Automatisoitu tutkinta ja reagointi Microsoft Defender XDR
Artikkeli
Koskee seuraavia:
Microsoft Defender XDR
Jos organisaatiosi käyttää Microsoft Defender XDR, suojaustoimintaryhmäsi saa ilmoituksen Microsoft Defender-portaalissa aina, kun havaitaan haitallista tai epäilyttävää toimintaa tai artefaktia. Kun otetaan huomioon uhkien loputon virta, joka voi tulla sisään, tietoturvatiimit kohtaavat usein haasteen vastata suurten hälytysten määrään. Onneksi Microsoft Defender XDR sisältää automatisoituja tutkimus- ja reagointiominaisuuksia, joiden avulla suojaustoimintaryhmäsi voi vastata uhkiin tehokkaammin ja tehokkaammin.
Tässä artikkelissa on yleiskatsaus AIR-hakemistoon ja linkkejä seuraaviin vaiheisiin ja lisäresursseihin.
Miten automatisoitu tutkimus ja itsekorjautuminen toimivat
Suojaushälytysten käynnistyessä suojaustoimintaryhmäsi voi tutkia näitä ilmoituksia ja ryhtyä toimiin organisaatiosi suojaamiseksi. Hälytysten priorisointi ja tutkiminen voi olla hyvin aikaa vievää, varsinkin kun uusia ilmoituksia tulee jatkuvasti tutkinnan aikana. Suojaustiimit voivat tuntea olevansa hukkuneet siihen uhkien määrään, jota heidän on valvottava ja suojattava. Automatisoidut tutkimus- ja vastausominaisuudet, jotka parantavat Microsoft Defender XDR, voivat auttaa.
Katso seuraavasta videosta, miten itsekorjautuminen toimii:
Microsoft Defender XDR automatisoitu tutkimus ja reagointi itsekorjautuvia ominaisuuksia hyödyntäen toimii kaikissa laitteissa, sähköpostin & sisällössä ja käyttäjällisyyksissä.
Kuvittele, että sinulla on virtuaalinen analyytikko tason 1 tai tason 2 suojaustiimissäsi. Virtuaalinen analyytikko jäljittelee ihanteellisia vaiheita, joita suojaustoiminnot ryhtyisivät uhkien tutkimiseen ja korjaamiseen. Virtuaalinen analyytikko voisi työskennellä 24x7 rajoittamattomalla kapasiteetilla ja saada merkittävän määrän tutkimuksia ja uhkien korjaamista. Tällainen virtuaalinen analyytikko voi lyhentää merkittävästi reagointiaikaa vapauttamalla suojaustoimintaryhmäsi muita tärkeitä uhkia tai strategisia projekteja varten. Jos tämä skenaario kuulostaa tieteiskirjallisuudelta, se ei ole! Tällainen virtuaalinen analyytikko on osa Microsoft Defender XDR ohjelmistoa, ja sen nimi on automatisoitu tutkimus ja vastaus.
Automatisoitujen tutkimus- ja reagointiominaisuuksien avulla suojaustoimintatiimisi voi merkittävästi lisätä organisaatiosi kykyä käsitellä suojaushälytyksiä ja -tapauksia. Automatisoidulla tutkimuksella ja reagoinnilla voit pienentää tutkimus- ja vastaustoimintojen käsittelykustannuksia ja saada kaiken irti uhkien suojausohjelmistostasi. Automatisoidut tutkinta- ja vastaustoiminnot auttavat suojaustiimiäsi toimimalla osittamalla:
Sen määrittäminen, edellyttääkö uhka toimia.
Toteuttaa (tai suosittelee) tarvittavia korjaustoimia.
Sen selvittäminen, mitä muita tutkimuksia tulisi tehdä ja mitä muita tutkimuksia tulisi tehdä.
Prosessin toistaminen muiden ilmoitusten mukaan.
Automatisoitu tutkimusprosessi
Hälytys luo tapauksen, joka voi aloittaa automatisoidun tutkimuksen. Automaattinen tutkimus johtaa tuomioon jokaisesta todisteesta. Tuomiot voivat olla:
Haittaohjelmien
Epäilyttäviä
Uhkia ei löytynyt
Vahingollisten tai epäilyttävien entiteettien korjaustoimet tunnistetaan. Korjaustoimia ovat esimerkiksi seuraavat:
Kun tutkimus on käynnissä, kaikki muut liittyvät hälytykset, jotka syntyvät, lisätään tutkintaan, kunnes se on valmis. Jos kyseessä oleva entiteetti näkyy muualla, automatisoitu tutkimus laajentaa sen vaikutusaluetta kyseiseen entiteettiin, ja tutkimusprosessi toistuu.
Microsoft Defender XDR jokainen automatisoitu tutkimus korreloi signaaleja Microsoft Defender for Identity, Microsoft Defender for Endpoint ja Microsoft Defender for Office 365 seuraavassa taulukossa esitetyllä tavalla:
Yhteisöt
Uhkien suojauspalvelut
laitteet (joita kutsutaan myös päätepisteiksi tai koneiksi)
Kaikki hälytykset eivät käynnistä automatisoitua tutkimusta, eivätkä kaikki tutkimukset sisällä automaattisia korjaustoimia. Se riippuu siitä, miten automatisoitu tutkimus ja vastaus on määritetty organisaatiollesi. Katso Automaattisen tutkinnan ja vastausominaisuuksien määrittäminen.
Tutkimusluettelon tarkasteleminen
Jos haluat tarkastella tutkimuksia, siirry Tapaukset-sivulle . Valitse tapaus ja valitse sitten Tutkimukset-välilehti . Lisätietoja on artikkelissa Automaattisen tutkimuksen tiedot ja tulokset.
Automatisoitu tutkimus & vastauskortti
Uusi automatisoitu tutkinta & vastauskortti on saatavilla Microsoft Defender -portaalissa (https://security.microsoft.com). Tämä uuden kortin näkyvyys käytettävissä olevien korjaustoimintojen kokonaismäärään. Kortti antaa myös yleiskatsauksen kaikista ilmoituksista ja kunkin ilmoituksen vaaditusta hyväksyntäajasta.
Käyttämällä automatisoidun tutkinnan & vastauskorttia suojaustoimintaryhmäsi voi nopeasti siirtyä toimintokeskukseen valitsemalla Hyväksy toimintokeskuksessa - linkin ja tekemällä sitten tarvittavat toimet. Kortin avulla suojaustoimintatiimi voi hallita tehokkaammin toimia, jotka odottavat hyväksyntää.
To earn this Microsoft Applied Skills credential, learners demonstrate the ability to use Microsoft Defender XDR to detect and respond to cyberthreats. Candidates for this credential should be familiar with investigating and gathering evidence about attacks on endpoints. They should also have experience using Microsoft Defender for Endpoint and Kusto Query Language (KQL).