Ilmoitusten tutkiminen Microsoft Defender XDR:ssä
Koskee seuraavia:
- Microsoft Defender XDR
Huomautus
Tässä artikkelissa kuvataan Microsoft Defender XDR:n suojausilmoitukset. Toimintoilmoitusten avulla voit kuitenkin lähettää sähköposti-ilmoituksia itsellesi tai muille järjestelmänvalvojille, kun käyttäjät suorittavat tiettyjä toimintoja Microsoft 365:ssä. Lisätietoja on artikkelissa Toimintailmoitusten luominen – Microsoft Purview | Microsoft Docs.
Hälytykset ovat kaikkien tapausten perusta ja ilmaisevat vahingollisten tai epäilyttävien tapahtumien esiintymisen ympäristössäsi. Hälytykset ovat tyypillisesti osa laajempaa hyökkäystä ja antavat vihjeitä tapahtumasta.
Microsoft Defender XDR:ssä liittyvät hälytykset koostetaan yhteen tapausten muodostamiseksi. Tapaukset tarjoavat aina hyökkäyksen laajemman kontekstin, mutta hälytysten analysointi voi olla arvokasta, kun tarvitaan syvempää analyysia.
Ilmoitukset-jonossa näkyy nykyinen ilmoitusjoukko. Pääset ilmoitusjonoon Kohdasta Tapaukset & hälytyksiä >Microsoft Defender -portaalin pikakäynnistyksessä.
Tässä näkyvät ilmoitukset eri Microsoftin suojausratkaisuista, kuten Microsoft Defender for Endpointista, Defender for Office 365:stä, Microsoft Sentinelistä, Defender for Cloudista, Defender for Identitystä, Defender for Cloud Appsista, Defender XDR:stä, Sovellushallinnasta, Microsoft Entra ID Protectionista ja Microsoft Data Loss Preventionista.
Oletusarvoisesti Microsoft Defender -portaalin ilmoitusjono näyttää uudet ja keskeneräiset ilmoitukset viimeisten seitsemän päivän ajalta. Uusin ilmoitus on luettelon yläosassa, joten näet sen ensimmäisenä.
Oletusilmoitusjonosta voit valita Suodata , jolloin näkyviin tulee Suodatin-ruutu , josta voit määrittää ilmoitusten alijoukon. Tässä on esimerkki.
Voit suodattaa hälytyksiä näiden ehtojen mukaisesti:
- Vakavuus
- Tila
- Luokat
- Palvelun/tunnistuksen lähteet
- Tunnisteet
- Politiikka
- Entiteetit (kohderesurssit)
- Automaattisen tutkinnan tila
- Ilmoitusten tilaustunnukset
Huomautus
Microsoft Defenderin XDR-asiakkaat voivat nyt suodattaa tapauksia hälytyksillä, joissa vaarantunut laite on yhteydessä käyttötekniikkalaitteisiin (OT), jotka on yhdistetty yritysverkkoon Microsoft Defender for IoT:n ja Microsoft Defender for Endpointin laiteetsintäintegroinnin kautta. Jos haluat suodattaa nämä tapaukset, valitse Mikä tahansa Palvelun/tunnistuksen lähteistä, valitse sitten Microsoft Defender IoT:lle Tuotteen nimestä tai katso Tapausten ja hälytysten tutkiminen Microsoft Defenderin IoT:ssä Defender-portaalissa. Laiteryhmien avulla voit myös suodattaa sivustokohtaisia ilmoituksia. Lisätietoja Defender for IoT-edellytyksistä on artikkelissa Yrityksen IoT-valvonnan aloittaminen Microsoft Defender XDR:ssä.
Hälytyksessä voi olla järjestelmätunnisteita ja/tai mukautettuja tunnisteita, joilla on tietyt väritaustat. Mukautetuissa tunnisteissa käytetään valkoista taustaa, kun taas järjestelmätunnisteissa käytetään yleensä punaisia tai mustia taustavärejä. Järjestelmätunnisteet tunnistavat tapahtuman seuraavat:
- Hyökkäystyyppi, kuten kiristyshaittaohjelma tai tunnistetietojen tietojenkalastelu
- Automaattiset toiminnot, kuten automaattinen tutkinta ja reagointi sekä automaattisen hyökkäyksen häiriöt
- Defender-asiantuntijat käsittelevät tapausta
- Tapahtumaan osallistuneet kriittiset resurssit
Vihje
Microsoftin suojauksen altistumisen hallinta, joka perustuu ennalta määritettyihin luokitteluihin, merkitsee laitteet, käyttäjätiedot ja pilviresurssit automaattisesti kriittiseksi resurssiksi. Tämä valmiilla toiminnolla varmistetaan organisaation arvokkaimpien ja tärkeimpien resurssien suojaus. Se auttaa myös suojaustiimiä priorisoimaan tutkimuksia ja korjauksia. Lisätietoja kriittisestä resurssienhallinnasta.
Defenderin office 365 -ilmoitusten pakolliset roolit
Sinulla on oltava jokin seuraavista rooleista, jotta voit käyttää Microsoft Defender for Office 365 -ilmoituksia:
Microsoft Entran yleiset roolit:
- Yleinen järjestelmänvalvoja
- Suojauksen järjestelmänvalvoja
- Suojausoperaattori
- Yleinen lukija
- Suojauksen lukija
Office 365:n & yhteensopivuusrooliryhmät
- Yhteensopivuuden järjestelmänvalvoja
- Organisaation hallinta
Huomautus
Microsoft suosittelee käyttämään rooleja, joilla on vähemmän käyttöoikeuksia suojauksen parantamiseksi. Yleisen järjestelmänvalvojan roolia, jolla on useita käyttöoikeuksia, tulisi käyttää hätätilanteissa vain, kun mikään muu rooli ei sovi.
Analysoi ilmoitus
Jos haluat nähdä päähälytyssivun, valitse ilmoituksen nimi. Tässä on esimerkki.
Voit myös valita Avaa päähälytyssivu -toiminnon Ilmoitusten hallinta -ruudusta.
Ilmoitussivu koostuu seuraavista osista:
- Ilmoitustarina, joka on tähän ilmoitukseen liittyvä tapahtumaketju ja hälytykset aikajärjestyksessä
- Yhteenvedon tiedot
Ilmoitussivulla näet käytettävissä olevat toiminnot, kuten ilmoituksen linkittämisen toiseen tapahtumaan, valitsemalla minkä tahansa entiteetin vierestä kolme pistettä (...). Käytettävissä olevien toimintojen luettelo riippuu ilmoituksen tyypistä.
Ilmoituslähteet
Microsoft Defenderin XDR-hälytykset ovat peräisin ratkaisuista, kuten Microsoft Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps, sovellusten hallinnan lisäosa Microsoft Defender for Cloud Appsille, Microsoft Entra ID Protection ja Microsoft Data Loss Prevention. Saatat huomata hälytyksiä, joissa on valmiiksi käytettyjä merkkejä ilmoituksessa. Seuraavassa taulukossa on ohjeita, joiden avulla voit ymmärtää ilmoituslähteiden yhdistämismäärityksen hälytyksen käytetyn merkin perusteella.
Huomautus
- Käytetyt GUID-tunnukset koskevat vain yhtenäisiä käyttökokemuksia, kuten yhtenäistä ilmoitusjonoa, yhtenäistä hälytyssivua, yhdistettyä tutkintaa ja yhdistettyä tapausta.
- Käytetty merkki ei muuta ilmoituksen GUID-tunnusta. Ainoa GUID-tunnuksen muutos on käytetty valmiiksi käytetty osa.
Ilmoituksen lähde | Ilmoitustunnus ja käytetyt merkit |
---|---|
Microsoft Defender XDR | ra{GUID} ta{GUID} ThreatExperts-hälytyksilleea{GUID} mukautettujen tunnistusten hälytyksiä varten |
Microsoft Defender for Office 365 | fa{GUID} Esimerkki fa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender for Endpoint | da{GUID} ed{GUID} mukautettujen tunnistusten hälytyksiä varten |
Microsoft Defender for Identity | aa{GUID} Esimerkki aa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender for Cloud Apps | ca{GUID} Esimerkki ca123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Entra ID Protection | ad{GUID} |
Sovellusten hallinta | ma{GUID} |
Microsoftin tietojen menetyksen estäminen | dl{GUID} |
Microsoft Defender for Cloud | dc{GUID} |
Microsoft Sentinel | sn{GUID} |
Määritä Microsoft Entran IP-ilmoituspalvelu
Siirry Microsoft Defender -portaaliin (security.microsoft.com), valitse Asetukset>Microsoft Defender XDR.
Valitse luettelosta Ilmoituspalvelun asetukset ja määritä sitten Microsoft Entra ID Protection - ilmoituspalvelu.
Oletusarvoisesti vain tietoturvakeskuksen tärkeimmät hälytykset ovat käytössä. Jos haluat saada kaikki Microsoft Entra IP -riskintunnistuksia, voit muuttaa sitä Ilmoituspalvelun asetukset -osiossa.
Voit käyttää ilmoituspalvelun asetuksia myös suoraan Microsoft Defender -portaalin Tapahtumat-sivulta .
Tärkeää
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Analysoi resurssit, joihin ongelma vaikuttaa
Toteutetut toiminnot -osassa on luettelo resursseista, joihin tämä ilmoitus vaikuttaa, kuten postilaatikoista, laitteista ja käyttäjistä, joihin tämä ilmoitus vaikuttaa.
Voit myös valita Näytä toimintokeskuksessa, jos haluat tarkastella Microsoft Defender -portaalin Toimintokeskuksen Historia-välilehteä.
Hälytyksen roolin jäljittäminen ilmoitusjutussa
Ilmoitusjuttu näyttää kaikki ilmoitukseen liittyvät resurssit tai entiteetit prosessipuunäkymässä. Otsikossa oleva ilmoitus on se, joka on kohdistettu, kun siirryt ensimmäisen kerran valitun ilmoituksen sivulle. Ilmoitusjutun resurssit ovat laajennettavissa ja napsautettavissa. Ne antavat lisätietoja ja nopeuttavat vastaustasi sallimalla toimien toteuttamisen suoraan ilmoitussivun kontekstissa.
Huomautus
Ilmoituksen juttu -osiossa voi olla useita ilmoituksia, ja samaan suorituspuuhun liittyvät lisäilmoitukset näkyvät ennen valitsemaasi ilmoitusta tai sen jälkeen.
Näytä lisätietoja tietosivulla
Tietosivulla näkyvät valitun ilmoituksen tiedot sekä siihen liittyvät tiedot ja toiminnot. Jos valitset ilmoitusjutussa jonkin asianomaisista resursseista tai entiteeteistä, tietosivu muuttuu tarjoamaan tilannekohtaisia tietoja ja toimintoja valitulle objektille.
Kun olet valinnut kiinnostavan entiteetin, tietosivu muuttuu näyttämään tietoja valitusta entiteettityypistä, historiatietoja, kun ne ovat käytettävissä, sekä vaihtoehtoja tämän entiteetin toimintojen suorittamiseen suoraan ilmoitussivulta.
Hallitse ilmoituksia
Jos haluat hallita ilmoitusta, valitse Ilmoitussivun yhteenvetotietojen osiosta Hallitse ilmoitusta . Jos kyseessä on yksittäinen ilmoitus, tässä on esimerkki Ilmoitusten hallinta -ruudusta.
Ilmoitusten hallinta -ruudun avulla voit tarkastella tai määrittää:
- Ilmoituksen tila (Uusi, Ratkaistu, Käynnissä).
- Käyttäjätili, jolle ilmoitus on määritetty.
- Hälytyksen luokitus:
- Ei asetettu (oletus).
- Tosi positiivinen ja uhkatyyppi. Käytä tätä luokitusta ilmoituksille, jotka ilmoittavat tarkasti todellisesta uhasta. Tämän uhkatyypin määrittäminen hälyttää tietoturvatiimisi näkemään uhkamalleja ja toimimaan organisaatiosi puolustamiseksi heiltä.
- Tietoinen, odotettu toiminto , jolla on aktiviteettityyppi. Käytä tätä vaihtoehtoa ilmoituksille, jotka ovat teknisesti tarkkoja mutta edustavat normaalia toimintaa tai simuloitua uhkatoimintaa. Haluat yleensä jättää nämä hälytykset huomiotta, mutta odotat niiden vastaavanlaisia toimia tulevaisuudessa, kun todelliset hyökkääjät tai haittaohjelmat käynnistävät toiminnot. Tämän luokan vaihtoehtojen avulla voit luokitella suojaustestejä, punaisen tiimin toimintaa ja luotettavien sovellusten ja käyttäjien odotettua epätavallista toimintaa varten.
- False-positiivinen ilmoitustyypeistä, jotka luotiin silloinkin, kun haitallisia toimia ei ole, tai väärästä hälytyksestä. Tämän luokan asetusten avulla voit luokitella hälytykset, jotka on virheellisesti tunnistettu normaaleiksi tapahtumiksi tai toiminnaksi haitallisiksi tai epäilyttäviksi. Toisin kuin ilmoitukset "Informaalista, odotetusta toiminnasta", josta voi olla hyötyä myös todellisten uhkien varalta, et yleensä halua nähdä näitä ilmoituksia uudelleen. Ilmoitusten luokitteleminen epätosi-positiiviseksi auttaa Microsoft Defender XDR:ää parantamaan sen tunnistuksen laatua.
- Kommentti ilmoituksesta.
Huomautus
Noin 29. elokuuta 2022 aiemmin tuetut hälytysten määritysarvot (Apt ja SecurityPersonnel) poistetaan käytöstä, eivätkä ne ole enää käytettävissä ohjelmointirajapinnan kautta.
Huomautus
Yksi tapa hallita ilmoituksia tunnisteiden avulla. Microsoft Defender for Office 365:n merkintäominaisuus otetaan käyttöön asteittain, ja se on tällä hetkellä esikatselussa.
Tällä hetkellä muokattuja tunnisteiden nimiä käytetään vain hälytyksiin, jotka on luotu päivityksen jälkeen . Ilmoitukset, jotka luotiin ennen muutosta, eivät vastaa päivitettyä tunnisteen nimeä.
Jos haluat hallita tiettyä ilmoitusta muistuttavien ilmoitusten joukkoa, valitse Näytä samanlaiset hälytyksetINSIGHT-ruudussa ilmoitussivun yhteenvetotietojen osiossa.
Ilmoitusten hallinta -ruudussa voit sitten luokitella kaikki liittyvät ilmoitukset samanaikaisesti. Tässä on esimerkki.
Jos vastaavat hälytykset on jo luokiteltu aiemmin, voit säästää aikaa Käyttämällä Microsoft Defenderin XDR-suosituksia saadaksesi tietää, miten muut hälytykset on ratkaistu. Valitse yhteenvetotiedot-osiosta Suositukset.
Suositukset-välilehti tarjoaa seuraavan vaiheen toimintoja ja neuvoja tutkintaa, korjauksia ja ehkäisyä varten. Tässä on esimerkki.
Ilmoituksen hienosäätäminen
Suojaustoimintokeskuksen analyytikkona yksi tärkeimmistä ongelmista on päivittäin käynnistyvien hälytysten määrän lajitteleminen. Analyytikon aika on arvokasta, ja hän haluaa keskittyä vain korkeaan vakavuustilaan ja tärkeisiin hälytyksiin. Samaan aikaan analyytikoita vaaditaan myös vähättelemään ja ratkaisemaan alemman prioriteetin hälytyksiä, mikä on yleensä manuaalinen prosessi.
Ilmoitusten säätö, jota aiemmin kutsutaan ilmoitusten estämiseksi, mahdollistaa ilmoitusten virittämisen ja hallinnan etukäteen. Tämä tehostaa ilmoitusjonoa ja säästää aikaväliä piilottamalla tai ratkaisemalla hälytyksiä automaattisesti aina, kun tietty odotettu organisaation toiminta ilmenee ja sääntöehdot täyttyvät.
Hälytysten säätösäännöt tukevat ehtoja, jotka perustuvat näyttötyyppeihin , kuten tiedostoihin, prosesseihin, ajoitettuihin tehtäviin ja muuntyyppisiin todisteisiin, jotka käynnistävät hälytyksiä. Kun olet luonut ilmoituksen säätösäännön, ota se käyttöön valitussa hälytyksessä tai missä tahansa ilmoitustyypissä, joka täyttää määritetyt ehdot ilmoituksen virittämiseksi.
Yleisen käytettävyyden ilmoitusten säätäminen tallentaa hälytykset vain Defender for Endpointista. Esikatselussa ilmoitusten säätö on kuitenkin laajennettu myös muihin Microsoft Defender XDR -palveluihin, kuten Defender for Office 365:een, Defender for Identityen, Defender for Cloud Appsiin, Microsoft Entra ID Protectioniin (Microsoft Entra IP) ja muihin, jos ne ovat saatavilla käyttöympäristössäsi ja palvelupaketissasi.
Varoitus
Suosittelemme, että käytät hälytysasennusta harkiten tilanteissa, joissa tunnetut sisäiset yrityssovellukset tai suojaustestit käynnistävät odotetun toiminnan etkä halua nähdä ilmoituksia.
Luo sääntöehdot ilmoitusten hienosäätämiseksi
Luo ilmoitusten säätösäännöt Microsoft Defenderin XDR-asetukset-alueelta tai ilmoituksen tietosivulta. Jatka valitsemalla jokin seuraavista välilehdistä.
Valitse Microsoft Defender -portaalissa Asetukset > Microsoft Defenderin XDR-ilmoituksen > säätö.
Valitse Lisää uusi sääntö , jos haluat hienosäätää uutta ilmoitusta, tai valitse aiemmin luotu sääntörivi, jos haluat tehdä muutoksia. Säännön otsikon valitseminen avaa säännön tietosivun, jossa voit tarkastella liittyvien ilmoitusten luetteloa, muokata ehtoja tai ottaa säännön käyttöön tai poistaa sen käytöstä.
Valitse Hienosäätä ilmoitus -ruudun Valitse palvelulähteet -kohdasta palvelulähteet, joihin haluat käyttää sääntöä. Luettelossa näytetään vain palvelut, joihin sinulla on käyttöoikeudet. Esimerkki:
Lisää Ehdot-alueelle ehto hälytyksen käynnistimiä varten. Jos haluat esimerkiksi estää ilmoituksen käynnistymisen, kun tietty tiedosto luodaan, määritä ehto Tiedosto:Mukautettu-käynnistimelle ja määritä tiedoston tiedot:
Luettelossa olevat käynnistimet eroavat valitsemistasi palvelulähteistä riippuen. Käynnistimet ovat kaikki kompromissien (IOC) indikaattoreita, kuten tiedostoja, prosesseja, ajoitettuja tehtäviä ja muita ilmoitusten laukaisevia näyttötyyppejä, kuten AMSI (AntiMalware Scan Interface) -komentosarjoja, Windows Management Instrumentation (WMI) -tapahtumia tai ajoitettuja tehtäviä.
Jos haluat määrittää useita säännön ehtoja, valitse Lisää suodatin ja käytä AND- tai OR-komentoja ja ryhmittelyasetuksia, jotta voit määrittää hälytyksen käynnistävien useiden näyttötyyppien väliset suhteet. Lisänäyttöominaisuudet täytetään automaattisesti uutena aliryhmänä, jossa voit määrittää ehtoarvot. Ehtoarvoissa kirjainkoko ei ole merkitsevä, ja jotkin ominaisuudet tukevat yleismerkkejä.
Valitse Hienosäätä ilmoitus -ruudun Toiminto-alueella haluamasi toiminto, joko Piilota ilmoitus tai Ratkaise ilmoitus.
Anna ilmoitullesi kuvaava nimi ja kommentti, joka kuvaa ilmoitusta, ja valitse sitten Tallenna.
Huomautus
Ilmoituksen otsikko (nimi) perustuu ilmoitustyyppiin (IoaDefinitionId), joka päättää ilmoituksen otsikon. Kaksi ilmoitusta, joilla on sama ilmoitustyyppi, voivat muuttua eri ilmoituksen otsikoksi.
Ilmoituksen ratkaiseminen
Kun olet analysoinut ilmoituksen ja se voidaan ratkaista, siirry hälytyksen tai samankaltaisten ilmoitusten Hallinta-ilmoitusruutuun ja merkitse tilaksi Ratkaistu ja luokittele se sitten Tosi-positiiviseksi , joka sisältää uhkatyypin, tiedot, odotetun toiminnon , jolla on tietyntyyppinen toiminto, tai Epätosi-positiiviseksi.
Ilmoitusten luokittelu auttaa Microsoft Defender XDR:ää parantamaan sen tunnistuksen laatua.
Ilmoitusten lajitteleminen Power Automaten avulla
Nykyaikaiset tietoturvatiimit tarvitsevat automaatiota toimiakseen tehokkaasti. Keskittyäkseen metsästykseen ja todellisten uhkien tutkimiseen SecOps-tiimit käyttävät Power Automatea selaamaan hälytysluetteloa ja poistamaan ne, jotka eivät ole uhkia.
Ilmoitusten ratkaisuehdot
- Käyttäjä on ottanut poissaoloviestin käyttöön
- Käyttäjää ei ole merkitty suureksi riskiksi
Jos molemmat ovat tosia, SecOps merkitsee hälytyksen lailliseksi matkaksi ja ratkaisee sen. Microsoft Teamsissa julkaistaan ilmoitus, kun ilmoitus on ratkaistu.
Power Automaten yhdistäminen Microsoft Defender for Cloud Appsiin
Automaation luomiseen tarvitaan ohjelmointirajapinnan tunnus, ennen kuin voit yhdistää Power Automaten Microsoft Defender for Cloud Appsiin.
Avaa Microsoft Defender ja valitse Asetukset>Pilvisovellusten>ohjelmointirajapinnan tunnus ja valitse sitten Ohjelmointirajapinnan tunnukset -välilehdestä Lisää tunnus.
Anna tunnuksen nimi ja valitse sitten Luo. Tallenna tunnus sellaisena kuin tarvitset sitä myöhemmin.
Luo automatisoitu työnkulku
Katso tästä lyhyestä videosta, miten automaatio toimii tehokkaasti sujuvan työnkulun luomiseksi ja miten Voit yhdistää Power Automaten Defender for Cloud Appsiin.
Seuraavat vaiheet
Jatka tutkimuksiasi prosessitapausten tarpeen mukaan.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Tapausten yleiskatsaus
- Tapausten hallinta
- Tapausten tutkiminen
- Tietojen menetyksen estämistä koskevien ilmoitusten tutkiminen Defenderissä
- Microsoft Entra ID Protection
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.