תיקון התקרית הראשונה שלך ב- Microsoft Defender XDR

חל על:

• Microsoft Defender XDR

Microsoft Defender XDR מספק יכולות זיהוי וניתוח כדי להבטיח הכלה ובישול של איומים. הכלה כוללת שלבים להפחתת השפעת ההתקפה בזמן שמחישור מבטיח שכל עקבות פעילות התוקפים יוסרו מהרשת.

ניתן לבצע תיקון ב- Microsoft Defender XDR באופן אוטומטי או באמצעות פעולות ידניות שבוצעו על-ידי מגיבים לתקריות. ניתן לבצע פעולות תיקון במכשירים, בקבצים ובזיהויות.

תיקון אוטומטי

Microsoft Defender XDR ממנף את בינת האיומים שלו ואת האותות ברשת שלך כדי להילחם במתקפות המשבשות ביותר. תוכנת כופר, סכנה לדואר אלקטרוני עסקי (BEC) ודיוג של תואר הפועל באמצע (AiTM) הם כמה מהתקיפות המורכבות ביותר שניתן לכלול באופן מיידי באמצעות יכולת הפרעה אוטומטית בתקיפה. לאחר הפרעה בתקיפה, המגיבים לתקריות יכולים לקבל שליטה ולחקור באופן מלא את ההתקפה ולהחיל את התיקון הנדרש.

למד כיצד הפרעה אוטומטית בתקיפה מסייעת בתגובה לתקריות:

בינתיים, יכולות החקירה והתגובה האוטומטיות של Microsoft Defender XDR יכולות לחקור ולהחיל באופן אוטומטי פעולות תיקון על פריטים זדוניים וחשודים. יכולות אלה מדרגות חקירה ופתרון לאיומים, ופותרו את המגיבים לתקריות כדי למקד את המאמצים שלהם לתקיפות עם השפעה גבוהה.

באפשרותך לקבוע תצורהולנהל יכולות חקירה ותגובה אוטומטיות. באפשרותך גם להציג את כל הפעולות ה בעבר ובהמתנה באמצעות מרכז הפעולות.

הערה

באפשרותך לבטל פעולות אוטומטיות לאחר סקירה.

כדי להאיץ חלק ממשימות החקירה שלך, באפשרותך לקבוע סדר עדיפויות של התראות באמצעות Power Automate. בנוסף, ניתן ליצור תיקון אוטומטי באמצעות אוטומציה וספרי הפעלות. Microsoft כוללת תבניות של ספר הפעלות ב- GitHub עבור התרחישים הבאים:

• הסר שיתוף קבצים רגיש לאחר בקשת אימות משתמש
• קביעת סדר עדיפויות אוטומטי של התראות של מדינות נדירות
• בקשה לפעולת מנהל לפני הפיכת חשבון ללא פועל
• הפיכת כללי תיבת דואר נכנס זדוניים ללא זמינים

Playbooks משתמשים ב- Power Automate כדי ליצור זרימות אוטומציה מותאמות אישית של תהליכים רובוטיים כדי להפוך פעילויות מסוימות לאוטומטיות לאחר הפעלת קריטריונים ספציפיים. ארגונים יכולים ליצור ספרי משחקים מתבניות קיימות או מאפס. ניתן ליצור ספרי Playbook גם במהלך סקירה שלאחר אירוע כדי ליצור פעולות תיקון ממקרי פתרון.

למד כיצד Power Automate יכול לעזור לך להפוך את תגובת האירוע לאוטומטית באמצעות סרטון וידאו זה:

תיקון ידני

בזמן שאתה מגיב למתקפה, צוותי אבטחה יכולים למנף את פעולות התיקון הידני של הפורטל כדי להפסיק את התקיפות מפני נזק נוסף שנגרם. פעולות מסוימות יכולות לעצור באופן מיידי איום, בעוד שאחרים מסייעים בניתוח משפטי נוסף. באפשרותך להחיל פעולות אלה על כל ישות בהתאם עומסי העבודה של Defender הפרוסים בארגון שלך.

פעולות במכשירים

• לבודד את המכשיר - מבודד התקן מושפע על-ידי ניתוק ההתקן מהרשת. המכשיר נשאר מחובר לשירות Defender for Endpoint לניטור מתמשך.

• הגבלת ביצוע יישומים - הגבלת יישום על-ידי החלת מדיניות תקינות קוד המאפשרת לקבצים לפעול רק אם הם חתומים על-ידי אישור שהונפק על-ידי Microsoft.

• הפעל סריקת אנטי-וירוס - מפעיל סריקת אנטי-וירוס של Defender מרחוק עבור מכשיר. הסריקה יכולה לפעול לצד פתרונות אנטי-וירוס אחרים, בין אם האנטי-וירוס של Defender הוא פתרון האנטי-וירוס הפעיל או לא.

• איסוף חבילת חקירה - באפשרותך לאסוף חבילת חקירה ממכשיר כחלק מתהליך החקירה או התגובה. על-ידי איסוף חבילת החקירה, באפשרותך לזהות את המצב הנוכחי של המכשיר ולהבין עוד יותר את הכלים והטכניקות שבהם משתמש התוקף.

• הפעלת חקירה אוטומטית - מתחילה חקירה אוטומטית חדשה של מטרה כללית במכשיר. בזמן שחקירה פועלת, כל התראה אחרת שנוצרת מהמכשיר תתווסף לחקירה אוטומטית מתמשכת עד להשלמת חקירה זו. בנוסף, אם אותו איום מוצג במכשירים אחרים, מכשירים אלה נוספים לחקירה.

• הפעל תגובה חיה - מעניק לך גישה מיידית למכשיר באמצעות חיבור מעטפת מרוחק כדי שתוכל לבצע עבודת חקירה מעמיקה ולבצע פעולות תגובה מיידיות כדי להכיל מיד איומים מזוהים בזמן אמת. תגובה חיה מיועדת לשפר את החקירות על-ידי כך שהיא מאפשרת לך לאסוף נתונים משפטיים, להפעיל קבצי Script, לשלוח ישויות חשודות לניתוח, לתיקון איומים ולצוד באופן יזום אחר איומים מתפתחים.

• שאל את Defender Experts - באפשרותך להתייעץ עם מומחה Microsoft Defender לקבלת תובנות נוספות בנוגע למכשירים שעלולים להיחשף לסכנה או שכבר נחשפו לסכנה. ניתן להשתמש במומחים של Microsoft Defender ישירות מתוך הפורטל לקבלת תגובה מדויקת ומדויקת בזמן. פעולה זו זמינה הן עבור מכשירים והן עבור קבצים.

פעולות אחרות במכשירים זמינות באמצעות ערכת הלימוד הבאה:

• פעולות תגובה במכשיר שזמין באמצעות Defender for Endpoint

הערה

באפשרותך לבצע פעולות במכשירים ישירות מהגרף בתוך סיפור ההתקפה.

פעולות בקבצים

• קובץ עצירה והסגר - כולל הפסקת הפעלה של תהליכים, מיון קבצים ומחיקה של נתונים מתמידים, כגון מפתחות רישום.
• הוסף מחוונים כדי לחסום או לאפשר קובץ - מונע מתקיפה להפיץ עוד יותר על-ידי חסימת קבצים שעלולים להיות זדוניים או תוכנות זדוניות חשודות. פעולה זו מונעת קריאה, כתבה או הפעלה של הקובץ במכשירים בארגון שלך.
• הורד או אסוף קובץ – מאפשר לאנליסטים להוריד קובץ בקובץ המוגן באמצעות סיסמה .zip קובץ ארכיון לצורך ניתוח נוסף על-ידי הארגון.
• ניתוח עמוק – מבצע קובץ בסביבה מאובטחת וממוקשת בענן. תוצאות ניתוח עמוק מציגות את פעילויות הקובץ, אופני הפעולה שנצפה ופריטים משויכים, כגון השמטת קבצים, שינויי רישום ותקשורת עם כתובות IP.

תיקון מתקפות אחרות

הערה

ערכות לימוד אלה חלות כאשר עומסי עבודה אחרים של Defender זמינים בסביבה שלך.

ערכות הלימוד הבאות מונה שלבים ופעולות שניתן להחיל בעת חקירת ישויות או מענה לאיומים ספציפיים:

• מענה לחשבון דואר אלקטרוני שנחשף לסכנה באמצעות Defender עבור Office 365
• תיקון פגיעויות באמצעות Defender for Vulnerability Management
• פעולות תיקון עבור חשבונות משתמשים באמצעות Defender for Identity
• החלת פריטי מדיניות לשליטה באפליקציות באמצעות Defender for Cloud Apps

השלבים הבאים

• הדמיית מתקפות באמצעות אימון הדמיות התקיפה
• גלה את Microsoft Defender XDR באמצעות ההדרכה של Virtual Ninja

למידע נוסף

• חקור מקרים
• למד את התכונות והפונקציות של הפורטל באמצעות ההדרכה של Microsoft Defender XDR Ninja

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.