Jaa


Tapausten käsittely Microsoft Defender -portaalissa

Microsoft Defender -portaalin tapaus on kokoelma liittyviä hälytyksiä ja niihin liittyviä tietoja, jotka muodostavat hyökkäyksen tarinan. Se on myös tapaustiedosto, jonka avulla SOC voi tutkia kyseistä hyökkäystä ja hallita, toteuttaa ja dokumentoida vastauksen siihen.

Microsoft Sentinel- ja Microsoft Defender -palvelut luovat hälytyksiä, kun ne havaitsevat epäilyttävän tai haitallisen tapahtuman tai toiminnan. Yksittäiset hälytykset tarjoavat arvokkaita todisteita valmiista tai jatkuvasta hyökkäyksestä. Yhä yleisemmät ja kehittyneemmät hyökkäykset käyttävät kuitenkin yleensä erilaisia tekniikoita ja vektoreita erityyppisiin resurssientiteetteihin, kuten laitteisiin, käyttäjiin ja postilaatikoihin. Tuloksena on useita ilmoituksia useista lähteistä useille resurssientiteeteille digitaalisessa kiinteistössäsi.

Koska yksittäiset hälytykset kertovat vain osan tarinasta ja koska yksittäisten ilmoitusten ryhmittely manuaalisesti yhteen hyökkäyksen merkitykselliseksi saamiseksi voi olla haastavaa ja aikaa vievää, yhdistetty suojaustoimintojen ympäristö tunnistaa automaattisesti sekä Microsoft Sentineliin että Microsoft Defender XDR:ään liittyvät hälytykset ja koostaa ne ja niihin liittyvät tiedot tapaukseksi.

Miten Microsoft Defender XDR korreloi tapahtumat entiteeteistä tapaukseen.

Liittyvien hälytysten ryhmittely tapahtumaan antaa kattavan kuvan hyökkäyksestä. Voit esimerkiksi nähdä:

  • Mistä hyökkäys alkoi.
  • Mitä taktiikoita käytettiin?
  • Kuinka pitkälle hyökkäys on mennyt digitaaliseen tilaasi.
  • Tämä vaikutti hyökkäyksen laajuuteen, kuten laitteiden, käyttäjien ja postilaatikoiden määrään.
  • Kaikki hyökkäykseen liittyvät tiedot.

Microsoft Defender -portaalin yhdistetty suojaustoimintojen ympäristö sisältää menetelmiä, joilla voidaan automatisoida ja auttaa tapahtumien lajittelemisessa, tutkinnassa ja ratkaisussa.

  • Microsoft Copilot in Defender valjastaa tekoälyn tukemaan analyytikoita monimutkaisilla ja aikaa vievissä päivittäisissä työnkuluissa, mukaan lukien päästä päähän -tapausten tutkinta ja reagointi selkeästi kuvailtujen hyökkäysjuttujen avulla, vaiheittaiset toiminnalliset korjausohjeet ja tapausten toiminnan yhteenvedetyt raportit, luonnollisen kielen KQL-metsästys ja asiantuntijakoodianalyysi – optimoimalla SOC-tehokkuus Microsoft Sentinel- ja Defender XDR -tiedoissa.

    Tämä ominaisuus on muiden tekoälypohjaisten toimintojen lisäksi, joita Microsoft Sentinel tuo yhdistettyyn ympäristöön, käyttäjän ja entiteetin käyttäytymisanalytiikan, poikkeamien tunnistamisen, monivaiheisen uhkien tunnistamisen ja muiden alojen aloilla.

  • Automatisoitu hyökkäyshäiriö käyttää Microsoft Defender XDR:ltä ja Microsoft Sentinelistä kerättyjä erittäin luotettavuussignaaleja häiritäkseen automaattisesti aktiivisia hyökkäyksiä konenopeudella, sisältäen uhan ja rajoittaakseen vaikutusta.

  • Jos tämä on käytössä, Microsoft Defender XDR voi automaattisesti tutkia ja ratkaista Microsoft 365- ja Entra ID -lähteiden hälytyksiä automaation ja tekoälyn avulla. Voit myös suorittaa muita korjaustoimia hyökkäyksen ratkaisemiseksi.

  • Microsoft Sentinelin automaatiosäännöt voivat automatisoida tapahtumien triagen, määrittämisen ja hallinnan niiden lähteestä riippumatta. He voivat käyttää tunnisteita tapauksiin sisältönsä perusteella, estää meluisia (vääriä positiivisia) tapauksia ja sulkea ratkaistuja tapauksia, jotka täyttävät asianmukaiset ehdot, määrittää syyn ja lisätä kommentteja.

Tärkeää

Microsoft Sentinel on nyt yleisesti saatavilla Microsoft unified security operations -ympäristössä Microsoft Defender -portaalissa. Lisätietoja on Microsoft Sentinel -artikkelissa Microsoft Defender -portaalissa.

Tapaukset ja hälytykset Microsoft Defender -portaalissa

Voit hallita tapauksia tutkinnasta & vastaustapauksista > & hälytyksistä > TapauksetMicrosoft Defender -portaalin pikakäynnistyksessä. Tässä on esimerkki:

Microsoft Defender -portaalin Tapahtumat-sivu.

Tapauksen nimen valitseminen näyttää tapaussivun, joka alkaa tapahtuman koko hyökkäystarinasta , mukaan lukien:

  • Tapaus-ilmoitussivu: Tapahtumaan liittyvien hälytysten laajuus ja tiedot samassa välilehdessä.

  • Graph: Hyökkäyksen visuaalinen esitys, joka yhdistää hyökkäyksen kohteena olevat epäilyttävät entiteetit resurssientiteetteihin, jotka muodostavat hyökkäyksen kohteet, kuten käyttäjät, laitteet, sovellukset ja postilaatikot.

Voit tarkastella resurssia ja muita entiteetin tietoja suoraan kaaviosta ja käsitellä niitä vastausvaihtoehdoilla, kuten poistamalla tilin käytöstä, poistamalla tiedoston tai eristämällä laitteen.

Näyttökuva, jossa näkyy tapahtuman hyökkäystarinasivu Microsoft Defender -portaalissa.

Tapaussivu koostuu seuraavista välilehdistä:

  • Hyökkäystarina

    Edellä mainittu välilehti sisältää hyökkäyksen aikajanan, mukaan lukien kaikki hälytykset, resurssientiteetit ja toteutetut korjaustoimet.

  • Ilmoitukset

    Kaikki tapahtumaan, sen lähteisiin ja tietoihin liittyvät hälytykset.

  • Varat

    Kaikki resurssit (suojatut entiteetit, kuten laitteet, käyttäjät, postilaatikot, sovellukset ja pilviresurssit), jotka on tunnistettu tapahtuman osaksi tai niihin liittyviksi.

  • Tutkimukset

    Kaikki tapauksen hälytysten käynnistämät automatisoidut tutkimukset , mukaan lukien tutkimusten tila ja niiden tulokset.

  • Todisteet ja vastaus

    Kaikki tapahtuman hälytyksissä olevat epäilyttävät entiteetit, jotka ovat hyökkäystarinaa tukevia todisteita. Nämä entiteetit voivat sisältää IP-osoitteita, tiedostoja, prosesseja, URL-osoitteita, rekisteriavaimia ja arvoja ja paljon muuta.

  • Yhteenveto

    Lyhyt yleiskatsaus hälytyksiin liittyvistä resursseista, joihin tämä vaikuttaa.

Huomautus

Jos ilmoitustyyppiä ei tueta - ilmoituksen tila on, se tarkoittaa, että automaattisen tutkinnan ominaisuudet eivät voi noutaa kyseistä ilmoitusta automatisoidun tutkimuksen suorittamiseksi. Voit kuitenkin tutkia nämä hälytykset manuaalisesti.

Tapausvastauksen työnkulun esimerkki Microsoft Defender -portaalissa

Tässä on työnkulun esimerkki Microsoft 365:n tapauksiin vastaamisesta Microsoft Defender -portaalin avulla.

Esimerkki tapausten käsittelyn työnkulusta Microsoft Defender -portaalissa.

Tunnista jatkuvasti tapahtumajonon korkeimman prioriteetin tapaukset analysointia ja ratkaisemista varten ja valmistele ne reagointia varten. Tämä on yhdistelmä:

  • Lajitellaan korkeimman prioriteetin tapausten määrittämiseen suodattamalla ja lajittelemalla tapausjonoa.
  • Tapahtumien hallinta muokkaamalla niiden otsikkoa, määrittämällä ne analyytikolle sekä lisäämällä tunnisteita ja kommentteja.

Microsoft Sentinel -automaatiosääntöjen avulla voit automaattisesti lajitilla ja hallita (ja jopa vastata) joitakin tapauksia niitä luotaessa, jolloin helpoimmin käsiteltävät tapaukset eivät enää vie tilaa jonossasi.

Harkitse seuraavia vaiheita oman tapausten käsittelytyönkulun osalta:

Näyttämö Ohjeet
Aloita jokaista tapausta varten hyökkäys- ja hälytystutkimus ja analyysi.
  1. Tarkastele tapahtuman hyökkäystarinaa ymmärtääksesi sen laajuuden, vakavuuden, tunnistuslähteen ja sen, mihin resurssientiteetteihin tämä vaikuttaa.
  2. Aloita hälytysten analysointi niiden alkuperän, laajuuden ja vakavuuden ymmärtämiseksi tapahtuman hälytystarinan avulla.
  3. Kerää tarvittaessa tietoja laitteista, laitteista, käyttäjistä ja postilaatikoista, joihin kaavio vaikuttaa. Valitse mikä tahansa entiteetti avataksesi pikaikkunan, jossa on kaikki tiedot. Saat lisää merkityksellisiä tietoja seuraamalla entiteettisivua.
  4. Katso, miten Microsoft Defender XDR on automaattisesti ratkaissut joitakin ilmoituksiaTutkimukset-välilehdellä .
  5. Käytä tapauksen tietojoukon tietoja tarvittaessa lisätietojen lisääminen Näyttö ja vastaus -välilehdellä.
Suorita analyysin jälkeen tai sen aikana eristämistä, jotta voit vähentää tietoturvauhan hyökkäyksen ja hävittämisen lisävaikutuksia. Esimerkiksi,
  • Poista käytöstä vaarantuneet käyttäjät
  • Eristää vaikutuksen ansaitut laitteet
  • Estä vihamieliset IP-osoitteet.
  • Palauta hyökkäyksestä mahdollisimman paljon palauttamalla vuokraajaresurssit tilaan, jossa ne olivat ennen tapahtumaa.
    Ratkaise tapaus ja dokumentoi havaintosi. Ota aikaa tapausten jälkeiseen oppimiseen:
  • Tutustu hyökkäyksen tyyppiin ja sen vaikutukseen.
  • Tutki hyökkäys Threat Analyticsissa ja tietoturvayhteisössä tietoturvahyökkäystrendin vuoksi.
  • Muista työnkulku, jota käytit ongelman ratkaisemiseen ja vakiotyönkulkujen, -prosessien, -käytäntöjen ja -kirjojen päivittämiseen tarpeen mukaan.
  • Määritä, tarvitaanko suojausmäärityksissäsi muutoksia, ja ota ne käyttöön.
  • Jos olet uusi suojausanalyysin käyttäjä, katso lisätietoja ensimmäisestä tapauksesta vastaamisen johdannosta ja esimerkkitapauksesta.

    Lisätietoja tapausten käsittelystä Microsoft-tuotteissa on tässä artikkelissa.

    Suojaustoimintojen integrointi Microsoft Defender -portaalissa

    Tässä on esimerkki suojaustoimintojen (SecOps) prosessien integroinnista Microsoft Defender -portaalissa.

    Esimerkki Microsoft Defender XDR:n suojaustoiminnoista

    Päivittäisiä tehtäviä voivat olla esimerkiksi seuraavat:

    Kuukausittaisia tehtäviä voivat olla esimerkiksi seuraavat:

    Neljännesvuosittaiset tehtävät voivat sisältää raportin ja tiedotuksen tietoturvatuloksista tietoturvapäällikölle (CISO).

    Vuosittaisiin tehtäviin voi kuulua suuren tapahtuma- tai murtoharjoituksen suorittaminen henkilöstön, järjestelmien ja prosessien testaamiseksi.

    Päivittäisiä, kuukausittaisia, neljännesvuosittaisia ja vuosittaisia tehtäviä voidaan käyttää prosessien, käytäntöjen ja suojausmääritysten päivittämiseen tai hienosäätämiseen.

    Lisätietoja on artikkelissa Microsoft Defender XDR:n integrointi suojaustoimintoihin .

    Resurssien optimoiminen Microsoft-tuotteissa

    Lisätietoja Microsoftin tuotteiden sektioista on seuraavissa resursseissa:

    Tapausilmoitukset sähköpostitse

    Voit määrittää Microsoft Defender -portaalin ilmoittamaan henkilökunnallesi sähköpostitse uusista tapauksista tai olemassa olevien tapausten päivityksistä. Voit valita ilmoitusten vastaanottamisen:

    • Ilmoituksen vakavuus
    • Ilmoituslähteet
    • Laiteryhmä

    Lisätietoja tapahtumien sähköposti-ilmoitusten määrittämisestä on artikkelissa Tapauksiin tehtyjen sähköposti-ilmoitusten saaminen.

    Suojausanalyytikoiden koulutus

    Tämän Microsoft Learnin oppimismoduulin avulla voit ymmärtää, miten voit hallita tapauksia ja hälytyksiä Microsoft Defender XDR:n avulla.

    Harjoittelu: Microsoft Defender XDR:n tapausten tutkiminen
    Tutki tapauksia Microsoft Defenderin XDR-koulutuskuvakkeella. Microsoft Defender XDR poistaa uhkatiedot useista palveluista ja yhdistää ne tapauksiin ja hälytyksiin tekoälyn avulla. Lue, miten voit minimoida tapahtuman ja sen hallinnan välisen ajan myöhempää vastausta ja ratkaisua varten.

    27 min - 6 yksikköä

    Seuraavat vaiheet

    Käytä lueteltuja vaiheita suojaustiimisi käyttökokemustason tai roolin perusteella.

    Kokemustaso

    Seuraa tätä taulukkoa, jotta saat käyttökokemuksesi suojausanalyysista ja tapausten käsittelystä.

    Taso Ohjeet
    Uusi
    1. Katso ohjeet ensimmäisen tapauksen käsittelyyn vastaamisen ohjeartikkelista , jossa käydään läpi tyypillinen analyysi-, korjaus- ja tapausten jälkeinen tarkistus Microsoft Defender -portaalissa esimerkkihyökkäyksen avulla.
    2. Katso, mitkä tapaukset tulee priorisoida vakavuuden ja muiden tekijöiden perusteella.
    3. Hallitse tapauksia, jotka sisältävät tapausten hallinnan työnkulkuun perustuvien tunnisteiden ja kommenttien uudelleennimeämisen, määrittämisen, luokittelun ja lisäämisen.
    Kokenut
    1. Aloita tapausjonon käyttö Microsoft Defender -portaalin Tapahtumat-sivulta. Täältä voit:
      • Katso, mitkä tapaukset tulee priorisoida vakavuuden ja muiden tekijöiden perusteella.
      • Hallitse tapauksia, jotka sisältävät tapausten hallinnan työnkulkuun perustuvien tunnisteiden ja kommenttien uudelleennimeämisen, määrittämisen, luokittelun ja lisäämisen.
      • Tee tapausten tutkimuksia .
    2. Seuraa uusia uhkia ja vastaa niihin uhka-analytiikalla.
    3. Etsiä ennakoivasti uhkia kehittyneellä uhkien metsästyksellä.
    4. Näistä tapausten käsittelyn pelikirjoista saat yksityiskohtaisia ohjeita tietojenkalasteluun, salasanasuihkeisiin ja sovelluksen suostumuksen myöntämisen hyökkäyksiin.

    Käyttöoikeusryhmän rooli

    Seuraa tätä taulukkoa käyttöoikeusryhmäroolisi perusteella.

    Rooli Ohjeet
    Tapausten käsittely (taso 1) Aloita tapausjonon käyttö Microsoft Defender -portaalin Tapahtumat-sivulta. Täältä voit:
    • Katso, mitkä tapaukset tulee priorisoida vakavuuden ja muiden tekijöiden perusteella.
    • Hallitse tapauksia, jotka sisältävät tapausten hallinnan työnkulkuun perustuvien tunnisteiden ja kommenttien uudelleennimeämisen, määrittämisen, luokittelun ja lisäämisen.
    Tietoturvatutkija tai analyytikko (taso 2)
    1. Tutki tapauksia Microsoft Defender -portaalin Tapahtumat-sivulla.
    2. Näistä tapausten käsittelyn pelikirjoista saat yksityiskohtaisia ohjeita tietojenkalasteluun, salasanasuihkeisiin ja sovelluksen suostumuksen myöntämisen hyökkäyksiin.
    Kehittynyt tietoturva-analyytikko tai uhkien metsästäjä (taso 3)
    1. Tutki tapauksia Microsoft Defender -portaalin Tapahtumat-sivulla.
    2. Seuraa uusia uhkia ja vastaa niihin uhka-analytiikalla.
    3. Etsiä ennakoivasti uhkia kehittyneellä uhkien metsästyksellä.
    4. Näistä tapausten käsittelyn pelikirjoista saat yksityiskohtaisia ohjeita tietojenkalasteluun, salasanasuihkeisiin ja sovelluksen suostumuksen myöntämisen hyökkäyksiin.
    SOC-esimies Katso, miten voit integroida Microsoft Defender XDR:n tietoturvakeskukseen (SOC).

    Vihje

    Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.