ניתוח המקרה הראשון שלך ב- XDR של Microsoft Defender
חל על:
- Microsoft Defender XDR
הבנת ההקשר שמקיף אירועים היא חיונית בניתוח תקיפות. שילוב המומחיות והניסיון שלך עם התכונות והיכולות של Microsoft Defender XDR מבטיח פתרון מהיר יותר של אירועים והבטיחות של הארגון שלך מפני תקיפות סייבר.
האיומים של היום בנושא אבטחת נתונים - סכנה לדואר אלקטרוני עסקי (BEC), תוכנות זדוניות כגון דלת אחורית ותוכנות כופר , הפרות ארגוניות ומתקפות של מדינה-מדינה – דורשות פעולה מהירה, חכמה ומצמצת ממגיבים לתקריות. כלים כגון XDR של Microsoft Defender מאפשרים לצוותי תגובה לזהות, לקבוע סדר עדיפויות ולחקור אירועים באמצעות חוויית הזכוכית הנפרדת שלו, ולאתר את המידע הדרוש כדי לקבל החלטות אלה בזמן.
משימות חקירה
חקירות כוללות בדרך כלל מגיבים המציגים כמה אפליקציות ובו-זמנית בודקים מקורות שונים של בינת איומים. לפעמים חקירות מרחיבות את צידם של איומים אחרים. מסמך עובדות ופתרונות בחקירת תקיפה הוא משימה חשובה נוספת המספקת היסטוריה והקשר לשימוש של חוקרים אחרים או לחקירות מאוחרות יותר. משימות חקירה אלה פשוטות יותר בעת שימוש ב- Microsoft Defender XDR באמצעות הפעולות הבאות:
Pivoting – הפורטל צובר מידע תקיפה חשוב בהקשר של עומסי העבודה של Defender הזמינים בארגון שלך. הפורטל מאחד את כל המידע בין רכיבים של התקפה אחת (קובץ, כתובת URL, תיבת דואר, חשבון משתמש או מכשיר), המציג קשרי גומלין וציר זמן של פעילויות. כאשר כל המידע זמין בדף, הפורטל מאפשר למגיבים לתקריות לרוחב ישויות ואירועים קשורים למצוא את המידע הדרוש להם כדי לקבל החלטות.
ציד – ציידי איומים יכולים למצוא איומים ידועים ואיומים אפשריים בתוך הארגון באמצעות יכולת הציד המתקדמות של הפורטל באמצעות שאילתות Kusto. אם אתה משתמש חדש ב- Kusto, השתמש במצב המונחה כדי לחפש איומים.
Insight – כאשר הדבר ישים, מגיבים לתקריות יכולים להציג פעולות לאירועים שזוהו בעבר והתראות כדי לסייע בחקירות. תובנות נוספות מתווספות באופן אוטומטי גם לאירועים ולהתראות באמצעות המאמצים של Microsoft לבינה מפני איומים וממקורות כמו MITRE ATT&CK® ו- VirusTotal.
שיתוף פעולה – צוותי פעולות אבטחה יכולים להציג את ההחלטות והפעולות של כל חברי הצוות באירועים והתראות בעבר, להציג אותם באמצעות תכונות פורטל כגון הערות, תיוג, סימון בדגל ומטלה. שיתוף פעולה נוסף עם שירות הזיהוי והתגובה המנוהלת של Microsoft באמצעות Defender Experts for XDR ו- Defender Experts for Hunting זמין גם הוא כאשר ארגון דורש תגובה מורחבת.
מבט כולל על ההתקפה
סיפור ההתקפה מספק למגיבים לתקריות מבט כולל הקשרי מלא על מה שקרה במתקפה. המגיבים יכולים להציג את כל ההתראות והאירועים הקשורים, כולל פעולות התיקון האוטומטיות שבוצעו על-ידי Microsoft Defender XDR כדי לצמצם מתקפה.
מתוך סיפור ההתקפה, אתה יכול לצלול עמוק יותר לתוך הפרטים של התקפה על ידי סקירת הכרטיסיות הזמינות בדף האירוע. באפשרותך לתכנת במהירות התקפות נפוצות כגון דיוג, ריסוס סיסמה ויישום זדוני בסכנה באמצעות ספרי הפעלות תגובה לתקריות הנגישים בתוך הפורטל. ספרי משחקים אלה מכילים הדרכה לזיהוי, תגובה והפחתת סיכונים התומכים בחקירות מקרים.
סרטון וידאו זה שמסביר כיצד לחקור מתקפה ב- XDR של Microsoft Defender וכיצד להשתמש בתכונות הפורטל בחקירה שלך ינחה אותך לאורך סיפור ההתקפה ודף האירוע.
חוקר איומים
איומים מורכבים כגון התקפות של יריבים באמצע ותוכנות כופר דורשים לעתים קרובות חקירה ידנית. משיב לתקריות התוקף את ההתקפות מורכבות אלה מחפש את המידע החיוני הבא:
- נוכחות של תוכנות זדוניות או שימוש חשוד בכלים ובאפליקציות
- רמזים לגבי ערוצי תקשורת או נקודות כניסה המשמשים ישות זדונית או חשודה
- רמזים המצביעים על פשרת זהות אפשרית
- זיהוי ההשפעה על הנתונים ועל תציבת האבטחה של הארגון
הסעיפים הבאים מכילים ערכות לימוד וסרטוני וידאו של תכונות XDR של Microsoft Defender המסייעות לצוותי תגובה לתקריות בחקירה של התקפות מורכבות שונות.
חקירות תוכנת כופר
תוכנת כופר ממשיכה להיות איום משמעותי לארגונים. Microsoft כוללת את המשאבים הבאים שיעזרו לך לחקור תקיפות של תוכנות כופר ולהגיב עליהן:
- מדריכים: החל מזיהוי להגנה: המדריך של Microsoft למאבק בתקיפות של תוכנות כופר
- ערכת לימוד: ספר הוראות חקירה של תוכנת כופר
- וידאו: חקירה של תקיפות תוכנת כופר ב- Microsoft Defender XDR (חלק 1)
- וידאו: חקירת תקיפות תוכנת כופר ב- Microsoft Defender XDR (חלק 2)
ניתוח תקיפות מבוססות דואר אלקטרוני
זיהוי זהויות שהשתנו, זהויות שנוצרו או נגנבו הן חיוניות לצורך חקירת תקיפות דיוג ו- BEC. השתמש במשאבים הבאים בעת חקירה של התקפות אלה:
- ערכת לימוד: חקירת דואר אלקטרוני זדוני
- ערכת לימוד: חקירת משתמשים
- ערכת לימוד: חקירת חשבון משתמש
- בלוג: ניתן גם לחקור את פשרת הזהות הכוללת: שיעורי תגובה לתקריות של Microsoft בנושא אבטחת הזהות של Active Directory עשויים להיחקר גם באמצעות אותות Defender for Identity.
- ערכת לימוד: דוגמה של מתקפת דואר אלקטרוני של דיוג
- ערכת לימוד: דוגמה לתקיפה מבוססת זהות
סרטוני הווידאו הבאים מתארים כיצד לחקור תקיפות דיוג ו- BEC ב- Microsoft Defender XDR:
- וידאו: חקירה של דיוג BEC ו- AiTM ב- Microsoft Defender XDR
- וידאו: הגנה מפני דיוג ודיוג באמצעות Defender for Office 365
חקור זהות בסכנה וידע מה ניתן לעשות כדי להכיל התקפה באמצעות סרטון וידאו זה:
ניתוח תוכנות זדוניות
מידע ויכולות של קובץ זדוני הם המפתח בחקירה של תוכנות זדוניות. Microsoft Defender XDR, ברוב המקרים, יכול להפעיל את הקובץ כדי להציג נתונים קריטיים, כולל קוד Hash, מטה-נתונים, שכיחות בארגון ויכולות קובץ בהתבסס על טכניקות MITRE ATT&CK®. פעולה זו מסירה את הצורך לבצע בדיקות תיבה שחורה או ניתוח סטטי של קבצים. באפשרותך להציג פרטי קובץ מתוך גרף האירועים, או על-ידי הצגת עץ תהליך התראה, ציר זמן של פריט או ציר זמן של מכשיר.
המשאבים הבאים מספקים פרטים על אופן השימוש ביכולות הפורטל בחקירה של קבצים:
- ערכת לימוד: חקירת קבצים
- וידאו: חקירת תוכנות זדוניות ב- Microsoft Defender XDR
ניתוח אפליקציות מסיכונים ומניעת איומים מבוססי ענן
שחקנים זדוניים יכולים לנצל אפליקציות מבוססות ענן. אפליקציות יכולות לדלוף בשוגג מידע רגיש באמצעות שימוש לרעה או שימוש לרעה. מגיבים לתקריות שחוקרים אפליקציות בסביבות ענן ומגנים עליהן יכולים להשתמש במשאבים הבאים שבהם Defender for Cloud Apps נפרס בארגונים שלהם:
- ערכת לימוד: חקירת אפליקציות זדוניות שנחשף לסכנה
- ערכת לימוד: חקירת אפליקציות OAuth מ מסוכן
- ערכת לימוד: הגנה על אפליקציות ענן
- ערכת לימוד: הגנה על אפליקציות בזמן אמת
גלה כיצד תוכל להגן על אפליקציות הענן שלך בזמן אמת באמצעות סרטון וידאו זה של עומס העבודה של Defender for Cloud Apps:
- וידאו: הגנה על אפליקציות ענן וקבצים קשורים באמצעות Defender for Cloud Apps
ניתוח הפרות
התקפות מדינה-מדינה, תקיפות נגד תשתית קריטית והפרות ארגוניות דורשות לעתים קרובות שתוקף יבסס נקודות תקשורת ברגע שהוא נמצא ברשת. משיבים לתקריות עוקבים אחר רמזים על-ידי זיהוי תעבורה חשודה או החלפה בין מקור ליעד. Microsoft כוללת את ערכות הלימוד הבאות לתחקור רכיבי תקשורת:
- בדוק תחומים וכתובות URL
- חקירת כתובת IP
- חקירת אירועי חיבור שמתרחשים מאחורי העברת proxies
- בדוק פעילויות חשודות של משתמשים ומכשירים באמצעות Defender for Identity
- זיהוי וחקור נתיבי תנועה רוחביים ב- Defender for Identity
- בדוק מכשירים ברשימה 'Defender for Endpoint devices'
תוקפים משתמשים לעתים קרובות בפגיעות כדי לקבל גישה לארגון. תקיפות מסוימות של תוכנות כופר מנצלות תחילה פגיעויות לא תואמות, כגון פגיעות Log4Shell. המשאבים הבאים עוזרים למגיבים לתקריות לזהות פגיעויות והתקנים פגיעים בארגון שלהם באמצעות שירות Defender for Vulnerability Management:
- ערכת לימוד: זיהוי פגיעויות בארגון שלך
- ערכת לימוד: חפש מכשירים חשופים
- ערכת לימוד: הערכת הסיכון של הארגון באמצעות ניקוד החשיפה
- וידאו: ניהול איומים ופגיעות באמצעות ניהול פגיעויות Defender
הפרות מתרחשות גם דרך מכשירים שונים, כגון טלפונים ומחשבי Tablet המחוברים לרשת של הארגון שלך. משיבים לתקריות יכולים להמשיך ולחקור מכשירים אלה בתוך הפורטל. סרטון הווידאו הבא מדבר על האיומים המובילים ממכשירים ניידים ועל האופן שבו ניתן לחקור את האיומים הבאים:
- הגנה מפני איומים במכשירים ניידים ב- Microsoft Defender XDR
משאבים לבינה מפני איומים ולצייד
יכולות הבינה המוכללת של Microsoft Defender XDR ושל צוותי התגובה לתקריות מסייעי הציד בביצוע הגנה יזומה מפני איומים ומתקפות מתפתחים. יש לך גישה ישירה למידע העדכני ביותר על איומים ומתקפות מתפתחים באמצעות ניתוח האיומים של הפורטל.
השתמש בבינה ב'ניתוח איומים' כדי לצלול לעומק על איומים חדשים באמצעות סרטון הווידאו הבא:
חפש איומים בארגון באופן יזום באמצעות יכולת הציד המתקדם המוכללת של הפורטל.
המשאבים הבאים מספקים מידע נוסף על אופן השימוש לציד מתקדם:
הרחב את בינת האיומים שלך באמצעות מחקר האבטחה והשינויים האחרונים מתוך צוותי מחקר האבטחה של Microsoft:
שתף פעולה עם המומחים של Microsoft לתגובה לתקריות ולצייד איומים כדי לשפר את היכולות של צוותי פעולות האבטחה שלך. קבל מידע נוסף על המומחים שלנו ועל אופן המעורבות שלהם במשאבים הבאים:
השלב הבא
- תיקון התקרית הראשונה שלך
- גלה את תכונות הפורטל באמצעות הדגמות וידאו בהדרכה של Microsoft Defender XDR Virtual Ninja
למידע נוסף
- הבנת אירועים
- חקור מקרים
- חקירת התראות
- למד את התכונות והפונקציות של הפורטל באמצעות ההדרכה של Microsoft Defender XDR Ninja
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.