תגובה לתקרית הראשונה שלך Microsoft Defender XDR

  • מאמר

חל על:

  • Microsoft Defender XDR

מדריך זה מפרט את משאבי Microsoft עבור Microsoft Defender XDR משתמשים לבצע בבטחה משימות תגובה של מקרי יום-יום בעת השימוש בפורטל. התוצאות המיועדות לשימוש במדריך זה הן:

  • תלמד במהירות להשתמש ב- Microsoft Defender XDR להגיב לתקריות ולהתראות.
  • תוכל לגלות את תכונות הפורטל כדי לסייע בחקירה ובתיקון מקרים באמצעות סרטוני הווידאו וערכות הלימוד.

Microsoft Defender XDR מאפשרת לך לראות אירועי איומים רלוונטיים בכל הנכסים (מכשירים, זהויות, תיבות דואר, אפליקציות ענן ועוד). הפורטל מאחד אותות מחבילת ההגנה של Defender, מ- Microsoft Sentinel ומפתרונות משולבים אחרים של מידע אבטחה וניהול אירועים (SIEM). מידע תקיפה מתואם עם הקשר מלא בחלונית זכוכית אחת מאפשר לך להגן בהצלחה על הארגון שלך ולהגן עליו.

מדריך זה כולל שלושה מקטעים עיקריים:

  • הבנת אירועים: גישה, קביעת סדר עדיפויות וניהול אירועים בתוך הפורטל
  • ניתוח תקיפות: אוסף של סרטוני וידאו וערכות לימוד המסבירים כיצד לחקור תקיפות ספציפיות באמצעות תכונות הפורטל.
  • תיקון תקיפות: מפרט את הפעולות האוטומטיות וההידניות הזמינות בפורטל לתיקון איומים. סעיף זה כולל קישורים לסרטוני וידאו ולערכות לימוד.

הבנת אירועים

מקרה הוא שרשרת של תהליכים שנוצרו, פקודות ופעולות שייתכן שלא חופפים. אירוע מספק תמונה הוליסטית והקשר של פעילות חשודה או זדונית. מקרה יחיד מספק לך הקשר מלא של תקיפה במקום מיון מחדש של מאות התראות מהשירותים המנוהלים.

עצה

לזמן מוגבל במהלך ינואר 2024, כאשר אתה מבקר בדף אירועים , Defender Boxed מופיע. Defender Boxed מדגיש את ההצלחות, את השיפורים ואת פעולות התגובה של הארגון במהלך 2023. כדי לפתוח מחדש את Defender Boxed, Microsoft Defender, עבור אל אירועים ולאחר מכן בחר ב- Defender Boxed.

Microsoft Defender XDR כולל תכונות רבות שניתן להשתמש בהן כדי להגיב על מקרה. באפשרותך לנווט בין האירועים על-ידי בחירה באפשרות הצג את כל האירועים בכרטיס האירועים הפעילים בדף הבית או באמצעות & התראות בחלונית הניווט הימנית.

הצג את כל האירועים המוצגים Microsoft Defender XDR דף הביתאיור 1. כרטיס אירועים פעילים בדף Microsoft Defender XDR הבית

תור אירועים ב- Microsoft Defender XDRאת 2. תור אירועים

כל אירוע מכיל התראות המתאם באופן אוטומטי ממקורות זיהוי שונים והוא עשוי לכלול נקודות קצה שונות, זהויות או אפליקציות ענן שונות.

קביעת סדר עדיפויות של אירועים

סדר העדיפויות של האירועים משתנה לכל משיב, צוות אבטחה וארגון. תוכניות תגובה לתקריות וכיוון צוותי אבטחה יכולים לתעדף עדיפות לתקריות.

Microsoft Defender XDR קיימים מחוונים שונים, כגון חומרת אירוע, סוגי משתמשים או סוגי איומים, כדי לקבוע סדר עדיפויות של אירועים ולתעדף אותם. באפשרותך להשתמש בכל שילוב של מחוונים אלה הזמינים באופן מיידי באמצעות מסנני תור האירועים.

דוגמה של קביעת עדיפות מקרה היא שילוב הגורמים הבאים עבור מקרה:

  • תקרית זו ברמת חומרה גבוהה.
  • מצב חקירת האוטומציה נכשל.
  • קיימים 5 נכסים מושפעים שבהם שני נכסים מתויגים עם רגישות נתונים סודית ביותר.
  • מצב האירוע חדש.
  • האירוע אינו מוקצה לכל חבר צוות לבדיקה.

ייתכן שתקצה עדיפות גבוהה למקריות באמצעות המידע לעיל. באפשרותך להתחיל את חקירת המקרה לאחר שנקבעה עדיפות.

הערה

Microsoft Defender XDR קובע באופן אוטומטי מסננים כגון חומרה, מצב חקירה, נכסים מושפעים ומצבי מקרים. המידע מבוסס על פעילויות הרשת של הארגון שלך בהקשר של הזנות בינת איומים ופעולות התיקון האוטומטיות שהוחלו.

נהל אירועים

באפשרותך לתרום ליעילות של ניהול מקרים על-ידי מתן מידע חיוני באירועים ובהתראות. כאשר אתה מוסיף מידע לסינון הבא כאשר אתה מוסיף סדר עדיפויות ומנתח כל אירוע, אתה מספק הקשר נוסף לתקרית זו שמגיבים אחרים יכולים לנצל:

למד כיצד לסווג אירועים והתראות באמצעות סרטון וידאו זה:

השלבים הבאים

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.