Afhjælp din første hændelse i Microsoft Defender XDR
Gælder for:
- Microsoft Defender XDR
Microsoft Defender XDR leverer registrerings- og analysefunktioner til at sikre indeslutning og udryddelse af trusler. Opbevaring omfatter trin til at reducere virkningen af angrebet, mens udryddelse sikrer, at alle spor af hackeraktivitet fjernes fra netværket.
Afhjælpning i Microsoft Defender XDR kan automatiseres eller via manuelle handlinger, der udføres af hændelsesreagere. Afhjælpningshandlinger kan udføres på enheder, filer og identiteter.
Automatisk afhjælpning
Microsoft Defender XDR udnytter sin trusselsintelligens og signalerne i dit netværk til at bekæmpe de mest forstyrrende angreb. Ransomware, business email compromise (BEC) og advers-in-the-middle (AiTM) phishing er nogle af de mest komplekse angreb, der kan indesluttes øjeblikkeligt gennem automatisk angrebsforstyrrelsesfunktionalitet . Når et angreb er blevet afbrudt, kan hændelsesreagere overtage og undersøge et angreb fuldt ud og anvende den nødvendige afhjælpning.
Få mere at vide om, hvordan automatisk afbrydelse af angreb hjælper i forbindelse med svar på hændelser:
I mellemtiden kan Microsoft Defender XDR's automatiserede undersøgelses- og svarfunktioner automatisk undersøge og anvende afhjælpningshandlinger på skadelige og mistænkelige elementer. Disse funktioner skalerer undersøgelse og løsning til trusler og frigør hændelsesreagere for at fokusere deres indsats på angreb med stor indvirkning.
Du kan konfigurere og administrere automatiserede undersøgelses- og svarfunktioner. Du kan også få vist alle tidligere og ventende handlinger via Løsningscenter.
Bemærk!
Du kan fortryde automatiske handlinger efter gennemsyn.
Du kan sætte fart på nogle af dine undersøgelsesopgaver ved at triage beskeder med Power Automate. Desuden kan automatiseret afhjælpning oprettes ved hjælp af automatisering og playbooks. Microsoft har playbook-skabeloner på GitHub til følgende scenarier:
- Fjern følsom fildeling efter anmodning om brugervalidering
- Automatisk triage af sjældne landebeskeder
- Anmodning om en overordnet handling, før du deaktiverer en konto
- Deaktiver regler for skadelig indbakke
Playbooks bruger Power Automate til at oprette brugerdefinerede automatiseringsflow for robotprocesser for at automatisere visse aktiviteter, når bestemte kriterier er blevet udløst. Organisationer kan oprette playbooks enten fra eksisterende skabeloner eller fra bunden. Der kan også oprettes playbooks under gennemgang efter hændelser for at oprette afhjælpningshandlinger fra løste hændelser.
Få mere at vide om, hvordan Power Automate kan hjælpe dig med at automatisere dit svar på hændelser via denne video:
Manuel afhjælpning
Sikkerhedsteams kan udnytte portalens manuelle afhjælpningshandlinger, mens de reagerer på et angreb, for at forhindre, at angreb pådrager sig yderligere skader. Nogle handlinger kan straks stoppe en trussel, mens andre hjælper med yderligere retsmedicinske analyser. Du kan anvende disse handlinger på alle enheder, afhængigt af de Defender-arbejdsbelastninger, der er installeret i din organisation.
Handlinger på enheder
Isoler enheden – isolerer en berørt enhed ved at afbryde enhedens forbindelse til netværket. Enheden forbliver tilsluttet Defender for Endpoint-tjenesten med henblik på fortsat overvågning.
Begræns udførelse af apps – begrænser et program ved at anvende en kodeintegritetspolitik, der kun tillader filer at køre, hvis de er signeret af et Microsoft-udstedt certifikat.
Kør Antivirusscanning – starter en Defender Antivirus-scanning eksternt for en enhed. Scanningen kan køre sammen med andre antivirusløsninger, uanset om Defender Antivirus er den aktive antivirusløsning eller ej.
Indsaml undersøgelsespakken – du kan indsamle en undersøgelsespakke fra en enhed som en del af undersøgelses- eller svarprocessen. Ved at indsamle undersøgelsespakken kan du identificere enhedens aktuelle tilstand og yderligere forstå de værktøjer og teknikker, der bruges af hackeren.
Start en automatiseret undersøgelse – starter en ny automatiseret undersøgelse til generelle formål på enheden. Mens der kører en undersøgelse, føjes alle andre beskeder, der genereres fra enheden, til en igangværende automatisk undersøgelse, indtil undersøgelsen er fuldført. Hvis den samme trussel ses på andre enheder, føjes disse enheder desuden til undersøgelsen.
Start direkte svar – giver dig øjeblikkelig adgang til en enhed ved hjælp af en ekstern shellforbindelse, så du kan udføre dybdegående undersøgelsesarbejde og udføre øjeblikkelige svarhandlinger for straks at indeholde identificerede trusler i realtid. Liverespons er designet til at forbedre undersøgelser ved at gøre det muligt for dig at indsamle retsmedicinske data, køre scripts, sende mistænkelige enheder til analyse, afhjælpe trusler og proaktivt jage efter nye trusler.
Spørg Defender Experts – du kan kontakte en Microsoft Defender-ekspert for at få mere indsigt i potentielt kompromitterede eller allerede kompromitterede enheder. Microsoft Defender-eksperter kan tilkobles direkte fra portalen for at få et rettidigt og nøjagtigt svar. Denne handling er tilgængelig for både enheder og filer.
Andre handlinger på enheder er tilgængelige via følgende selvstudium:
Bemærk!
Du kan foretage handlinger på enheder direkte fra grafen i angrebshistorien.
Handlinger på filer
- Stop- og sæt filer i karantæne - omfatter standsning af kørende processer, quarantining af filer og sletning af vedvarende data, f.eks. registreringsdatabasenøgler.
- Tilføj indikatorer for at blokere eller tillade filer – forhindrer et angreb i at sprede sig yderligere ved at forbyde potentielt skadelige filer eller mistanke om malware. Denne handling forhindrer, at filen læses, skrives eller udføres på enheder i din organisation.
- Download eller indsaml fil – gør det muligt for analytikere at downloade en fil i en adgangskodebeskyttet .zip arkivfil til yderligere analyse af organisationen.
- Detaljeret analyse – udfører en fil i et sikkert, fuldt instrumenteret cloudmiljø. Detaljerede analyseresultater viser filens aktiviteter, observerede funktionsmåder og tilknyttede artefakter, f.eks. mistede filer, ændringer i registreringsdatabasen og kommunikation med IP-adresser.
Afhjælpning af andre angreb
Bemærk!
Disse selvstudier gælder, når andre Defender-arbejdsbelastninger er aktiveret i dit miljø.
Følgende selvstudier optæller trin og handlinger, som du kan anvende, når du undersøger enheder eller reagerer på bestemte trusler:
- Svar på en kompromitteret mailkonto via Defender for Office 365
- Afhjælpning af sikkerhedsrisici med Defender for Vulnerability Management
- Afhjælpningshandlinger for brugerkonti via Defender for Identity
- Anvendelse af politikker til at styre apps med Defender for Cloud Apps
Næste trin
- Simuler angreb via oplæringen af simulering af angreb
- Udforsk Microsoft Defender XDR via Virtual Ninja-træningen
Se også
- Undersøg hændelser
- Få mere at vide om portalens funktioner via Microsoft Defender XDR Ninja-træningen
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.