Jaa


Korjaa ensimmäinen tapaus Microsoft Defender XDR:ssä

Koskee seuraavia:

  • Microsoft Defender XDR

Microsoft Defender XDR tarjoaa tunnistus- ja analyysiominaisuudet uhkien hillitsemiseksi ja hävittämiseksi. Eristäminen sisältää toimenpiteet hyökkäyksen vaikutuksen vähentämiseksi, kun taas hävittäminen varmistaa, että kaikki hyökkääjän toiminnan jäljitykset poistetaan verkosta.

Korjaus Microsoft Defender XDR:ssä voidaan automatisoida tai tapahtumavastaajien manuaalisilla toimenpiteillä. Korjaustoimintoja voidaan tehdä laitteille, tiedostoille ja käyttäjätiteetille.

Automaattinen korjaus

Microsoft Defender XDR hyödyntää uhkatietojaan ja verkon signaaleja häiritsevimpien hyökkäysten torjumiseksi. Kiristyshaittaohjelmat, yrityssähköpostin kompromissi (BEC) ja vastustaja keskellä (AiTM) -tietojenkalastelu ovat monimutkaisia hyökkäyksiä, jotka voidaan hallita välittömästi automaattisen hyökkäyshäiriöominaisuuden kautta. Kun hyökkäys on häiriintynyt, tapausten vastaajat voivat ottaa hyökkäyksen haltuunsa ja tutkia hyökkäyksen perusteellisesti ja soveltaa vaadittua korjausta.

Lue, miten automaattinen hyökkäyshäiriö auttaa tapausten käsittelyn aikana:

Samaan aikaan Microsoft Defender XDR:n automaattiset tutkinta- ja vastaustoiminnot voivat automaattisesti tutkia ja soveltaa korjaustoimia haitallisiin ja epäilyttäviin kohteisiin. Nämä ominaisuudet skaalaavat tutkinnan ja uhkiin vastaamisen vapauttaen tapausten vastaajia keskittämään ponnistelunsa suuren vaikutuksen hyökkäyksiin.

Voit määrittää ja hallita automatisoituja tutkimus- ja vastausominaisuuksia. Voit myös tarkastella kaikkia aiempia ja odottavia toimintoja toimintokeskuksen kautta.

Huomautus

Voit kumota automaattiset toiminnot tarkistuksen jälkeen.

Voit nopeuttaa joitakin tutkintatehtäviäsi tutkimalla ilmoituksia Power Automaten avulla. Lisäksi automatisoituja korjauksia voidaan luoda automaation ja pelikirjojen avulla. Microsoftilla on GitHubissa playbook-malleja seuraavia skenaarioita varten:

  • Luottamuksellisen tiedoston jakamisen poistaminen pyydettyään käyttäjän vahvistusta
  • Automaattiset ja harvinaiset maahälytykset
  • Pyydä esimiehelle -toimintoa ennen tilin poistamista käytöstä
  • Poista haitalliset Saapuneet-kansion säännöt käytöstä

Playbooks käyttää Power Automatea mukautettujen robottirobottiprosessien työnkulkujen luomiseen tiettyjen toimintojen automatisoimiseksi, kun tietyt kriteerit on otettu käyttöön. Organisaatiot voivat luoda pelikirjoja joko olemassa olevista malleista tai alusta alkaen. Pelikirjoja voidaan luoda myös tapausten jälkeisen tarkastelun aikana ratkaisutoimien luomiseksi ratkaistuista tapauksista.

Lue tästä videosta, miten Power Automate voi auttaa automatisoimaan tapausten käsittelyn:

Manuaalinen korjaus

Reagoidessaan hyökkäykseen tietoturvatiimit voivat hyödyntää portaalin manuaalisia korjaustoimia estääkseen hyökkäyksiä aiheuttamasta lisävahinkoja. Jotkut toimet voivat välittömästi pysäyttää uhan, kun taas toiset auttavat lisäanalyysissä. Voit ottaa nämä toiminnot käyttöön missä tahansa entiteetissä organisaatiossasi käyttöönotetun Defender-kuormituksen mukaan.

Toiminnot laitteissa

  • Eristää laitteen – eristää laitteen, johon laite vaikuttaa, katkaisemalla yhteyden verkkoon. Laite pysyy yhteydessä Defender for Endpoint -palveluun, jotta seurantaa voidaan jatkaa.

  • Rajoita sovelluksen suorittamista – rajoittaa sovellusta käyttämällä koodin eheyskäytäntöä, joka sallii tiedostojen suorittamisen vain, jos ne on allekirjoitettu Microsoftin myöntämällä varmenteella.

  • Suorita virustentorjuntatarkistus - käynnistää Defenderin virustentorjuntatarkistuksen etäyhteyden kautta laitteelle. Tarkistus voidaan suorittaa yhdessä muiden virustentorjuntaratkaisujen kanssa riippumatta siitä, onko Defenderin virustentorjunta aktiivinen virustentorjuntaratkaisu vai ei.

  • Kerää tutkimuspaketti – voit kerätä tutkimuspaketin laitteesta osana tutkinta- tai vastausprosessia. Keräämällä tutkimuspaketin voit tunnistaa laitteen nykyisen tilan ja ymmärtää tarkemmin hyökkääjän käyttämiä työkaluja ja tekniikoita.

  • Aloita automatisoitu tutkimus – aloittaa uuden yleisen tarkoituksen automatisoidun tutkimuksen laitteessa. Kun tutkimus on käynnissä, kaikki muut laitteesta luodut hälytykset lisätään meneillään olevaan automatisoituun tutkimukseen, kunnes tutkimus on valmis. Lisäksi jos sama uhka näkyy muissa laitteissa, nämä laitteet lisätään tutkintaan.

  • Aloita reaaliaikainen vastaus – antaa sinulle välittömän pääsyn laitteeseen käyttämällä etäliittymäyhteyttä, jotta voit tehdä perusteellista tutkimustyötä ja ryhtyä välittömiin toimiin tunnistaaksesi uhat nopeasti reaaliaikaisesti. Reaaliaikainen reagointi on suunniteltu parantamaan tutkimuksia siten, että voit kerätä rikosteknisiä tietoja, suorittaa komentosarjoja, lähettää epäilyttäviä entiteettejä analysoitaviksi, korjata uhkia ja etsiä ennakoivasti uusia uhkia.

  • Kysy Defender-asiantuntijoilta – voit pyytää Microsoft Defenderin asiantuntijalta lisätietoja mahdollisesti vaarantuvista tai jo vaarantuneista laitteista. Microsoft Defenderin asiantuntijat voidaan palkata suoraan portaalista saadakseen oikea-aikaisen ja tarkan vastauksen. Tämä toiminto on käytettävissä sekä laitteille että tiedostoille.

Muut toiminnot laitteissa ovat käytettävissä seuraavan opetusohjelman kautta:

Huomautus

Voit ryhtyä toimiin laitteissa suoraan hyökkäystarinan kaaviosta.

Tiedostojen toiminnot

  • Stop- ja quarantinetiedosto . Sisältää käynnissä olevien prosessien lopettamisen, tiedostojen laadullisen määrittämisen ja pysyvien tietojen, kuten rekisteriavainten, poistamisen.
  • Lisää ilmaisimia tiedoston estämiseksi tai sallimiseksi - estää hyökkäyksen leviämisen kieltämällä mahdollisesti haitallisia tiedostoja tai epäiltyjä haittaohjelmia. Tämä toiminto estää tiedoston lukemisen, kirjoittamisen tai suorittamisen organisaatiosi laitteissa.
  • Lataa tai kerää tiedosto – analyytikot voivat ladata tiedoston salasanalla suojatussa .zip arkistotiedostossa organisaation lisäanalyyseja varten.
  • Syväanalyysi – suorittaa tiedoston turvallisessa, täysin instrumentoidussa pilviympäristössä. Syväanalyysitulokset näyttävät tiedoston toiminnot, havaitut toiminnat ja niihin liittyvät artefaktit, kuten pudotetut tiedostot, rekisterin muutokset ja tiedonsiirron IP-osoitteiden kanssa.

Muiden hyökkäysten korjaaminen

Huomautus

Nämä opetusohjelmat ovat käytössä, kun muut Defender-kuormitukset ovat käytössä ympäristössäsi.

Seuraavissa opetusohjelmissa luetteloidaan vaiheet ja toiminnot, joita voit käyttää tutkiessasi entiteettejä tai vastatessasi tiettyihin uhkiin:

Seuraavat vaiheet

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.