אם הארגון שלך משתמש Microsoft Defender XDR, צוות פעולות האבטחה שלך מקבל התראה בתוך פורטל Microsoft Defender בכל פעם שמתגלה פעילות או חפץ זדוניים או חשודים. בהתחשב בזרימה בלתי נגמרת של איומים שעלולים להיכנס, צוותי אבטחה נתקלים לעתים קרובות באתגר של לטפל בכמויות גדולות של התראות. למרבה המזל, Microsoft Defender XDR כולל יכולות חקירה ותגובה אוטומטיות (AIR) שעשויות לעזור לצוות פעולות האבטחה שלך לטפל באיומים בצורה יעילה ויעילה יותר.
מאמר זה מספק מבט כולל על AIR וכולל קישורים לשלבים הבאים ומשאבים נוספים.
כיצד פועלת חקירה אוטומטית וריפוי עצמי
כאשר מופעלות התראות אבטחה, צוות פעולות האבטחה שלך צריך לבדוק התראות אלה ולבצע שלבים כדי להגן על הארגון שלך. קביעת סדרי עדיפויות ובדיקה של התראות יכולות להימשך זמן רב מאוד, במיוחד כאשר התראות חדשות מקיימות כל הזמן במהלך חקירה. צוותי פעולות אבטחה יכולים להרגיש המום מנפח האיומים ההוגן שהם חייבים לנטר ולהגן מפנים. יכולות חקירה ותגובה אוטומטיות, עם ריפוי עצמי, Microsoft Defender XDR יכול לעזור.
צפה בסרטון הבא כדי לראות כיצד פועלת ריפוי עצמי:
ב Microsoft Defender XDR, חקירה ותגובה אוטומטיות עם יכולות ריפוי עצמי פועלות בכל המכשירים שלך, & דואר אלקטרוני ותוכן וזהויות.
דמיין שיש אנליסט וירטואלי בצוות פעולות האבטחה ברמה 1 או ברמה 2. אנליסט וירטואלי מחקה את השלבים האידאליים שפעולות אבטחה ידרשו כדי לחקור ולתיקון איומים. אנליסט וירטואלי יכול לעבוד 24x7, עם קיבולת בלתי מוגבלת, ולבצע עומס משמעותי של חקירות ותיקון איומים. אנליסטית וירטואלית כזו עשויה להפחית באופן משמעותי את הזמן להגיב, ול לפנות את צוות תפעול האבטחה שלך לאיומים חשובים אחרים או לפרוייקטים אסטרטגיים אחרים. אם התרחיש הזה נשמע כמו מדע בדיוני, זה לא! אנליסטית וירטואלית כזו מהווה חלק Microsoft Defender XDR שלך, ו שמה הוא חקירה ותגובה אוטומטיות.
יכולות חקירה ותגובה אוטומטיות מאפשרות לצוות פעולות האבטחה שלך להגדיל באופן משמעותי את קיבולת הארגון שלך להתמודד עם התראות אבטחה ותקריות. באמצעות חקירה ותגובה אוטומטיות, באפשרותך לצמצם את עלות ההתמודדות עם פעילויות חקירה ותגובה ולהפיק את המרב מחבילת ההגנה מפני איומים. יכולות חקירה ותגובה אוטומטיות עוזרות לצוות פעולות האבטחה שלך על-ידי:
קביעה אם איום דורש פעולה.
ביצוע (או המלצה) של כל פעולות התיקון הנחוצות.
קביעה אם חקירות אחרות יתרחשו ומהו.
חוזר על התהליך לפי הצורך עבור התראות אחרות.
תהליך החקירה האוטומטי
התראה יוצרת מקרה, שיכול להתחיל חקירה אוטומטית. החקירה האוטומטית התוצאה ב גזר דין לכל פיסת ראיה. גזרי דין יכולים להיות:
זדוני
חשוד
לא נמצאו איומים
פעולות תיקון עבור ישויות זדוניות או חשודות מזוהות. דוגמאות לפעולות תיקון כוללות:
בהתאם לאופן שבו יכולות חקירה ותגובה אוטומטיות מוגדרות עבור הארגון שלך, פעולות תיקון נלקחות באופן אוטומטי או רק לאחר אישור על-ידי צוות פעולות האבטחה שלך. כל הפעולות, בהמתנה או שהושלמו, מפורטות במרכז הפעולות.
בזמן שחקירה פועלת, כל התראה קשורה אחרת שמופיעה מתווספת לחקירה עד להשלמתה. אם ישות מושפעת מוצגת במקום אחר, החקירה האוטומטית מרחיבה את הטווח שלה כדי לכלול ישות זו, ותהליך החקירה חוזר.
ב Microsoft Defender XDR, כל חקירה אוטומטית מתאם אותות בין Microsoft Defender עבור זהות, Microsoft Defender עבור נקודת קצה, ו- Microsoft Defender עבור Office 365, כפי שמסוכם בטבלה הבאה:
לא כל התראה מפעילה חקירה אוטומטית, ולא כל חקירה התוצאה היא פעולות תיקון אוטומטיות. הדבר תלוי באופן שבו נקבעה תצורה של חקירה ותגובה אוטומטיות עבור הארגון שלך. ראה קביעת תצורה של יכולות חקירה ותגובה אוטומטיות.
החקירה האוטומטית החדשה & כרטיס התגובה זמין בפורטל Microsoft Defender (https://security.microsoft.com). ניראות כרטיס חדש זו למספר הכולל של פעולות התיקון הזמינות. הכרטיס גם מספק מבט כולל על כל ההתראות ותם זמן האישור הנדרש עבור כל התראה.
באמצעות החקירה האוטומטית & התגובה שלך, צוות פעולות האבטחה שלך יכול לנווט במהירות למרכז הפעולות על-ידי בחירה בקישור אשר במרכז הפעולות ולאחר מכן נקיטת פעולות מתאימות. הכרטיס מאפשר לצוות פעולות האבטחה שלך לנהל ביעילות רבה יותר פעולות הממתינות לאישור.
To earn this Microsoft Applied Skills credential, learners demonstrate the ability to use Microsoft Defender XDR to detect and respond to cyberthreats. Candidates for this credential should be familiar with investigating and gathering evidence about attacks on endpoints. They should also have experience using Microsoft Defender for Endpoint and Kusto Query Language (KQL).