Vastaaminen ensimmäiseen tapaustasi Microsoft Defender XDR
Artikkeli
Koskee seuraavia:
Microsoft Defender XDR
Tässä oppaassa on luettelo Microsoftin resursseista, joiden avulla uudet Microsoft Defender XDR käyttäjät voivat suorittaa portaalin käytön aikana varmasti päivittäisiä tapausten käsittelytehtäviä. Tämän oppaan aiotut tulokset ovat seuraavat:
Opit nopeasti käyttämään Microsoft Defender XDR tapauksiin ja hälytyksiin vastaamiseen.
Voit tutustua portaalin ominaisuuksiin, jotka auttavat tapausten tutkinnassa ja korjaamisessa videoiden ja opetusohjelmien kautta.
Tapahtumien ymmärtäminen: tapausten käyttö, triagingointi ja hallinta portaalissa
Hyökkäysten analysointi: kokoelma videoita ja opetusohjelmia tiettyjen hyökkäysten tutkimiseksi portaalin ominaisuuksien avulla.
Korjataan hyökkäyksiä: luetteloi automaattiset ja manuaaliset toiminnot, jotka ovat käytettävissä portaalissa uhkien korjaamiseksi. Tässä osiossa on linkkejä videoihin ja opetusohjelmiin.
Tapausten ymmärtäminen
Tapaus on luotujen prosessien ketju, komentoja ja toimintoja, jotka eivät ehkä ole osuneet samaan aikaan. Tapaus antaa kokonaisvaltaisen kuvan epäilyttävästä tai haitallisesta toiminnasta. Yksittäinen tapaus antaa sinulle hyökkäyksen täydellisen kontekstin sen sijaan, että lajittelet satoja ilmoituksia useista palveluista.
Microsoft Defender XDR on monia ominaisuuksia, joiden avulla voit vastata tapahtumaan. Voit siirtyä tapauksiin valitsemalla Aloitus-sivun Aktiivisten tapausten kortissa Näytä kaikki tapaukset tai vasemman siirtymisruudun Tapaukset-&-ilmoitusten kautta.
kuvassa 1. Aktiivisten tapausten kortti Microsoft Defender XDR kotisivulla
Tapausten priorisointi vaihtelee reagoijan, suojaustiimin ja organisaation mukaan.
Tapausten käsittelysuunnitelmat ja tietoturvaryhmien ohjeet voivat määrätä tapausten prioriteetin.
Microsoft Defender XDR on erilaisia indikaattoreita, kuten tapausten vakavuus, käyttäjätyypit tai uhkatyypit tapausten lajittelemiseksi ja priorisoimiseksi. Voit käyttää mitä tahansa näiden ilmaisimien yhdistelmiä, jotka ovat helposti saatavilla tapausjonon suodattimien kautta.
Esimerkki tapausten prioriteetin määrittämisestä on seuraavien tekijöiden yhdistäminen tapahtumaan:
Välikohtauksen vakavuus on suuri.
Automaation tutkintatila epäonnistui.
On 5 resurssia, joihin vaikutus vaikuttaa ja joissa kaksi resurssia on merkitty erittäin luottamuksellisella tietojen luottamuksellisuustunnisteella.
Tapahtuman tila on uusi.
Tapausta ei ole määritetty kenellekään ryhmän jäsenelle tutkimusta varten.
Voit määrittää tapahtumalle suuren prioriteetin yllä olevien tietojen avulla. Voit aloittaa tapaustutkimuksen, kun prioriteetti on määritetty.
Huomautus
Microsoft Defender XDR määrittää automaattisesti suodattimet, kuten vakavuuden, tutkimustilat, vaikutusresurssit ja tapausten tilat. Tiedot perustuvat organisaatiosi verkkotoimintoihin, jotka on kontekstuoitu uhkatietosyötteiden ja käyttöön otettujen automatisoitujen korjaustoimien avulla.
Tapausten hallinta
Voit edistää tapausten hallinnan tehokkuutta antamalla olennaista tietoa tapauksista ja hälytyksistä. Kun lisäät tietoja seuraaviin suodattimiin kunkin tapauksen trikoinoinnin ja analysoinnin jälkeen, annat kyseiselle tapahtumalle lisäkontekstin, jota muut vastaajat voivat hyödyntää: