Strategiplaner for klassificering af underretninger
Gælder for:
- Microsoft Defender XDR
Playbooks til klassificering af beskeder giver dig mulighed for at gennemgå og hurtigt klassificere beskeder om velkendte angreb og udføre anbefalede handlinger for at afhjælpe angrebet og beskytte dit netværk. Beskedklassificering hjælper også med korrekt klassificering af den overordnede hændelse.
Som SOC-analytiker (Security Researcher or Security Operations Center) skal du have adgang til Microsoft Defender-portalen, så du kan:
- Vurder og gennemse de genererede beskeder og tilknyttede hændelser. Se Undersøg beskeder.
- Søg din lejers sikkerhedssignaldata og kontrollere, om der er potentielle trusler og mistænkelige aktiviteter. Se avanceret jagt.
Bemærk!
Du kan give feedback til Microsoft om beskeder om ægte positive og falske positiver, ikke kun i slutningen af undersøgelsen, men også under undersøgelsesprocessen. Dette kan hjælpe Microsoft med fremtidig analyse og klassificering af sikkerhedshændelser.
Microsoft Defender for Office 365
Microsoft Defender for Office 365 beskytter din organisation mod skadelige trusler fra mails, links (URL-adresser) og samarbejdsværktøjer. Defender for Office 365 omfatter:
Politikker for trusselsbeskyttelse
Definer politikker for trusselsbeskyttelse for at angive det relevante beskyttelsesniveau for din organisation.
Rapporter
Få vist rapporter i realtid for at overvåge Defender for Office 365 ydeevne i din organisation.
Trusselsundersøgelses- og svarfunktioner
Brug de nyeste værktøjer til at undersøge, forstå, simulere og forhindre trusler.
Automatiserede undersøgelses- og svarfunktioner
Spar tid og kræfter på at undersøge og afhjælpe trusler.
Defender for Office 365 beskeder kan klassificeres som:
- Sand positiv (TP) for bekræftet skadelig aktivitet.
- Falsk positiv (FP) for bekræftet ikke-skadelig aktivitet.
Bemærk!
Microsoft Defender portal https://security.microsoft.com samler funktioner fra eksisterende Microsoft-sikkerhedsportaler. På Microsoft Defender-portalen lægges der vægt på hurtig adgang til oplysninger, enklere layout og samle relaterede oplysninger, så de bliver nemmere at bruge.
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps er en CASB (Cloud Access Security Broker), der understøtter forskellige udrulningstilstande, herunder logindsamling, API-connectors og omvendt proxy. Det giver omfattende synlighed, kontrol over datarejser og avancerede analyser til at identificere og bekæmpe cybertrusler på tværs af alle dine Microsoft- og tredjeparts cloudtjenester.
Defender for Cloud Apps integreres oprindeligt med førende Microsoft-løsninger og er udviklet med sikkerhedseksperter i tankerne. Det leverer enkel udrulning, centraliseret administration og innovative automatiseringsfunktioner.
Defender for Cloud Apps-strukturen indeholder muligheden for at beskytte dit netværk mod cyberthreats og uregelmæssigheder, registrerer usædvanlig adfærd på tværs af cloudapps for at identificere ransomware, kompromitterede brugere eller rogue-programmer. Det muliggør analyse af højrisikoforbrug og kan afhjælpes automatisk for at begrænse risikoen for din organisation.
Defender for Cloud Apps-beskeder kan klassificeres som:
- TP for bekræftet skadelig aktivitet.
- Godartet sand positiv (B-TP) for mistænkelig, men ikke ondsindet aktivitet, såsom en indtrængningstest eller andre godkendte mistænkelige handling.
- FP for bekræftet ikke-skadelig aktivitet.
Strategiplaner for klassificering af underretninger
Se disse playbooks for at få trin til hurtigere at klassificere beskeder om følgende trusler:
- Mistænkelig aktivitet for videresendelse af mail
- Regler for mistænkelig manipulation af indbakke
- Mistænkelige regler for videresendelse af indbakke
- Mistænkelige IP-adresser relateret til adgangskodesprøjtningaktivitet
- Adgangskode spray-angreb
Se Undersøg beskeder for at få oplysninger om, hvordan du undersøger beskeder med Microsoft Defender-portalen.
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.