Řízení incidentů

  • 8 min

XDR v programu Microsoft Defender poskytuje křížovou korelaci hrozeb a účelový portál pro zkoumání hrozeb. Incidenty jsou založené na souvisejících upozorněních vytvořených v případě, že se ve vaší síti zobrazí škodlivá událost nebo aktivita. Jednotlivé výstrahy poskytují cenné informace o probíhajícím útoku. Útoky však obvykle využívají různé vektory a techniky k provedení porušení zabezpečení. Výsečové jednotlivé stopy dohromady můžou být náročné a časově náročné.

Toto krátké video poskytuje přehled incidentů v XDR v programu Microsoft Defender.

Incident je kolekce korelovaných výstrah, které tvoří příběh útoku. XDR v programu Microsoft Defender automaticky agreguje škodlivé a podezřelé události, které se nacházejí v různých entitách zařízení, uživatelů a poštovních schránek v síti. Seskupení souvisejících výstrah do incidentu poskytuje defenderům zabezpečení komplexní přehled o útoku.

Například defenderi zabezpečení můžou zjistit, kde útok začal, jakou taktiku použili a jak daleko útok zmizel do sítě. Rozsah útoku vidí i defendery zabezpečení. Podobně jako počet zařízení, uživatelů a poštovních schránek, jaký dopad to mělo, a další podrobnosti o ovlivněných entitách.

Pokud je tato možnost povolená, může XDR v programu Microsoft Defender automaticky prošetřit a vyřešit jednotlivá upozornění prostřednictvím automatizace a umělé inteligence. Defenderi zabezpečení můžou také provádět další nápravné kroky pro řešení útoku přímo ze zobrazení incidentů.

Incidenty za posledních 30 dnů se zobrazují ve frontě incidentů. Odsud můžou defenderi zabezpečení zjistit, které incidenty by měly být upřednostňovány na základě úrovně rizika a dalších faktorů.

Správci zabezpečení můžou také přejmenovat incidenty, přiřadit je jednotlivým analytikům, klasifikovat a přidávat značky k incidentům, aby bylo lepší a lépe přizpůsobené prostředí pro správu incidentů.

Stanovení priorit incidentů

XDR v programu Microsoft Defender používá analýzu korelace a agreguje všechny související výstrahy a šetření z různých produktů do jednoho incidentu. XDR v programu Microsoft Defender také aktivuje jedinečná upozornění na aktivity, které se dají identifikovat jako škodlivé, a to jenom v rámci kompletní viditelnosti, kterou XDR v programu Microsoft Defender má v celém majetku a sadě produktů. Toto zobrazení poskytuje analytikům operací zabezpečení širší scénář útoku, který jim pomůže lépe porozumět složitým hrozbám v celé organizaci a řešit je.

Fronta Incidenty zobrazuje kolekci incidentů označených příznakem z různých zařízení, uživatelů a poštovních schránek. Pomáhá řadit incidenty, abyste upřednostněli a vytvořili informované rozhodnutí o reakci na kybernetickou bezpečnost.

Screen shot of the Microsoft Defender XDR Incident Queue.

Fronta na portálu Microsoft Defenderu ve výchozím nastavení zobrazuje incidenty, které se zobrazily za posledních 30 dnů. Poslední incident je v horní části seznamu, abyste ho viděli jako první.

Fronta incidentů zveřejňuje přizpůsobitelné sloupce, které poskytují přehled o různých vlastnostech incidentu nebo obsažených entit. Tato hlubší vrstva informací vám pomůže učinit informované rozhodnutí týkající se stanovení priorit incidentů, které se mají zpracovat.

Pro přehlednější přehlednost automatické pojmenování incidentů vygeneruje názvy incidentů na základě atributů výstrah, jako je počet ovlivněných koncových bodů, ovlivnění uživatelé, zdroje detekce nebo kategorie. Automatické pojmenování umožňuje rychle pochopit rozsah incidentu.

Dostupné filtry

Stav

Můžete se rozhodnout omezit seznam incidentů zobrazených na základě jejich stavu a zjistit, které incidenty jsou aktivní nebo vyřešené.

Závažnost

Závažnost incidentu značí dopad, který může mít na vaše prostředky. Čím vyšší je závažnost, tím větší dopad a obvykle vyžaduje největší pozornost.

Přiřazení incidentu

Můžete se rozhodnout zobrazit výstrahy, které jsou vám přiřazeny, nebo výstrahy zpracovávané automatizací.

Více zdrojů služeb

Vyberte Ne (výchozí) nebo ano, pokud chcete povolit.

Zdroje služeb

Filtruje pouze incidenty, které obsahují výstrahy z různých zdrojů. Mezi zdroje patří: Microsoft Defender for Endpoint, Microsoft Cloud App Security, Microsoft Defender for Identity Microsoft Defender pro Office 365.

Značky

Filtrujte přiřazené značky. Jakmile vyberete pole Název značky Typu, zobrazí se všechny přiřazené značky.

Více kategorií

Můžete se rozhodnout zobrazit pouze incidenty, které jsou namapované na více kategorií, a můžou tak způsobit větší poškození.

Kategorie

Zvolte kategorie, které se mají zaměřit na konkrétní taktiku, techniky nebo vidět komponenty útoku.

Entity

Filtrujte název nebo ID entity.

Citlivost dat

Některé útoky se zaměřují na cílení na exfiltraci citlivých nebo cenných dat. Když použijete filtr, abyste zjistili, jestli jsou v incidentu zapojená citlivá data, můžete rychle zjistit, jestli dojde k ohrožení citlivých informací. A pokud se najde kompromis, můžete určit prioritu reakce na tyto incidenty. Tato možnost filtrování se dá použít jenom v případě, že je zapnutá služba Microsoft Purview Information Protection.

Skupina zařízení

Filtrovat podle definovaných skupin zařízení

Platforma operačního systému

Omezte zobrazení fronty incidentů podle operačního systému.

Klasifikace

Vyfiltrujte incidenty na základě nastavených klasifikací souvisejících výstrah. Mezi hodnoty patří true alerts, false alerts, or not set.

Stav automatizovaného šetření

Vyfiltrujte incidenty podle stavu automatizovaného šetření.

Přidružená hrozba

Výběrem pole Typ související s hrozbou můžete zadat informace o hrozbě a zobrazit předchozí kritéria hledání.

Ukázkové incidenty

Stránky portálu poskytují informace o náhledu většiny dat souvisejících se seznamem.

Na tomto snímku obrazovky jsou tři zvýrazněné oblasti kruh, větší než symbol a skutečný odkaz.

Screen shot of Incident Preview information options.

Kruh

Výběrem kruhu se otevře okno podrobností na pravé straně stránky s náhledem řádkové položky s možností otevření celé stránky informací.

Screen shot of Incidents details window.

Symbol větší než

Pokud existují související záznamy, které se dají zobrazit, zobrazí se po výběru znaménka větší než záznamy pod aktuálním záznamem.

Screen shot of Related Incident records.

Odkaz

Odkaz vás přejde na celou stránku řádkové položky.

Řízení incidentů

Správa incidentů je důležitá pro zajištění toho, aby se hrozby obsahovaly a řešily. V XDR v programu Microsoft Defender máte přístup ke správě incidentů na zařízeních, uživatelích a poštovních schránkách. Incidenty můžete spravovat výběrem incidentu z fronty Incidenty.

Můžete upravit název incidentu, vyřešit ho, nastavit jeho klasifikaci a určení. Incident můžete také přiřadit sami sobě, přidat značky incidentů a komentáře.

V případech, kdy chcete během vyšetřování přesunout výstrahy z jednoho incidentu do druhého, můžete to provést také na kartě Výstrahy. Pomocí karty Výstrahy můžete vytvořit větší nebo menší incident, který obsahuje všechna relevantní upozornění.

Úprava názvu incidentu

Incidenty se automaticky přiřazují podle atributů výstrah, jako je počet ovlivněných koncových bodů, ovlivněných uživatelů, zdrojů detekce nebo kategorií. Pojmenování na základě atributů výstrah umožňuje rychle pochopit rozsah incidentu. Název incidentu můžete upravit tak, aby byl lépe v souladu s upřednostňovanou konvencí pojmenování.

Přiřazení incidentů

Pokud se incident ještě nepřiřadil, můžete vybrat Možnost Přiřadit, abyste incident přiřadili sami sobě. Tím se předpokládá vlastnictví nejen incidentu, ale také všech výstrah přidružených k incidentu.

Nastavení stavu a klasifikace

Stav incidentu

Incidenty můžete kategorizovat (jako aktivní nebo vyřešené) změnou jejich stavu při průběhu vyšetřování. Tato schopnost aktualizovat stav pomáhá organizovat a spravovat způsob reakce vašeho týmu na incidenty.

Váš analytik SOC může například zkontrolovat naléhavé aktivní incidenty pro tento den a rozhodnout se je přiřadit sami sobě k šetření.

Případně může analytik SOC incident nastavit jako vyřešený, pokud byl incident opraven. Řešení incidentu automaticky zavře všechny otevřené výstrahy, které jsou součástí incidentu.

Klasifikace a určení

Můžete se rozhodnout, že klasifikaci nenastavíte nebo se rozhodnete určit, jestli je incident pravdivý nebo nepravdivý. Tím týmu pomůžete vidět vzory a učit se z nich.

Přidávání komentářů

Pokud chcete zobrazit předchozí změny provedené v incidentu, můžete přidat komentáře a zobrazit historické události incidentu.

Kdykoli se v upozornění provede změna nebo komentář, zaznamená se v části Komentáře a historie.

Přidané komentáře se okamžitě zobrazí v podokně.

Přidání značek incidentů

Do incidentu můžete přidat vlastní značky, například pro označení skupiny incidentů se společnými vlastnostmi. Později můžete filtrovat frontu incidentů pro všechny incidenty, které obsahují určitou značku.