Hallittu tunnistaminen ja reagointi

  • Artikkeli

Koskee seuraavia:

Vihje

Katso hallitun tunnistamisen ja vastauksen ohjeet tästä lyhyestä videosta: https://www.youtube.com/watch?v=fYzquW2hE5I

Automaation ja inhimillisen asiantuntemuksen yhdistelmän avulla Microsoft Defender XDR-asiantuntijoiden Microsoft Defender XDR tapauksiin, priorisoi ne puolestasi, suodattaa melun pois, suorittaa yksityiskohtaisia tutkimuksia ja tarjoaa toiminnallisen hallitun vastauksen tietoturvakeskustiimeihisi.

Tapauspäivitykset

Kun asiantuntijamme alkavat tutkia tapausta, tapahtuman Vastuuhenkilö - ja Tila-kentät päivitetään Defender-asiantuntijoilleja Keskeneräiset.

Kun asiantuntijamme saavat tapauksen tutkimuksensa päätökseen, tapahtuman Luokitus-kenttä päivitetään johonkin seuraavista asiantuntijoiden havaintojen mukaan:

  • True-positiivinen
  • Epätosi-positiivinen
  • Tiedota, odotettu toiminto

Kuhunkin luokitukseen liittyvä Määritys-kenttä päivitetään myös, jotta saadaan enemmän merkityksellisiä tietoja havainnoista, jotka saivat asiantuntijamme määrittämään kyseisen luokituksen.

Näyttökuva Tapahtumat-sivusta, jossa näkyvät Tunnisteet-, Tila-, Vastuuhenkilö-, Luokitus- ja Määritys-kentät.

Jos tapaus on luokiteltu arvoksi False Positive tai Informational, Expected Activity, tapahtuman Tila-kentän arvoksi päivitetään Ratkaistu. Asiantuntijamme saavat sitten päätökseen työnsä tämän tapauksen parissa, ja Vastuuhenkilöt-kenttä päivitetään määrittämättömään. Asiantuntijamme voivat jakaa päivityksiä tutkimuksistaan ja johtopäätöksistään tapauksen ratkaisemisen yhteydessä. Nämä päivitykset julkaistaan tapahtuman Kommentit ja historia -pikaikkunapaneelissa.

Huomautus

Tapauskommentit ovat yksisuuntaisia viestejä. Defender Experts ei voi vastata kommentteihin tai kysymyksiin, jotka lisäät Kommentit ja historia -paneeliin. Lisätietoja siitä, miten voit vastata asiantuntijoillemme, on artikkelissa Viestintä Microsoft Defender Experts for XDR -palvelun asiantuntijoiden kanssa.

Muussa tapauksessa, jos tapaus luokitellaan true-positiiviseksi, asiantuntijamme tunnistavat vaaditut vastaustoiminnot, jotka on suoritettava. Toimintojen suoritustapa määräytyy niiden käyttöoikeuksien ja käyttöoikeustasojen mukaan, jotka olet antanut Defender Experts for XDR -palvelulle. Lue lisätietoja käyttöoikeuksien myöntämisestä asiantuntijoillemme.

  • Jos olet myöntänyt XDR-asiantuntijoille suositellut suojausoperaattorin käyttöoikeudet, asiantuntijamme voivat suorittaa vaaditut vastaustoiminnot tapahtumassa puolestasi. Nämä toiminnot ja tutkimusyhteenveto näkyvät tapahtuman Hallitun vastauksen pikaikkunapaneelissa Microsoft Defender-portaalissa sinun tai SOC-tiimisi tarkistettavaksi. Kaikki toiminnot, jotka Defender-asiantuntijat ovat suorittaneet XDR:lle, näkyvät Valmiit toiminnot -osassa. Kaikki odottavat toiminnot, jotka edellyttävät sinun tai SOC-ryhmän valmistumista, luetellaan Odottavat toiminnot -osassa. Lisätietoja on Toiminnot-osassa . Kun asiantuntijamme ovat ryhtyneet kaikkiin tarvittaviin toimiin tapahtuman suhteen, sen Tila-kenttä päivitetään Ratkaistu-kenttään ja Vastuuhenkilö-kenttään päivitetään Määrittämätön.

  • Jos olet myöntänyt XDR-järjestelmän Defender Experts -asiantuntijoille oletusarvoisen suojauksenlukijan käyttöoikeuden, tarvittavat vastaustoiminnot sekä Tutkimus-yhteenveto näkyvät tapahtuman Hallitun vastauksen pikaikkuna -paneelissa Microsoft Defender portaalin Odottavat toiminnot -osassa sinun tai SOC-tiimisi suoritettavaksi. Lisätietoja on Toiminnot-osassa . Tämän luovutuksen tunnistamiseksi tapahtuman Tila-kentän arvoksi päivitetään Odottaa asiakkaan toimia ja Vastuuhenkilö-kenttään päivitetään Asiakas.

Voit tarkistaa toimintaasi edellyttävien tapausten määrän Defender Experts -bannerissa Microsoft Defender aloitussivun yläosassa.

Näyttökuva Defender Experts -kortista Microsoft Defender portaalissa, joka näyttää asiakkaiden toimia odottavien tapausten määrän.

Jos haluat tarkastella tapauksia, joita asiantuntijamme ovat tutkineet tai tutkivat parhaillaan, suodata tapahtumajono Microsoft Defender portaalissa Defender Experts -tunnisteen avulla.

Näyttökuva Tapahtumat-jonosta Microsoft Defender portaalissa suodatettu näyttämään vain ne, joilla on Defender Experts -tunniste.

Hallitun vastauksen käyttäminen Microsoft Defender XDR

Microsoft Defender portaalissa tapahtuma, joka edellyttää käyttäjän toimia hallitun vastauksen avulla, sisältää Tila-kentän arvoksi Odottaa asiakkaan toimia, Vastuuhenkilö-kentän arvoksi Asetettu Asiakas ja tehtäväkortin Vaaratilanteet-ruudun yläosassa. Määritetyt tapahtuman yhteyshenkilöt saavat myös vastaavan sähköposti-ilmoituksen, jossa on linkki Defender-portaaliin tapahtuman tarkastelemiseksi. Lue lisätietoja ilmoitusyhteystiedoista. Saat myös Teams-ilmoituksen, jossa sinulle ilmoitetaan päivityksistä. Lisätietoja Teamsin määrittämisestä

Valitse Näytä hallittu vastaus tehtäväkortissa tai portaalisivun yläreunassa (Hallittu vastaus -välilehti) avataksesi pikaikkunapaneelin, jossa voit lukea asiantuntijoidemme tutkimusyhteenvedon, suorittaa asiantuntijoidemme tunnistamia odottavia toimintoja tai käsitellä niitä keskustelun kautta.

Tutkimuksen yhteenveto

Tutkimuksen yhteenveto -osiossa on enemmän kontekstia tapahtumasta, jonka asiantuntijamme ovat analysoineet, jotta saat näkyvyyden sen vakavuudesta ja mahdollisista vaikutuksista, jos niitä ei käsitellä välittömästi. Se voi sisältää laitteen aikajanan, hyökkäyksen indikaattorit ja havaitut kompromissi-indikaattorit ja muita yksityiskohtia.

Näyttökuva hallitun vastauksen tutkinnan yhteenvedosta.

Toiminnot

Toiminnot-välilehdessä näkyvät tehtäväkortit, jotka sisältävät asiantuntijoiden suosittelemia vastaustoimintoja.

Defender Experts for XDR tukee tällä hetkellä seuraavia yhden napsautuksen hallittuja vastaustoimintoja:

Toiminta Kuvaus
Eristä laite Eristää laitteen, mikä estää hyökkääjää hallitsemasta sitä ja suorittamasta lisätoimia, kuten tietojen suodatusta ja sivuttaista siirtoa. Eristetty laite on yhä yhteydessä Microsoft Defender for Endpoint.
Karanteenitiedosto Lopettaa prosessien suorittamisen, asettaa tiedostot karanteeniin ja poistaa pysyvät tiedot, kuten rekisteriavaimet.
Rajoita sovelluksen suoritusta Rajoittaa mahdollisesti haitallisten ohjelmien suorittamista ja lukitsee laitteen estääkseen uudet yritykset.
Eristyksestä vapauttaminen Kumoaa laitteen eristämisen.
Poista sovellusrajoitus Kumoaa eristyksestä vapauttamisen.

Näiden yhden napsautuksen toimintojen lisäksi voit myös saada asiantuntijoiltamme hallittuja vastauksia, jotka sinun on suoritettava manuaalisesti.

Huomautus

Ennen kuin suoritat suositeltuja hallitun vastauksen toimintoja, varmista, että automaattiset tutkimus- ja vastausmääritykset eivät ole vielä käsitelleet niitä. Lue lisätietoja Microsoft Defender XDR automatisoiduista tutkimus- ja vastaustoiminnoista.

Hallitun vastauksen toimintojen tarkasteleminen ja suorittaminen:

  1. Laajenna toiminto ja lue lisätietoja vaaditusta toiminnosta valitsemalla toimintokortin nuolipainikkeet.

Näyttökuva hallitun vastauksen toiminnosta, joka eristää laitteen palvelinversion.

  1. Valitse korteille, joissa on yhden napsautuksen vastaustoimintoja, vaadittu toiminto. Kortin Toiminnon tilaksi muuttuu Keskeneräinen, sitten Epäonnistunut tai Valmis toiminnon tuloksen mukaan.

Näyttökuva hallitun vastauksen toiminnosta, joka näyttää käynnissä olevan laitepalvelimen eristämisen.

Vihje

Voit myös valvoa portaalinsisäisten vastaustoimintojen tilaa toimintokeskuksessa. Jos vastaustoiminto epäonnistuu, yritä tehdä se uudelleen Näytä laitteen tiedot -sivulla tai aloita keskustelu Defender-asiantuntijoiden kanssa.

  1. Jos kortissa on manuaalisia toimintoja, valitse Olen suorittanut tämän toiminnon , kun olet suorittanut ne, ja valitse sitten Kyllä, olen tehnyt sen avautuvassa vahvistusvalintaikkunassa.

Näyttökuva hallitun vastauksen toiminnosta toiminnon valmistumisen vahvistamiseksi.

  1. Jos et halua suorittaa vaadittua toimintoa heti, valitse Ohita ja valitse sitten Kyllä, ohita tämä toiminto esiin tulevasta vahvistusvalintaikkunasta.

Tärkeää

Jos huomaat, että jokin toimintokorttien painikkeista näkyy harmaana, se voi tarkoittaa, että sinulla ei ole toiminnon suorittamiseen tarvittavia käyttöoikeuksia. Varmista, että olet kirjautunut Microsoft Defender XDR-portaaliin asianmukaisilla käyttöoikeuksilla. Useimmat hallitut vastaustoiminnot edellyttävät, että sinulla on vähintään suojausoperaattorin käyttöoikeus. Jos kohtaat tämän ongelman, vaikka sinulla olisi asianmukaiset käyttöoikeudet, siirry kohtaan Näytä laitteen tiedot ja suorita vaiheet siitä.

Hae näkyvyys Defender Expertsin tutkimuksiin SIEM- tai ITSM-sovelluksessasi

Kun XDR:n Defender-asiantuntijat tutkivat tapauksia ja keksivät korjaustoimia, voit nähdä heidän työnsä tietoturvatietojen ja tapahtumien hallinnan (SIEM) ja IT-palvelun hallintasovellusten (ITSM) tapausten osalta, mukaan lukien sovellukset, jotka ovat käytettävissä.

Microsoft Sentinel

Voit saada tapausten näkyvyyden Microsoft Sentinelissä ottamalla käyttöön sen valmiin Microsoft Defender XDR -tietoliittimen. Lisätietoja.

Kun olet ottanut liittimen käyttöön, Defender-asiantuntijoiden päivitykset Microsoft Defender XDR Status-, Assigned to-, Classification- ja Determination-kenttiin näkyvät vastaavissa Sentinelin Tila-, Omistaja- ja Syy-kentissä.

Huomautus

Defender Expertsin Microsoft Defender XDR tutkimien tapausten tila siirtyy tyypillisesti aktiivisestakäynnissä olevasta odottaa asiakkaan toimiaratkaistuksi, kun taas Sentinelissä se noudattaa Uusiaktiiviseksiratkaistuksi -polkua. Odottaa asiakastoimintoa -Microsoft Defender XDR ei ole vastaavaa kenttää Sentinelissä, vaan se näytetään tunnisteena Sentinelissä tapahtuneessa tapahtumassa.

Seuraavassa osiossa kuvataan, miten asiantuntijoiden käsittelemä tapaus päivitetään Sentinelissä sen edetessä tutkintamatkan läpi:

  1. Asiantuntijoiden tutkiman tapauksen tilaksi on merkitty Aktiivinen ja OmistajaDefender-asiantuntijoiksi.
  2. Jos asiantuntijamme ovat vahvistaneet tapahtuman true-positiiviseksi, Microsoft Defender XDR on julkaistu hallittu vastaus, ja asiakastoimintoa jaomistajaa odottava tunniste näkyy asiakkaana. Sinun on toimittava tapahtuman mukaan annetun hallitun vastauksen perusteella.
  3. Kun asiantuntijamme ovat saaneet tutkimuksensa päätökseen ja sulkeneet tapahtuman epätosi-positiivisena tai tietoisena, odotettuna toimintona, tapahtuman tilaksi päivitetään Ratkaistu, omistaja päivitetään määrittämättömäksi ja sulkemisen syy annetaan.

Näyttökuva Microsoft Sentinel -tapauksista.

Muut sovellukset

Voit saada näkyvyyden tapauksiin SIEM- tai ITSM-sovelluksessasi käyttämällä Microsoft Defender XDR -ohjelmointirajapintaa tai Sentinel-liittimiä.

Kun olet määrittänyt liittimen, Defender Expertsin päivitykset tapahtuman tila-, vastuuhenkilö-, luokitus- ja määrityskenttiin Microsoft Defender XDR voidaan synkronoida kolmannen osapuolen SIEM- tai ITSM-sovellusten kanssa sen mukaan, miten kenttien yhdistäminen on toteutettu. Voit havainnollistaa sitä tutustumalla Sentinelistä ServiceNow-palveluun käytettävissä olevaan liittimeen.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.