Jaa

Tutki asiaa ja vastaa Microsoft Defender XDR avulla

  • Artikkeli

Tässä ovat Microsoft Defender XDR ensisijaiset tutkimus- ja vastaustehtävät:

Tapausten käsittely

Microsoft 365 -palvelut ja -sovellukset luovat hälytyksiä, kun ne havaitsevat epäilyttävän tai haitallisen tapahtuman tai toiminnan. Yksittäiset hälytykset antavat arvokkaita vihjeitä valmiista tai meneillään olevasta hyökkäyksestä. Hyökkäyksissä käytetään kuitenkin yleensä erilaisia tekniikoita erityyppisiin entiteetteihin, kuten laitteisiin, käyttäjiin ja postilaatikoihin. Tuloksena on useita ilmoituksia useille entiteeteille vuokraajassasi. Koska yksittäisten ilmoitusten kokoaminen yhteen hyökkäyksen merkitykselliseksi saamiseksi voi olla haastavaa ja aikaa vievää, Microsoft Defender XDR koostaa hälytykset ja niihin liittyvät tiedot automaattisesti tapahtumaan.

Sinun on jatkuvasti tunnistettava korkeimman prioriteetin tapaukset analysointia ja ratkaisemista varten tapausjonossa ja valmisteltava ne reagointia varten. Tämä on yhdistelmä:

  • Priorisoidaan korkeimman prioriteetin tapahtumien määrittämistä suodattamalla ja lajittelemalla tapausjono. Tätä kutsutaan myös triagingiksi.
  • Tapahtumien hallinta muokkaamalla niiden otsikkoa, määrittämällä ne analyytikolle, lisäämällä tunnisteita ja kommentteja ja kun ne on ratkaistu, luokittelemalla ne.

Käytä jokaista tapausta varten tapausten käsittelytyönkulkua tapahtuman analysoimiseen ja sen hälytyksiin ja tietoihin, jotta ne sisältävät hyökkäyksen, poistavat uhan, toipuvat hyökkäyksestä ja oppivat siitä. Katso tästä esimerkistä Microsoft Defender XDR.

Automaattinen tutkinta ja korjaus

Jos organisaatiosi käyttää Microsoft Defender XDR, suojaustoimintaryhmäsi saa ilmoituksen Microsoft Defender-portaalissa aina, kun havaitaan haitallista tai epäilyttävää toimintaa tai artefaktia. Tietoturvatiimit kohtaavat usein haasteen, joka koskee suurten hälytysten määrää, kun otetaan huomioon uhkien loputon kulku. Onneksi Microsoft Defender XDR sisältää automatisoituja tutkimus- ja reagointiominaisuuksia, joiden avulla suojaustoimintaryhmäsi voi vastata uhkiin tehokkaammin ja tehokkaammin.

Kun automatisoitu tutkimus on valmis, tuomio annetaan jokaisesta todisteesta. Tuomiosta riippuen korjaustoimet tunnistetaan. Joissakin tapauksissa korjaustoimet toteutetaan automaattisesti. muissa tapauksissa korjaustoiminnot odottavat hyväksyntää Microsoft Defender XDR toimintokeskuksen kautta.

Katso lisätietoja artikkelista Automatisoitu tutkimus ja reagointi Microsoft Defender XDR.

Ennakoiva uhkien etsintä kehittyneellä metsästyksellä

Ei riitä, että reagoit hyökkäyksiin niiden tapahtuessa. Jos käytät laajennettuja, monivaiheisia hyökkäyksiä, kuten kiristysohjelmia, sinun on etsittävä ennakoivasti todisteita käynnissä olevasta hyökkäyksestä ja ryhdyttävä toimiin sen pysäyttämiseksi ennen kuin se valmistuu.

Kehittynyt metsästys on kyselypohjainen uhkien metsästystyökalu Microsoft Defender XDR, jonka avulla voit tutkia raakadataa jopa 30 päivän ajan. Voit ennakoivasti tarkastaa verkon tapahtumat, jotta voit paikantaa uhkailmaisimet ja entiteetit. Tämä joustava pääsy Microsoft Defender XDR tietoihin mahdollistaa sekä tunnettujen että mahdollisten uhkien rajoittamattoman metsästyksen.

Voit käyttää samoja uhkien metsästyskyselyitä mukautettujen tunnistussääntöjen luomiseen. Nämä säännöt suoritetaan automaattisesti, jotta voidaan tarkistaa ja vastata epäiltyihin murtotoimintoihin, väärin määritettyihin koneisiin ja muihin havaintoihin.

Lisätietoja on artikkelissa Uhkien ennakoiva etsiminen kehittyneellä metsästyksellä Microsoft Defender XDR.

Siirry uusien uhkien edelle uhka-analytiikan avulla

Uhka-analytiikka on Microsoft Defender XDR uhkatietoominaisuus, joka on suunniteltu auttamaan tietoturvatiimiäsi olemaan mahdollisimman tehokas uusia uhkia kohdatessa. Se sisältää yksityiskohtaisia analyyseja ja tietoja:

  • Aktiiviset uhkatoimijat ja niiden kampanjat
  • Suositut ja uudet hyökkäystekniikat
  • Kriittiset haavoittuvuudet
  • Yleiset hyökkäyspinnat
  • Laajalle levinnyt haittaohjelma

Uhka-analytiikka sisältää myös tietoja toisiinsa liittyvistä tapahtumista ja resursseista Microsoft 365 -vuokraajassasi kutakin tunnistettua uhkaa varten.

Jokainen tunnistettu uhka sisältää analyytikkoraportin, kattavan analyysin Microsoftin tietoturvatutkijoiden kirjoittamasta uhasta, jotka ovat kyberturvallisuuden havaitsemisen ja analyysin eturintamassa. Nämä raportit voivat myös antaa tietoja siitä, miten hyökkäykset näkyvät Microsoft Defender XDR.

Lisätietoja on artikkelissa Uhka-analytiikka Microsoft Defender XDR.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.