שתף באמצעות

זיהוי ותגובה מנוהלים

  • מאמר

חל על:

לקבלת הוראות זיהוי ותגובה מנוהלות, צפה בסרטון וידאו קצר זה.

באמצעות שילוב של אוטומציה ומומחיות האנושית, Microsoft Defender Experts עבור XDR סדרי עדיפויות של מקרי XDR של Microsoft Defender, נותן להם עדיפות בשמך, מסנן את הרעש, מבצע חקירות מפורטות ומספק תגובה מנוהלת המאפשרת פעולה לצוותי מרכז פעולות האבטחה (SOC).

עדכוני אירועים

לאחר שהמומחים שלנו מתחילים לחקור מקרה, השדות 'מוקצה ל' ו'מצב' של האירוע מתעדכנים ל- Defender Expertsו-In progress, בהתאמה.

כאשר המומחים שלנו מסיים את החקירה על מקרה, שדה הסיווג של האירוע מתעדכן לאחד מהפריטים הבאים, בהתאם לממצאי המומחים:

  • חיובי אמיתי
  • חיובית מוטעית
  • מידע, פעילות צפויה

שדה קביעת הנתונים המתאים לכל סיווג מתעדכן גם הוא כדי לספק תובנות נוספות על הממצאים שהובילו את המומחים שלנו לקבוע את הסיווג הצוין.

צילום מסך של הדף 'מקרים' המציג את השדות 'תגיות', 'מצב', 'מוקצה ל', 'סיווג' ו'קביעה'.

אם מקרה מסווג כ'חיובי False' או 'מידע', 'פעילות צפויה', השדה 'מצב' של האירוע מתעדכן ל'נפתר'. לאחר מכן, המומחים שלנו מסיים את עבודתם על מקרה זה, ושדה ' מוקצה ל' מתעדכן ל'לא מוקצה'. המומחים שלנו עשויים לשתף עדכונים מהחקירה שלהם ומהמסקנה שלהם בעת פתרון תקרית. עדכונים אלה פורסמו תחת 'סיכום חקירה ' בלוח הנשלף של התגובה המנוהלת של האירוע.

אחרת, אם מקרה מסווג כ'חיובי אמיתי', המומחים שלנו מזהים לאחר מכן את פעולות התגובה הנדרשות שיש לבצע. השיטה שבה מתבצעות הפעולות תלויה בהרשאות וב לרמות הגישה שהזנת לשירות Defender Experts for XDR. קבל מידע נוסף על הענקת הרשאות למומחים שלנו.

  • אם תעניק ל- Defender Experts עבור XDR את הרשאות הגישה המומלצות של מפעיל האבטחה, המומחים שלנו יוכלו לבצע את פעולות התגובה הנדרשות במקרה בשמך. פעולות אלה, יחד עם סיכום חקירה, מופיעות בלוח הנשלף של התגובה המנוהלת של האירוע בפורטל Microsoft Defender כדי שתוכל או לצוות SOC שלך לסקור. כל הפעולות שהושלמו על-ידי Defender Experts עבור XDR מופיעות תחת המקטע פעולות שהושלמו . כל הפעולות הממתינות שדורשות ממך או צוות SOC שלך להשלים מפורטות תחת המקטע פעולות ממתינות . לקבלת מידע נוסף, עיין בסעיף פעולות. לאחר שהמומחים שלנו נקטו בכל הפעולות הדרושות באירוע, שדה המצב שלו מתעדכן לאחר מכן ל'נפתר' ושדה 'מוקצה ל' מתעדכן ללקוח.

  • אם תעניק ל- XDR Defender Experts את הגישה המוגדרת כברירת מחדל לקורא אבטחה, פעולות התגובה הנדרשות, יחד עם סיכום חקירה, יופיעו בלוח הנשלף של התגובה המנוהלת של האירוע תחת המקטע פעולות ממתינות בפורטל Microsoft Defender שלך כדי שתוכל או צוות SOC שלך לבצע. לקבלת מידע נוסף, עיין בסעיף פעולות. כדי לזהות כף-יד זו, השדה 'מצב אירוע' מתעדכן ל'ממתין לפעולת הלקוח' ושדה 'מוקצה ל' מתעדכן ללקוח.

באפשרותך לבדוק את מספר האירועים שדורשים את הפעולה שלך בכרזת Defender Experts בחלק העליון של דף הבית של Microsoft Defender.

צילום מסך של כרטיס Defender Experts בפורטל Microsoft Defender המציג את מספר האירועים הממתינים לפעולת הלקוח.

באפשרותך להציג את האירועים הקשורים ל- Defender Experts על-ידי סינון תור האירועים בפורטל Microsoft Defender באמצעות כמה ערכות סינון. קבל מידע נוסף על הוספת מסנני תור אירועים

  • כדי להציג את האירועים שהמומחים שלנו חוקרים כעת, השתמש במסנן הקצאת אירועים, בחר מוקצה למומחים של Defender.

  • כדי להציג את האירועים שהמומחים שלנו חקרו והמסרו לצוות שלך כדי לפעול על פעולות תיקון ממתינות, באמצעות המסנן הקצאת אירוע, בחר מוקצה לצוות לקוחות.

    צילום מסך של תור האירועים מסונן כדי להציג רק את אלה עם התג Assigned to Defender Experts.

  • כדי להציג את האירועים שהמומחים שלנו חקרו והמסרו לצוות שלך כדי לפעול על פעולות תיקון ממתינות, באמצעות המסנן מצב, בחר ממתין לפעולת הלקוח.

    צילום מסך של תור האירועים בפורטל Microsoft Defender מסונן כדי להציג רק את אלה עם תג הפעולה 'ממתין ללקוח'.

  • כדי להציג את האירועים שהמומחים שלנו השלימה את החקירה שלהם לגבי (ופתרו פריטים שנפתרו ישירות או הוקצו לצוות שלך לפעולות תיקון ממתינות), באמצעות המסנן ' תגיות', בחר Defender Experts.

    צילום מסך של תור האירועים בפורטל Microsoft Defender מסונן כדי להציג רק את התג Defender Experts.

כיצד להשתמש בתגובה מנוהלת ב- Microsoft Defender XDR

בפורטל Microsoft Defender, מקרה הדורש את תשומת לבך באמצעות תגובה מנוהלת כולל את השדה מצב מוגדר לממתין לפעולת הלקוח, השדה מוקצה ל מוגדר ללקוח וכרטיס פעילות מעל החלונית אירועים. אנשי הקשר המיועדים שלך לתקריות מקבלים גם הודעת דואר אלקטרוני תואמת עם קישור לפורטל Defender כדי להציג את המקרה. קבל מידע נוסף על אנשי קשר של הודעות. תקבל גם הודעת Teams המודיעה לך על העדכונים. קבל מידע נוסף על הגדרת Teams

בחר הצג תגובה מנוהלת בכרטיס הפעילות או בחלק העליון של דף הפורטל (הכרטיסיה תגובה מנוהלת) כדי לפתוח לוח נשלף שבו תוכל לקרוא את סיכום החקירה של המומחים שלנו, להשלים פעולות ממתינות המזוהות על-ידי המומחים שלנו או ליצור איתם קשר באמצעות צ'אט.

סיכום חקירה

הסעיף סיכום חקירה מספק לך הקשר נוסף לגבי המקרה שנותחו על-ידי המומחים שלנו כדי לספק לך ניראות לגבי החומרה שלו וההשפעה הפוטנציאלית שלו, אם לא טופלו באופן מיידי. היא עשויה לכלול את ציר הזמן של המכשיר, מחווני תקיפה ומחווני פשרה (IOCs) שנצפתו ופרטים אחרים.

צילום מסך של סיכום חקירת תגובה מנוהלת.

פעולות

הכרטיסיה פעולות מציגה כרטיסי פעילות המכילים פעולות תגובה שהמומחים שלנו ממליצים.

Defender Experts for XDR תומך כעת בפעולות התגובה המנוהלות בלחיצה אחת הבאות:

פעולה תיאור
בודד מכשיר מבודד מכשיר, שמסייע במניעת תוקף לשלוט בו ולבצע פעילויות נוספות כגון הסרת נתונים ותנועה רוחבית. המכשיר המבודד עדיין יהיה מחובר ל- Microsoft Defender for Endpoint.
קובץ הסגר הפסקת הפעלת תהליכים, העברת הקבצים להסגר ומחיקה של נתונים מתמידים כגון מפתחות רישום.
הגבל ביצוע אפליקציה הגבלת הביצוע של תוכניות שעלולות להיות זדוניות ונעילת המכשיר כדי למנוע ניסיונות נוספים.
שחרור מבידוד ביטול בידוד של מכשיר.
הסר מגבלת אפליקציה ביטול שחרור מהבידוד.
הפוך משתמש ללא זמין הפוך זהות ללא זמינה כדי לגשת לרשת ול נקודות קצה שונות.

מלבד פעולות אלה בלחיצה אחת, באפשרותך גם לקבל תגובות מנוהלות מהמומחים שלנו שעליך לבצע באופן ידני.

הערה

לפני ביצוע אחת מפעולות התגובה המנוהלות המומלצות, ודא שהן עדיין לא ממועונות על-ידי תצורות החקירה והתגובה האוטומטיות שלך. קבל מידע נוסף על יכולות חקירה ותגובה אוטומטיות ב- Microsoft Defender XDR.

כדי להציג ולבצע את פעולות התגובה המנוהלות:

  1. בחר את לחצני החצים בכרטיס פעולה כדי להרחיב אותו ולקרוא מידע נוסף אודות הפעולה הנדרשת.

    צילום מסך של פעולת התגובה המנוהלת כדי לבודד את שרת מוצר המכשיר.

  2. עבור כרטיסים עם פעולות תגובה בלחיצה אחת, בחר את הפעולה הנדרשת. מצב הפעולה בכרטיס משתנה ל'מתבצע' ולאחר מכן למצב 'נכשל' או 'הושלם', בהתאם לתוצאת הפעולה.

    צילום מסך של פעולת התגובה המנוהלת המציגה את הפעולה המתבצעת כדי לבודד את שרת מוצר המכשיר.

עצה

באפשרותך גם לנטר את המצב של פעולות תגובה בתוך הפורטל במרכז הפעולות. אם פעולת תגובה נכשלת, נסה לעשות זאת שוב מהדף הצג פרטי מכשיר או הפעל צ'אט עם Defender Experts.

  1. עבור כרטיסים עם פעולות נדרשות שעליך לבצע באופן ידני, בחר השלמתי פעולה זו לאחר ביצוען ולאחר מכן בחר כן, עשיתי זאת בתיבת הדו-שיח לאישור שמופיעה.

    צילום מסך של פעולת התגובה המנוהלת לאישור השלמת הפעולה.

  2. אם אינך מעוניין להשלים פעולה נדרשת באופן מיידי, בחר דלג ולאחר מכן בחר כן , דלג על פעולה זו בתיבת הדו-שיח לאישור שמופיעה.

חשוב

אם אתה מבחין כי אחד מהלחצנים בכרטיסי הפעולה מופיע באפור, הדבר עשוי להצביע על כך שאין לך את ההרשאות הדרושות לביצוע הפעולה. ודא שנכנסת לפורטל ה- XDR של Microsoft Defender עם ההרשאות המתאימות. רוב פעולות התגובה המנוהלות דורשות גישה של מפעיל האבטחה לפחות. אם אתה עדיין נתקל בבעיה זו גם עם ההרשאות המתאימות, נווט אל הצג פרטי מכשיר והשלם את השלבים משם.

קבל ניראות לחקירות Defender Experts באפליקציית SIEM או ITSM

כאשר Defender Experts for XDR חוקרים אירועים וכוללים פעולות תיקון, אתה יכול לראות את עבודתם על אירועים בפרטי האבטחה שלך ובאפליקציות ניהול האירועים (SIEM) וניהול שירותי ה- IT (ITSM), כולל אפליקציות הזמינות לשימוש.

Microsoft Sentinel

באפשרותך לקבל את הניראות של האירועים ב- Microsoft Sentinel על-ידי הפעלת מחבר נתוני ה- XDR של Microsoft Defender הכלול במוצר. למידע נוסף.

לאחר הפעלת המחבר, עדכונים של Defender Experts לשדות Status,Assigned to, Classification ו- Determination ב- Microsoft Defender XDR יופיעו בשדות Status,Owner ו- Reason עבור סגירה ב- Sentinel המתאימים.

הערה

מצב האירועים שנחקרים על-ידי Defender Experts ב- XDR של Microsoft Defender בדרך כלל מ'פעיל' ל'מתבצע' ל'ממתין לפעולת הלקוח לפתרון', בעוד ב- Sentinel, הוא עוקב אחר הנתיב 'חדש לפעיל לפעיל' ל'נפתר'. מצב ה- XDR של Microsoft Defender הממתין לפעולת הלקוח אינו כולל שדה שווה ערך ב- Sentinel; במקום זאת, היא מוצגת כתגית באירוע ב- Sentinel.

הסעיף הבא מתאר כיצד אירוע מטופל על-ידי המומחים שלנו מתעדכן ב- Sentinel עם התקדמותו במהלך מסע החקירה:

  1. אירוע הנחקר על-ידי המומחים שלנו כולל את המצב כפעיל והבעלים המפורט כ- Defender Experts.

  2. מקרה שהמומחים שלנו אישרו כיתוב True Positive כולל תגובה מנוהלת שפורסם ב- Microsoft Defender XDR, ותגית ממתינה לפעולת הלקוח והבעלים מופיע כלקוח. עליך לפעול בהתאם לתקרית בהתבסס על השימוש בתגובה המנוהלת שסופקה בפורטל Defender.

  3. מקרה שהמומחים שלנו אישרו כ'חיובית אמיתית', עם כל פעולות התיקון שבוצעו על-ידי Defender Experts, עדכנו את מצב האירוע ל'נפתר' והבעלים מופיע כ'לקוח'. באפשרותך לסקור את הפעולות שהושלמו באירוע באמצעות התגובה המנוהלת שסופקה בפורטל Defender.

  4. לאחר שהמומחים שלנו סגרו את החקירה שלהם וסגרו מקרה כ'חיובי מוטעה' או 'מידע', 'פעילות צפויה', מצב האירוע מתעדכן ל'נפתר', הבעלים מתעדכן ל'לא מוקצה' ומסופקת סיבה לסגירה.

    צילום מסך של אירועי Microsoft Sentinel.

יישומים אחרים

ניתן להשיג ניראות של אירועים ביישום SIEM או ITSM באמצעות ה- API או המחברים של XDR של Microsoft Defenderב- Sentinel.

לאחר קביעת התצורה של מחבר, ניתן לסנכרן את העדכונים של Defender Experts לשדות Status,Assigned to, Classification ו- Determination ב- Microsoft Defender XDR עם יישומי SIEM או ITSM של ספק חיצוני, בהתאם לאופן היישום של מיפוי השדות. כדי להמחיש, באפשרותך לעיין במחבר הזמין מ- Sentinel ל- ServiceNow.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.