Undersøg beskeder i Microsoft Defender XDR

  • Artikel

Gælder for:

  • Microsoft Defender XDR

Bemærk!

I denne artikel beskrives sikkerhedsbeskeder i Microsoft Defender XDR. Du kan dog bruge aktivitetsbeskeder til at sende mailmeddelelser til dig selv eller andre administratorer, når brugerne udfører bestemte aktiviteter i Microsoft 365. Du kan få flere oplysninger under Create aktivitetsbeskeder – Microsoft Purview | Microsoft Docs.

Beskeder er grundlaget for alle hændelser og angiver forekomsten af skadelige eller mistænkelige hændelser i dit miljø. Beskeder er typisk en del af et bredere angreb og giver fingerpeg om en hændelse.

I Microsoft Defender XDR samles relaterede beskeder sammen for at danne hændelser. Hændelser vil altid give den bredere kontekst for et angreb, men analyse af beskeder kan være værdifuld, når en dybere analyse er påkrævet.

Køen Beskeder viser det aktuelle sæt beskeder. Du kommer til beskedkøen fra Hændelser & beskeder > Beskeder på hurtig start af Microsoft Defender-portalen.

Sektionen Beskeder på Microsoft Defender-portalen

Beskeder fra forskellige Microsoft-sikkerhedsløsninger, f.eks. Microsoft Defender for Endpoint, Microsoft Defender for Office 365 og Microsoft Defender XDR vises her.

Som standard viser beskedkøen på Microsoft Defender-portalen de nye og igangværende beskeder fra de seneste 30 dage. Den seneste besked er øverst på listen, så du kan se den først.

Fra standardkøen for beskeder kan du vælge Filter for at få vist ruden Filter , hvorfra du kan angive et undersæt af beskederne. Her er et eksempel.

Afsnittet Filtre på Microsoft Defender-portalen.

Du kan filtrere beskeder i henhold til disse kriterier:

  • Sværhedsgraden
  • Status
  • Tjenestekilder
  • Enheder (de påvirkede aktiver)
  • Automatiseret undersøgelsestilstand

Påkrævede roller for Defender for Office 365 beskeder

Du skal have en af følgende roller for at få adgang til Microsoft Defender for Office 365 beskeder:

  • For Microsoft Entra globale roller:

    • Global administrator
    • Sikkerhedsadministrator
    • Sikkerhedsoperator
    • Global læser
    • Sikkerhedslæser

  • Office 365 rollegrupper for sikkerhed & overholdelse

    • Administrator for overholdelse af angivne standarder
    • Organisationsadministration

  • En brugerdefineret rolle

Analysér en besked

Hvis du vil se hovedbeskedsiden, skal du vælge navnet på beskeden. Her er et eksempel.

Skærmbillede, der viser detaljerne for en besked på Microsoft Defender-portalen

Du kan også vælge handlingen Åbn hovedbeskedsiden i ruden Administrer besked .

En beskedside består af disse afsnit:

  • Beskedhistorie, som er den kæde af hændelser og beskeder, der er relateret til denne besked i kronologisk rækkefølge
  • Oversigtsoplysninger

På hele en beskedside kan du vælge ellipsen (...) ud for en hvilken som helst enhed for at se tilgængelige handlinger, f.eks. linke beskeden til en anden hændelse. Listen over tilgængelige handlinger afhænger af typen af besked.

Beskedkilder

Microsoft Defender XDR beskeder kan komme fra løsninger som Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps tilføjelsesprogrammet appstyring for Microsoft Defender for Cloud Apps, Microsoft Entra ID-beskyttelse, og Microsoft Forebyggelse af datatab. Du vil muligvis bemærke beskeder med forudberedte tegn i beskeden. Følgende tabel indeholder en vejledning til at hjælpe dig med at forstå tilknytningen af beskedkilder baseret på det forberedte tegn i beskeden.

Bemærk!

  • Guid'erne for forberedelse er kun specifikke for samlede oplevelser, f.eks. unified alerts queue, unified alerts page, unified investigation og unified incident.
  • Det forberedte tegn ændrer ikke guid'et for beskeden. Den eneste ændring af GUID'et er den forudforberedte komponent.
Beskedkilde Forberedt tegn
Microsoft Defender XDR ra
ta for ThreatExperts
ea for DetectionSource = DetectionSource.CustomDetection
Microsoft Defender for Office 365 fa{GUID}
Eksempel: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Endpoint da eller ed for beskeder om brugerdefineret registrering
Microsoft Defender for Identity aa{GUID}
Eksempel: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Eksempel: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID-beskyttelse ad
Appstyring ma
Microsoft Forebyggelse af datatab dl

Konfigurer Microsoft Entra IP-beskedtjeneste

  1. Gå til Microsoft Defender-portalen (security.microsoft.com), vælg Indstillinger>Microsoft Defender XDR.

  2. På listen skal du vælge Indstillinger for beskedtjeneste og derefter konfigurere Microsoft Entra ID-beskyttelse beskedtjeneste.

    Skærmbillede af indstillingen Microsoft Entra ID-beskyttelse beskeder på Microsoft Defender-portalen.

Som standard er det kun de mest relevante beskeder for Security Operation Center, der er aktiveret. Hvis du vil hente alle Microsoft Entra ip-risikoregistreringer, kan du ændre det i afsnittet Indstillinger for beskedtjeneste.

Du kan også få adgang til indstillinger for beskedtjenesten direkte fra siden Hændelser på Microsoft Defender portalen.

Vigtigt!

Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

Analysér berørte aktiver

Afsnittet Udførte handlinger indeholder en liste over påvirkede aktiver, f.eks. postkasser, enheder og brugere, der påvirkes af denne besked.

Du kan også vælge Vis i Handlingscenter for at få vist fanen Oversigt i Løsningscenter på Microsoft Defender portalen.

Spor en beskeds rolle i beskedhistorien

Beskedhistorien viser alle aktiver eller enheder, der er relateret til beskeden, i en procestrævisning. Beskeden i titlen er i fokus, første gang du lander på den valgte beskeds side. Aktiver i beskedhistorien kan udvides, og der kan klikkes på dem. De giver yderligere oplysninger og fremskynder dit svar ved at give dig mulighed for at handle direkte i forbindelse med beskedsiden.

Bemærk!

Afsnittet med beskedhistorien kan indeholde mere end én besked, hvor yderligere beskeder, der er relateret til det samme udførelsestræ, vises før eller efter den besked, du har valgt.

Få vist flere beskedoplysninger på detaljesiden

Detaljesiden viser detaljerne for den valgte besked med oplysninger og handlinger, der er relateret til den. Hvis du vælger en af de berørte aktiver eller objekter i beskedhistorien, ændres detaljesiden for at angive kontekstafhængige oplysninger og handlinger for det valgte objekt.

Når du har valgt et objekt af interesse, ændres detaljesiden, så der vises oplysninger om den valgte objekttype, historikoplysninger, når den er tilgængelig, og indstillinger, der kan udføres på denne enhed direkte fra beskedsiden.

Administrer beskeder

Hvis du vil administrere en besked, skal du vælge Administrer besked i sektionen med oversigtsoplysninger på beskedsiden. For en enkelt besked er her et eksempel på ruden Administrer besked .

Skærmbillede af sektionen Administrer besked på portalen Microsoft Defender

Ruden Administrer beskeder giver dig mulighed for at få vist eller angive:

  • Beskedstatus (Ny, Løst, Igangværende).
  • Den brugerkonto, der er tildelt beskeden.
  • Klassificeringen af beskeden:
    • Ikke angivet (standard).
    • Sand positiv med en form for trussel. Brug denne klassificering til beskeder, der nøjagtigt angiver en reel trussel. Hvis du angiver denne trusselstype, får dit sikkerhedsteam vist trusselsmønstre og reagerer for at forsvare din organisation mod dem.
    • Oplysende, forventet aktivitet med en aktivitetstype. Brug denne indstilling til beskeder, der er teknisk nøjagtige, men repræsenterer normal funktionsmåde eller simuleret trusselsaktivitet. Du vil generelt gerne ignorere disse beskeder, men forvente dem for lignende aktiviteter i fremtiden, hvor aktiviteterne udløses af faktiske hackere eller malware. Brug indstillingerne i denne kategori til at klassificere beskeder om sikkerhedstest, rød teamaktivitet og forventet usædvanlig adfærd fra apps og brugere, der er tillid til.
    • Falsk positiv for typer af beskeder, der blev oprettet, selv når der ikke er nogen skadelig aktivitet eller for en falsk alarm. Brug indstillingerne i denne kategori til at klassificere beskeder, der ved en fejl er identificeret som normale hændelser eller aktiviteter som skadelige eller mistænkelige. I modsætning til beskeder om "Information, forventet aktivitet", hvilket også kan være nyttigt for at opfange reelle trusler, vil du generelt ikke se disse beskeder igen. Klassificering af beskeder som falsk positiv hjælper Microsoft Defender XDR med at forbedre registreringskvaliteten.
  • En kommentar til beskeden.

Bemærk!

Omkring den 29. august 2022 frarådes tidligere understøttede værdier for bestemmelse af beskeder ('Apt' og 'SecurityPersonnel') og er ikke længere tilgængelige via API'en.

Bemærk!

En måde at administrere beskeder på ved hjælp af mærker. Mærkningsfunktionen for Microsoft Defender for Office 365 udrulles trinvist og er i øjeblikket en prøveversion.

I øjeblikket anvendes ændrede kodenavne kun på beskeder, der er oprettet efter opdateringen. Beskeder, der blev genereret før ændringen, afspejler ikke det opdaterede kodenavn.

Hvis du vil administrere et sæt beskeder, der ligner en bestemt besked, skal du vælge Få vist lignende beskeder i feltet INSIGHT i afsnittet med oversigtsoplysninger på beskedsiden.

Skærmbillede af valg af en besked på Microsoft Defender-portalen

I ruden Administrer beskeder kan du derefter klassificere alle relaterede beskeder på samme tid. Her er et eksempel.

Skærmbillede af administration af relaterede beskeder på Microsoft Defender-portalen

Hvis lignende beskeder allerede tidligere er klassificeret, kan du spare tid ved hjælp af Microsoft Defender XDR anbefalinger for at få mere at vide om, hvordan de andre beskeder blev løst. Vælg Anbefalinger i afsnittet med oversigtsoplysninger.

Skærmbillede af et eksempel på valg af anbefalinger til en besked

Fanen Anbefalinger indeholder næste trins handlinger og råd til undersøgelse, afhjælpning og forebyggelse. Her er et eksempel.

Skærmbillede af et eksempel på beskedanbefalinger

Juster en besked

Som SOC-analytiker (Security Operations Center) er et af de største problemer at triaging det eneste antal beskeder, der udløses dagligt. En analytikers tid er værdifuld og vil kun fokusere på vigtige beskeder med høj alvorsgrad og høj prioritet. I mellemtiden er analytikere også forpligtet til at prioritere og løse vigtige beskeder med lavere prioritet, hvilket normalt er en manuel proces.

Justering af beskeder giver mulighed for at justere og administrere beskeder på forhånd. Dette strømliner beskedkøen og sparer triagetid ved at skjule eller løse beskeder automatisk, hver gang en bestemt forventet organisationsfunktionsmåde opstår, og regelbetingelserne er opfyldt.

Du kan oprette regelbetingelser baseret på "bevistyper", f.eks. filer, processer, planlagte opgaver og mange andre bevistyper, der udløser beskeden. Når du har oprettet reglen, kan du anvende reglen på den valgte besked eller en hvilken som helst beskedtype, der opfylder regelbetingelserne, for at justere beskeden.

Desuden dækker funktionen også beskeder, der kommer fra forskellige Microsoft Defender XDR tjenestekilder. Funktionen til justering af beskeder i den offentlige prøveversion modtager beskeder fra arbejdsbelastninger, f.eks. Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps, Microsoft Entra ID-beskyttelse (Microsoft Entra IP) og andre, hvis disse kilder er tilgængelige på din platform og plan. Tidligere har funktionen til justering af beskeder kun hentet beskeder fra arbejdsbelastningen Defender for Endpoint.

Bemærk!

Vi anbefaler, at du bruger indstilling af beskeder, tidligere kendt som undertrykkelse af beskeder, med forsigtighed. I visse situationer udløser et kendt internt virksomhedsprogram eller sikkerhedstest en forventet aktivitet, og du vil ikke se disse beskeder. Så du kan oprette en regel for at justere disse beskedtyper.

Create regelbetingelser for justering af beskeder

Du kan indstille en besked på to måder i Microsoft Defender XDR. Sådan finjusterer du en besked fra siden Indstillinger :

  1. Gå til Indstillinger. I venstre rude skal du gå til Regler og vælge Beskedjustering.

    Skærmbillede af indstillingen Beskedjustering på siden Indstillinger for Microsoft Defender XDR.

    Vælg Tilføj ny regel for at finjustere en ny besked. Du kan også redigere en eksisterende regel i denne visning ved at vælge en regel på listen.

    Skærmbillede af tilføjelse af nye regler på siden Beskedjustering.

  2. I ruden Tilpas besked kan du vælge tjenestekilder, hvor reglen gælder i rullemenuen under Tjenestekilder.

    Skærmbillede af rullemenuen for tjenestekilden på siden Juster en besked.

    Bemærk!

    Det er kun tjenester, som brugeren har tilladelse til, der vises.

  3. Tilføj indikatorer for kompromis (IOCs), der udløser beskeden i afsnittet IOCs . Du kan tilføje en betingelse for at stoppe beskeden, når den udløses af en bestemt IOC eller af en hvilken som helst IOC, der er tilføjet i beskeden.

    IOC'er er indikatorer som f.eks. filer, processer, planlagte opgaver og andre bevistyper, der udløser beskeden.

    Skærmbillede af menuen IOC på siden Juster en besked.

    Hvis du vil angive flere regelbetingelser, skal du bruge indstillingerne AND, OR og gruppering til at oprette en relation mellem disse flere "bevistyper", der forårsager beskeden.

    1. Vælg f.eks. den udløsende bevisenhedsrolle: Udløser, er lig med og enhver for at stoppe beskeden, når den udløses af en IOC, der er tilføjet i beskeden. Alle egenskaberne for dette 'bevis' udfyldes automatisk som en ny undergruppe i de respektive felter nedenfor.

    Bemærk!

    Der skelnes ikke mellem store og små bogstaver i betingelsesværdier.

    1. Du kan redigere og/eller slette egenskaberne for dette 'bevis' afhængigt af dit krav (ved hjælp af jokertegn, når det understøttes).

    2. Bortset fra filer og processer er AMSI-script (AntiMalware Scan Interface), WMI-hændelse (Windows Management Instrumentation) og planlagte opgaver nogle af de nyligt tilføjede bevistyper, som du kan vælge på rullelisten med bevistyper.

    3. Klik på Tilføj filter for at tilføje endnu en IOC.

    Bemærk!

    Det er nødvendigt at føje mindst én IOC til regelbetingelsen for at indstille en hvilken som helst beskedtype.

  4. I afsnittet Handling skal du udføre den relevante handling af enten Skjul besked eller Løs besked.

    Angiv Navn, Beskrivelse, og klik på Gem.

    Bemærk!

    Beskedens titel (navn) er baseret på beskedtypen (IoaDefinitionId), som bestemmer beskedens titel. To beskeder med samme beskedtype kan ændres til en anden beskedtitel.

    Skærmbillede af menuen Handling på siden Tilpas en besked.

Sådan finjusterer du en besked fra siden Beskeder :

  1. Vælg en besked på siden Beskeder under Hændelser og beskeder. Du kan også vælge en besked, når du gennemser oplysninger om hændelser på siden Hændelse.

    Du kan finjustere en besked via ruden Finjuster beskeder , der automatisk åbnes i højre side af siden med beskedoplysninger.

    Skærmbillede af Juster en beskedrude på en beskedside.

  2. Vælg de betingelser, hvor beskeden gælder i sektionen Beskedtyper . Vælg Kun denne beskedtype for at anvende reglen på den valgte besked.

    Hvis du vil anvende reglen på en hvilken som helst beskedtype, der opfylder regelbetingelserne, skal du dog vælge En hvilken som helst beskedtype baseret på IOC-betingelser.

    Skærmbillede af Finjuster en beskedrude, der fremhæver sektionen Beskedtyper.

  3. Udfyldning af området er påkrævet, hvis beskedjusteringen er Defender for Endpoint-specifik. Vælg, om reglen skal gælde for alle enheder i organisationen eller for en bestemt enhed.

    Bemærk!

    Anvendelse af reglen på alle organisationer kræver en administratorrolletilladelse.

    Skærmbillede af Juster en beskedrude, der fremhæver området Område.

  4. Tilføj betingelser i afsnittet Betingelser for at stoppe beskeden, når den udløses af en bestemt IOC eller af en IOC, der er tilføjet i beskeden. Du kan vælge en bestemt enhed, flere enheder, enhedsgrupper, hele organisationen eller efter bruger i dette afsnit.

    Bemærk!

    Du skal have Administration tilladelse, når området kun er angivet for Bruger. Administration tilladelse er ikke påkrævet, når omfanget er angivet for Bruger sammen med enhed, enhedsgrupper.

    Skærmbillede af Juster en beskedrude, der fremhæver afsnittet Betingelser.

  5. Tilføj IOCs, hvor reglen gælder i afsnittet IOCs . Du kan vælge En hvilken som helst IOC for at stoppe beskeden, uanset hvilke 'beviser' der har forårsaget beskeden.

    Skærmbillede af Juster en beskedrude, der fremhæver sektionen IOCs.

  6. Du kan også vælge Udfyld automatisk alle beskeder 7 relaterede IOCs i sektionen IOCs for at tilføje alle beskedrelaterede bevistyper og deres egenskaber på én gang i afsnittet Betingelser .

    Skærmbillede af automatisk udfyldning af alle beskedrelaterede IOCs.

  7. I afsnittet Handling skal du udføre den relevante handling af enten Skjul besked eller Løs besked.

    Angiv Navn, Kommentar, og klik på Gem.

    Skærmbillede af afsnittet Handling i ruden Juster beskeder.

  8. Undgå, at IOC'erne bliver blokeret i fremtiden:

    Når du gemmer reglen for justering af beskeder, kan du føje de valgte IOC'er som indikatorer til "listen over tilladte" på siden Vellykket oprettelse af regel , der vises, og forhindre dem i at blive blokeret i fremtiden.

    Alle beskedrelaterede IOC'er vises på listen.

    IOCs, der blev valgt under undertrykkelsesbetingelserne, vælges som standard.

    1. Du kan f.eks. tilføje filer, der skal have tilladelse til at vælge beviser (IOC), der skal tillades. Som standard vælges den fil, der udløste beskeden.
    2. Angiv området i det Vælg område, der skal anvendes på. Som standard er området for den relaterede besked valgt.
    3. Klik på Gem. Nu er filen ikke blokeret, som den er på listen over tilladte.

  9. Den nye funktion til justering af beskeder er som standard tilgængelig.

    Du kan dog skifte tilbage til den tidligere oplevelse i Microsoft Defender portal ved at gå til Indstillinger > Microsoft Defender XDR > Beskedindstilling for regler >og derefter slå indstillingen Oprettelse af nye justeringsregler aktiveret fra.

    Bemærk!

    Snart er det kun den nye beskedjusteringsoplevelse, der er tilgængelig. Du kan ikke gå tilbage til den tidligere oplevelse.

  10. Rediger eksisterende regler:

    Du kan altid tilføje eller ændre regelbetingelser og omfanget af nye eller eksisterende regler på Microsoft Defender portalen ved at vælge den relevante regel og klikke på Rediger regel.

    Hvis du vil redigere eksisterende regler, skal du sikre, at til/fra-knappen Oprettelse af nye regler for justering af beskeder er aktiveret.

Løs en besked

Når du er færdig med at analysere en besked, og den kan løses, skal du gå til ruden Administrer beskeder for beskeden eller lignende beskeder og markere statussen som Løst og derefter klassificere den som sand positiv med en type trussel, en oplysende, forventet aktivitet med en aktivitetstype eller falsk positiv.

Klassificering af beskeder hjælper Microsoft Defender XDR med at forbedre registreringskvaliteten.

Brug Power Automate til at triage beskeder

SecOps-teams (Modern Security Operations) har brug for automatisering for at fungere effektivt. For at fokusere på jagt efter og undersøge reelle trusler bruger SecOps-teams Power Automate til at gennemgå listen over beskeder og fjerne dem, der ikke er trusler.

Kriterier for løsning af beskeder

  • Fraværende-meddelelse er slået til for brugeren
  • Brugeren er ikke mærket som høj risiko

Hvis begge er sande, markerer SecOps beskeden som legitim rejse og løser den. Der sendes en meddelelse i Microsoft Teams, når beskeden er løst.

Forbind Power Automate med Microsoft Defender for Cloud Apps

Hvis du vil oprette automatiseringen, skal du bruge et API-token, før du kan oprette forbindelse mellem Power Automate og Microsoft Defender for Cloud Apps.

  1. Åbn Microsoft Defender, og vælg Indstillinger>Cloud Apps>API-token, og vælg derefter Tilføj token under fanen API-tokens.

  2. Angiv et navn til dit token, og vælg derefter Generér. Gem tokenet, som du skal bruge det senere.

Create et automatiseret flow

Se denne korte video for at få mere at vide om, hvordan automatisering fungerer effektivt for at oprette en problemfri arbejdsproces, og hvordan du opretter forbindelse mellem Power Automate og Defender for Cloud Apps.

Næste trin

Fortsæt din undersøgelse efter behov i forbindelse med igangværende hændelser.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.