אירועים והתראות בפורטל Microsoft Defender שלך
פורטל Microsoft Defender מאגד קבוצה מאוחדת של שירותי אבטחה כדי להפחית את החשיפה שלך לאיומי אבטחה, לשפר את תציבת האבטחה הארגונית שלך, לזהות איומי אבטחה ולחקור הפרות ולהגיב עליהן. שירותים אלה אוספים ומפיקים אותות המוצגים בפורטל. שני הסוגים העיקריים של אותות הם:
התראות: אותות כתוצאה מפעילויות שונות של זיהוי איומים. אותות אלה מציינים את המופע של אירועים זדוניים או חשודים בסביבה שלך.
מקרים: גורמים מכילים הכוללים אוספים של התראות קשורות ומספרים את הסיפור המלא של התקפה. ההתראות באירוע יחיד עשויות להגיע מכל פתרונות האבטחה והתאימות של Microsoft, וכן ממגוון רחב של פתרונות חיצוניים שנאספו באמצעות Microsoft Sentinel ו- Microsoft Defender עבור Cloud.
מקרים להתאמה ולחקירה
על אף שניתן לחקור ולצמצם את האיומים שהתראות ספציפיות מביאות לתשומת לבך, איומים אלה לבדם הם מופעים מבודדים שאינם מספרים לך דבר על סיפור התקפה רחב ומורכב יותר. באפשרותך לחפש, לחקור, לחקור ולתאם קבוצות של התראות השייכות זו לזו בסיפור התקפה יחיד, אך זה יעלה לך הרבה זמן, מאמץ ואנרגיה.
במקום זאת, מנועי המתאם והאלגוריתמים בפורטל Microsoft Defender מצרפים ומתעדים באופן אוטומטי התראות קשורות יחד כדי ליצור אירועים המייצגים סיפורי תקיפה גדולים יותר אלה. Defender מזהה אותות מרובים כשייכים לאותה סיפור התקפה, תוך שימוש בבינה מלאכותית לניטור רצף של מקורות מדידת השימוש שלו והוספת ראיות נוספות לתקריות שכבר פתוחות. אירועים מכילים את כל ההתראות הנהצגתן כי קשורות זו לזה ולכתבת ההתקפה הכוללת, ומציגות את הסיפור בצורות שונות:
- צירי זמן של התראות והאירועים הגולמיים שבהם הם מבוססים
- רשימה של הטקטיקות שבהם נעשה שימוש
- רשימות של כל המשתמשים, המכשירים והמשאבים האחרים המעורבים וה המושפעים
- ייצוג חזותי של האופן בו כל השחקנים בסיפור מקיימים אינטראקציה
- יומני רישום של תהליכי חקירה ותגובה אוטומטיים Defender XDR אותחלו והשלמו
- אוספים של ראיות התומכות בסיפור ההתקפה: חשבונות המשתמשים ופרטי המכשיר והכתובת של השחקנים הרעים, קבצים ותהליכים זדוניים, בינת איומים רלוונטית וכן הלאה
- סיכום טקסטואלי של סיפור ההתקפה
אירועים מספקים לך גם מסגרת לניהול ולתישוב של החקירות שלך ותגובה לאיומים. לקבלת מידע נוסף אודות הפונקציונליות של אירועים בנושא זה, ראה ניהול אירועים Microsoft Defender.
מקורות התראה וזיהוי איומים
התראות בפורטל Microsoft Defender מגיעות ממקורות רבים. מקורות אלה כוללים את השירותים הרבים המהווים חלק Microsoft Defender XDR, וכן שירותים אחרים עם דרגות שילוב משתנות עם Microsoft Defender הפורטל.
לדוגמה, כאשר Microsoft Sentinel מחובר לפורטל Microsoft Defender, למנגנון המתאם בפורטל Defender יש גישה לכל הנתונים הגולמיים ש- Microsoft Sentinel קליטתם, שניתן למצוא בטבלאות הציד המתקדמות של Defender.
Microsoft Defender XDR עצמו גם יוצר התראות. Defender XDR המתאם הייחודיות של Defender XDR מספקות שכבה נוספת של ניתוח נתונים וזיהוי איומים עבור כל הפתרונות שאינם של Microsoft באחוזה הדיגיטלית שלך. זיהויים אלה מפיקים Defender XDR אוטומטיות, בנוסף להתראות שכבר סופקו על-ידי Microsoft Sentinel הניתוח של המשתמשים.
בתוך כל אחד ממקורות אלה, קיימים מנגנונים אחד או יותר לזיהוי איומים המפיקים התראות בהתבסס על הכללים המוגדרים בכל מנגנון.
לדוגמה, Microsoft Sentinel כוללת לפחות ארבעה מנועים שונים המפיקים סוגים שונים של התראות, כל אחד מהם עם כללים משלו.
כלים ושיטות לחקירה ותגובה
פורטל Microsoft Defender כולל כלים ושיטות להפיכת קביעת סדר העדיפויות, החקירה ופתרון תקריות לאוטומטיות או לסיוע באופן אחר. כלים אלה מוצגים בטבלה הבאה:
| כלי/שיטה | תיאור |
|---|---|
| ניהולוחקור אירועים | הקפד לתעדף את האירועים בהתאם לחומרה ולאחר מכן עבוד עליהם כדי לחקור. השתמש לציד מתקדם כדי לחפש איומים ולהקדם את האיומים המתגלים באמצעות ניתוח איומים. |
| בדוק ופתור התראות באופן אוטומטי | אם אפשרות זו זמינה, Microsoft Defender XDR לחקור ולפתור באופן אוטומטי התראות ממקורות של Microsoft 365 ומזהה Entra באמצעות אוטומציה ובינה מלאכותית. |
| קביעת תצורה של פעולות הפרעה אוטומטית בתקיפה | השתמש באותות בעלי רמת מהימנות גבוהה שנאספו מ- Microsoft Defender XDR ו- Microsoft Sentinel כדי לשבש באופן אוטומטי מתקפות פעילות במהירות המכונה, המכילות את האיום ולהגביל את ההשפעה. |
| קביעת תצורה Microsoft Sentinel אוטומטיים | השתמש בכללי אוטומציה כדי להפוך סדר עדיפויות, הקצאה וניהול של אירועים לאוטומטיים, ללא קשר למקור שלהם. עזור לצוות שלך יעילות עוד יותר על-ידי קביעת התצורה של הכללים שלך להחלת תגיות על אירועים בהתבסס על התוכן שלהם, העלם אירועים רעשיים (חיוביים מוטעים) וסגור אירועים שנפתרו העומדים בקריטריונים המתאימים, ציון סיבה והוספת הערות. |
| ציד יזום באמצעות ציד מתקדם | השתמש בשפת השאילתות Kusto (KQL) כדי לבדוק באופן יזום אירועים ברשת שלך על-ידי ביצוע שאילתה ביומני הרישום שנאספו בפורטל Defender. ציד מתקדם תומך במצב מודרך עבור משתמשים שמחפשים את הנוחות של בונה שאילתות. |
| נצל בינה מלאכותית באמצעות Microsoft Copilot לאבטחה | הוסף בינה מלאכותית כדי לתמוך אנליסטים עם זרימות עבודה יומיות מורכבות וצורכות זמן רב. לדוגמה, Microsoft Copilot for Security יכול לעזור בחקירה ותגובה של מקרי מקצה לקצה על-ידי מתן סיפורי תקיפה המתוארים בבירור, הדרכה לתיקון ופעילות באירועים הניתנים להפעלה שלב אחר שלב, דוחות מסוכמים, ציד KQL בשפה טבעית וניתוח קוד מומחה - מיטוב על יעילות SOC בכל הנתונים מכל המקורות. יכולת זו היא בנוסף לפונקציונליות מבוססת הבינה המלאכותית האחרת ש- Microsoft Sentinel מספקת לפלטפורמה המאוחדת, באזורים של ניתוח התנהגות של משתמשים וישויות, זיהוי חריגות, זיהוי איומים מרובי שלבים ועוד. |
פריטים קשורים
לקבלת מידע נוסף על מתאם התראות ומיזוג אירועים בפורטל Defender, ראה התראות, מקרים ומתאם ב- Microsoft Defender XDR