Lue englanniksi

Jaa


Vastaaminen ensimmäiseen tapaustasi Microsoft Defender XDR

Koskee seuraavia:

  • Microsoft Defender XDR

Tässä oppaassa on luettelo Microsoftin resursseista, joiden avulla uudet Microsoft Defender XDR käyttäjät voivat suorittaa portaalin käytön aikana varmasti päivittäisiä tapausten käsittelytehtäviä. Tämän oppaan aiotut tulokset ovat seuraavat:

  • Opit nopeasti käyttämään Microsoft Defender XDR tapauksiin ja hälytyksiin vastaamiseen.
  • Voit tutustua portaalin ominaisuuksiin, jotka auttavat tapausten tutkinnassa ja korjaamisessa videoiden ja opetusohjelmien kautta.

Microsoft Defender XDR avulla voit nähdä olennaiset uhkatapahtumat kaikissa resursseissä (laitteet, käyttäjätiedot, postilaatikot, pilvisovellukset ja paljon muuta). Portaali kokoaa signaaleja Defender-suojausohjelmistosta, Microsoft Sentinel ja muista integroiduista suojaustietoihin ja tapahtumienhallintaratkaisuihin (SIEM). Korreloidut hyökkäystiedot täyden kontekstin kanssa yhdessä lasiruudussa mahdollistavat organisaatiosi puolustamisen ja suojaamisen onnistuneesti.

Tässä oppaassa on kolme pääosaa:

  • Tapahtumien ymmärtäminen: tapausten käyttö, triagingointi ja hallinta portaalissa
  • Hyökkäysten analysointi: kokoelma videoita ja opetusohjelmia tiettyjen hyökkäysten tutkimiseksi portaalin ominaisuuksien avulla.
  • Korjataan hyökkäyksiä: luetteloi automaattiset ja manuaaliset toiminnot, jotka ovat käytettävissä portaalissa uhkien korjaamiseksi. Tässä osiossa on linkkejä videoihin ja opetusohjelmiin.

Tapausten ymmärtäminen

Tapaus on luotujen prosessien ketju, komentoja ja toimintoja, jotka eivät ehkä ole osuneet samaan aikaan. Tapaus antaa kokonaisvaltaisen kuvan epäilyttävästä tai haitallisesta toiminnasta. Yksittäinen tapaus antaa sinulle hyökkäyksen täydellisen kontekstin sen sijaan, että lajittelet satoja ilmoituksia useista palveluista.

Microsoft Defender XDR on monia ominaisuuksia, joiden avulla voit vastata tapahtumaan. Voit siirtyä tapauksiin valitsemalla Aloitus-sivun Aktiivisten tapausten kortissa Näytä kaikki tapaukset tai vasemman siirtymisruudun Tapaukset-&-ilmoitusten kautta.

Näytä kaikki tapaukset, jotka näkyvät Microsoft Defender XDR kotisivun kuvassa 1. Aktiivisten tapausten kortti Microsoft Defender XDR kotisivulla

tapahtumajono Microsoft Defender XDR Figure 2:ssa. Tapausjono

Jokainen tapaus sisältää automaattisesti korreloituja ilmoituksiaeri tunnistuslähteistä , ja niihin voi liittyä erilaisia päätepisteitä, käyttäjätietoja tai pilvisovelluksia.

Tapauskonagenssi

Tapausten priorisointi vaihtelee reagoijan, suojaustiimin ja organisaation mukaan. Tapausten käsittelysuunnitelmat ja tietoturvaryhmien ohjeet voivat määrätä tapausten prioriteetin.

Microsoft Defender XDR on erilaisia indikaattoreita, kuten tapausten vakavuus, käyttäjätyypit tai uhkatyypit tapausten lajittelemiseksi ja priorisoimiseksi. Voit käyttää mitä tahansa näiden ilmaisimien yhdistelmiä, jotka ovat helposti saatavilla tapausjonon suodattimien kautta.

Esimerkki tapausten prioriteetin määrittämisestä on seuraavien tekijöiden yhdistäminen tapahtumaan:

  • Välikohtauksen vakavuus on suuri.
  • Automaation tutkintatila epäonnistui.
  • On 5 resurssia, joihin vaikutus vaikuttaa ja joissa kaksi resurssia on merkitty erittäin luottamuksellisella tietojen luottamuksellisuustunnisteella.
  • Tapahtuman tila on uusi.
  • Tapausta ei ole määritetty kenellekään ryhmän jäsenelle tutkimusta varten.

Voit määrittää tapahtumalle suuren prioriteetin yllä olevien tietojen avulla. Voit aloittaa tapaustutkimuksen, kun prioriteetti on määritetty.

Huomautus

Microsoft Defender XDR määrittää automaattisesti suodattimet, kuten vakavuuden, tutkimustilat, vaikutusresurssit ja tapausten tilat. Tiedot perustuvat organisaatiosi verkkotoimintoihin, jotka on kontekstuoitu uhkatietosyötteiden ja käyttöön otettujen automatisoitujen korjaustoimien avulla.

Tapausten hallinta

Voit edistää tapausten hallinnan tehokkuutta antamalla olennaista tietoa tapauksista ja hälytyksistä. Kun lisäät tietoja seuraaviin suodattimiin kunkin tapauksen trikoinoinnin ja analysoinnin jälkeen, annat kyseiselle tapahtumalle lisäkontekstin, jota muut vastaajat voivat hyödyntää:

Opi luokittelemaan tapaukset ja hälytykset tämän videon avulla:

Seuraavat vaiheet

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.