Hallittu tunnistaminen ja reagointi
Koskee seuraavia:
Katso hallitun tunnistamisen ja vastauksen ohjeet tästä lyhyestä videosta.
Automaation ja inhimillisen asiantuntemuksen yhdistelmän avulla Microsoft Defender Experts for XDR triages Microsoft Defender XDR -tapaukset priorisoi ne puolestasi, suodattaa melun pois, suorittaa yksityiskohtaisia tutkimuksia ja tarjoaa toiminnallisia hallittuja vastauksia tietoturvakeskustiimeillesi.
Tapauspäivitykset
Kun asiantuntijamme alkavat tutkia tapausta, tapahtuman Vastuuhenkilö - ja Tila-kentät päivitetään Defender-asiantuntijoilleja Keskeneräiset.
Kun asiantuntijamme saavat tapauksen tutkimuksensa päätökseen, tapahtuman Luokitus-kenttä päivitetään johonkin seuraavista asiantuntijoiden havaintojen mukaan:
- True-positiivinen
- Epätosi-positiivinen
- Tiedota, odotettu toiminto
Kuhunkin luokitukseen liittyvä Määritys-kenttä päivitetään myös, jotta saadaan enemmän merkityksellisiä tietoja havainnoista, jotka saivat asiantuntijamme määrittämään kyseisen luokituksen.
Jos tapaus on luokiteltu arvoksi False Positive tai Informational, Expected Activity, tapahtuman Tila-kentän arvoksi päivitetään Ratkaistu. Asiantuntijamme saavat sitten päätökseen työnsä tämän tapauksen parissa, ja Vastuuhenkilöt-kenttä päivitetään määrittämättömään. Asiantuntijamme saattavat jakaa päivityksiä tutkimuksistaan ja johtopäätöksistään tapauksen ratkaisemisen yhteydessä. Nämä päivitykset julkaistaan kohdassa Tutkintayhteenveto tapauksen Hallitun vastauksen pikaikkunassa.
Muussa tapauksessa, jos tapaus luokitellaan true-positiiviseksi, asiantuntijamme tunnistavat vaaditut vastaustoiminnot, jotka on suoritettava. Toimintojen suoritustapa määräytyy niiden käyttöoikeuksien ja käyttöoikeustasojen mukaan, jotka olet antanut Defender Experts for XDR -palvelulle. Lue lisätietoja käyttöoikeuksien myöntämisestä asiantuntijoillemme.
Jos olet myöntänyt XDR-asiantuntijoille suositellut suojausoperaattorin käyttöoikeudet, asiantuntijamme voivat suorittaa vaaditut vastaustoiminnot tapahtumassa puolestasi. Nämä toiminnot sekä tutkimusyhteenveto näkyvät Tapahtuman Hallitut vastaus -pikaikkunaruudussa Microsoft Defender -portaalissa sinun tai SOC-tiimisi tarkistettavaksi. Kaikki toiminnot, jotka Defender-asiantuntijat ovat suorittaneet XDR:lle, näkyvät Valmiit toiminnot -osassa. Kaikki odottavat toiminnot, jotka edellyttävät sinun tai SOC-ryhmän valmistumista, luetellaan Odottavat toiminnot -osassa. Lisätietoja on Toiminnot-osassa . Kun asiantuntijamme ovat ryhtyneet kaikkiin tarvittaviin toimiin tapahtuman suhteen, sen Tila-kenttä päivitetään Ratkaistu-kenttään ja Vastuuhenkilö-kenttä päivitetään asiakkaaseen.
Jos olet myöntänyt Defender Experts for XDR:lle oletusarvoisen suojauksenlukijan käyttöoikeuden, vaaditut vastaustoiminnot sekä Tutkimus-yhteenveto näkyvät tapahtuman Hallitun vastauksen pikaikkuna -paneelissa Microsoft Defender -portaalin Odottavat toiminnot -osiossa sinun tai SOC-tiimisi suoritettavaksi. Lisätietoja on Toiminnot-osassa . Tämän luovutuksen tunnistamiseksi tapahtuman Tila-kentän arvoksi päivitetään Odottaa asiakkaan toimia ja Vastuuhenkilö-kenttään päivitetään Asiakas.
Voit tarkistaa toimiasi edellyttävien tapausten määrän Defender Experts -bannerissa Microsoft Defenderin aloitussivun yläosassa.
Voit tarkastella Defender-asiantuntijoihin liittyviä tapauksia suodattamalla tapausjonon Microsoft Defender -portaalissa useiden suodatinjoukkojen avulla. Lisätietoja tapausjonosuodattimien lisäämisestä
Jos haluat tarkastella tapauksia, joita asiantuntijamme parhaillaan tutkivat, käytä Incident-määrityssuodatinta , valitse Määritetty defenderin asiantuntijoille.
Jos haluat tarkastella tapauksia, joita asiantuntijamme ovat tutkineet ja luovuttaneet tiimillesi, jotta he voivat suorittaa odottavia korjaustoimia , käyttämällä Incident assignment - suodatinta, valitse Vastuuhenkilö asiakastiimille.
Jos haluat tarkastella tapauksia, joita asiantuntijamme ovat tutkineet ja luovuttaneet tiimillesi, jotta he voivat käsitellä odottavia korjaustoimia Tila-suodattimen avulla, valitse Odottaa asiakastoimia.
Jos haluat tarkastella tapauksia, joista asiantuntijamme ovat suorittaneet tutkimuksensa (ja joko suoraan ratkaistu tai määritetty tiimillesi odottavia korjaustoimia varten), valitse Tunnisteet-suodattimen avulla Defender-asiantuntijat.
Hallitun vastauksen käyttäminen Microsoft Defender XDR:ssä
Microsoft Defender -portaalissa tapahtuma, joka edellyttää käyttäjän toimia hallitun vastauksen avulla, sisältää Tila-kentän arvoksi Odottaa asiakkaan toimia, Vastuuhenkilö-kentän arvoksi asetettu Asiakas ja tehtäväkortin Tapahtumat-ruudun yläosassa. Määritetyt tapahtuman yhteyshenkilöt saavat myös vastaavan sähköposti-ilmoituksen, jossa on linkki Defender-portaaliin tapahtuman tarkastelemiseksi. Lue lisätietoja ilmoitusyhteystiedoista. Saat myös Teams-ilmoituksen, jossa kerrotaan päivityksistä. Lisätietoja Teamsin määrittämisestä
Valitse Näytä hallittu vastaus tehtäväkortissa tai portaalisivun yläreunassa (Hallittu vastaus -välilehti) avataksesi pikaikkunapaneelin, jossa voit lukea asiantuntijoidemme tutkimusyhteenvedon, suorittaa asiantuntijoidemme tunnistamia odottavia toimintoja tai käsitellä niitä keskustelun kautta.
Tutkimuksen yhteenveto
Tutkimuksen yhteenveto -osiossa on enemmän kontekstia tapahtumasta, jonka asiantuntijamme ovat analysoineet, jotta saat näkyvyyden sen vakavuudesta ja mahdollisista vaikutuksista, jos niitä ei käsitellä välittömästi. Se voi sisältää laitteen aikajanan, hyökkäyksen indikaattorit ja havaitut kompromissi-indikaattorit ja muita yksityiskohtia.
Toiminnot
Toiminnot-välilehdessä näkyvät tehtäväkortit, jotka sisältävät asiantuntijoiden suosittelemia vastaustoimintoja.
Defender Experts for XDR tukee tällä hetkellä seuraavia yhden napsautuksen hallittuja vastaustoimintoja:
Toiminta | Kuvaus |
---|---|
Eristä laite | Eristää laitteen, mikä estää hyökkääjää hallitsemasta sitä ja suorittamasta lisätoimia, kuten tietojen suodatusta ja sivuttaista siirtoa. Eristetty laite yhdistetään edelleen Microsoft Defender for Endpointiin. |
Karanteenitiedosto | Lopettaa prosessien suorittamisen, asettaa tiedostot karanteeniin ja poistaa pysyvät tiedot, kuten rekisteriavaimet. |
Rajoita sovelluksen suoritusta | Rajoittaa mahdollisesti haitallisten ohjelmien suorittamista ja lukitsee laitteen estääkseen uudet yritykset. |
Eristyksestä vapauttaminen | Kumoaa laitteen eristämisen. |
Poista sovellusrajoitus | Kumoaa eristyksestä vapauttamisen. |
Poista käyttäjä käytöstä | Poista käyttäjätiedot käytöstä, jos haluat käyttää verkkoa ja eri päätepisteitä. |
Näiden yhden napsautuksen toimintojen lisäksi voit myös saada asiantuntijoiltamme hallittuja vastauksia, jotka sinun on suoritettava manuaalisesti.
Huomautus
Ennen kuin suoritat suositeltuja hallitun vastauksen toimintoja, varmista, että automaattiset tutkimus- ja vastausmääritykset eivät ole vielä käsitelleet niitä. Lue lisää Microsoft Defender XDR:n automatisoiduista tutkimus- ja vastaustoiminnoista.
Hallitun vastauksen toimintojen tarkasteleminen ja suorittaminen:
Laajenna toiminto ja lue lisätietoja vaaditusta toiminnosta valitsemalla toimintokortin nuolipainikkeet.
Valitse korteille, joissa on yhden napsautuksen vastaustoimintoja, vaadittu toiminto. Kortin Toiminnon tilaksi muuttuu Keskeneräinen, sitten Epäonnistunut tai Valmis toiminnon tuloksen mukaan.
Vihje
Voit myös valvoa portaalinsisäisten vastaustoimintojen tilaa toimintokeskuksessa. Jos vastaustoiminto epäonnistuu, yritä tehdä se uudelleen Näytä laitteen tiedot -sivulla tai aloita keskustelu Defender-asiantuntijoiden kanssa.
Jos kortissa on manuaalisia toimintoja, valitse Olen suorittanut tämän toiminnon , kun olet suorittanut ne, ja valitse sitten Kyllä, olen tehnyt sen avautuvassa vahvistusvalintaikkunassa.
Jos et halua suorittaa vaadittua toimintoa heti, valitse Ohita ja valitse sitten Kyllä, ohita tämä toiminto esiin tulevasta vahvistusvalintaikkunasta.
Tärkeää
Jos huomaat, että jokin toimintokorttien painikkeista näkyy harmaana, se voi tarkoittaa, että sinulla ei ole toiminnon suorittamiseen tarvittavia käyttöoikeuksia. Varmista, että olet kirjautunut Sisään Microsoft Defender XDR -portaaliin asianmukaisilla käyttöoikeuksilla. Useimmat hallitut vastaustoiminnot edellyttävät, että sinulla on vähintään suojausoperaattorin käyttöoikeus. Jos kohtaat tämän ongelman, vaikka sinulla olisi asianmukaiset käyttöoikeudet, siirry kohtaan Näytä laitteen tiedot ja suorita vaiheet siitä.
Hae näkyvyys Defender Expertsin tutkimuksiin SIEM- tai ITSM-sovelluksessasi
Kun XDR:n Defender-asiantuntijat tutkivat tapauksia ja keksivät korjaustoimia, voit nähdä heidän työnsä tietoturvatietojen ja tapahtumien hallinnan (SIEM) ja IT-palvelun hallintasovellusten (ITSM) tapausten osalta, mukaan lukien sovellukset, jotka ovat käytettävissä.
Microsoft Sentinel
Voit saada tapahtumien näkyvyyden Microsoft Sentinelissä ottamalla käyttöön sen valmiin Microsoft Defender XDR -tietoliittimen. Lisätietoja.
Kun olet ottanut liittimen käyttöön, Defender Expertsin päivitykset Tila -,Vastuuhenkilö-, Luokitus- ja Määritys-kenttiin Microsoft Defender XDR:ssä näkyvät vastaavissa Sentinelin Tila-, Omistaja- ja Syy-kentissä .
Huomautus
Defender-asiantuntijoiden Microsoft Defender XDR:ssä tutkimien tapausten tila siirtyy yleensä aktiivisestakäynnissä olevasta odottaa asiakkaan toimiaratkaistuksi, kun taas Sentinelissä se seuraa Uusiaktiiviseksiratkaistuksi -polkua. Microsoft Defenderin XDR-tila odottaa asiakastoimintoa ei sisällä vastaavaa kenttää Sentinelissä. sen sijaan se näkyy tunnisteena Sentinelissä tapahtuneessa välikohtauksessa.
Seuraavassa osiossa kuvataan, miten asiantuntijoiden käsittelemä tapaus päivitetään Sentinelissä sen edetessä tutkintamatkan läpi:
Asiantuntijoiden tutkiman tapauksen tilaksi on merkitty Aktiivinen ja OmistajaDefender-asiantuntijoiksi.
Tapaus, jonka asiantuntijamme ovat vahvistaneet true-positiiviseksi , on saanut hallitun vastauksen Microsoft Defender XDR:ssä, ja tunnisteodottaa asiakastoimintoa ja omistaja näkyy asiakkaana. Sinun on suoritettava toiminto tapahtuman perusteella, joka perustuu annettuun hallittuun vastaukseen Defender-portaalissa.
Tapaus, jonka asiantuntijamme ovat vahvistaneet true-positiiviseksi, kaikki Defender-asiantuntijoiden suorittamat korjaustoimet, on päivittänyt tapahtuman tilaksi Ratkaistu ja omistaja näkyy asiakkaana. Voit tarkastella tapahtuman toimintoja defender-portaalissa annetulla hallitulla vastauksella.
Kun asiantuntijamme ovat saaneet tutkimuksensa päätökseen ja sulkeneet tapahtuman epätosi-positiivisena tai tietoisena, odotettuna toimintona, tapahtuman tilaksi päivitetään Ratkaistu, omistaja päivitetään määrittämättömäksi ja sulkemisen syy annetaan.
Muut sovellukset
Voit saada näkyvyyden siem- tai ITSM-sovelluksen tapauksiin käyttämällä Microsoft Defenderin XDR-ohjelmointirajapintaa tai Sentinel-liittimiä.
Kun olet määrittänyt liittimen, Defender Expertsin päivitykset tapahtuman tila-, vastuuhenkilö-, luokitus- ja määrityskenttiin Microsoft Defender XDR:ssä voidaan synkronoida kolmannen osapuolen SIEM- tai ITSM-sovellusten kanssa sen mukaan, miten kenttien yhdistäminen on toteutettu. Voit havainnollistaa sitä tutustumalla Sentinelistä ServiceNow-palveluun käytettävissä olevaan liittimeen.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Defender-asiantuntijoiden ymmärtäminen ja hallinta XDR-tapausilmoituksia varten
- Tietoja hallitusta vastauksesta
- Reaaliaikaisen näkyvyyden hankkiminen XDR-raporttien Defender Expertsin avulla
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.