Ilmoitusten tutkiminen Microsoft Defender XDR:ssä

Koskee seuraavia:

• Microsoft Defender XDR

Huomautus

Tässä artikkelissa kuvataan Microsoft Defender XDR:n suojausilmoitukset. Toimintoilmoitusten avulla voit kuitenkin lähettää sähköposti-ilmoituksia itsellesi tai muille järjestelmänvalvojille, kun käyttäjät suorittavat tiettyjä toimintoja Microsoft 365:ssä. Lisätietoja on artikkelissa Toimintailmoitusten luominen – Microsoft Purview | Microsoft Docs.

Hälytykset ovat kaikkien tapausten perusta ja ilmaisevat vahingollisten tai epäilyttävien tapahtumien esiintymisen ympäristössäsi. Hälytykset ovat tyypillisesti osa laajempaa hyökkäystä ja antavat vihjeitä tapahtumasta.

Microsoft Defender XDR:ssä liittyvät hälytykset koostetaan yhteen tapausten muodostamiseksi. Tapaukset tarjoavat aina hyökkäyksen laajemman kontekstin, mutta hälytysten analysointi voi olla arvokasta, kun tarvitaan syvempää analyysia.

Ilmoitukset-jonossa näkyy nykyinen ilmoitusjoukko. Pääset ilmoitusjonoon Kohdasta Tapaukset & hälytyksiä >Microsoft Defender -portaalin pikakäynnistyksessä.

Tässä näkyvät ilmoitukset eri Microsoftin suojausratkaisuista, kuten Microsoft Defender for Endpointista, Defender for Office 365:stä, Microsoft Sentinelistä, Defender for Cloudista, Defender for Identitystä, Defender for Cloud Appsista, Defender XDR:stä, Sovellushallinnasta, Microsoft Entra ID Protectionista ja Microsoft Data Loss Preventionista.

Microsoft Defender -portaalin ilmoitusjono näyttää oletusarvoisesti uudet ja keskeneräiset ilmoitukset viimeisten 30 päivän ajalta. Uusin ilmoitus on luettelon yläosassa, joten näet sen ensimmäisenä.

Oletusilmoitusjonosta voit valita Suodata , jolloin näkyviin tulee Suodatin-ruutu , josta voit määrittää ilmoitusten alijoukon. Tässä on esimerkki.

Voit suodattaa hälytyksiä näiden ehtojen mukaisesti:

• Vakavuus
• Tila
• Luokat
• Palvelun/tunnistuksen lähteet
• Tunnisteet
• Politiikka
• Entiteetit (kohderesurssit)
• Automaattisen tutkinnan tila
• Ilmoitusten tilaustunnukset

Defenderin office 365 -ilmoitusten pakolliset roolit

Sinulla on oltava jokin seuraavista rooleista, jotta voit käyttää Microsoft Defender for Office 365 -ilmoituksia:

• Microsoft Entran yleiset roolit:

  • Yleinen järjestelmänvalvoja
  • Suojauksen järjestelmänvalvoja
  • Suojausoperaattori
  • Yleinen lukija
  • Suojauksen lukija

• Office 365:n & yhteensopivuusrooliryhmät

  • Yhteensopivuuden järjestelmänvalvoja
  • Organisaation hallinta

• Mukautettu rooli

Analysoi ilmoitus

Jos haluat nähdä päähälytyssivun, valitse ilmoituksen nimi. Tässä on esimerkki.

Voit myös valita Avaa päähälytyssivu -toiminnon Ilmoitusten hallinta -ruudusta.

Ilmoitussivu koostuu seuraavista osista:

• Ilmoitustarina, joka on tähän ilmoitukseen liittyvä tapahtumaketju ja hälytykset aikajärjestyksessä
• Yhteenvedon tiedot

Ilmoitussivulla näet käytettävissä olevat toiminnot, kuten ilmoituksen linkittämisen toiseen tapahtumaan, valitsemalla minkä tahansa entiteetin vierestä kolme pistettä (...). Käytettävissä olevien toimintojen luettelo riippuu ilmoituksen tyypistä.

Ilmoituslähteet

Microsoft Defenderin XDR-hälytykset ovat peräisin ratkaisuista, kuten Microsoft Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps, sovellusten hallinnan lisäosa Microsoft Defender for Cloud Appsille, Microsoft Entra ID Protection ja Microsoft Data Loss Prevention. Saatat huomata hälytyksiä, joissa on valmiiksi käytettyjä merkkejä ilmoituksessa. Seuraavassa taulukossa on ohjeita, joiden avulla voit ymmärtää ilmoituslähteiden yhdistämismäärityksen hälytyksen käytetyn merkin perusteella.

Huomautus

• Käytetyt GUID-tunnukset koskevat vain yhtenäisiä käyttökokemuksia, kuten yhtenäistä ilmoitusjonoa, yhtenäistä hälytyssivua, yhdistettyä tutkintaa ja yhdistettyä tapausta.
• Käytetty merkki ei muuta ilmoituksen GUID-tunnusta. Ainoa GUID-tunnuksen muutos on käytetty valmiiksi käytetty osa.

Ilmoituksen lähde	Ilmoitustunnus ja käytetyt merkit
Microsoft Defender XDR	ra{GUID} ta{GUID} ThreatExperts-hälytyksille ea{GUID} mukautettujen tunnistusten hälytyksiä varten
Microsoft Defender for Office 365	fa{GUID} Esimerkkifa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Endpoint	da{GUID} ed{GUID} mukautettujen tunnistusten hälytyksiä varten
Microsoft Defender for Identity	aa{GUID} Esimerkkiaa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps	ca{GUID} Esimerkkica123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID Protection	ad{GUID}
Sovellusten hallinta	ma{GUID}
Microsoftin tietojen menetyksen estäminen	dl{GUID}
Microsoft Defender for Cloud	dc{GUID}
Microsoft Sentinel	sn{GUID}

Määritä Microsoft Entran IP-ilmoituspalvelu

1. Siirry Microsoft Defender -portaaliin (security.microsoft.com), valitse Asetukset>Microsoft Defender XDR.

2. Valitse luettelosta Ilmoituspalvelun asetukset ja määritä sitten Microsoft Entra ID Protection - ilmoituspalvelu.

   

Oletusarvoisesti vain tietoturvakeskuksen tärkeimmät hälytykset ovat käytössä. Jos haluat saada kaikki Microsoft Entra IP -riskintunnistuksia, voit muuttaa sitä Ilmoituspalvelun asetukset -osiossa.

Voit käyttää ilmoituspalvelun asetuksia myös suoraan Microsoft Defender -portaalin Tapahtumat-sivulta .

Tärkeää

Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Analysoi resurssit, joihin ongelma vaikuttaa

Toteutetut toiminnot -osassa on luettelo resursseista, joihin tämä ilmoitus vaikuttaa, kuten postilaatikoista, laitteista ja käyttäjistä, joihin tämä ilmoitus vaikuttaa.

Voit myös valita Näytä toimintokeskuksessa, jos haluat tarkastella Microsoft Defender -portaalin Toimintokeskuksen Historia-välilehteä.

Hälytyksen roolin jäljittäminen ilmoitusjutussa

Ilmoitusjuttu näyttää kaikki ilmoitukseen liittyvät resurssit tai entiteetit prosessipuunäkymässä. Otsikossa oleva ilmoitus on se, joka on kohdistettu, kun siirryt ensimmäisen kerran valitun ilmoituksen sivulle. Ilmoitusjutun resurssit ovat laajennettavissa ja napsautettavissa. Ne antavat lisätietoja ja nopeuttavat vastaustasi sallimalla toimien toteuttamisen suoraan ilmoitussivun kontekstissa.

Huomautus

Ilmoituksen juttu -osiossa voi olla useita ilmoituksia, ja samaan suorituspuuhun liittyvät lisäilmoitukset näkyvät ennen valitsemaasi ilmoitusta tai sen jälkeen.

Näytä lisätietoja tietosivulla

Tietosivulla näkyvät valitun ilmoituksen tiedot sekä siihen liittyvät tiedot ja toiminnot. Jos valitset ilmoitusjutussa jonkin asianomaisista resursseista tai entiteeteistä, tietosivu muuttuu tarjoamaan tilannekohtaisia tietoja ja toimintoja valitulle objektille.

Kun olet valinnut kiinnostavan entiteetin, tietosivu muuttuu näyttämään tietoja valitusta entiteettityypistä, historiatietoja, kun ne ovat käytettävissä, sekä vaihtoehtoja tämän entiteetin toimintojen suorittamiseen suoraan ilmoitussivulta.

Hallitse ilmoituksia

Jos haluat hallita ilmoitusta, valitse Ilmoitussivun yhteenvetotietojen osiosta Hallitse ilmoitusta . Jos kyseessä on yksittäinen ilmoitus, tässä on esimerkki Ilmoitusten hallinta -ruudusta.

Ilmoitusten hallinta -ruudun avulla voit tarkastella tai määrittää:

• Ilmoituksen tila (Uusi, Ratkaistu, Käynnissä).
• Käyttäjätili, jolle ilmoitus on määritetty.
• Hälytyksen luokitus:
  • Ei asetettu (oletus).
  • Tosi positiivinen ja uhkatyyppi. Käytä tätä luokitusta ilmoituksille, jotka ilmoittavat tarkasti todellisesta uhasta. Tämän uhkatyypin määrittäminen hälyttää tietoturvatiimisi näkemään uhkamalleja ja toimimaan organisaatiosi puolustamiseksi heiltä.
  • Tietoinen, odotettu toiminto , jolla on aktiviteettityyppi. Käytä tätä vaihtoehtoa ilmoituksille, jotka ovat teknisesti tarkkoja mutta edustavat normaalia toimintaa tai simuloitua uhkatoimintaa. Haluat yleensä jättää nämä hälytykset huomiotta, mutta odotat niiden vastaavanlaisia toimia tulevaisuudessa, kun todelliset hyökkääjät tai haittaohjelmat käynnistävät toiminnot. Tämän luokan vaihtoehtojen avulla voit luokitella suojaustestejä, punaisen tiimin toimintaa ja luotettavien sovellusten ja käyttäjien odotettua epätavallista toimintaa varten.
  • False-positiivinen ilmoitustyypeistä, jotka luotiin silloinkin, kun haitallisia toimia ei ole, tai väärästä hälytyksestä. Tämän luokan asetusten avulla voit luokitella hälytykset, jotka on virheellisesti tunnistettu normaaleiksi tapahtumiksi tai toiminnaksi haitallisiksi tai epäilyttäviksi. Toisin kuin ilmoitukset "Informaalista, odotetusta toiminnasta", josta voi olla hyötyä myös todellisten uhkien varalta, et yleensä halua nähdä näitä ilmoituksia uudelleen. Ilmoitusten luokitteleminen epätosi-positiiviseksi auttaa Microsoft Defender XDR:ää parantamaan sen tunnistuksen laatua.
• Kommentti ilmoituksesta.

Huomautus

Noin 29. elokuuta 2022 aiemmin tuetut hälytysten määritysarvot (Apt ja SecurityPersonnel) poistetaan käytöstä, eivätkä ne ole enää käytettävissä ohjelmointirajapinnan kautta.

Huomautus

Yksi tapa hallita ilmoituksia tunnisteiden avulla. Microsoft Defender for Office 365:n merkintäominaisuus otetaan käyttöön asteittain, ja se on tällä hetkellä esikatselussa.

Tällä hetkellä muokattuja tunnisteiden nimiä käytetään vain hälytyksiin, jotka on luotu päivityksen jälkeen . Ilmoitukset, jotka luotiin ennen muutosta, eivät vastaa päivitettyä tunnisteen nimeä.

Jos haluat hallita tiettyä ilmoitusta muistuttavien ilmoitusten joukkoa, valitse Näytä samanlaiset hälytyksetINSIGHT-ruudussa ilmoitussivun yhteenvetotietojen osiossa.

Ilmoitusten hallinta -ruudussa voit sitten luokitella kaikki liittyvät ilmoitukset samanaikaisesti. Tässä on esimerkki.

Jos vastaavat hälytykset on jo luokiteltu aiemmin, voit säästää aikaa Käyttämällä Microsoft Defenderin XDR-suosituksia saadaksesi tietää, miten muut hälytykset on ratkaistu. Valitse yhteenvetotiedot-osiosta Suositukset.

Suositukset-välilehti tarjoaa seuraavan vaiheen toimintoja ja neuvoja tutkintaa, korjauksia ja ehkäisyä varten. Tässä on esimerkki.

Ilmoituksen hienosäätäminen

Suojaustoimintokeskuksen analyytikkona yksi tärkeimmistä ongelmista on päivittäin käynnistyvien hälytysten määrän lajitteleminen. Analyytikon aika on arvokasta, ja hän haluaa keskittyä vain korkeaan vakavuustilaan ja tärkeisiin hälytyksiin. Samaan aikaan analyytikoita vaaditaan myös vähättelemään ja ratkaisemaan alemman prioriteetin hälytyksiä, mikä on yleensä manuaalinen prosessi.

Ilmoitusten säätö, jota aiemmin kutsutaan ilmoitusten estämiseksi, mahdollistaa ilmoitusten virittämisen ja hallinnan etukäteen. Tämä tehostaa ilmoitusjonoa ja säästää aikaväliä piilottamalla tai ratkaisemalla hälytyksiä automaattisesti aina, kun tietty odotettu organisaation toiminta ilmenee ja sääntöehdot täyttyvät.

Hälytysten säätösäännöt tukevat ehtoja, jotka perustuvat näyttötyyppeihin , kuten tiedostoihin, prosesseihin, ajoitettuihin tehtäviin ja muuntyyppisiin todisteisiin, jotka käynnistävät hälytyksiä. Kun olet luonut ilmoituksen säätösäännön, ota se käyttöön valitussa hälytyksessä tai missä tahansa ilmoitustyypissä, joka täyttää määritetyt ehdot ilmoituksen virittämiseksi.

Yleisen käytettävyyden ilmoitusten säätäminen tallentaa hälytykset vain Defender for Endpointista. Esikatselussa ilmoitusten säätö on kuitenkin laajennettu myös muihin Microsoft Defender XDR -palveluihin, kuten Defender for Office 365:een, Defender for Identityen, Defender for Cloud Appsiin, Microsoft Entra ID Protectioniin (Microsoft Entra IP) ja muihin, jos ne ovat saatavilla käyttöympäristössäsi ja palvelupaketissasi.

Varoitus

Suosittelemme, että käytät hälytysasennusta harkiten tilanteissa, joissa tunnetut sisäiset yrityssovellukset tai suojaustestit käynnistävät odotetun toiminnan etkä halua nähdä ilmoituksia.

Luo sääntöehdot ilmoitusten hienosäätämiseksi

Luo ilmoitusten säätösäännöt Microsoft Defenderin XDR-asetukset-alueelta tai ilmoituksen tietosivulta. Jatka valitsemalla jokin seuraavista välilehdistä.

Asetukset-sivu

1. Valitse Microsoft Defender -portaalissa Asetukset > Microsoft Defenderin XDR-ilmoituksen > säätö.

   

2. Valitse Lisää uusi sääntö , jos haluat hienosäätää uutta ilmoitusta, tai valitse aiemmin luotu sääntörivi, jos haluat tehdä muutoksia. Säännön otsikon valitseminen avaa säännön tietosivun, jossa voit tarkastella liittyvien ilmoitusten luetteloa, muokata ehtoja tai ottaa säännön käyttöön tai poistaa sen käytöstä.

3. Valitse Hienosäätä ilmoitus -ruudun Valitse palvelulähteet -kohdasta palvelulähteet, joihin haluat käyttää sääntöä. Luettelossa näytetään vain palvelut, joihin sinulla on käyttöoikeudet. Esimerkki:

   

4. Lisää Ehdot-alueelle ehto hälytyksen käynnistimiä varten. Jos haluat esimerkiksi estää ilmoituksen käynnistymisen, kun tietty tiedosto luodaan, määritä ehto Tiedosto:Mukautettu-käynnistimelle ja määritä tiedoston tiedot:

   

   • Luettelossa olevat käynnistimet eroavat valitsemistasi palvelulähteistä riippuen. Käynnistimet ovat kaikki kompromissien (IOC) indikaattoreita, kuten tiedostoja, prosesseja, ajoitettuja tehtäviä ja muita ilmoitusten laukaisevia näyttötyyppejä, kuten AMSI (AntiMalware Scan Interface) -komentosarjoja, Windows Management Instrumentation (WMI) -tapahtumia tai ajoitettuja tehtäviä.

   • Jos haluat määrittää useita säännön ehtoja, valitse Lisää suodatin ja käytä AND- tai OR-komentoja ja ryhmittelyasetuksia, jotta voit määrittää hälytyksen käynnistävien useiden näyttötyyppien väliset suhteet. Lisänäyttöominaisuudet täytetään automaattisesti uutena aliryhmänä, jossa voit määrittää ehtoarvot. Ehtoarvoissa kirjainkoko ei ole merkitsevä, ja jotkin ominaisuudet tukevat yleismerkkejä.

5. Valitse Hienosäätä ilmoitus -ruudun Toiminto-alueella haluamasi toiminto, joko Piilota ilmoitus tai Ratkaise ilmoitus.

6. Anna ilmoitullesi kuvaava nimi ja kommentti, joka kuvaa ilmoitusta, ja valitse sitten Tallenna.

Ilmoitukset-sivu

1. Siirry Microsoft Defender -portaalissa Ilmoitukset-sivulle tai ilmoituksen tietosivulle. Jos olet Ilmoitukset-sivulla , valitse ensin ilmoitus, jota haluat virittää, ja valitse sitten Viritä ilmoitus. Näytön tarkkuudesta riippuen sinun on ehkä valittava kolme pistettä (...), jotta näet Viritä ilmoitus -vaihtoehdon. Esimerkki:

   

   Näyttöön avautuu Tune-ilmoitusruutu, jossa voit määrittää ilmoituksen ehdot. Esimerkki:

   

2. Määritä seuraavat tiedot ja valitse sitten Tallenna:

3. Valitse Ilmoitustyypit-alueella , jos haluat käyttää ilmoituksen säätösääntöä vain valittua tyyppiä oleviin ilmoituksiin tai mihin tahansa samoihin ehtoihin perustuvaan ilmoitustyyppiin. Jos valitset Minkä tahansa ilmoitustyypin tiettyjen ehtojen perusteella, valitse myös palvelulähteet, joissa haluat käyttää sääntöä. Luettelossa näytetään vain palvelut, joihin sinulla on käyttöoikeudet. Esimerkki:

   

4. Lisää Ehdot-alueelle ehto hälytyksen käynnistimiä varten. Jos haluat esimerkiksi estää ilmoituksen käynnistymisen, kun tietty tiedosto luodaan, määritä ehto Tiedosto:Mukautettu-käynnistimelle ja määritä tiedoston tiedot:

   

   • Luettelossa olevat käynnistimet eroavat valitsemistasi palvelulähteistä riippuen. Käynnistimet ovat kaikki kompromissien (IOC) indikaattoreita, kuten tiedostoja, prosesseja, ajoitettuja tehtäviä ja muita ilmoitusten laukaisevia näyttötyyppejä, kuten AMSI (AntiMalware Scan Interface) -komentosarjoja, Windows Management Instrumentation (WMI) -tapahtumia tai ajoitettuja tehtäviä.

   • Jos haluat määrittää useita säännön ehtoja, valitse Lisää suodatin ja käytä AND- tai OR-komentoja ja ryhmittelyasetuksia, jotta voit määrittää hälytyksen käynnistävien useiden näyttötyyppien väliset suhteet. Lisänäyttöominaisuudet täytetään automaattisesti uutena aliryhmänä, jossa voit määrittää ehtoarvot. Ehtoarvoissa kirjainkoko ei ole merkitsevä, ja jotkin ominaisuudet tukevat yleismerkkejä.

5. Valitse Hienosäätä ilmoitus -ruudun Toiminto-alueella haluamasi toiminto, joko Piilota ilmoitus tai Ratkaise ilmoitus.

6. Anna ilmoitullesi merkityksellinen nimi ja ilmoitusta kuvaava kommentti.

Huomautus

Ilmoituksen otsikko (nimi) perustuu ilmoitustyyppiin (IoaDefinitionId), joka päättää ilmoituksen otsikon. Kaksi ilmoitusta, joilla on sama ilmoitustyyppi, voivat muuttua eri ilmoituksen otsikoksi.

Ilmoituksen ratkaiseminen

Kun olet analysoinut ilmoituksen ja se voidaan ratkaista, siirry hälytyksen tai samankaltaisten ilmoitusten Hallinta-ilmoitusruutuun ja merkitse tilaksi Ratkaistu ja luokittele se sitten Tosi-positiiviseksi , joka sisältää uhkatyypin, tiedot, odotetun toiminnon , jolla on tietyntyyppinen toiminto, tai Epätosi-positiiviseksi.

Ilmoitusten luokittelu auttaa Microsoft Defender XDR:ää parantamaan sen tunnistuksen laatua.

Ilmoitusten lajitteleminen Power Automaten avulla

Nykyaikaiset tietoturvatiimit tarvitsevat automaatiota toimiakseen tehokkaasti. Keskittyäkseen metsästykseen ja todellisten uhkien tutkimiseen SecOps-tiimit käyttävät Power Automatea selaamaan hälytysluetteloa ja poistamaan ne, jotka eivät ole uhkia.

Ilmoitusten ratkaisuehdot

• Käyttäjä on ottanut poissaoloviestin käyttöön
• Käyttäjää ei ole merkitty suureksi riskiksi

Jos molemmat ovat tosia, SecOps merkitsee hälytyksen lailliseksi matkaksi ja ratkaisee sen. Microsoft Teamsissa julkaistaan ilmoitus, kun ilmoitus on ratkaistu.

Power Automaten yhdistäminen Microsoft Defender for Cloud Appsiin

Automaation luomiseen tarvitaan ohjelmointirajapinnan tunnus, ennen kuin voit yhdistää Power Automaten Microsoft Defender for Cloud Appsiin.

1. Avaa Microsoft Defender ja valitse Asetukset>Pilvisovellusten>ohjelmointirajapinnan tunnus ja valitse sitten Ohjelmointirajapinnan tunnukset -välilehdestä Lisää tunnus.

2. Anna tunnuksen nimi ja valitse sitten Luo. Tallenna tunnus sellaisena kuin tarvitset sitä myöhemmin.

Luo automatisoitu työnkulku

Katso tästä lyhyestä videosta, miten automaatio toimii tehokkaasti sujuvan työnkulun luomiseksi ja miten Voit yhdistää Power Automaten Defender for Cloud Appsiin.

Seuraavat vaiheet

Jatka tutkimuksiasi prosessitapausten tarpeen mukaan.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Tapausten yleiskatsaus
• Tapausten hallinta
• Tapausten tutkiminen
• Tietojen menetyksen estämistä koskevien ilmoitusten tutkiminen Defenderissä
• Microsoft Entra ID Protection

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.