Del via

Administreret registrering og respons

  • Artikel

Gælder for:

Du kan finde administrerede registrerings- og svarinstruktioner i denne korte video.

Gennem en kombination af automatisering og menneskelig ekspertise filtrerer Microsoft Defender Experts for XDR Microsoft Defender XDR-hændelser, prioriterer dem på dine vegne, filtrerer støjen, udfører detaljerede undersøgelser og leverer handlingsstyret svar til dine SOC-teams (Security Operations Center).

Hændelsesopdateringer

Når vores eksperter begynder at undersøge en hændelse, opdateres felterne Tildelt til og Status for hændelsen til henholdsvis Defender Experts og Igangværende.

Når vores eksperter afslutter deres undersøgelse af en hændelse, opdateres feltet Klassificering af hændelsen til et af følgende afhængigt af eksperternes resultater:

  • Sand positiv
  • Falsk positiv
  • Oplysende, forventet aktivitet

Det bestemmelsesfelt , der svarer til hver klassificering, opdateres også for at give mere indsigt i de resultater, der fik vores eksperter til at bestemme den nævnte klassificering.

Skærmbillede af siden Hændelser, der viser felterne Tags, Status, Tildelt til, Klassificering og Bestemmelse.

Hvis en hændelse er klassificeret som Falsk positiv eller Oplysende, Forventet aktivitet, opdateres feltet Status for hændelsen til Løst. Vores eksperter afslutter derefter deres arbejde med denne hændelse, og feltet Tildelt til opdateres til Ikke tildelt. Vores eksperter kan dele opdateringer fra deres undersøgelse og deres konklusion, når de løser en hændelse. Disse opdateringer er sendt under Undersøgelsesoversigt i hændelsens pop op-panel for administreret svar .

Ellers identificerer vores eksperter de påkrævede svarhandlinger, der skal udføres, hvis en hændelse er klassificeret som sand positiv. Den metode, som handlingerne udføres på, afhænger af de tilladelser og adgangsniveauer, du har givet Defender Experts for XDR-tjenesten. Få mere at vide om tildeling af tilladelser til vores eksperter.

  • Hvis du har givet Defender Experts for XDR de anbefalede adgangstilladelser til sikkerhedsoperatøren, kan vores eksperter udføre de påkrævede svarhandlinger på hændelsen på dine vegne. Disse handlinger vises sammen med en undersøgelsesoversigt i hændelsens pop op-vindue med administreret svar på din Microsoft Defender-portal, som du eller dit SOC-team kan gennemse. Alle handlinger, der er fuldført af Defender Experts for XDR, vises i afsnittet Fuldførte handlinger . Alle ventende handlinger, der kræver, at du eller dit SOC-team fuldfører, er angivet i afsnittet Ventende handlinger . Du kan få flere oplysninger i afsnittet Handlinger . Når vores eksperter har foretaget alle de nødvendige handlinger på hændelsen, opdateres feltet Status til Løst , og feltet Tildelt til opdateres til Kunde.

  • Hvis du har givet Defender Experts for XDR standardadgangen til sikkerhedslæsere, vises de påkrævede svarhandlinger sammen med en undersøgelsesoversigt i hændelsens panel for administreret svar under sektionen Ventende handlinger på Din Microsoft Defender-portal, som du eller dit SOC-team kan udføre. Du kan få flere oplysninger i afsnittet Handlinger . For at identificere denne overdragelse opdateres feltet Status for hændelsen til Afventer kundehandling , og feltet Tildelt til opdateres til Kunde.

Du kan kontrollere antallet af hændelser, der kræver din handling, i banneret Defender Experts øverst på Startsiden for Microsoft Defender.

Skærmbillede af kortet Defender Experts på Microsoft Defender-portalen, der viser antallet af hændelser, der afventer kundehandling.

Du kan få vist hændelser, der er relateret til Defender Experts, ved at filtrere hændelseskøen på Microsoft Defender-portalen ved hjælp af flere filtersæt. Få mere at vide om tilføjelse af filtre for hændelseskø

  • Hvis du vil se de hændelser, som vores eksperter i øjeblikket undersøger, skal du bruge filteret Hændelsestildeling og vælge Tildelt til Defender-eksperter.

  • Hvis du vil se de hændelser, som vores eksperter har undersøgt og overdraget til dit team, så de kan reagere på ventende afhjælpningshandlinger, skal du ved hjælp af filteret Hændelsestildeling vælge Tildelt til kundeteam.

    Skærmbillede af køen Hændelser, der er filtreret, så den kun viser dem med mærket Tildelt til Defender Experts.

  • Hvis du vil se de hændelser, som vores eksperter har undersøgt og overdraget til dit team, så de kan reagere på ventende afhjælpningshandlinger, skal du ved hjælp af filteret Status vælge Afventer kundehandling.

    Skærmbillede af køen Hændelser i Microsoft Defender-portalen, der er filtreret til kun at vise dem med handlingsmærket Afventer kunde.

  • Hvis du vil se de hændelser, som vores eksperter har afsluttet deres undersøgelse af (og enten løses direkte eller er tildelt dit team i forbindelse med afventende afhjælpningshandlinger), skal du vælge Defender Experts ved hjælp af filteret Tags.

    Skærmbillede af køen Hændelser i Microsoft Defender-portalen, der er filtreret til kun at vise koden Defender Experts.

Sådan bruger du administreret svar i Microsoft Defender XDR

I Microsoft Defender-portalen har en hændelse, der kræver din opmærksomhed ved hjælp af administreret svar, feltet Status angivet til Afventer kundehandling, feltet Tildelt tilog et opgavekort oven på ruden Hændelser . Dine udpegede hændelseskontakter modtager også en tilsvarende mailmeddelelse med et link til Defender-portalen for at få vist hændelsen. Få mere at vide om kontakter med beskeder. Du modtager også en Teams-meddelelse, der informerer dig om opdateringerne. Få mere at vide om konfiguration af Teams

Vælg Få vist administreret svar på opgavekortet eller øverst på portalsiden (fanen Administreret svar ) for at åbne et pop op-panel, hvor du kan læse vores eksperters undersøgelsesoversigt, fuldføre ventende handlinger, der er identificeret af vores eksperter, eller interagere med dem via chat.

Undersøgelsesoversigt

Afsnittet Undersøgelsesoversigt giver dig mere kontekst om den hændelse, der er analyseret af vores eksperter, så du kan se, hvor alvorlig den er, og hvilken potentiel indvirkning den kan have, hvis den ikke håndteres med det samme. Det kan omfatte enhedens tidslinje, indikatorer for angreb og indikatorer for kompromitteret (IOCs) og andre oplysninger.

Skærmbillede af oversigt over administreret svarundersøgelse.

Handlinger

Fanen Handlinger viser opgavekort, der indeholder svarhandlinger, som vores eksperter anbefaler.

Defender Experts for XDR understøtter i øjeblikket følgende administrerede svarhandlinger med ét klik:

Handling Beskrivelse
Isoler enhed Isolerer en enhed, hvilket hjælper med at forhindre en hacker i at styre den og udføre yderligere aktiviteter, f.eks. dataudfiltrering og tværgående bevægelse. Den isolerede enhed vil stadig være tilsluttet Microsoft Defender for Endpoint.
Karantænefil Stopper kørsel af processer, sætter filerne i karantæne og sletter vedvarende data, f.eks. registreringsdatabasenøgler.
Begræns appudførelse Begrænser udførelsen af potentielt skadelige programmer og låser enheden ned for at forhindre yderligere forsøg.
Frigiv fra isolation Fortryder isolering af en enhed.
Fjern appbegrænsning Fortryder udgivelse fra isolation.
Deaktiver bruger Deaktiver en identitet fra at få adgang til netværket og forskellige slutpunkter.

Ud over disse handlinger med et enkelt klik kan du også modtage administrerede svar fra vores eksperter, som du skal udføre manuelt.

Bemærk!

Før du udfører nogen af de anbefalede administrerede svarhandlinger, skal du sørge for, at de ikke allerede håndteres af dine automatiserede undersøgelses- og svarkonfigurationer. Få mere at vide om automatiserede undersøgelses- og svarfunktioner i Microsoft Defender XDR.

Sådan får du vist og udfører de administrerede svarhandlinger:

  1. Vælg pileknapperne på et handlingskort for at udvide det, og læs flere oplysninger om den påkrævede handling.

    Skærmbillede af administreret svarhandling for at isolere enhedens prod-server.

  2. For kort med svarhandlinger med et enkelt klik skal du vælge den nødvendige handling. Handlingsstatussen på kortet ændres til I gang og derefter til Mislykket eller Fuldført, afhængigt af handlingens resultat.

    Skærmbillede af administreret svarhandling, der viser igangværende for at isolere enhedens prod-server.

Tip

Du kan også overvåge status for svarhandlinger i portalen i Løsningscenter. Hvis en svarhandling mislykkes, kan du prøve at gøre det igen fra siden Vis enhedsoplysninger eller starte en chat med Defender Experts.

  1. For kort med påkrævede handlinger, som du skal udføre manuelt, skal du vælge Jeg har fuldført denne handling , når du har udført dem, og derefter vælge Ja, jeg har gjort det i bekræftelsesdialogboksen, der vises.

    Skærmbillede af administreret svarhandling for at bekræfte fuldførelsen af handlingen.

  2. Hvis du ikke vil fuldføre en påkrævet handling med det samme, skal du vælge Spring over og derefter vælge Ja, springe denne handling over i bekræftelsesdialogboksen, der vises.

Vigtigt!

Hvis du bemærker, at nogle af knapperne på handlingskortene er nedtonet, kan det indikere, at du ikke har de nødvendige tilladelser til at udføre handlingen. Sørg for, at du er logget på Microsoft Defender XDR-portalen med de relevante tilladelser. De fleste administrerede svarhandlinger kræver, at du som minimum har adgang til sikkerhedsoperatoren. Hvis du stadig oplever dette problem, selv med de relevante tilladelser, skal du navigere til Vis enhedsdetaljer og fuldføre trinnene derfra.

Få indblik i Defender Experts-undersøgelser i dit SIEM- eller ITSM-program

Som Defender Experts for XDR undersøger hændelser og finder på afhjælpningshandlinger, kan du få indblik i deres arbejde med hændelser i dine SIEM- (Security Information and Event Management) og ITSM-programmer (IT Service Management), herunder programmer, der er tilgængelige.

Microsoft Sentinel

Du kan få indblik i hændelser i Microsoft Sentinel ved at aktivere den indbyggede Microsoft Defender XDR-dataconnector. Få mere at vide.

Når du har aktiveret connectoren, vises opdateringer fra Defender Experts til felterne Status, Tildelt til, Klassificering og Bestemmelse i Microsoft Defender XDR i den tilsvarende Status, Ejer og Årsag til lukning af felter i Sentinel.

Bemærk!

Status for hændelser, der undersøges af Defender-eksperter i Microsoft Defender XDR, skifter typisk fra Aktiv til Igangværende til Afventer kundehandling til Løst, mens den i Sentinel følger stien Ny til aktiv til Løst . Microsoft Defender XDR-status, der afventer kundehandling , har ikke et tilsvarende felt i Sentinel. I stedet vises den som et mærke i en hændelse i Sentinel.

I følgende afsnit beskrives det, hvordan en hændelse, der håndteres af vores eksperter, opdateres i Sentinel, efterhånden som undersøgelsesrejsen skrider frem:

  1. En hændelse, der undersøges af vores eksperter, har statussenangivet som Aktiv , og ejeren er angivet som Defender Experts.

  2. En hændelse, som vores eksperter har bekræftet som sand positiv , har et administreret svar, der er postet i Microsoft Defender XDR, og en TagAfventer kundehandling , og ejeren er angivet som Kunde. Du skal reagere på hændelsen baseret på brug af det angivne administrerede svar på Defender-portalen.

  3. En hændelse, som vores eksperter har bekræftet som en Sand positiv, med alle afhjælpningshandlinger, der er truffet af Defender Experts, får hændelsens status opdateret til Løst , og ejeren er angivet som Kunde. Du kan gennemse de handlinger, der er fuldført på hændelsen, ved hjælp af det angivne administrerede svar på Defender-portalen.

  4. Når vores eksperter har afsluttet deres undersøgelse og lukket en hændelse som falsk positiv eller oplysende, forventet aktivitet, opdateres hændelsens status til Løst, ejeren opdateres til Ikke-tildelt, og der angives en årsag til lukning .

    Skærmbillede af Microsoft Sentinel-hændelser.

Andre programmer

Du kan få indsigt i hændelser i dit SIEM- eller ITSM-program ved hjælp af Microsoft Defender XDR-API'en eller connectors i Sentinel.

Når du har konfigureret en connector, kan opdateringerne af Defender Experts til felterne Status, Tildelt til, Klassificering og Bestemmelse i Microsoft Defender XDR synkroniseres med tredjeparts-SIEM- eller ITSM-programmer, afhængigt af hvordan felttilknytningen er implementeret. Du kan illustrere det ved at se på den connector, der er tilgængelig fra Sentinel til ServiceNow.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.