בדוק התראות Microsoft Defender XDR
חל על:
- Microsoft Defender XDR
הערה
מאמר זה מתאר התראות אבטחה ב- Microsoft Defender XDR. עם זאת, באפשרותך להשתמש בהתראות פעילות כדי לשלוח הודעות דואר אלקטרוני לעצמך או למנהלי מערכת אחרים כאשר משתמשים מבצעים פעילויות ספציפיות ב- Microsoft 365. לקבלת מידע נוסף, ראה Create פעילות - Microsoft Purview | Microsoft Docs.
התראות הן הבסיס לכל האירועים ומציינות את המופע של אירועים זדוניים או חשודים בסביבה שלך. התראות הן בדרך כלל חלק ממתקפה רחבה יותר ומספקות רמזים לגבי תקרית.
ב Microsoft Defender XDR, התראות קשורות נצברות יחד כדי ליצור אירועים. עם זאת, ניתוח התראות יכול להיות בעל ערך כאשר נדרש ניתוח מעמיק יותר של תקריות תמיד.
התור התראות מציג את ערכת ההתראות הנוכחית. אתה להגיע לתור התראות מתוך אירועים & > התראות בהפעלה המהירה של Microsoft Defender הפורטל.
התראות מפתרונות אבטחה שונים של Microsoft, כגון Microsoft Defender עבור נקודת קצה, Microsoft Defender עבור Office 365 ו- Microsoft Defender XDR, מופיעות כאן.
כברירת מחדל, תור ההתראות Microsoft Defender מציג את ההתראות החדשות וההתראות המתבצעות מ- 30 הימים האחרונים. ההתראה העדכנית ביותר נמצאת בראש הרשימה כדי שתוכל לראות אותה תחילה.
מתור התראות ברירת המחדל, באפשרותך לבחור מסנן כדי לראות חלונית סינון, שממנה תוכל לציין קבוצת משנה של ההתראות. הנה דוגמה.
באפשרותך לסנן התראות לפי קריטריונים אלה:
- חומרת
- Status
- מקורות שירות
- ישויות (הנכסים המושפעים)
- מצב חקירה אוטומטית
תפקידים נדרשים עבור Defender עבור Office 365 אוטומטיות
יהיה עליך להחזיק בכל אחד מהתפקידים הבאים כדי לגשת Microsoft Defender עבור Office 365 הבאות:
עבור Microsoft Entra כלליים:
- מנהל מערכת כללי
- מנהל מערכת של אבטחה
- אופרטור אבטחה
- קורא כללי
- קורא אבטחה
Office 365 תפקידים & אבטחה ותאימות
- מנהל תאימות
- ניהול הארגון
תפקיד מותאם אישית
ניתוח התראה
כדי לראות את דף ההתראה הראשי, בחר את שם ההתראה. הנה דוגמה.
באפשרותך גם לבחור את הפעולה פתח את דף ההתראה הראשי מתוך חלונית נהל התראה.
דף התראה מורכב מסעיפים אלה:
- סיפור התראה, שהוא שרשרת האירועים וההתראות הקשורים להתראה זו בסדר כרונולוגי
- פרטי סיכום
לאורך דף התראה, באפשרותך לבחור את שלוש הנקודות (...) לצד כל ישות כדי לראות פעולות זמינות, כגון קישור ההתראה לתקרית אחרת. רשימת הפעולות הזמינות תלויה בסוג ההתראה.
מקורות התראה
Microsoft Defender XDR עשויות להגיע מפתרונות כגון Microsoft Defender עבור נקודת קצה, Microsoft Defender עבור Office 365, Microsoft Defender עבור זהות, יישומי ענן של Microsoft Defender, ההרחבה 'פיקוח על אפליקציות' עבור יישומי ענן של Microsoft Defender, הגנה למזהה Microsoft Entra, ומניעת אובדן נתונים של Microsoft. ייתכן שתבחין בהתראות עם תווים מוכנים מראש בהתראה. הטבלה הבאה מספקת הדרכה שתסייע לך להבין את המיפוי של מקורות התראה בהתבסס על התו המוכן בהתראה.
הערה
- מזהי ה- GUID המשויכים מראש ספציפיים רק לחוויות מאוחדות, כגון תור התראות מאוחדות, דף התראות מאוחדות, חקירה מאוחדת ותקרית מאוחדת.
- התו הרשום מראש אינו משנה את ה- GUID של ההתראה. השינוי היחיד ב- GUID הוא הרכיב המוכן מראש.
מקור התראה | תו רשום מראש |
---|---|
Microsoft Defender XDR | ra ta for ThreatExpertsea עבור DetectionSource = DetectionSource.CustomDetection |
Microsoft Defender עבור Office 365 | fa{GUID} דוגמה fa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender עבור נקודת קצה | da או עבור ed התראות זיהוי מותאמות אישית |
Microsoft Defender עבור זהות | aa{GUID} דוגמה aa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender עבור יישומי ענן | ca{GUID} דוגמה ca123a456b-c789-1d2e-12f1g33h445h6i |
הגנה למזהה Microsoft Entra | ad |
פיקוח על אפליקציות | ma |
מניעת אובדן נתונים של Microsoft | dl |
קביעת תצורה Microsoft Entra של התראות IP
עבור אל פורטל Microsoft Defender (security.microsoft.com), בחר הגדרות>Microsoft Defender XDR.
מהרשימה, בחר הגדרות שירות התראה ולאחר מכן קבע את תצורת שירות הגנה למזהה Microsoft Entra שלך.
כברירת מחדל, רק ההתראות הרלוונטיות ביותר עבור מרכז פעולת האבטחה זמינות. אם ברצונך לקבל את כל Microsoft Entra ה- IP, באפשרותך לשנות אותו במקטע הגדרות שירות התראה.
באפשרותך גם לגשת להגדרות שירות ההתראות ישירות מהדף אירועים בפורטל Microsoft Defender שלך.
חשוב
חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
ניתוח נכסים מושפעים
המקטע פעולות שבוצעו כולל רשימה של נכסים מושפעים, כגון תיבות דואר, מכשירים ומשתמשים המושפעים מהתראה זו.
באפשרותך גם לבחור הצג במרכז הפעולות כדי להציג את הכרטיסיה היסטוריה של מרכז הפעולות Microsoft Defender הפעולות.
מעקב אחר תפקיד התראה בסיפור ההתראה
סיפור ההתראה מציג את כל הנכסים או הישויות הקשורים להתראה בתצוגת עץ תהליך. ההתראה בכותרת היא זו שהמוקד נמצא בה כאשר אתה מגיע לראשונה לדף ההתראה שבחרת. נכסים בהכתבת ההתראה ניתנים להרחבה וניתנים ללחיצה. הם מספקים מידע נוסף ומזרזים את תגובתך בכך שהם מאפשרים לך לבצע פעולה ישירות בהקשר של דף ההתראה.
הערה
מקטע הכתבה של ההתראה עשוי להכיל יותר מהתראה אחת, עם התראות נוספות הקשורות לאותו עץ ביצוע שמופיע לפני או אחרי ההתראה שבחרת.
הצג מידע התראה נוסף בדף הפרטים
דף הפרטים מציג את פרטי ההתראה שנבחרה, עם פרטים ופעולות הקשורים אליה. אם תבחר אחת מהישויות או הנכסים המושפעים בכתבת ההתראה, דף הפרטים ישתנה כדי לספק מידע הקשרי ופעולות עבור האובייקט שנבחר.
לאחר בחירת ישות של תחום עניין, דף הפרטים משתנה כדי להציג מידע אודות סוג הישות שנבחרה, מידע היסטורי כאשר הוא זמין ואפשרויות לבצע פעולה בישות זו ישירות מתוך דף ההתראה.
ניהול התראות
כדי לנהל התראה, בחר ניהול התראה במקטע פרטי הסיכום של דף ההתראה. לקבלת התראה בודדת, להלן דוגמה של חלונית ניהול ההתראה .
החלונית נהל התראה מאפשרת לך להציג או לציין:
- מצב ההתראה (חדש, נפתר, מתבצע).
- חשבון המשתמש שהוקצתה לו ההתראה.
- סיווג ההתראה:
- לא מוגדר (ברירת מחדל).
- חיובי אמיתי עם סוג של איום. השתמש סיווג זה לקבלת התראות שמציינות באופן מדויק איום אמיתי. ציון סוג איום זה מתריע על כך שצוות האבטחה שלך רואה דפוסי איומים ופעל כדי להגן על הארגון שלך מפניהם.
- מידע, פעילות צפויה עם סוג של פעילות. השתמש באפשרות זו עבור התראות מדויקות מבחינה טכנית, אך מייצגות התנהגות רגילה או פעילות איומים מדומה. בדרך כלל ברצונך להתעלם מהתראות אלה, אך לצפות להן לפעילויות דומות בעתיד, שבהן הפעילויות מופעלות על-ידי תוקפים או תוכנות זדוניות בפועל. השתמש באפשרויות בקטגוריה זו כדי לסווג התראות עבור בדיקות אבטחה, פעילות צוות אדומה וצפוי אופן פעולה חריג מאפליקציות ומשתמשים מהימנים.
- תוצאה חיובית מוטעית עבור סוגי התראות שנוצרו גם כאשר אין פעילות זדונית או עבור אזעקת שווא. השתמש באפשרויות בקטגוריה זו כדי לסווג התראות המזוהות בטעות כאירועים רגילים או כפעילויות זדוניות או חשודות. בשונה מהתראות עבור 'מידע, פעילות צפויה', שיכולה גם להיות שימושית לתעד איומים אמיתיים, בדרך כלל אינך מעוניין לראות התראות אלה שוב. סיווג התראות כתוצאות חיוביות מוטעות עוזר Microsoft Defender XDR את איכות הזיהוי שלה.
- הערה על ההתראה.
הערה
בסביבות ה- 29 באוגוסט 2022, ערכי קביעת ההתראה הנתמכים בעבר ('Apt' ו- 'SecurityPersonnel') לא יהיו עוד זמינים דרך ה- API.
הערה
דרך אחת לניהול התראות באמצעות תגיות. יכולת התיוג עבור Microsoft Defender עבור Office 365 נפרסת באופן מצטבר והיא נמצאת כעת בתצוגה מקדימה.
בשלב זה, שמות תגים שהשתנו מוחלים רק על התראות שנוצרו לאחר העדכון. התראות שנוצרו לפני השינוי לא ישקפו את שם התג המעודכן.
כדי לנהל קבוצה של התראות הדומות להתראה ספציפית, בחר הצג התראות דומות בתיבה INSIGHT במקטע פרטי הסיכום של דף ההתראה.
מתוך החלונית ניהול התראות, תוכל לאחר מכן לסווג את כל ההתראות הקשורות בו-זמנית. הנה דוגמה.
אם התראות דומות כבר סווגו בעבר, באפשרותך לחסוך זמן באמצעות Microsoft Defender XDR כדי ללמוד כיצד ההתראות האחרות נפתרו. במקטע פרטי הסיכום, בחר המלצות.
הכרטיסיה המלצות מספקת פעולות וייעוץ בשלב הבא עבור חקירה, תיקון ומניעה. הנה דוגמה.
כוונון התראה
כאנליסט של מרכז פעולות אבטחה (SOC), אחת מהבעיות המובילות היא קביעת סדר עדיפויות של מספר ההתראות ההדרגתי המופעל מדי יום. זמן אנליסט הוא בעל ערך, שרוצה להתמקד רק בחומרה גבוהה והתראות בעדיפות גבוהה. בינתיים, אנליסטים נדרשים גם לקבוע סדר עדיפויות ולפתור התראות בעדיפות נמוכה יותר, אשר נוטה להיות תהליך ידני.
כוונון התראה מספק את היכולת לכוונן ולנהל התראות מראש. פעולה זו מייעלת את תור ההתראות וחסוך זמן קביעת סדר עדיפויות על-ידי הסתרה או פתרון של התראות באופן אוטומטי, בכל פעם שמתרחשת התנהגות ארגונית צפויה מסוימת ותניות הכלל מתקיימות.
באפשרותך ליצור תנאי כלל בהתבסס על 'סוגי ראיות', כגון קבצים, תהליכים, משימות מתוזמנות וסוגי ראיות רבים אחרים שמפעילים את ההתראה. לאחר יצירת הכלל, באפשרותך להחיל את הכלל על ההתראה שנבחרה או על כל סוג התראה שעומד בתנאים של הכלל כדי לכוונן את ההתראה.
בנוסף, התכונה מכסה גם התראות שמגיעות ממקורות Microsoft Defender XDR שונים. תכונת כוונון ההתראה בתצוגה המקדימה הציבורית היא קבלת התראות מעומסי עבודה כגון Defender for Endpoint, Defender עבור Office 365, Defender for Identity, Defender for Cloud Apps, הגנה למזהה Microsoft Entra (Microsoft Entra IP) ואחרים, אם מקורות אלה זמינים בפלטפורמה ובתוכנית שלך. בעבר, יכולת כוונון ההתראה לכדה רק התראות מתוך עומס העבודה של Defender for Endpoint.
הערה
אנו ממליצים להשתמש בכוונון התראה, שנקרא בעבר 'דיכוי התראות', בזהירות. במצבים מסוימים, יישום עסקי או בדיקות אבטחה פנימיות ידועות מפעילים פעילות צפויה ואינך מעוניין לראות התראות אלה. לכן, באפשרותך ליצור כלל כדי לכוונן סוגי התראות אלה.
Create כללים כדי לכוונן התראות
קיימות שתי דרכים לכוונון התראה ב- Microsoft Defender XDR. כדי לכוונן התראה מהדף 'הגדרות ':
עבור אל 'הגדרות'. בחלונית הימנית, עבור אל כללים ובחרכוונון התראה.
בחר הוסף כלל חדש כדי לכוונן התראה חדשה. באפשרותך גם לערוך כלל קיים בתצוגה זו על-ידי בחירת כלל מהרשימה.
בחלונית כוונון התראה, באפשרותך לבחור מקורות שירות שבהם הכלל חל בתפריט הנפתח תחת מקורות שירות.
הערה
רק שירותים שלמשתמש יש הרשאה להציג.
הוסף מחווני סכנה (IOCs) המפעילים את ההתראה תחת המקטע IOCs . באפשרותך להוסיף תנאי כדי להפסיק את ההתראה כאשר היא מופעלת על-ידי IOC ספציפי או על-ידי כל IOC שנוסף בהתראה.
IOCs הם מחוונים כגון קבצים, תהליכים, משימות מתוזמנות וסוגי ראיות אחרים שמפעילים את ההתראה.
כדי להגדיר תנאי כללים מרובים, השתמש באפשרויות AND, OR וקיבוץ כדי לבנות קשרי גומלין בין 'סוגי ראיות' מרובים אלה הגורמים להתראה.
- לדוגמה, בחר את תפקיד הישות של הראיות המפעיל: גורםמפעיל, שווה וכל אחד כדי לעצור את ההתראה כאשר היא מופעלת על-ידי כל IOC שנוסף בהתראה. כל המאפיינים של 'ראיות' אלה יתמלאו אוטומטית כקבוצת משנה חדשה בשדות המתאימים שלהלן.
הערה
ערכי תנאי אינם תלויי רישיות.
באפשרותך לערוך ו/או למחוק מאפיינים של 'ראיות' אלה בהתאם הדרישה שלך (שימוש בתווים כלליים, כאשר הוא נתמך).
מלבד קבצים ותהליכים, קובץ Script של ממשק סריקה נגד תוכנות זדוניות (AMSI), אירוע Windows Management Instrumentation (WMI) ומשימות מתוזמנות הם כמה מסוגי הראיות החדשים שנוספו שניתן לבחור מתוך הרשימה הנפתחת של סוגי הראיות.
כדי להוסיף IOC נוסף, לחץ על הוסף מסנן.
הערה
הוספת IOC אחד לפחות למצב הכלל נדרשת כדי לכוונן כל סוג התראה.
במקטע פעולה , בצע את הפעולה המתאימה של הסתר התראה אופתור התראה.
הזן שם, תיאור ולחץ על שמור.
הערה
כותרת ההתראה (שם) מבוססת על סוג ההתראה (IoaDefinitionId), אשר קובע את כותרת ההתראה. שתי התראות עם סוג התראה זהה יכולות להשתנות לכותרת התראה אחרת.
כדי לכוונן התראה מהדף 'התראות ':
בחר התראה בדף התראות תחת אירועים והתראות. לחלופין, באפשרותך לבחור התראה בעת סקירת פרטי אירוע בדף אירוע.
באפשרותך לכוונן התראה באמצעות חלונית ההתראה כוונון שנפתחת באופן אוטומטי בצד השמאלי של דף פרטי ההתראה.
בחר את התנאים שבהם ההתראה חלה במקטע סוגי התראות. בחר רק סוג התראה זה כדי להחיל את הכלל על ההתראה שנבחרה.
עם זאת, כדי להחיל את הכלל על כל סוג התראה שעומד בתנאים של כלל, בחר כל סוג התראה בהתבסס על תנאי IOC.
מילוי המקטע טווח נדרש אם כוונון ההתראה הוא Defender עבור נקודת קצה ספציפית. בחר אם הכלל חל על כל המכשירים בארגון או עבור מכשיר מסוים.
הערה
החלת הכלל על כל הארגון דורשת הרשאת תפקיד ניהולי.
הוסף תנאים במקטע תנאים כדי להפסיק את ההתראה כאשר היא מופעלת על-ידי IOC ספציפי או על-ידי IOC שנוסף בהתראה. באפשרותך לבחור מכשיר ספציפי, מכשירים מרובים, קבוצות מכשירים, הארגון כולו או לפי משתמש במקטע זה.
הערה
דרושה לך מרכז הניהול כאשר הטווח מוגדר עבור משתמש בלבד. מרכז הניהול זו אינה נדרשת כאשר הטווח מוגדר עבור משתמש יחד עם התקן, קבוצות מכשירים.
הוסף רכיבי IOC שבהם הכלל חל במקטע IOCs . באפשרותך לבחור כל IOC כדי לעצור את ההתראה, ללא קשר ל'ראיות' שגרמו להתראה.
לחלופין, באפשרותך לבחור מלא אוטומטית את כל רכיבי ה- IOC הקשורים להתראה 7 במקטע IOCs כדי להוסיף את כל סוגי הראיות הקשורים להתראה ואת המאפיינים שלהם בבת אחת במקטע תנאים.
במקטע פעולה , בצע את הפעולה המתאימה של הסתר התראה אופתור התראה.
הזן שם, הערה ולחץ על שמור.
מנע חסימה בעתיד של ה- IOCs:
לאחר שמירת כלל כוונון ההתראה, בדף יצירת כללים מוצלח שמופיע, באפשרותך להוסיף את רכיבי ה- IOCs שנבחרו כמחוונים ל"רשימת התיר" ולמנוע חסימה שלהם בעתיד.
כל רכיבי ה- IOC הקשורים להתראה יוצגו ברשימה.
IOCs שנבחרו בתנאים של ההדחקה ייבחרו כברירת מחדל.
- לדוגמה, באפשרותך להוסיף קבצים שברצונך לאפשר ל'בחר ראיות ' (IOC). כברירת מחדל, הקובץ שהפעיל את ההתראה נבחר.
- הזן את הטווח של הטווח בחר על. כברירת מחדל, הטווח עבור ההתראה הקשורה נבחר.
- לחץ על שמור. כעת הקובץ אינו חסום מאחר שהוא נמצא ברשימת ההיתרים.
פונקציונליות כוונון ההתראה החדשה זמינה כברירת מחדל.
עם זאת, באפשרותך לחזור לחוויה הקודמת בפורטל Microsoft Defender > על-ידי ניווט אל הגדרות Microsoft Defender XDR > כללים >כוונון התראה ולאחר מכן בטל את הלחצן הדו-מצבי יצירת כללי כוונון חדשים מופעלת.
הערה
בקרוב, רק חוויית כוונון ההתראה החדשה תהיה זמינה. לא תוכל לחזור לחוויה הקודמת.
ערוך כללים קיימים:
תמיד תוכל להוסיף או לשנות את תנאי הכלל ואת הטווח של כללים חדשים או קיימים בפורטל Microsoft Defender, על-ידי בחירת הכלל הרלוונטי ולחיצה על ערוך כלל.
כדי לערוך כללים קיימים, ודא כי הלחצן הדו-מצבי כללים חדשים לכוונון התראה זמין זמין.
פתרון התראה
לאחר שתסיים לנתח התראה ובאפשרותך לפתור אותה, עבור אל החלונית ניהול התראה עבור ההתראה או התראות דומות וסמן את המצב כ'נפתר' ולאחר מכן סמן אותה כתוצאה חיובית אמיתית עם סוג של איום, פעילות מידע צפויה עם סוג פעילות או חיובית מוטעית.
סיווג התראות עוזר Microsoft Defender XDR לשפר את איכות הזיהוי שלה.
שימוש ב- Power Automate כדי לקבוע סדר עדיפויות של התראות
צוותי פעולות אבטחה מודרניות (SecOps) זקוקים לאוטומציה כדי לעבוד ביעילות. כדי להתמקד בחיפוש ובחקר איומים אמיתיים, צוותי SecOps משתמשים ב- Power Automate כדי לקבוע סדר עדיפויות ברשימת ההתראות ולמנוע את האיומים שאינם איומים.
קריטריונים לפתרון התראות
- הודעת 'מחוץ למשרד' מופעלת על-ידי המשתמש
- המשתמש אינו מתויג כסיכון גבוה
אם שניהם נכונים, SecOps מסמן את ההתראה כנסיעות לגיטימיות ופתר אותה. הודעה פורסמה ב- Microsoft Teams לאחר פתרון ההתראה.
חבר את Power Automate יישומי ענן של Microsoft Defender
כדי ליצור את האוטומציה, תזדקק לאסימון API כדי שתוכל לחבר את Power Automate יישומי ענן של Microsoft Defender.
פתח Microsoft Defender ובחר הגדרות אסימון>APIשל יישומי> ענן ולאחר מכן בחר הוסף אסימון בכרטיסיה אסימוני API.
ספק שם עבור האסימון ולאחר מכן בחר צור. שמור את האסימון כפי שתדרוש אותו מאוחר יותר.
Create זרימה אוטומטית
צפה בסרטון וידאו קצר זה כדי ללמוד כיצד אוטומציה פועלת ביעילות כדי ליצור זרימת עבודה חלקה וכיצד לחבר את Power Automate ל- Defender for Cloud Apps.
השלבים הבאים
בהתאם לצורך עבור אירועים בתהליך, המשך בחקירה שלך.
למידע נוסף
- מבט כולל על אירועים
- נהל אירועים
- חקור מקרים
- בדיקת התראות למניעת אובדן נתונים ב- Defender
- הגנה למזהה Microsoft Entra
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור