Del via

Undersøg hændelser på Microsoft Defender-portalen

  • Gælder for: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

På Microsoft Defender-portalen vises korrelerede beskeder, aktiver, undersøgelser og beviser fra alle dine aktiver i en hændelse for at give dig et omfattende indblik i hele bredden af et angreb.

I en hændelse kan du analysere beskederne, forstå, hvad de betyder, og sortere beviserne, så du kan udarbejde en effektiv afhjælpningsplan.

Indledende undersøgelse

Før du dykker ned i detaljerne, skal du se på egenskaberne og hele angrebshistorien om hændelsen.

Du kan starte med at vælge hændelsesrækken, men ikke vælge hændelsesnavnet. Der åbnes en oversigtsrude med vigtige oplysninger om hændelsen, herunder prioritetsvurderingen, de faktorer, der påvirker prioritetsscoren, oplysninger om hændelsen, anbefalede handlinger og relaterede trusler. Brug pil op og ned øverst i ruden til at navigere til den forrige eller næste hændelse i hændelseskøen.

Valg af en hændelse på Microsoft Defender-portalen

Herfra kan du vælge Åbn hændelsesside. Dette åbner hovedsiden for hændelsen, hvor du kan finde oplysninger om hele angrebshistorien og faner for beskeder, enheder, brugere, undersøgelser og beviser. Du kan også åbne hovedsiden for en hændelse ved at vælge hændelsesnavnet i hændelseskøen.

Bemærk!

Brugere med klargjort adgang til Microsoft Security Copilot se ruden Copilot i højre side af skærmen, når de åbner en hændelse. Copilot giver indsigt og anbefalinger i realtid, der kan hjælpe dig med at undersøge og reagere på hændelser. Du kan få flere oplysninger under Microsoft Copilot i Microsoft Defender.

Angrebshistorie

Angrebshistorier hjælper dig med hurtigt at gennemse, undersøge og afhjælpe angreb, mens du får vist hele historien om angrebet under den samme fane. Det giver dig også mulighed for at gennemse enhedsoplysningerne og udføre afhjælpningshandlinger, f.eks. slette en fil eller isolere en enhed uden at miste kontekst.

Angrebshistorien er kort beskrevet i følgende video.

I angrebshistorien kan du finde beskedsiden og hændelsesgrafen.

Siden med hændelsesbeskeder indeholder følgende sektioner:

  • Beskedhistorie, som omfatter:

    • Hvad skete der
    • Udførte handlinger
    • Relaterede hændelser

  • Egenskaber for beskeder i ruden til højre (tilstand, detaljer, beskrivelse m.m.)

Det er ikke alle beskeder, der har alle de viste undersektioner i afsnittet Beskedhistorie .

Grafen viser det fulde omfang af angrebet, hvordan angrebet spredte sig gennem dit netværk over tid, hvor det startede, og hvor langt angriberen gik. Den forbinder de forskellige mistænkelige enheder, der er en del af angrebet, med deres relaterede aktiver, f.eks. brugere, enheder og postkasser.

Fra grafen kan du:

  • Afspil beskederne og noderne på grafen, som de fandt sted over tid for at forstå kronologien af angrebet.

    Skærmbillede, der viser afspilning af beskeder og noder på grafsiden for angrebshistorien.

  • Åbn en objektrude, så du kan gennemse enhedsoplysningerne og reagere på afhjælpningshandlinger, f.eks. slette en fil eller isolere en enhed.

    Skærmbillede, der viser gennemgangen af enhedsdetaljerne på grafsiden for angrebshistorien.

  • Fremhæv de beskeder, der er baseret på det objekt, de er relateret til.

  • Søg efter enhedsoplysninger for en enhed, fil, IP-adresse, URL-adresse, bruger, mail, postkasse eller cloudressource.

Gå på jagt

Go hunt-handlingen udnytter den avancerede jagtfunktion til at finde relevante oplysninger om en enhed. Søgesøgningsforespørgslen kontrollerer relevante skematabeller for alle hændelser eller beskeder, der involverer den specifikke enhed, du undersøger. Du kan vælge en af indstillingerne for at finde relevante oplysninger om objektet:

  • Se alle tilgængelige forespørgsler – indstillingen returnerer alle tilgængelige forespørgsler for den objekttype, du undersøger.
  • Alle aktiviteter – forespørgslen returnerer alle aktiviteter, der er knyttet til en enhed, hvilket giver dig en omfattende visning af hændelsens kontekst.
  • Relaterede beskeder – forespørgslen søger efter og returnerer alle sikkerhedsbeskeder, der involverer en bestemt enhed, for at sikre, at du ikke går glip af nogen oplysninger.
  • Alle brugeruregelmæssigheder (prøveversion) – forespørgslen returnerer alle uregelmæssigheder, der er knyttet til brugeren fra de seneste 30 dage, hvilket hjælper dig med at identificere usædvanlig adfærd, der kan være relevant for hændelsen. Kun tilgængelig for brugerobjekter, hvis du har aktiveret Microsoft Sentinel UEBA (User and Entity Behavior Analytics).

Skærmbillede, hvor indstillingen Gå jagt er valgt på en enhed i en angrebshistorie.

De resulterende logge eller beskeder kan knyttes til en hændelse ved at vælge et resultat og derefter vælge Link til hændelse.

Fremhævning af linket til hændelsesindstillingen i søg efter forespørgselsresultater

Hvis hændelsen eller relaterede beskeder var resultatet af en analyseregel, du har angivet, kan du også vælge Kør forespørgsel for at se andre relaterede resultater.

Vigtigt!

Nogle af oplysningerne i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Analyse af eksplosionsradius

Analyse af eksplosionsradius er en avanceret grafvisualisering, der er integreret i oplevelsen med undersøgelse af hændelser. Den er baseret på den Microsoft Sentinel datasø og grafinfrastruktur og genererer en interaktiv graf, der viser mulige overførselsstier fra den valgte node til foruddefinerede kritiske mål, der er begrænset til brugerens tilladelser.

Bemærk!

Analyse af eksplosionsradius udvides og erstatter analyse af angrebsstier.

Grafen over eksplosionsradius giver et unikt samlet overblik over både oplysninger om præbreach og efter sikkerhedsbrud på hændelsessiden. Under en undersøgelse af en hændelse kan analytikere se den aktuelle virkning af et brud og den mulige fremtidige indvirkning i én konsolideret graf. Da den er integreret i hændelsesgrafen, hjælper grafen for eksplosionsradius sikkerhedsteams med bedre at forstå omfanget af sikkerhedshændelsen hurtigere og forbedrer deres defensive foranstaltninger for at reducere sandsynligheden for omfattende skader. Analyse af eksplosionsradius hjælper analytikere med bedre at vurdere risikoen for højt respekterede mål og forstå den forretningsmæssige indvirkning.

Følgende forudsætninger er påkrævet for at kunne bruge grafen over eksplosionsradius:

Vigtigt!

Funktionerne angrebsstier og blast radius beregnes på baggrund af organisationens tilgængelige miljødata. Værdien i grafen øges, efterhånden som der er flere tilgængelige data til beregningen. Hvis der ikke er aktiveret flere arbejdsbelastninger, eller kritiske aktiver ikke er fuldt defineret, repræsenterer grafer med blast radius ikke dine miljørisici fuldt ud. Du kan få flere oplysninger om definition af kritiske aktiver under Gennemse og klassificer kritiske aktiver.

I følgende tabel opsummeres use cases for analyse af eksplosionsradius for forskellige brugerroller:

Brugerrolle Use case
Sikkerhedsanalytiker Brug analyse af eksplosionsradius til at undersøge en hændelse. Straks se kompromitteret komponent i midten af grafen og stier til potentielt kompromitterede mål. Grafen giver en intuitiv visuel forståelse af hændelsen og hjælper dig med hurtigt at lære det potentielle omfang af et brud. Baseret på destinationen og stierne kan du eskalere og udløse handlinger for at afbryde, isolere og indeholde hændelsen på noder langs stierne til målet.
It-administratorer og SOC-teknikere Brug analyse af eksplosionsradius til at mobilisere ressourcer baseret på forretningspåvirkning og estimering af potentielle skader. Teknikere kan prioritere de mest kritiske sikkerhedsrisici, der kræver øjeblikkelig opmærksomhed. Teknikeren kan proaktivt tildele de nødvendige ressourcer baseret på rækkevidden af eksplosionsradiussen til kritiske mål i organisationen ved at undersøge flere noder, der er markeret med sikkerhedsrisici på kortet. Ingeniøren kan tydeligt kommunikere, hvad der var beskyttet, og hvad der blev påvirket og planlægge og prioritere yderligere forsvar og netværkssegmenteringer, der kræves for at reducere yderligere indvirkning af fremtidige potentielle angreb.
Hændelsessvarteam Fastlæg hurtigt omfanget af hændelsen med et dynamisk visuelt hændelseskort, der gør det muligt for dem at foretage målrettede handlinger på de systemer, der er angivet i grafen.
CISO eller sikkerhedsledere Brug funktionen for eksplosionsradius til at angive aktuel status, angive mål og målepunkter og bruge dette til at rapportere og overvåge af hensyn til overholdelse af angivne standarder. Funktionen kan bruges til at spore fremskridt med at forsvare handlinger og investeringer i beskyttelsesforanstaltninger.

Vis grafer over blast radius

Når du har valgt en hændelse på listen på siden Hændelser , vises der en grafvisning, der viser de enheder og aktiver, der er involveret i hændelsen.

Vælg en node for at åbne genvejsmenuen, og vælg derefter Vis eksplosionsradius. Hvis du vil se eksplosionsradiussen for en enkelt node i en gruppe, skal du bruge til /fra-knappen Ungroup over gitteret til at vise alle noder.

Skærmbillede, der viser genvejsmenuelementet for eksplosionsradius.

En ny grafvisning indlæses, der viser de 8 mest populære angrebsstier. En komplet liste over stierne er synlig i højre sidepanel, når du vælger Vis listen over fuld blast radius over grafen. På listen over mål, der kan nås, kan du udforske stien yderligere ved at vælge et af de angivne mål. I højre panel vises den potentielle sti fra indgangspunktet til denne destination. Nogle noder har muligvis ikke tilknyttede stier.

Skærmbillede, der viser grafen over eksplosionsradius.

Du kan få en forklaring af de ikoner, der bruges til noder og kanter i grafen med blast radius, under Om grafer og visualiseringer i Microsoft Defender.

Vælg Vis liste over eksplosionsradius for at få vist en liste over målaktiver. Vælg et destinationsaktiv på listen for at få vist detaljer og potentielle angrebsstier. Hvis du vælger badges i forbindelser, vises der flere oplysninger om forbindelsen.

Når stier fører til grupperede mål af samme type, skal du vælge de grupperede ikoner for at få vist diskrete stier til mål. Der åbnes et panel til højre, der viser alle målene i gruppen. Hvis du markerer afkrydsningsfeltet til venstre og vælger knappen Udvid øverst, vises hvert mål og de tilhørende stier separat.

Skærmbillede, der viser listen over eksplosionsradiusser.

Skjul grafen over eksplosionsradius, og vend tilbage til den oprindelige hændelsesgraf ved at vælge noden og vælge Skjul eksplosionsradius.

Begrænsninger

Følgende begrænsninger gælder for grafen over eksplosionsradius:

  • Begrænsninger for stilængde (analyseområde): Graf over sprængningsradius er bundet op til 7 hop fra kildenoden. Eksplosionsradiussen er en tilnærmelse af den fulde rækkevidde. Det maksimale antal hop afhænger af miljøet:

    • 5 hop til cloudmiljøet
    • 5 hop i det lokale miljø
    • 3 hop til hybrid

  • Data friskhed: Der kan være ventetider mellem en ændring i organisationens miljø og afspejling af ændringen i grafen over eksplosionsradius. I denne periode kan modellen være ufuldstændig.

  • Mulige stier: Grafen over eksplosionsradius viser mulige stier. Det garanterer ikke, at en person med ondsindede hensigter følger alle de viste stier.

  • Kendte angrebsvektorer: Grafen er afhængig af kendte angrebsvektorer. Hvis hackere finder en ny tværgående bevægelse eller ny teknik, der endnu ikke er modelleret, vises den ikke i grafen over blast radius.

  • Brugerområder: Den viste graf er baseret på de tilladte områder for visningsbrugeren. Det er kun noder og kanter, der er beregnet for brugeren baseret på den definerede RBAC og indstillingerne for området, der er synlige på grafen. Stier, der indeholder uden for områdenoder eller kanter, er ikke synlige.

  • Ø-noder: Noder, der ikke er forbundet, kan blive vist på grafen på grund af ændringer, der kan opstå mellem det tidspunkt, hvor dataene indsamles, og beregningen af eksplosionsradiussen.

Oplysninger om hændelse

Du kan få vist oplysninger om en hændelse i højre rude på en hændelsesside. Oplysningerne om hændelsen omfatter tildeling af hændelser, id, klassificering, kategorier og dato og klokkeslæt for første og sidste aktivitet. Den indeholder også en beskrivelse af hændelsen, påvirkede aktiver, aktive beskeder og, hvor det er relevant, de relaterede trusler, anbefalinger og oversigt over afbrydelser og indvirkning. Her er et eksempel på oplysninger om hændelsen, hvor beskrivelsen af hændelsen er fremhævet.

Et eksempel på oplysninger om hændelser, hvor beskrivelsen er fremhævet.

Beskrivelsen af hændelsen indeholder en kort oversigt over hændelsen. I nogle tilfælde bruges den første besked i hændelsen som beskrivelse af hændelsen. I dette tilfælde vises beskrivelsen kun på portalen og gemmes ikke i aktivitetsloggen, avancerede jagttabeller eller Microsoft Sentinel i Azure Portal.

Tip

Microsoft Sentinel kunder kan også få vist og overskrive den samme hændelsesbeskrivelse i Azure Portal ved at angive beskrivelsen af hændelsen via API eller automatisering.

Beskeder

Under fanen Beskeder kan du få vist beskedkøen for beskeder, der er relateret til hændelsen, og andre oplysninger om dem på følgende måde:

  • Beskedernes alvorsgrad.
  • De enheder, der var involveret i beskeden.
  • Kilden til beskederne (Microsoft Defender for Identity, Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Defender for Cloud Apps og tilføjelsesprogrammet til appstyring).
  • Grunden til at de var forbundet.

Ruden Beskeder for en hændelse på Microsoft Defender-portalen

Som standard er beskederne sorteret kronologisk, så du kan se, hvordan angrebet udspillede sig over tid. Når du vælger en besked i en hændelse, viser Microsoft Defender XDR de beskedoplysninger, der er specifikke for konteksten for den overordnede hændelse.

Du kan se hændelserne for beskeden, som andre udløste beskeder forårsagede den aktuelle besked, og alle de berørte enheder og aktiviteter, der er involveret i angrebet, herunder enheder, filer, brugere, cloudapps og postkasser.

Oplysningerne om en besked i en hændelse på Microsoft Defender-portalen.

Få mere at vide om, hvordan du bruger beskedkøen og beskedsiderne i undersøg beskeder.

Bemærk!

Hvis du har klargjort adgang til Microsoft Purview Styring af insider-risiko, kan du få vist og administrere beskeder om insiderrisikostyring og søge efter insiderrisikostyringshændelser på Microsoft Defender portalen. Du kan få flere oplysninger under Undersøg insiderrisikotrusler på portalen Microsoft Defender.

Aktiviteter

Fanen Aktiviteter viser en samlet tidslinje over alle manuelle og automatiserede handlinger, der forekommer i en hændelse. Du kan filtrere efter oprindelse, kategori, udbyder, udløser, aktivitetsstatus, politikstatus, type, målnavn, måltype eller udført af. Du kan også få adgang til disse oplysninger som et sidepanel i aktivitetsloggen.

Med fanen Aktiviteter kan analytikere opsøge og undersøge hændelser. Dette omfatter identificering af vigtige trin, der tages af mennesker og automatiserede systemer, bekræftelse af seneste ændringer (f.eks. mærker, fletninger, opdateringer af alvorsgrad), gennemgang af kommentarer og overdragelser samt undersøgelse af detaljerede metadata i sidepaneler og efter automatiserede arbejdsprocesser, der er startet af automatiseringsregler, playbooks eller agenter.

Skærmbillede af en hændelse med fanen Aktiviteter åbnet.

Aktiver

Du kan nemt få vist og administrere alle dine aktiver på ét sted med fanen Aktiver . Denne samlede visning omfatter enheder, brugere, postkasser og apps.

Under fanen Assets (Aktiver) vises det samlede antal aktiver ud for navnet. Der vises en liste over forskellige kategorier med antallet af aktiver inden for den pågældende kategori, når du vælger fanen Aktiver.

Siden Assets (Aktiver) for en hændelse på portalen Microsoft Defender

Enheder

Visningen Enheder viser alle de enheder, der er relateret til hændelsen.

Siden Enheder for en hændelse på Microsoft Defender-portalen

Når du vælger en enhed på listen, åbnes en linje, der giver dig mulighed for at administrere den valgte enhed. Du kan hurtigt eksportere, administrere mærker, starte en automatiseret undersøgelse og meget mere.

Du kan markere afkrydsningsfeltet for en enhed for at få vist oplysninger om enheden, mappedata, aktive beskeder og brugere, der er logget på. Vælg navnet på enheden for at få vist enhedsoplysningerne i oversigten over Defender for Endpoint-enheder.

Indstillingerne For enheder på siden Aktiver på portalen Microsoft Defender.

Fra enhedssiden kan du indsamle yderligere oplysninger om enheden, f.eks. alle dens beskeder, en tidslinje og sikkerhedsanbefalinger. Fra fanen Tidslinje kan du f.eks. rulle gennem enhedens tidslinje og få vist alle hændelser og funktionsmåder, der er observeret på computeren i kronologisk rækkefølge, og som er afbrudt af de udløste beskeder.

Brugere

Visningen Brugere viser alle de brugere, der er blevet identificeret til at være en del af eller relateret til hændelsen.

Siden Brugere på portalen Microsoft Defender.

Du kan vælge fluebenet for en bruger for at få vist detaljer om brugerkontoens trussel, eksponering og kontaktoplysninger. Vælg brugernavnet for at få vist flere oplysninger om brugerkontoen.

Få mere at vide om, hvordan du får vist yderligere brugeroplysninger og administrerer brugerne af en hændelse i Undersøg brugere.

Postkasser

Visningen Postkasser viser alle de postkasser, der er blevet identificeret til at være en del af eller relateret til hændelsen.

Siden Postkasser for en hændelse på Microsoft Defender-portalen.

Du kan markere afkrydsningsfeltet for en postkasse for at få vist en liste over aktive beskeder. Vælg navnet på postkassen for at få vist flere oplysninger om postkassen på siden Stifinder for Defender for Office 365.

Apps

Visningen Apps viser alle de apps, der er identificeret til at være en del af eller relateret til hændelsen.

Siden Apps for en hændelse på portalen Microsoft Defender.

Du kan markere afkrydsningsfeltet for en app for at få vist en liste over aktive beskeder. Vælg appnavnet for at få vist flere oplysninger på siden Stifinder for at få vist Defender for Cloud Apps.

Cloudressourcer

Visningen Cloudressourcer viser alle de cloudressourcer, der er identificeret til at være en del af eller relateret til hændelsen.

Siden Cloudressourcer for en hændelse på portalen Microsoft Defender.

Du kan markere afkrydsningsfeltet for en cloudressource for at få vist oplysningerne om ressourcen og en liste over aktive beskeder. Vælg Siden Åbn cloudressource for at få vist flere oplysninger og for at få vist de fulde oplysninger i Microsoft Defender til Cloud.

Undersøgelser

Under fanen Undersøgelser vises alle de automatiserede undersøgelser, der udløses af beskeder i denne hændelse. Automatiserede undersøgelser udfører afhjælpningshandlinger eller venter på analytikergodkendelse af handlinger, afhængigt af hvordan du har konfigureret dine automatiserede undersøgelser til at køre i Defender for Endpoint og Defender for Office 365.

Siden Undersøgelser for en hændelse på Microsoft Defender-portalen

Vælg en undersøgelse for at navigere til siden med oplysninger for at få alle oplysninger om undersøgelsens og afhjælpningsstatussen. Hvis der er handlinger, der venter på godkendelse som en del af undersøgelsen, vises de under fanen Ventende handlinger . Udfør handlinger som en del af afhjælpning af hændelser.

Der er også en graffane for undersøgelse , der viser:

  • Forbindelsen mellem beskeder og de påvirkede aktiver i din organisation.
  • Hvilke enheder er relateret til hvilke beskeder og hvordan de er en del af historien om angrebet.
  • Beskederne for hændelsen.

Undersøgelsesgrafen hjælper dig med hurtigt at forstå det fulde omfang af angrebet ved at forbinde de forskellige mistænkelige enheder, der er en del af angrebet, med deres relaterede aktiver, f.eks. brugere, enheder og postkasser.

Du kan få flere oplysninger under Automatiseret undersøgelse og svar i Microsoft Defender XDR.

Beviser og svar

Fanen Beviser og Svar viser alle understøttede hændelser og mistænkelige enheder i beskederne i hændelsen.

Siden Beviser og svar for en hændelse på Microsoft Defender-portalen

Microsoft Defender XDR undersøger automatisk alle hændelsernes understøttede hændelser og mistænkelige enheder i beskederne, hvilket giver dig oplysninger om vigtige mails, filer, processer, tjenester, IP-adresser og meget mere. Dette hjælper dig med hurtigt at registrere og blokere potentielle trusler i hændelsen.

Hver af de analyserede enheder er markeret med en dom (Ondsindet, Mistænkelig, Ren) og en afhjælpningsstatus. Dette hjælper dig med at forstå afhjælpningsstatus for hele hændelsen, og hvilke næste trin der kan udføres.

Godkend eller afvis afhjælpningshandlinger

I forbindelse med hændelser med afhjælpningsstatussen Afventer godkendelse kan du godkende eller afvise en afhjælpningshandling, åbne i Stifinder eller Gå på jagt fra fanen Beviser og svar.

Indstillingen Godkend\Afvis i ruden Administration af beviser og svar for en hændelse på Microsoft Defender-portalen.

Oversigt

Brug siden Oversigt til at vurdere den relative vigtighed af hændelsen og hurtigt få adgang til de tilknyttede beskeder og påvirkede enheder. Siden Oversigt giver dig et øjebliksbillede af de vigtigste ting, du kan lægge mærke til om hændelsen.

Skærmbillede, der viser oversigtsoplysningerne for en hændelse på portalen Microsoft Defender.

Oplysningerne er organiseret i disse afsnit.

Afsnit Beskrivelse
Beskeder og kategorier Et visuelt og numerisk billede af, hvor avanceret angrebet har udviklet sig mod kill-kæden. Som med andre Microsoft-sikkerhedsprodukter er Microsoft Defender XDR justeret i forhold til MITRE ATT-&CK-strukturen™. Tidslinjen for beskeder viser den kronologiske rækkefølge, som beskederne indtraf i, og for hver af dem deres status og navn.
Omfanget Viser antallet af påvirkede enheder, brugere og postkasser og viser enhederne i rækkefølge efter risikoniveau og undersøgelsesprioritet.
Beskeder Viser de beskeder, der er involveret i hændelsen.
Beviser Viser antallet af enheder, der påvirkes af hændelsen.
Oplysninger om hændelse Viser egenskaberne for hændelsen, f.eks. mærker, status og alvorsgrad.

Lignende hændelser

Nogle hændelser kan have lignende hændelser angivet på siden Lignende hændelser . I dette afsnit vises hændelser, der har lignende beskeder, enheder og andre egenskaber. Dette kan hjælpe dig med at forstå omfanget af angrebet og identificere andre hændelser, der kan være relateret til hinanden.

Skærmbillede, der viser fanen Lignende hændelser for en hændelse på Microsoft Defender-portalen.

Tip

Defender Boxed, en række kort, der viser din organisations sikkerhedsmæssige succeser, forbedringer og svarhandlinger i løbet af de seneste seks måneder/år, vises i en begrænset periode i januar og juli hvert år. Få mere at vide om, hvordan du kan dele dine Defender Boxed-fremhævninger .

Næste trin

Efter behov:

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.

  • Last updated on