Vastaaminen ensimmäiseen tapaustasi Microsoft Defender XDR
Koskee seuraavia:
- Microsoft Defender XDR
Tässä oppaassa on luettelo Microsoftin resursseista, joiden avulla uudet Microsoft Defender XDR käyttäjät voivat suorittaa portaalin käytön aikana varmasti päivittäisiä tapausten käsittelytehtäviä. Tämän oppaan aiotut tulokset ovat seuraavat:
- Opit nopeasti käyttämään Microsoft Defender XDR tapauksiin ja hälytyksiin vastaamiseen.
- Voit tutustua portaalin ominaisuuksiin, jotka auttavat tapausten tutkinnassa ja korjaamisessa videoiden ja opetusohjelmien kautta.
Microsoft Defender XDR avulla voit nähdä olennaiset uhkatapahtumat kaikissa resursseissä (laitteet, käyttäjätiedot, postilaatikot, pilvisovellukset ja paljon muuta). Portaali kokoaa signaaleja Defenderin suojausohjelmistosta, Microsoft Sentinelistä ja muista integroiduista suojaustieto- ja tapahtumahallintaratkaisuista (SIEM). Korreloidut hyökkäystiedot täyden kontekstin kanssa yhdessä lasiruudussa mahdollistavat organisaatiosi puolustamisen ja suojaamisen onnistuneesti.
Tässä oppaassa on kolme pääosaa:
- Tapahtumien ymmärtäminen: tapausten käyttö, triagingointi ja hallinta portaalissa
- Hyökkäysten analysointi: kokoelma videoita ja opetusohjelmia tiettyjen hyökkäysten tutkimiseksi portaalin ominaisuuksien avulla.
- Korjataan hyökkäyksiä: luetteloi automaattiset ja manuaaliset toiminnot, jotka ovat käytettävissä portaalissa uhkien korjaamiseksi. Tässä osiossa on linkkejä videoihin ja opetusohjelmiin.
Tapausten ymmärtäminen
Tapaus on luotujen prosessien ketju, komentoja ja toimintoja, jotka eivät ehkä ole osuneet samaan aikaan. Tapaus antaa kokonaisvaltaisen kuvan epäilyttävästä tai haitallisesta toiminnasta. Yksittäinen tapaus antaa sinulle hyökkäyksen täydellisen kontekstin sen sijaan, että lajittelet satoja ilmoituksia useista palveluista.
Vihje
Tammikuussa 2024, kun vierailet Tapahtumat-sivulla , Defender Boxed tulee näkyviin. Defender Boxed tuo esiin organisaatiosi tietoturvan onnistumisia, parannuksia ja reagointitoimia vuonna 2023. Jos haluat avata Defender Boxedin uudelleen, siirry Microsoft Defender portaalissa kohtaan Tapaukset ja valitse sitten Puolustaja Kehystetty.
Microsoft Defender XDR on monia ominaisuuksia, joiden avulla voit vastata tapahtumaan. Voit siirtyä tapauksiin valitsemalla Aloitus-sivun Aktiivisten tapausten kortissa Näytä kaikki tapaukset tai vasemman siirtymisruudun Tapaukset-&-ilmoitusten kautta.
kuvassa 1. Aktiivisten tapausten kortti Microsoft Defender XDR kotisivulla
Jokainen tapaus sisältää automaattisesti korreloituja ilmoituksiaeri tunnistuslähteistä , ja niihin voi liittyä erilaisia päätepisteitä, käyttäjätietoja tai pilvisovelluksia.
Tapauskonagenssi
Tapausten priorisointi vaihtelee reagoijan, suojaustiimin ja organisaation mukaan. Tapausten käsittelysuunnitelmat ja tietoturvaryhmien ohjeet voivat määrätä tapausten prioriteetin.
Microsoft Defender XDR on erilaisia indikaattoreita, kuten tapausten vakavuus, käyttäjätyypit tai uhkatyypit tapausten lajittelemiseksi ja priorisoimiseksi. Voit käyttää mitä tahansa näiden ilmaisimien yhdistelmiä, jotka ovat helposti saatavilla tapausjonon suodattimien kautta.
Esimerkki tapausten prioriteetin määrittämisestä on seuraavien tekijöiden yhdistäminen tapahtumaan:
- Välikohtauksen vakavuus on suuri.
- Automaation tutkintatila epäonnistui.
- On 5 resurssia, joihin vaikutus vaikuttaa ja joissa kaksi resurssia on merkitty erittäin luottamuksellisella tietojen luottamuksellisuustunnisteella.
- Tapahtuman tila on uusi.
- Tapausta ei ole määritetty kenellekään ryhmän jäsenelle tutkimusta varten.
Voit määrittää tapahtumalle suuren prioriteetin yllä olevien tietojen avulla. Voit aloittaa tapaustutkimuksen, kun prioriteetti on määritetty.
Huomautus
Microsoft Defender XDR määrittää automaattisesti suodattimet, kuten vakavuuden, tutkimustilat, vaikutusresurssit ja tapausten tilat. Tiedot perustuvat organisaatiosi verkkotoimintoihin, jotka on kontekstuoitu uhkatietosyötteiden ja käyttöön otettujen automatisoitujen korjaustoimien avulla.
Tapausten hallinta
Voit edistää tapausten hallinnan tehokkuutta antamalla olennaista tietoa tapauksista ja hälytyksistä. Kun lisäät tietoja seuraaviin suodattimiin kunkin tapauksen trikoinoinnin ja analysoinnin jälkeen, annat kyseiselle tapahtumalle lisäkontekstin, jota muut vastaajat voivat hyödyntää:
- Tapausten ja hälytysten luokittelu
- Tapausten nimeäminen
- Tunnisteiden lisääminen
- Kommenttien antaminen
Opi luokittelemaan tapaukset ja hälytykset tämän videon avulla:
Seuraavat vaiheet
- Analysoi ensimmäinen tapaus
- Korjaa ensimmäinen tapaus
- Katso demoja ja portaalin uutta kehitystä virtuaalisen ninjakoulutuksen Microsoft Defender XDR
Tutustu myös seuraaviin ohjeartikkeleihin:
- Integroi Microsoft Defender XDR suojaustoimintoihin
- Yleisiin hyökkäyksiin vastaaminen tapausten käsittelyn pelikirjojen avulla
- Opi portaalin ominaisuuksia ja toimintoja Microsoft Defender XDR Ninja -koulutuksen kautta
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.