תגובה לתקריות בפורטל Microsoft Defender

מאמר
04/27/2024
חל על:

Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

מקרה בפורטל של Microsoft Defender הוא אוסף של התראות קשורות ונתונים משויכים, אשר יכינו את סיפורה של התקפה. זהו גם קובץ מקרה שבו ה- SOC שלך יכול להשתמש כדי לחקור את התקיפה, לנהל, ליישם ולתמסמך את התגובה אליה.

השירותים Microsoft Sentinel ו- Microsoft Defender יוצרים התראות כאשר הם מזהים אירוע או פעילות חשודים או זדוניים. התראות בודדות מספקות ראיות חשובות לתקיפה שהושלמה או מתמשכת. עם זאת, התקפות נפוצות ומתוחכמות בדרך כלל משתמשות במגוון טכניקות ווקטורים נגד סוגים שונים של ישויות נכסים, כגון מכשירים, משתמשים ותיבות דואר. התוצאה היא התראות מרובות, ממקורות מרובים, עבור ישויות נכסים מרובות באחוזה הדיגיטלית שלך.

מאחר שכל התראות בודדות מספרות רק חלק מהכתבה, ומ מכיוון שקיבוץ ידני של התראות בודדות יחד כדי לקבל תובנות לגבי מתקפה עשוי להיות מאתגר ומושך זמן, פלטפורמת פעולות האבטחה המאוחדת מזהה באופן אוטומטי התראות הקשורות – הן מ- Microsoft Sentinel והן מ- Microsoft Defender XDR – וצוברת אותן ואת המידע המשויך אליהן באירוע.

קיבוץ התראות קשורות לתקריות מספק לך תצוגה מקיפה של מתקפה. לדוגמה, באפשרותך לראות:

איפה המתקפה התחילה.
באילו טקטיקות השתמשו.
כמה רחוקה ההתקפה נעלמה לאחוזה הדיגיטלית שלך.
היקף התקיפה, כגון מספר המכשירים, המשתמשים ותיבות הדואר שהושפעו.
כל הנתונים הקשורים לתקיפה.

פלטפורמת פעולות האבטחה המאוחדת בפורטל Microsoft Defender כוללת שיטות להפיכת קביעת סדר העדיפויות, החקירה ופתרון האירועים לאוטומטיים ולסיוע בה.

Microsoft Copilot ב- Defender רתם בינה מלאכותית כדי לתמוך באנליסטים עם זרימות עבודה יומיות מורכבות וצורכות זמן רב, כולל חקירה ותגובה לתקריות מקצה לקצה עם סיפורי תקיפה המתוארים בבירור, הדרכה לתיקון ופעילות באירועים שמסוכמים שלב אחר שלב, ציד KQL בשפה טבעית וניתוח קוד מומחה - מיטוב על יעילות SOC לאורך נתוני Microsoft Sentinel ו- Defender XDR.

יכולת זו היא בנוסף לפונקציונליות מבוססת הבינה המלאכותית האחרת ש- Microsoft Sentinel מספקת לפלטפורמה המאוחדת, באזורים של ניתוח התנהגות של משתמשים וישויות, זיהוי חריגות, זיהוי איומים מרובי שלבים ועוד.
הפרעה אוטומטית בתקיפה משתמשת באותות בעלי ביטחון גבוה שנאספו מ- Microsoft Defender XDR ומ- Microsoft Sentinel כדי לשבש באופן אוטומטי תקיפות פעילות במהירות המכונה, המכילות את האיום ומגבילות את ההשפעה.
אם אפשרות זו זמינה, Microsoft Defender XDR יכול לחקור ולפתור באופן אוטומטי התראות ממקורות של Microsoft 365 ומזהה Entra באמצעות אוטומציה ובינה מלאכותית. באפשרותך גם לבצע שלבי תיקון נוספים כדי לפתור את ההתקפה.
כללי אוטומציה של Microsoft Sentinel יכולים להפוך קביעת סדר עדיפויות, הקצאה וניהול של אירועים לאוטומטיים, ללא קשר למקור שלהם. הם יכולים להחיל תגיות על אירועים בהתבסס על התוכן שלהם, להעלים מקרי רעש (חיוביים מוטעים) ולסגור אירועים שנפתרו העומדים בקריטריונים המתאימים, ולציין סיבה ולהוסיף הערות.

חשוב

Microsoft Sentinel זמין כחלק פלטפורמה של פעולות אבטחה מאוחדות בפורטל Microsoft Defender. Microsoft Sentinel בפורטל Defender נתמך כעת לשימוש בייצור. לקבלת מידע נוסף, ראה Microsoft Sentinel בפורטל Microsoft Defender.

אירועים והתראות בפורטל Microsoft Defender

עצה

לזמן מוגבל במהלך ינואר 2024, כאשר אתה מבקר בדף אירועים , Defender Boxed מופיע. Defender Boxed מדגיש את ההצלחות, את השיפורים ואת פעולות התגובה של הארגון במהלך 2023. כדי לפתוח מחדש את Defender Boxed, בפורטל Microsoft Defender, עבור אל אירועים ולאחר מכן בחר Defender Boxed.

אתה מנהל מקרים מ - Investigation & Response > Incidents & התראה > על אירועים בהפעלה המהירה של פורטל Microsoft Defender. להלן דוגמה:

בחירת שם אירוע מציגה את דף האירוע, החל מכתבת התקיפה כולה של האירוע, כולל:

דף התראה בתוך מקרה: טווח ההתראות הקשורות לתקרית ולמידע שלהן באותה כרטיסיה.
גרף: ייצוג חזותי של ההתקפה המחברת בין הישויות החשודות השונות, שהם חלק מהמתקפה עם ישויות הנכס המגדירות את יעדי ההתקפה, כגון משתמשים, מכשירים, אפליקציות ותיבות דואר.

באפשרותך להציג את הנכס ופרטי ישות אחרים ישירות מהגרף ופעל לפיהם עם אפשרויות תגובה כגון הפיכת חשבון ללא זמין, מחיקת קובץ או תיקון מכשיר.

דף האירוע מורכב מהכרטיסיות הבאות:

סיפור התקפה

כרטיסיה זו, המוזכרת לעיל, כוללת את ציר הזמן של התקיפה, כולל כל ההתראות, ישויות הנכסים ופעולות התיקון שבוצעו.
התראות

כל ההתראות הקשורות לתקרית, למקורות ולמידע שלהן.
נכסים

כל הנכסים (ישויות מוגנות כגון מכשירים, משתמשים, תיבות דואר, אפליקציות ומשאבי ענן) שזוהו כחלק מהתקרית או קשורים לה.
חקירות

כל החקירות האוטומטיות שהופעלו על-ידי התראות באירוע, כולל מצב החקירות והתוצאות שלהן.
ראיות ותגובה

כל הישויות החשודות בהתראות על האירוע, המהווים ראיות התומכות בסיפור ההתקפה. ישויות אלה יכולות לכלול כתובות IP, קבצים, תהליכים, כתובות URL, מפתחות רישום וערכים ועוד.
סיכום

סקירה מהירה של הנכסים המושפעים המשויכים להתראות.

הערה

אם אתה רואה מצב התראה של סוג התראה שאינו נתמך, משמעות הדבר היא שליכולות חקירה אוטומטית אין אפשרות לאתר התראה זו כדי להפעיל חקירה אוטומטית. עם זאת, באפשרותך לחקור התראות אלה באופן ידני.

דוגמה לזרימת עבודה של תגובה לתקריות בפורטל Microsoft Defender

להלן דוגמה לזרימת עבודה לתגובה לתקריות ב- Microsoft 365 באמצעות פורטל Microsoft Defender.

על בסיס קבוע, זהה את האירועים בעדיפות הגבוהה ביותר לצורך ניתוח ופתרון בתור האירועים והכן אותם לתגובה. זהו שילוב של:

קביעת האירועים בעדיפות הגבוהה ביותר באמצעות סינון ומיון של תור האירועים.
ניהול אירועים על-ידי שינוי התפקיד שלהם, הקצאתם לאנליסט והוספת תגיות והערות.

באפשרותך להשתמש בכללי אוטומציה של Microsoft Sentinel כדי לקבוע סדר עדיפויות ולנהל (ואפילו להגיב) על אירועים מסוימים בעת יצירתם, ולהסיר את האירועים הקלים ביותר לטיפול כך שלא יתרווחו בתור.

שקול שלבים אלה עבור זרימת עבודה של תגובה לתקריות משלך:

הבמה	שלבים
עבור כל אירוע, התחל מתקפה וחקירה וניתוח.	הצג את סיפור התקיפה של האירוע כדי להבין את ההיקף, החומרה, מקור הזיהוי וישויות הנכס המושפעות. התחל לנתח את ההתראות כדי להבין את המקור, הטווח והחומרה שלהן באמצעות סיפור ההתראה בתוך המקרה. לפי הצורך, אסוף מידע על מכשירים, משתמשים ותיבות דואר מושפעים באמצעות הגרף. בחר ישות כלשהי כדי לפתוח תפריט נשלף עם כל הפרטים. עבור אל דף הישות לקבלת תובנות נוספות. ראה כיצד Microsoft Defender XDR פתר באופן אוטומטי התראות מסוימות באמצעות הכרטיסיה 'חקירות '. לפי הצורך, השתמש במידע בערכת הנתונים עבור האירוע לקבלת מידע נוסף באמצעות הכרטיסיה 'ראיות' ו'תגובה '.
לאחר הניתוח או במהלך הניתוח, בצע בולה כדי להפחית כל השפעה נוספת של ההתקפה והכינוי של איום האבטחה.	לדוגמה, הפוך משתמשים שנחשף לסכנה ללא זמינים בודד מכשירים מושפעים לחסום כתובות IP עוינות.
ככל האפשר, שחזר מהמתקפה על-ידי שחזור משאבי הדייר שלך למצב שבו הם היו לפני המקרה.
פתור את המקרה ותמסמך את הממצאים שלך.	קח זמן עד שלמידתם לאחר המקרה תידרש: להבין את סוג ההתקפה ואת השפעתה. חקרו את ההתקפה ב- Threat Analytics ובקהילת האבטחה לתקפות אבטחה. אחזר את זרימת העבודה שבה השתמשת כדי לפתור את המקרה ולעדכן את זרימות העבודה, התהליכים, פריטי המדיניות וספרי ההפעלה הסטנדרטיים שלך לפי הצורך. קבע אם יש צורך בשינויים שתקבע את תצורת האבטחה שלך ויישם אותם.

אם אתה חדש בניתוח אבטחה, עיין במבוא לתגובה לתקרית הראשונה שלך לקבלת מידע נוסף ולעיין באירוע לדוגמה.

לקבלת מידע נוסף אודות תגובה לתקריות במוצרי Microsoft, עיין במאמר זה.

שילוב פעולות אבטחה בפורטל Microsoft Defender

להלן דוגמה לשילוב תהליכי פעולות אבטחה (SecOps) בפורטל Microsoft Defender.

משימות יומיות יכולות לכלול:

ניהול אירועים
סקירת פעולות חקירה ותגובה אוטומטיות (AIR) במרכז הפעולות
סקירת ה- Threat Analytics העדכני ביותר
מענה לתקריות

פעילויות חודשיות יכולות לכלול:

סקירת הגדרות AIR
סקירת Secure Score וניהול פגיעויות של Microsoft Defender
דיווח לשרשרת ניהול אבטחת ה- IT שלך

משימות רבעוניות יכולות לכלול דוח ותדרוך של תוצאות אבטחה לקצין אבטחת המידע הראשי (CISO).

משימות שנתיות יכולות לכלול ביצוע תקרית משמעותית או תרגיל הפרה כדי לבדוק את הצוות, המערכות והתהליכים שלך.

ניתן להשתמש בפעילויות יומיות, חודשיות, רבעוניות ושנתיים כדי לעדכן או למקד תהליכים, פריטי מדיניות ותצורות אבטחה.

ראה שילוב XDR של Microsoft Defender בפעולות האבטחה שלך לקבלת פרטים נוספים.

משאבי SecOps בכל מוצרי Microsoft

לקבלת מידע נוסף על SecOps במוצרי Microsoft, עיין במשאבים הבאים:

הודעות על אירועים בדואר אלקטרוני

באפשרותך להגדיר את פורטל Microsoft Defender כדי להודיע לחברי הצוות בדואר אלקטרוני על אירועים חדשים או עדכונים לגבי אירועים קיימים. באפשרותך לבחור לקבל הודעות בהתבסס על:

חומרת התראה
מקורות התראה
הקבוצה 'מכשירים'

כדי להגדיר הודעות דואר אלקטרוני עבור אירועים, ראה קבלת הודעות דואר אלקטרוני לגבי אירועים.

הדרכה עבור אנליסטי אבטחה

השתמש במודול למידה זה מ- Microsoft Learn כדי להבין כיצד להשתמש ב- Microsoft Defender XDR כדי לנהל אירועים והתראות.

אימון:	בדוק אירועים באמצעות XDR של Microsoft Defender
	Microsoft Defender XDR מאחד נתוני איומים מהשירותים מרובים ומשתמש בבינה מלאכותית כדי לשלב אותם באירועים ובהתראות. למד כיצד למזער את הזמן בין מקרה לבין הניהול שלו לתגובה ולפתרון הבאים. 27 דק' - 6 יחידות

להתחיל >

השלבים הבאים

השתמש בשלבים המפורטים בהתבסס על רמת החוויה או התפקיד שלך בצוות האבטחה שלך.

רמת החוויה

עקוב אחר טבלה זו כדי לקבל את רמת החוויה שלך בעזרת ניתוח אבטחה ותגובה לתקריות.

רמת	שלבים
חדש	עיין בהדרכה בנושא תגובה לתקריות הראשונות שלך כדי לקבל סיור מודרך בתהליך טיפוסי של ניתוח, תיקון וסקירה לאחר אירוע בפורטל Microsoft Defender עם התקפה לדוגמה. ראה אילו מקרים צריכים להיות סדרי עדיפויות בהתבסס על חומרה וגורמים אחרים. נהל אירועים, הכוללים שינוי שם, הקצאה, סיווג והוספת תגיות והערות בהתבסס על זרימת העבודה של ניהול אירועים.
מנוסים	התחל לעבוד עם תור האירועים מהדף אירועים בפורטל Microsoft Defender. מכאן תוכל: ראה אילו מקרים צריכים להיות סדרי עדיפויות בהתבסס על חומרה וגורמים אחרים. נהל אירועים, הכוללים שינוי שם, הקצאה, סיווג והוספת תגיות והערות בהתבסס על זרימת העבודה של ניהול אירועים. בצע חקירות של אירועים. עקוב אחר איומים מתפתחים ומגיבים לאיומים חדשים באמצעות ניתוח איומים. צדים באופן יזום איומים עם ציד איומים מתקדם. עיין בספרי הפעלות תגובה אלה לתקריות לקבלת הדרכה מפורטת לגבי תקיפות של דיוג, תרסיס סיסמה והסכמת אפליקציה.

רמת

שלבים

חדש

עיין בהדרכה בנושא תגובה לתקריות הראשונות שלך כדי לקבל סיור מודרך בתהליך טיפוסי של ניתוח, תיקון וסקירה לאחר אירוע בפורטל Microsoft Defender עם התקפה לדוגמה.
ראה אילו מקרים צריכים להיות סדרי עדיפויות בהתבסס על חומרה וגורמים אחרים.
נהל אירועים, הכוללים שינוי שם, הקצאה, סיווג והוספת תגיות והערות בהתבסס על זרימת העבודה של ניהול אירועים.

מנוסים

התחל לעבוד עם תור האירועים מהדף אירועים בפורטל Microsoft Defender. מכאן תוכל:

ראה אילו מקרים צריכים להיות סדרי עדיפויות בהתבסס על חומרה וגורמים אחרים.
נהל אירועים, הכוללים שינוי שם, הקצאה, סיווג והוספת תגיות והערות בהתבסס על זרימת העבודה של ניהול אירועים.
בצע חקירות של אירועים.

עקוב אחר איומים מתפתחים ומגיבים לאיומים חדשים באמצעות ניתוח איומים.
צדים באופן יזום איומים עם ציד איומים מתקדם.
עיין בספרי הפעלות תגובה אלה לתקריות לקבלת הדרכה מפורטת לגבי תקיפות של דיוג, תרסיס סיסמה והסכמת אפליקציה.

תפקיד צוות אבטחה

עקוב אחר טבלה זו בהתבסס על תפקיד צוות האבטחה שלך.

תפקיד	שלבים
משיב לתקריות (רמה 1)	התחל לעבוד עם תור האירועים מהדף אירועים בפורטל Microsoft Defender. מכאן תוכל: ראה אילו מקרים צריכים להיות סדרי עדיפויות בהתבסס על חומרה וגורמים אחרים. נהל אירועים, הכוללים שינוי שם, הקצאה, סיווג והוספת תגיות והערות בהתבסס על זרימת העבודה של ניהול אירועים.
חוקר אבטחה או אנליסט (רמה 2)	בצע חקירות של אירועים מהדף אירועים בפורטל Microsoft Defender. עיין בספרי הפעלות תגובה אלה לתקריות לקבלת הדרכה מפורטת לגבי תקיפות של דיוג, תרסיס סיסמה והסכמת אפליקציה.
אנליסט אבטחה מתקדם או צייד איומים (רמה 3)	בצע חקירות של אירועים מהדף אירועים בפורטל Microsoft Defender. עקוב אחר איומים מתפתחים ומגיבים לאיומים חדשים באמצעות ניתוח איומים. צדים באופן יזום איומים עם ציד איומים מתקדם. עיין בספרי הפעלות תגובה אלה לתקריות לקבלת הדרכה מפורטת לגבי תקיפות של דיוג, תרסיס סיסמה והסכמת אפליקציה.
מנהל SOC	ראה כיצד לשלב את Microsoft Defender XDR במרכז פעולות האבטחה (SOC) שלך.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.

שתף באמצעות