Automatiseret undersøgelse og svar i Microsoft Defender XDR
Gælder for:
- Microsoft Defender XDR
Hvis din organisation bruger Microsoft Defender XDR, modtager sikkerhedsteamet en besked på Microsoft Defender portalen, når der registreres en skadelig eller mistænkelig aktivitet eller artefakt. I betragtning af det tilsyneladende uendelige strøm af trusler, der kan komme ind, står sikkerhedsteams ofte over for udfordringen med at håndtere den store mængde beskeder. Heldigvis indeholder Microsoft Defender XDR air-funktioner (automatiseret undersøgelse og svar), der kan hjælpe dit sikkerhedsteam med at håndtere trusler mere effektivt.
Denne artikel indeholder en oversigt over AIR og indeholder links til næste trin og yderligere ressourcer.
Sådan fungerer automatiseret undersøgelse og selvhelbredende
Når sikkerhedsbeskeder udløses, er det op til dit team af sikkerhedshandlinger at undersøge disse beskeder og tage skridt til at beskytte din organisation. Det kan være meget tidskrævende at prioritere og undersøge beskeder, især når nye beskeder bliver ved med at komme, mens en undersøgelse foregår. Sikkerhedsteams kan føle sig overvældet over den store mængde trusler, de skal overvåge og beskytte mod. Automatiserede undersøgelses- og svarfunktioner med selvhelbredende funktioner i Microsoft Defender XDR kan hjælpe.
Se følgende video for at se, hvordan selvhelbredende fungerer:
I Microsoft Defender XDR fungerer automatiseret undersøgelse og svar med selvhelbredende funktioner på tværs af dine enheder, mail & indhold og identiteter.
Tip
I denne artikel beskrives det, hvordan automatiseret undersøgelse og svar fungerer. Hvis du vil konfigurere disse funktioner, skal du se Konfigurer automatiserede undersøgelses- og svarfunktioner i Microsoft Defender XDR.
Din egen virtuelle analytiker
Forestil dig, at du har en virtuel analytiker i sikkerhedsteamet på niveau 1 eller niveau 2. Den virtuelle analytiker efterligner de ideelle trin, som sikkerhedshandlinger ville tage for at undersøge og afhjælpe trusler. Den virtuelle analytiker kan arbejde 24 x 7 med ubegrænset kapacitet og påtage sig en betydelig belastning af undersøgelser og trusselsafhjælpning. En sådan virtuel analytiker kan reducere den tid, det tager at svare, og frigøre dit sikkerhedsteam til andre vigtige trusler eller strategiske projekter. Hvis dette scenarie lyder som science fiction, er det ikke! En sådan virtuel analytiker er en del af din Microsoft Defender XDR-pakke, og navnet er automatiseret undersøgelse og svar.
Automatiserede undersøgelses- og svarfunktioner gør det muligt for dit team af sikkerhedshandlinger dramatisk at øge organisationens kapacitet til at håndtere sikkerhedsbeskeder og hændelser. Med automatiseret undersøgelse og svar kan du reducere omkostningerne ved at håndtere undersøgelses- og svaraktiviteter og få mest muligt ud af din pakke til trusselsbeskyttelse. Automatiserede undersøgelses- og svarfunktioner hjælper dit team med sikkerhedshandlinger ved at:
- Fastlæggelse af, om en trussel kræver handling.
- At tage (eller anbefale) nødvendige afhjælpningshandlinger.
- Fastlæggelse af, om og hvilke andre undersøgelser der skal finde sted.
- Gentager processen efter behov for andre beskeder.
Den automatiserede undersøgelsesproces
En besked opretter en hændelse, som kan starte en automatisk undersøgelse. Den automatiserede undersøgelse resulterer i en dom for hvert bevis. Dommene kan være:
- Skadelig
- Mistænkelige
- Der blev ikke fundet nogen trusler
Afhjælpningshandlinger for skadelige eller mistænkelige enheder identificeres. Eksempler på afhjælpningshandlinger omfatter:
- Afsendelse af en fil til karantæne
- Standsning af en proces
- Isolering af en enhed
- Blokering af en URL-adresse
- Andre handlinger
Du kan få flere oplysninger under Afhjælpningshandlinger i Microsoft Defender XDR.
Afhængigt af hvordan automatiserede undersøgelses- og svarfunktioner er konfigureret for din organisation, udføres afhjælpningshandlinger automatisk eller kun efter godkendelse af dit team for sikkerhedshandlinger. Alle handlinger, uanset om de venter eller er fuldført, vises i Løsningscenter.
Mens der kører en undersøgelse, føjes alle andre relaterede beskeder, der opstår, til undersøgelsen, indtil den er fuldført. Hvis et berørt objekt vises et andet sted, udvider den automatiserede undersøgelse dens omfang til at omfatte det pågældende objekt, og undersøgelsesprocessen gentages.
I Microsoft Defender XDR korrelerer hver automatiseret undersøgelse signaler på tværs af Microsoft Defender for Identity, Microsoft Defender for Endpoint og Microsoft Defender for Office 365 som opsummeret i følgende tabel:
| Enheder | Trusselsbeskyttelsestjenester |
|---|---|
| Enheder (også kaldet slutpunkter eller maskiner) | Defender for Endpoint |
| Active Directory-brugere, objektfunktionsmåder og aktiviteter i det lokale miljø | Defender for Identity |
| Mailindhold (mails, der kan indeholde filer og URL-adresser) | Defender for Office 365 |
Bemærk!
Det er ikke alle beskeder, der udløser en automatiseret undersøgelse, og ikke alle undersøgelser resulterer i automatiserede afhjælpningshandlinger. Det afhænger af, hvordan automatiseret undersøgelse og svar er konfigureret for din organisation. Se Konfigurer automatiserede undersøgelses- og svarfunktioner.
Visning af en liste over undersøgelser
Hvis du vil have vist undersøgelser, skal du gå til siden Hændelser . Vælg en hændelse, og vælg derefter fanen Undersøgelser . Du kan få mere at vide under Detaljer og resultater af en automatiseret undersøgelse.
Automatisk undersøgelse & svarkort
Den nye automatiserede undersøgelse & svarkort er tilgængelig på portalen Microsoft Defender (https://security.microsoft.com). Denne nye kortsynlighed til det samlede antal tilgængelige afhjælpningshandlinger. Kortet giver også et overblik over alle beskeder og den påkrævede godkendelsestid for hver besked.
Ved hjælp af det automatiserede undersøgelses-& svarkort kan dit team for sikkerhedshandlinger hurtigt navigere til Løsningscenter ved at vælge linket Godkend i Løsningscenter og derefter udføre de relevante handlinger. Kortet gør det muligt for dit team af sikkerhedshandlinger at administrere handlinger, der afventer godkendelse, mere effektivt.
Næste trin
- Se forudsætningerne for automatiseret undersøgelse og svar
- Konfigurer automatiseret undersøgelse og svar for din organisation
- Få mere at vide om Løsningscenter
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om