תגובה לתקריות בפורטל Microsoft Defender שלך

  • מאמר
  • חל על:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

אירוע בפורטל Microsoft Defender הוא אוסף של התראות קשורות ונתונים משויכים אשר יכינו את סיפורה של התקפה. זהו גם קובץ מקרה שבו ה- SOC שלך יכול להשתמש כדי לחקור את התקיפה, לנהל, ליישם ולתמסמך את התגובה אליה.

שירותי Microsoft Sentinel Microsoft Defender יוצרים התראות כאשר הם מזהים אירוע או פעילות חשודים או זדוניים. התראות בודדות מספקות ראיות חשובות לתקיפה שהושלמה או מתמשכת. עם זאת, התקפות נפוצות ומתוחכמות בדרך כלל משתמשות במגוון טכניקות ווקטורים נגד סוגים שונים של ישויות נכסים, כגון מכשירים, משתמשים ותיבות דואר. התוצאה היא התראות מרובות, ממקורות מרובים, עבור ישויות נכסים מרובות באחוזה הדיגיטלית שלך.

מאחר שכל התראות בודדות מספרות רק חלק מהכתבה, ומ מכיוון שקיבוץ ידני של התראות בודדות יחד כדי לקבל תובנות לגבי מתקפה עשוי להיות מאתגר ומושך זמן, פלטפורמת פעולות האבטחה המאוחדת מזהה באופן אוטומטי התראות הקשורות אליהן - הן מ- Microsoft Sentinel והן מ- Microsoft Defender XDR – וצוברת אותן ואת המידע המשויך אליהן לתקריות.

כיצד Microsoft Defender XDR מתאם אירועים מישויות לאירוע.

קיבוץ התראות קשורות לתקריות מספק לך תצוגה מקיפה של מתקפה. לדוגמה, באפשרותך לראות:

  • איפה המתקפה התחילה.
  • באילו טקטיקות השתמשו.
  • כמה רחוקה ההתקפה נעלמה לאחוזה הדיגיטלית שלך.
  • היקף התקיפה, כגון מספר המכשירים, המשתמשים ותיבות הדואר שהושפעו.
  • כל הנתונים הקשורים לתקיפה.

פלטפורמת פעולות האבטחה המאוחדות בפורטל Microsoft Defender כולל שיטות להפיכת קביעת סדר העדיפויות, החקירה ופתרון תקריות לאוטומטיות ולסיוע במקרה.

  • Microsoft Copilot ב- Defender רתם בינה מלאכותית כדי לתמוך באנליסטים עם זרימות עבודה יומיות מורכבות וצורכות זמן רב, כולל חקירה ותגובה לתקריות מקצה לקצה, עם סיפורי התקפה המתוארים בבירור, הדרכה לתיקון ופעילות באירועים שמסוכמים שלב אחר שלב, ציד KQL בשפה טבעית וניתוח קוד מומחה - מיטוב על יעילות SOC בנתוני Microsoft Sentinel ו- Defender XDR.

    יכולת זו היא בנוסף לפונקציונליות מבוססת הבינה המלאכותית האחרת ש- Microsoft Sentinel מספקת לפלטפורמה המאוחדת, באזורים של ניתוח התנהגות של משתמשים וישויות, זיהוי חריגות, זיהוי איומים מרובי שלבים ועוד.

  • הפרעה אוטומטית בתקיפה משתמשת באותות בעלי ביטחון גבוה שנאספו מ- Microsoft Defender XDR וב- Microsoft Sentinel כדי לשבש באופן אוטומטי תקיפות פעילות במהירות המכונה, המכילות את האיום ומגבילות את ההשפעה.

  • אם אפשרות זו זמינה, Microsoft Defender XDR לחקור ולפתור באופן אוטומטי התראות ממקורות של Microsoft 365 ומזהה Entra באמצעות אוטומציה ובינה מלאכותית. באפשרותך גם לבצע שלבי תיקון נוספים כדי לפתור את ההתקפה.

  • כללי אוטומציה של Microsoft Sentinel יכולים להפוך קביעת סדר עדיפויות, הקצאה וניהול של אירועים לאוטומטיים, ללא קשר למקור שלהם. הם יכולים להחיל תגיות על אירועים בהתבסס על התוכן שלהם, להעלים מקרי רעש (חיוביים מוטעים) ולסגור אירועים שנפתרו העומדים בקריטריונים המתאימים, ולציין סיבה ולהוסיף הערות.

חשוב

Microsoft Sentinel זמין כחלק מהתצוגה המקדימה הציבורית עבור פלטפורמת פעולות האבטחה המאוחדת בפורטל Microsoft Defender. לקבלת מידע נוסף, ראה Microsoft Sentinel בפורטל Microsoft Defender שלך.

אירועים והתראות בפורטל Microsoft Defender שלך

עצה

לזמן מוגבל במהלך ינואר 2024, כאשר אתה מבקר בדף אירועים , Defender Boxed מופיע. Defender Boxed מדגיש את ההצלחות, את השיפורים ואת פעולות התגובה של הארגון במהלך 2023. כדי לפתוח מחדש את Defender Boxed, Microsoft Defender, עבור אל אירועים ולאחר מכן בחר ב- Defender Boxed.

אתה מנהל מקרים מתוך חקירה & תגובה > אירועים & > התראות על הפעלה מהירה של פורטל Microsoft Defender. להלן דוגמה:

הדף אירועים בפורטל Microsoft Defender.

בחירת שם אירוע מציגה את דף האירוע, החל מכתבת התקיפה כולה של האירוע, כולל:

  • דף התראה בתוך מקרה: טווח ההתראות הקשורות לתקרית ולמידע שלהן באותה כרטיסיה.

  • גרף: ייצוג חזותי של ההתקפה המחברת בין הישויות החשודות השונות, שהם חלק מהמתקפה עם ישויות הנכס המגדירות את יעדי ההתקפה, כגון משתמשים, מכשירים, אפליקציות ותיבות דואר.

באפשרותך להציג את הנכס ופרטי ישות אחרים ישירות מהגרף ופעל לפיהם עם אפשרויות תגובה כגון הפיכת חשבון ללא זמין, מחיקת קובץ או תיקון מכשיר.

צילום מסך שמראה את דף סיפור התקיפה של אירוע Microsoft Defender הפורטל.

דף האירוע מורכב מהכרטיסיות הבאות:

  • סיפור התקפה

    כרטיסיה זו, המוזכרת לעיל, כוללת את ציר הזמן של התקיפה, כולל כל ההתראות, ישויות הנכסים ופעולות התיקון שבוצעו.

  • התראות

    כל ההתראות הקשורות לתקרית, למקורות ולמידע שלהן.

  • נכסים

    כל הנכסים (ישויות מוגנות כגון מכשירים, משתמשים, תיבות דואר, אפליקציות ומשאבי ענן) שזוהו כחלק מהתקרית או קשורים לה.

  • חקירות

    כל החקירות האוטומטיות שהופעלו על-ידי התראות באירוע, כולל מצב החקירות והתוצאות שלהן.

  • ראיות ותגובה

    כל הישויות החשודות בהתראות על האירוע, המהווים ראיות התומכות בסיפור ההתקפה. ישויות אלה יכולות לכלול כתובות IP, קבצים, תהליכים, כתובות URL, מפתחות רישום וערכים ועוד.

  • סיכום

    סקירה מהירה של הנכסים המושפעים המשויכים להתראות.

הערה

אם אתה רואה מצב התראה של סוג התראה שאינו נתמך, משמעות הדבר היא שליכולות חקירה אוטומטית אין אפשרות לאתר התראה זו כדי להפעיל חקירה אוטומטית. עם זאת, באפשרותך לחקור התראות אלה באופן ידני.

דוגמה לזרימת עבודה של תגובה לתקריות בפורטל Microsoft Defender'

להלן דוגמה לזרימת עבודה לתגובה לתקריות ב- Microsoft 365 באמצעות Microsoft Defender שלך.

דוגמה לזרימת עבודה של תגובה לתקריות עבור Microsoft Defender הפורטל.

על בסיס קבוע, זהה את האירועים בעדיפות הגבוהה ביותר לצורך ניתוח ופתרון בתור האירועים והכן אותם לתגובה. זהו שילוב של:

באפשרותך להשתמש בכללי אוטומציה של Microsoft Sentinel כדי לקבוע סדר עדיפויות ולנהל (ואפילו להגיב) על אירועים מסוימים בעת יצירתם, ולהסיר את האירועים הקלים ביותר לטיפול כך שלא יתרווחו בתור.

שקול שלבים אלה עבור זרימת עבודה של תגובה לתקריות משלך:

הבמה שלבים
עבור כל אירוע, התחל מתקפה וחקירה וניתוח.
  1. הצג את סיפור התקיפה של האירוע כדי להבין את ההיקף, החומרה, מקור הזיהוי וישויות הנכס המושפעות.
  2. התחל לנתח את ההתראות כדי להבין את המקור, הטווח והחומרה שלהן באמצעות סיפור ההתראה בתוך המקרה.
  3. לפי הצורך, אסוף מידע על מכשירים, משתמשים ותיבות דואר מושפעים באמצעות הגרף. בחר ישות כלשהי כדי לפתוח תפריט נשלף עם כל הפרטים. עבור אל דף הישות לקבלת תובנות נוספות.
  4. ראה כיצד Microsoft Defender XDR פתר באופן אוטומטי התראות מסוימות באמצעות הכרטיסיה חקירות.
  5. לפי הצורך, השתמש במידע בערכת הנתונים עבור האירוע לקבלת מידע נוסף באמצעות הכרטיסיה 'ראיות' ו'תגובה '.
לאחר הניתוח או במהלך הניתוח, בצע בולה כדי להפחית כל השפעה נוספת של ההתקפה והכינוי של איום האבטחה. לדוגמה,
  • הפוך משתמשים שנחשף לסכנה ללא זמינים
  • בודד מכשירים מושפעים
  • לחסום כתובות IP עוינות.
    		•
    ככל האפשר, שחזר מהמתקפה על-ידי שחזור משאבי הדייר שלך למצב שבו הם היו לפני המקרה.
    פתור את המקרה ותמסמך את הממצאים שלך. קח זמן עד שלמידתם לאחר המקרה תידרש:
  • להבין את סוג ההתקפה ואת השפעתה.
  • חקרו את ההתקפה ב- Threat Analytics ובקהילת האבטחה לתקפות אבטחה.
  • אחזר את זרימת העבודה שבה השתמשת כדי לפתור את המקרה ולעדכן את זרימות העבודה, התהליכים, פריטי המדיניות וספרי ההפעלה הסטנדרטיים שלך לפי הצורך.
  • קבע אם יש צורך בשינויים שתקבע את תצורת האבטחה שלך ויישם אותם.
    		•

    אם אתה חדש בניתוח אבטחה, עיין במבוא לתגובה לתקרית הראשונה שלך לקבלת מידע נוסף ולעיין באירוע לדוגמה.

    לקבלת מידע נוסף אודות תגובה לתקריות במוצרי Microsoft, עיין במאמר זה.

    שילוב פעולות אבטחה בפורטל Microsoft Defender שלך

    להלן דוגמה לשילוב תהליכי פעולות אבטחה (SecOps) בפורטל Microsoft Defender.

    דוגמה לפעולות אבטחה עבור Microsoft Defender XDR

    משימות יומיות יכולות לכלול:

    פעילויות חודשיות יכולות לכלול:

    משימות רבעוניות יכולות לכלול דוח ותדרוך של תוצאות אבטחה לקצין אבטחת המידע הראשי (CISO).

    משימות שנתיות יכולות לכלול ביצוע תקרית משמעותית או תרגיל הפרה כדי לבדוק את הצוות, המערכות והתהליכים שלך.

    ניתן להשתמש בפעילויות יומיות, חודשיות, רבעוניות ושנתיים כדי לעדכן או למקד תהליכים, פריטי מדיניות ותצורות אבטחה.

    ראה שילוב Microsoft Defender XDR בפעולות האבטחה שלך לקבלת פרטים נוספים.

    משאבי SecOps בכל מוצרי Microsoft

    לקבלת מידע נוסף על SecOps במוצרי Microsoft, עיין במשאבים הבאים:

    הודעות על אירועים בדואר אלקטרוני

    באפשרותך להגדיר את פורטל Microsoft Defender ליידע את הצוות בדואר אלקטרוני לגבי אירועים חדשים או עדכונים לגבי אירועים קיימים. באפשרותך לבחור לקבל הודעות בהתבסס על:

    • חומרת התראה
    • מקורות התראה
    • הקבוצה 'מכשירים'

    כדי להגדיר הודעות דואר אלקטרוני עבור אירועים, ראה קבלת הודעות דואר אלקטרוני לגבי אירועים.

    הדרכה עבור אנליסטי אבטחה

    השתמש במודול למידה זה מ- Microsoft Learn כדי להבין כיצד Microsoft Defender XDR כדי לנהל אירועים והתראות.

    אימון: בדוק אירועים באמצעות Microsoft Defender XDR
    בדוק אירועים באמצעות Microsoft Defender XDR ההדרכה שלך. Microsoft Defender XDR לאחד נתוני איומים מהשירותים מרובים ומשתמש בבינה מלאכותית כדי לשלב אותם באירועים ובהתראות. למד כיצד למזער את הזמן בין מקרה לבין הניהול שלו לתגובה ולפתרון הבאים.

    27 דק' - 6 יחידות

    להתחיל >

    השלבים הבאים

    השתמש בשלבים המפורטים בהתבסס על רמת החוויה או התפקיד שלך בצוות האבטחה שלך.

    רמת החוויה

    עקוב אחר טבלה זו כדי לקבל את רמת החוויה שלך בעזרת ניתוח אבטחה ותגובה לתקריות.

    רמת שלבים
    חדש
    1. עיין בהדרכה בנושא תגובה לתקריות הראשונות כדי לקבל סיור מודרך בתהליך טיפוסי של ניתוח, תיקון וסקירה לאחר מקרה בפורטל Microsoft Defender באמצעות התקפה לדוגמה.
    2. ראה אילו מקרים צריכים להיות סדרי עדיפויות בהתבסס על חומרה וגורמים אחרים.
    3. נהל אירועים, הכוללים שינוי שם, הקצאה, סיווג והוספת תגיות והערות בהתבסס על זרימת העבודה של ניהול אירועים.
    מנוסים
    1. התחל לעבוד עם תור האירועים מהדף אירועים של Microsoft Defender הפורטל. מכאן תוכל:
      • ראה אילו מקרים צריכים להיות סדרי עדיפויות בהתבסס על חומרה וגורמים אחרים.
      • נהל אירועים, הכוללים שינוי שם, הקצאה, סיווג והוספת תגיות והערות בהתבסס על זרימת העבודה של ניהול אירועים.
      • בצע חקירות של אירועים.
    2. עקוב אחר איומים מתפתחים ומגיבים לאיומים חדשים באמצעות ניתוח איומים.
    3. צדים באופן יזום איומים עם ציד איומים מתקדם.
    4. עיין בספרי הפעלות תגובה אלה לתקריות לקבלת הדרכה מפורטת לגבי תקיפות של דיוג, תרסיס סיסמה והסכמת אפליקציה.

    תפקיד צוות אבטחה

    עקוב אחר טבלה זו בהתבסס על תפקיד צוות האבטחה שלך.

    תפקיד שלבים
    משיב לתקריות (רמה 1) התחל לעבוד עם תור האירועים מהדף אירועים של Microsoft Defender הפורטל. מכאן תוכל:
    • ראה אילו מקרים צריכים להיות סדרי עדיפויות בהתבסס על חומרה וגורמים אחרים.
    • נהל אירועים, הכוללים שינוי שם, הקצאה, סיווג והוספת תגיות והערות בהתבסס על זרימת העבודה של ניהול אירועים.
    חוקר אבטחה או אנליסט (רמה 2)
    1. בצע חקירות של אירועים מהדף אירועים של Microsoft Defender הפורטל.
    2. עיין בספרי הפעלות תגובה אלה לתקריות לקבלת הדרכה מפורטת לגבי תקיפות של דיוג, תרסיס סיסמה והסכמת אפליקציה.
    אנליסט אבטחה מתקדם או צייד איומים (רמה 3)
    1. בצע חקירות של אירועים מהדף אירועים של Microsoft Defender הפורטל.
    2. עקוב אחר איומים מתפתחים ומגיבים לאיומים חדשים באמצעות ניתוח איומים.
    3. צדים באופן יזום איומים עם ציד איומים מתקדם.
    4. עיין בספרי הפעלות תגובה אלה לתקריות לקבלת הדרכה מפורטת לגבי תקיפות של דיוג, תרסיס סיסמה והסכמת אפליקציה.
    מנהל SOC ראה כיצד לשלב Microsoft Defender XDR במרכז פעולות האבטחה (SOC).

    עצה

    האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.