obsah pro jednotnou platformu operací zabezpečení, která je ve verzi Preview.

Správa incidentů zabezpečení v Microsoft Sentinelu

Školení	Správa incidentů zabezpečení v Microsoft Sentinelu
	V tomto modulu prozkoumáte správu incidentů Microsoft Sentinelu, dozvíte se o událostech a entitách Služby Microsoft Sentinel a zjistíte způsoby řešení incidentů.

Začínat >

Zlepšení spolehlivosti pomocí moderních provozních postupů: Reakce na incidenty

Školení	Školení ke zlepšení spolehlivosti pomocí moderních provozních postupů: Reakce na incidenty
	Seznamte se se základy efektivních reakcí na incidenty a nástroji Azure, které vám tyto reakce umožní.

Začínat >

Principy správy incidentů zabezpečení Microsoftu 365

Školení	Principy správy incidentů zabezpečení Microsoftu 365
	Přečtěte si, jak Microsoft 365 zkoumá, spravuje a reaguje na obavy z hlediska zabezpečení, aby chránil zákazníky a cloudové prostředí Microsoftu 365.

Začínat >

Další kroky

• Další podrobnosti oprocesechch
• Podívejte se na přehled reakcí na incidenty pro osvědčené postupy zabezpečení Microsoftu.
• Podívejte se na playbooky reakce na incidenty pro pracovní postupy a kontrolní seznamy, které reagují na běžné kybernetické útoky.

Reference

V těchto zdrojích informací se dozvíte o různých službách a technologiích uvedených v tomto článku:

• Integrace XDR v programu Microsoft Defender s Microsoft Sentinelem
• Interaktivní průvodce jednotnými funkcemi SIEM a XDR
• Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu
• Automatizace reakcí na hrozby pomocí playbooků
• Automatizace reakcí na hrozby v Microsoft Sentinelu pomocí pravidel automatizace
• Analýza hrozeb XDR v programu Microsoft Defender

Další informace o reakcích na incidenty najdete v těchto zdrojích informací:

• Navigace a vyšetřování incidentů v Microsoft Sentinelu
• Reakce na incidenty pomocí XDR v programu Microsoft Defender
• Přehled reakce na incidenty
• Playbooky reakce na incidenty