Analysér din første hændelse i Microsoft Defender XDR

Gælder for:

• Microsoft Defender XDR

Det er vigtigt at forstå den kontekst, der omgiver hændelser , for at analysere angreb. Kombinationen af din ekspertise og erfaring med Microsoft Defender XDR's funktioner og funktioner sikrer hurtigere løsning af hændelser og din organisations sikkerhed fra cyberangreb.

Dagens trusler mod datasikkerhed – BEC (business email compromise), malware som bagdøre og ransomware, organisatoriske brud og statsangreb – kræver hurtig, intelligent og afgørende handling fra hændelsesreagere . Værktøjer som Microsoft Defender XDR gør det muligt for svarteams at registrere, triage og undersøge hændelser via oplevelsen med en enkelt rude i glas og finde de oplysninger, der er nødvendige for at træffe disse rettidige beslutninger.

Undersøgelsesopgaver

Undersøgelser involverer normalt, at respondere får vist flere apps, samtidig med at de kontrollerer forskellige kilder til trusselsintelligens. Nogle gange udvides efterforskningen til også at omfatte jagt på andre trusler. Dokumentation af fakta og løsninger i en angrebsundersøgelse er en yderligere vigtig opgave, der giver historik og kontekst til andre efterforskere brug eller til senere undersøgelser. Disse undersøgelsesopgaver forenkles, når du bruger Microsoft Defender XDR via følgende:

• Pivotering – portalen samler vigtige angrebsoplysninger, der er kontekstualiseret på tværs af de Defender-arbejdsbelastninger, der er aktiveret i din organisation. Portalen konsoliderer alle oplysninger på tværs af komponenterne i et enkelt angreb (fil, URL-adresse, postkasse, en brugerkonto eller enhed), der viser relationer og tidslinje for aktiviteter. Med alle de oplysninger, der er tilgængelige på en side, gør portalen det muligt for hændelsesreagere at pivotere på tværs af relaterede objekter og hændelser for at finde de oplysninger, de har brug for til at træffe beslutninger.

• Jagt – trusselsjægere kan finde kendte og mulige trusler i en organisation via portalens avancerede jagtfunktionalitet ved hjælp af Kusto-forespørgsler. Hvis du ikke kender Kusto før, kan du bruge automatiseret tilstand til at jage efter trusler.

• Insight – hvis det er relevant, kan personer, der reagerer på hændelser, få vist handlinger for tidligere registrerede hændelser og beskeder for at hjælpe med at præsentere undersøgelser. Yderligere indsigt føjes også automatisk til hændelser og beskeder via Microsofts egen trusselsintelligens og fra kilder som MITRE ATT&CK-strukturen® og VirusTotal.

• Samarbejde – sikkerhedsteams kan få vist de enkelte teammedlemmers beslutninger og handlinger i forbindelse med tidligere og aktuelle hændelser og beskeder via portalfunktioner som kommentarer, mærkning, flag og tildeling. Yderligere samarbejde med Microsofts administrerede registrerings- og svartjeneste via Defender Experts for XDR og Defender Experts for Hunting er også tilgængelig, når en organisation kræver et forstærket svar.

Oversigt over angreb

Angrebshistorien giver hændelsesreagere en komplet, kontekstualiseret oversigt over, hvad der skete i et angreb. Respondere kan få vist alle relaterede beskeder og hændelser, herunder de automatiserede afhjælpningshandlinger, der udføres af Microsoft Defender XDR for at afhjælpe et angreb.

Fra angrebshistorien kan du dykke dybere ned i detaljerne om et angreb ved at udforske de faner, der er tilgængelige på hændelsessiden. Du kan hurtigt afhjælpe almindelige angreb, f.eks. phishing, adgangskodespray og skadelige apps, via playbøger om svar på hændelser , der er tilgængelige på portalen. Disse playbooks indeholder registrerings-, svar- og afhjælpningsvejledning, der understøtter efterforskning af hændelser.

Denne video om , hvordan du undersøger et angreb i Microsoft Defender XDR , og hvordan du bruger portalens funktioner i din undersøgelse, fører dig gennem angrebshistorien og hændelsessiden.

Undersøgelse af trusler

Komplekse trusler som modgang i midten angreb og ransomware kræver ofte manuel undersøgelse. En hændelsesreager, der tackler disse komplicerede angreb, leder efter følgende vigtige oplysninger:

• Tilstedeværelse af malware eller mistænkelig brug af værktøjer og apps
• Spor om kommunikationskanaler eller indgangspunkter, der bruges af en hvilken som helst ondsindet eller mistænkelig enhed
• Spor, der peger på et muligt identitets kompromis
• Identificering af, hvad indvirkningen er på organisationens data- og sikkerhedsholdning

De følgende afsnit indeholder selvstudier og videoer af Microsoft Defender XDR-funktioner, der hjælper teams med svar på hændelser med at undersøge forskellige komplekse angreb.

Ransomware-undersøgelser

Ransomware fortsætter med at være en betydelig trussel mod organisationer. Microsoft har følgende ressourcer, der kan hjælpe dig med at undersøge og reagere på ransomware-angreb:

• Guider: Fra opdagelse til beskyttelse: Microsofts guide til bekæmpelse af ransomware-angreb
• Selvstudium: Playbook om ransomware-undersøgelse
• Video: Undersøgelse af ransomware-angreb i Microsoft Defender XDR (del 1)
• Video: Undersøgelse af ransomware-angreb i Microsoft Defender XDR (del 2)

Mailbaseret angrebsanalyse

Identificering og sporing af ændrede, oprettede eller stjålne identiteter er afgørende for at undersøge phishing- og BEC-angreb. Brug følgende ressourcer, når du undersøger disse angreb:

• Selvstudium: Undersøg skadelige mails
• Selvstudium: Undersøg brugere
• Selvstudium: Undersøg en brugerkonto
• Blog: Total Identity Compromise: Microsoft Incident Response-lektioner om sikring af Active Directory Identity-kompromis kan også undersøges ved hjælp af Defender for Identity-signaler.
• Selvstudium: Eksempel på et phishingmailangreb
• Selvstudium: Eksempel på et identitetsbaseret angreb

I følgende videoer beskrives det, hvordan phishing og BEC-angreb i Microsoft Defender XDR undersøges:

• Video: Undersøgelse af BEC- og AiTM-phishing i Microsoft Defender XDR
• Video: Forsvar mod spyd og phishing ved hjælp af Defender til Office 365

Undersøg et identitets kompromis, og find ud af, hvad du kan gøre for at indeholde et angreb via denne video:

• Undersøgelse af identitetstrusler ved hjælp af Defender for Identity

Analyse af malware

Oplysninger og egenskaber for en skadelig fil er vigtige for at undersøge malware. Microsoft Defender XDR kan i de fleste tilfælde detonere filen for at vise vigtige data, herunder hash, metadata, prævalens i organisationen og filfunktioner baseret på MITRE ATT&CK-teknikker®. Dette fjerner behovet for at udføre test af sorte felter eller statisk analyse af filer. Du kan få vist filoplysninger fra hændelsesgrafen eller ved at få vist et træ til en beskedproces, en artefakttidslinje eller en enhedstidslinje.

Følgende ressourcer indeholder oplysninger om, hvordan du bruger portalens funktioner til at undersøge filer:

• Selvstudium: Undersøg filer
• Video: Undersøgelse af malware i Microsoft Defender XDR

Analyse af risikable apps og cloudbaseret forebyggelse af trusler

Ondsindede aktører kan udnytte cloudbaserede apps. Apps kan utilsigtet lække følsomme oplysninger ved misbrug eller misbrug. Hændelsesreagere, der undersøger og beskytter apps i cloudmiljøer, kan bruge følgende ressourcer, hvor Defender for Cloud Apps udrulles i deres organisation:

• Selvstudium: Undersøg skadelige og kompromitterede apps
• Selvstudium: Undersøg risikable OAuth-apps
• Selvstudium: Beskyt cloudapps
• Selvstudium: Beskyt apps i realtid

Find ud af, hvordan du kan beskytte dine cloudapps i realtid med denne video om arbejdsbelastningen for Defender for Cloud Apps:

• Video: Beskyttelse af cloudapps og relaterede filer via Defender for Cloud Apps

Analyse af brud

Statsangreb, angreb på kritisk infrastruktur og brud på organisationen kræver ofte, at en person med ondsindede hensigter etablerer kommunikationspunkter, når vedkommende befinder sig i et netværk. Hændelsesreagere leder efter spor ved at identificere mistænkelig trafik eller udvekslinger mellem en kilde og en destination. Microsoft har følgende selvstudier til undersøgelse af kommunikationskomponenter:

• Undersøg domæner og URL-adresser
• Undersøg en IP-adresse
• Undersøg forbindelseshændelser, der opstår bag fremadrettet proxyer
• Undersøg mistænkelige bruger- og enhedsaktiviteter via Defender for Identity
• Identificer og undersøg tværgående bevægelsesstier i Defender for Identity
• Undersøg enheder på listen Defender for Endpoint-enheder

Hackere bruger ofte sikkerhedsrisici til at få adgang til en organisation. Nogle ransomware-angreb udnytter i første omgang upatchede sårbarheder som Log4Shell-sårbarheden. Følgende ressourcer hjælper hændelsesreagere med at identificere sårbarheder og sårbare enheder i deres organisation via tjenesten Defender for Vulnerability Management:

• Selvstudium: Identificer sikkerhedsrisici i din organisation
• Selvstudium: Jagt efter eksponerede enheder
• Selvstudium: Vurder din organisations risiko via eksponeringsscoren
• Video: Administration af trusler og sårbarheder via Defender Vulnerability Management

Brud sker også via forskellige enheder, f.eks. telefoner og tablets, der opretter forbindelse til organisationens netværk. Hændelsesreagere kan undersøge disse enheder yderligere på portalen. I følgende video beskrives de vigtigste trusler fra mobilenheder, og hvordan du kan undersøge disse:

• Forsvar af mobiltrusler i Microsoft Defender XDR

Ressourcer til trusselsintelligens og jagt

Microsoft Defender XDR's indbyggede trusselsintelligensfunktioner og jagthjælpsberedskabsteams til at udføre proaktiv beskyttelse mod nye trusler og angreb. Du har direkte adgang til de nyeste oplysninger om nye trusler og angreb via portalens Threat Analytics.

Brug intelligensen i Threat Analytics til at dykke dybt ned i nye trusler med følgende video:

Jagt proaktivt efter trusler i organisationen ved hjælp af portalens indbyggede avancerede jagtfunktionalitet .

Følgende ressourcer indeholder flere oplysninger om, hvordan du bruger avanceret jagt:

• Få mere at vide om Kusto-forespørgselssproget
• Byg jagtforespørgsler ved hjælp af automatiseret tilstand
• Jagt efter trusler på tværs af enheder

Udvid din trusselsintelligens med de nyeste sikkerhedsundersøgelser og ændringer fra Microsofts sikkerhedsforskerteams:

• Microsoft Security-blog
• Oplysninger om Microsoft Threat Agent

Samarbejd med Microsofts eksperter om svar på hændelser og trusselsjagt for at forbedre dine sikkerhedsteams egenskaber. Få mere at vide om vores eksperter, og hvordan du engagerer dem i følgende ressourcer:

• Defender Experts for XDR
• Trusselsjagt med Defender Experts for Hunting

Næste trin

• Afhjælp din første hændelse
• Udforsk portalens funktioner via videodemoer i Microsoft Defender XDR Virtual Ninja Training

Se også

• Forstå hændelser
• Undersøg hændelser
• Undersøg beskeder
• Få mere at vide om portalens funktioner via Microsoft Defender XDR Ninja-træningen

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.