Korjaa ensimmäinen tapaus Microsoft Defender XDR
Koskee seuraavia:
- Microsoft Defender XDR
Microsoft Defender XDR tarjoaa tunnistus- ja analyysiominaisuudet uhkien hillitsemisen ja hävittämisen varmistamiseksi. Eristäminen sisältää toimenpiteet hyökkäyksen vaikutuksen vähentämiseksi, kun taas hävittäminen varmistaa, että kaikki hyökkääjän toiminnan jäljitykset poistetaan verkosta.
Korjaus Microsoft Defender XDR voidaan automatisoida tai tapahtumavastaajien manuaalisilla toimenpiteillä. Korjaustoimintoja voidaan tehdä laitteille, tiedostoille ja käyttäjätiteetille.
Automaattinen korjaus
Microsoft Defender XDR hyödyntää uhkiaan ja verkkosi signaaleja häiritsevimpien hyökkäysten torjumiseksi. Kiristyshaittaohjelmat, yrityssähköpostin kompromissi (BEC) ja vastustaja keskellä (AiTM) -tietojenkalastelu ovat monimutkaisia hyökkäyksiä, jotka voidaan hallita välittömästi automaattisen hyökkäyshäiriöominaisuuden kautta. Kun hyökkäys on häiriintynyt, tapausten vastaajat voivat ottaa hyökkäyksen haltuunsa ja tutkia hyökkäyksen perusteellisesti ja soveltaa vaadittua korjausta.
Lue, miten automaattinen hyökkäyshäiriö auttaa tapausten käsittelyn aikana:
Samaan aikaan Microsoft Defender XDR automatisoidut tutkimus- ja reagointitoiminnot voivat automaattisesti tutkia ja soveltaa korjaustoimia haitallisiin ja epäilyttäviin kohteisiin. Nämä ominaisuudet skaalaavat tutkinnan ja uhkiin vastaamisen vapauttaen tapausten vastaajia keskittämään ponnistelunsa suuren vaikutuksen hyökkäyksiin.
Voit määrittää ja hallita automatisoituja tutkimus- ja vastausominaisuuksia. Voit myös tarkastella kaikkia aiempia ja odottavia toimintoja toimintokeskuksen kautta.
Huomautus
Voit kumota automaattiset toiminnot tarkistuksen jälkeen.
Voit nopeuttaa joitakin tutkintatehtäviäsi tutkimalla ilmoituksia Power Automaten avulla. Lisäksi automatisoituja korjauksia voidaan luoda automaation ja pelikirjojen avulla. Microsoftilla on GitHubissa playbook-malleja seuraavia skenaarioita varten:
- Luottamuksellisen tiedoston jakamisen poistaminen pyydettyään käyttäjän vahvistusta
- Automaattiset ja harvinaiset maahälytykset
- Pyydä esimiehelle -toimintoa ennen tilin poistamista käytöstä
- Poista haitalliset Saapuneet-kansion säännöt käytöstä
Playbooks käyttää Power Automatea mukautettujen robottirobottiprosessien työnkulkujen luomiseen tiettyjen toimintojen automatisoimiseksi, kun tietyt kriteerit on otettu käyttöön. Organisaatiot voivat luoda pelikirjoja joko olemassa olevista malleista tai alusta alkaen. Pelikirjoja voidaan luoda myös tapausten jälkeisen tarkastelun aikana ratkaisutoimien luomiseksi ratkaistuista tapauksista.
Lue tästä videosta, miten Power Automate voi auttaa automatisoimaan tapausten käsittelyn:
Manuaalinen korjaus
Reagoidessaan hyökkäykseen tietoturvatiimit voivat hyödyntää portaalin manuaalisia korjaustoimia estääkseen hyökkäyksiä aiheuttamasta lisävahinkoja. Jotkut toimet voivat välittömästi pysäyttää uhan, kun taas toiset auttavat lisäanalyysissä. Voit ottaa nämä toiminnot käyttöön missä tahansa entiteetissä organisaatiossasi käyttöönotetun Defender-kuormituksen mukaan.
Toiminnot laitteissa
Eristää laitteen – eristää laitteen, johon laite vaikuttaa, katkaisemalla yhteyden verkkoon. Laite pysyy yhteydessä Defender for Endpoint -palveluun, jotta seurantaa voidaan jatkaa.
Rajoita sovelluksen suorittamista – rajoittaa sovellusta käyttämällä koodin eheyskäytäntöä, joka sallii tiedostojen suorittamisen vain, jos ne on allekirjoitettu Microsoftin myöntämällä varmenteella.
Suorita virustentorjuntatarkistus - käynnistää Defenderin virustentorjuntatarkistuksen etäyhteyden kautta laitteelle. Tarkistus voidaan suorittaa yhdessä muiden virustentorjuntaratkaisujen kanssa riippumatta siitä, onko Defenderin virustentorjunta aktiivinen virustentorjuntaratkaisu vai ei.
Kerää tutkimuspaketti – voit kerätä tutkimuspaketin laitteesta osana tutkinta- tai vastausprosessia. Keräämällä tutkimuspaketin voit tunnistaa laitteen nykyisen tilan ja ymmärtää tarkemmin hyökkääjän käyttämiä työkaluja ja tekniikoita.
Aloita automatisoitu tutkimus – aloittaa uuden yleisen tarkoituksen automatisoidun tutkimuksen laitteessa. Kun tutkimus on käynnissä, kaikki muut laitteesta luodut hälytykset lisätään meneillään olevaan automatisoituun tutkimukseen, kunnes tutkimus on valmis. Lisäksi jos sama uhka näkyy muissa laitteissa, nämä laitteet lisätään tutkintaan.
Aloita reaaliaikainen vastaus – antaa sinulle välittömän pääsyn laitteeseen käyttämällä etäliittymäyhteyttä, jotta voit tehdä perusteellista tutkimustyötä ja ryhtyä välittömiin toimiin tunnistaaksesi uhat nopeasti reaaliaikaisesti. Reaaliaikainen reagointi on suunniteltu parantamaan tutkimuksia siten, että voit kerätä rikosteknisiä tietoja, suorittaa komentosarjoja, lähettää epäilyttäviä entiteettejä analysoitaviksi, korjata uhkia ja etsiä ennakoivasti uusia uhkia.
Kysy Defender-asiantuntijoilta – voit pyytää Microsoft Defender asiantuntijalta lisätietoja mahdollisesti vaarantuvista tai jo vaarantuneista laitteista. Microsoft Defender asiantuntijat voidaan palkata suoraan portaalista, jotta he saavat oikea-aikaisen ja tarkan vastauksen. Tämä toiminto on käytettävissä sekä laitteille että tiedostoille.
Muut toiminnot laitteissa ovat käytettävissä seuraavan opetusohjelman kautta:
Huomautus
Voit ryhtyä toimiin laitteissa suoraan hyökkäystarinan kaaviosta.
Tiedostojen toiminnot
- Stop- ja quarantinetiedosto . Sisältää käynnissä olevien prosessien lopettamisen, tiedostojen laadullisen määrittämisen ja pysyvien tietojen, kuten rekisteriavainten, poistamisen.
- Lisää ilmaisimia tiedoston estämiseksi tai sallimiseksi - estää hyökkäyksen leviämisen kieltämällä mahdollisesti haitallisia tiedostoja tai epäiltyjä haittaohjelmia. Tämä toiminto estää tiedoston lukemisen, kirjoittamisen tai suorittamisen organisaatiosi laitteissa.
- Lataa tai kerää tiedosto – analyytikot voivat ladata tiedoston salasanalla suojatussa .zip arkistotiedostossa organisaation lisäanalyyseja varten.
- Syväanalyysi – suorittaa tiedoston turvallisessa, täysin instrumentoidussa pilviympäristössä. Syväanalyysitulokset näyttävät tiedoston toiminnot, havaitut toiminnat ja niihin liittyvät artefaktit, kuten pudotetut tiedostot, rekisterin muutokset ja tiedonsiirron IP-osoitteiden kanssa.
Muiden hyökkäysten korjaaminen
Huomautus
Nämä opetusohjelmat ovat käytössä, kun muut Defender-kuormitukset ovat käytössä ympäristössäsi.
Seuraavissa opetusohjelmissa luetteloidaan vaiheet ja toiminnot, joita voit käyttää tutkiessasi entiteettejä tai vastatessasi tiettyihin uhkiin:
- Vaarantuneelle sähköpostitilille vastaaminen Defender for Office 365 kautta
- Haavoittuvuuksien korjaaminen Defenderin avulla haavoittuvuuden hallintaa varten
- Käyttäjätilien korjaustoiminnot Defender for Identityn kautta
- Sovellusten hallintakäytäntöjen käyttäminen Defender for Cloud Appsin avulla
Seuraavat vaiheet
- Hyökkäysten simulointi hyökkäyssimulaatiokoulutuksen avulla
- Tutustu Microsoft Defender XDR Virtual Ninja -koulutuksen kautta
Tutustu myös seuraaviin ohjeartikkeleihin:
- Tapausten tutkiminen
- Opi portaalin ominaisuuksia ja toimintoja Microsoft Defender XDR Ninja -koulutuksen kautta
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle