Del via


Vejledning til daglig drift – Microsoft Defender for Identity

I denne artikel gennemgås de Microsoft Defender for Identity aktiviteter, som vi anbefaler dit team dagligt.

Gennemse ITDR-dashboardet

Hvor: I Microsoft Defender XDR skal du under vælge Dashboard med identiteter>.

Persona: SOC-analytikere, sikkerhedsadministratorer, identitets- og adgangsstyringsadministratorer

Brug Defender for Identity's Dashboard-side til at få vist kritisk indsigt og data i realtid om ITDR (Identity Threat Detection and Response). Vi anbefaler, at du dagligt fokuserer på topindsigt, identitetsrelaterede hændelser og Entra ID-brugere, der er i farewidgets .

Du kan få flere oplysninger under Arbejd med Defender for Identity's ITDR-dashboard (prøveversion).

Triage-hændelser efter prioritet

Hvor: I Microsoft Defender XDR skal du vælge Hændelser & beskeder

Persona: SOC-analytikere

Ved triaging af hændelser:

  1. I hændelsesdashboardet skal du filtrere efter følgende elementer:

    Filter Værdier
    Status Ny, i gang
    Alvorlighed Høj, Mellem, Lav
    Tjenestekilde Hold alle tjenestekilder markeret. Dette valg skal vise beskeder med den største pålidelighed med korrelation på tværs af andre Microsoft XDR-arbejdsbelastninger. Vælg Defender for Identity for at få vist elementer, der specifikt kommer fra Defender for Identity.
  2. Vælg hver hændelse for at gennemse alle detaljer. Gennemse alle faner i hændelsen, aktivitetsloggen og avanceret jagt.

  3. På fanen Beviser og svar under hændelsen skal du vælge hvert element i bevismaterialet. Vælg menuen > Indstillinger Undersøg, og vælg derefter Aktivitetslog eller Gå på jagt efter behov.

  4. Triage dine hændelser. For hver hændelse skal du vælge Administrer hændelse og derefter vælge en af følgende indstillinger:

    • Sand positiv
    • Falsk positiv
    • Informationsaktivitet, forventet aktivitet

    For sande beskeder skal du angive trusselstypen for at hjælpe dit sikkerhedsteam med at se trusselsmønstre og forsvare din organisation mod risici.

  5. Når du er klar til at starte din aktive undersøgelse, skal du tildele hændelsen til en bruger og opdatere hændelsesstatussen til Igangværende.

  6. Når hændelsen afhjælpes, skal du løse alle sammenkædede og relaterede aktive beskeder og angive en klassificering.

Undersøg brugere med en høj undersøgelsesscore

Hvor: I Microsoft Defender XDR og i Microsoft Entra.

I Microsoft Defender XDR:

  1. Kontrollér widgetten Brugere med risiko påstartsiden eller de Entra ID-brugere, der er i fare på siden Identitetsdashboard>.

  2. Hvis du har brugere på listen med høj risiko:

    • Vælg Vis alle brugere for at gennemse identiteter med høj risiko i Microsoft Entra.
    • Gå til siden Identiteter, og sortér gitteret for at få vist brugere med prioritetsscorer for høj undersøgelse øverst. Vælg en identitet for at få vist siden med identitetsoplysninger, herunder flere oplysninger i widgetten Undersøgelsesprioritet .

    Widgetten Undersøgelsesprioritet omfatter opdeling af den beregnede undersøgelsesprioritetsscore og en tendens på to uger for en identitet, herunder om identitetsscoren er på den høje fraktil for den pågældende lejer.

Find flere identitetsrelaterede oplysninger om:

  • Sider med oplysninger om individuelle beskeder eller hændelser
  • Sider med enhedsdetaljer
  • Avancerede jagtforespørgsler
  • Siden Handlingscenter

Persona: SOC-analytikere

Du kan finde flere oplysninger under:

Konfigurer justeringsregler for godartede sande positiver/falske positive beskeder

Hvor: I Microsoft Defender XDR skal du vælge Jagt > Avanceret jagt

Persona: Administratorer af sikkerhed og overholdelse af angivne standarder, SOC-analytikere

Hvis du finder enten godartede sande positiver eller direkte falske positiver, anbefaler vi, at du indstiller dine beskeder for at reducere antallet af beskeder, du skal triage for at matche din risiko appetit. Når beskeder justeres, løses beskeder automatisk baseret på dine konfigurationer og regelbetingelser.

Vi anbefaler, at du opretter nye regler efter behov, efterhånden som dit netværk vokser, for at sikre, at din beskedjustering forbliver relevant og effektiv.

Du kan få flere oplysninger under Juster en besked.

Proaktiv jagt

Hvor: I Microsoft Defender XDR skal du vælge Jagt > Avanceret jagt.

Persona: SOC-analytikere

Det kan være en god idé proaktivt at jage dagligt eller ugentligt, afhængigt af dit niveau som SOC-analytiker.

Brug Microsoft Defender XDR avanceret jagt til proaktivt at udforske de seneste 30 dages rådata, herunder Defender for Identity-data, der er korreleret med datastreaming fra andre Microsoft Defender XDR tjenester.

Undersøg hændelser i dit netværk for at finde trusselsindikatorer og enheder, herunder både kendte og potentielle trusler.

Vi anbefaler, at begyndere bruger automatiseret avanceret jagt, hvilket giver en forespørgselsgenerator. Hvis du er fortrolig med at bruge KQL (Kusto Query Language), kan du oprette forespørgsler fra bunden efter behov til dine undersøgelser.

Du kan finde flere oplysninger under Proaktiv jagt efter trusler med avanceret jagt i Microsoft Defender XDR.

Gennemse Defender for problemer med identitetstilstand

Hvor: I Microsoft Defender XDR skal du vælge Problemer med identiteter > tilstand.

Persona: Sikkerhedsadministratorer, Active Directory-administratorer

Vi anbefaler, at du jævnligt kontrollerer siden Tilstandsproblemer for at kontrollere, om der er problemer med udrulningen af Defender for Identity, f.eks. forbindelses- eller sensorproblemer. Sørg for at kontrollere fanerne Global og Sensor for at få vist begge typer problemer.

Vi anbefaler også, at du konfigurerer mailmeddelelser for tjenesteproblemer, så du kan registrere problemer, når de opstår.

Du kan få flere oplysninger under Microsoft Defender for Identity tilstandsproblemer og Konfigurer mailmeddelelser.

Du kan finde flere oplysninger under: