זיהוי ותגובה מנוהלים

חל על:

• Microsoft Defender XDR

עצה

לקבלת הוראות זיהוי ותגובה מנוהלות, צפה בסרטון וידאו קצר זה: https://www.youtube.com/watch?v=fYzquW2hE5I

באמצעות שילוב של אוטומציה ומומחיות האנושית, Microsoft Defender Experts for XDR triages Microsoft Defender XDR incidents, נותן להם עדיפות בשמך, מסנן את הרעש, מבצע חקירות מפורטות ומספק תגובה מנוהלת המאפשרת פעולה לצוותי מרכז פעולות האבטחה (SOC).

עדכוני אירועים

לאחר שהמומחים שלנו מתחילים לחקור מקרה, השדות 'מוקצה ל' ו'מצב' של האירוע מתעדכנים ל- Defender Expertsו-In progress, בהתאמה.

כאשר המומחים שלנו מסיים את החקירה על מקרה, שדה הסיווג של האירוע מתעדכן לאחד מהפריטים הבאים, בהתאם לממצאי המומחים:

• חיובי אמיתי
• חיובית מוטעית
• מידע, פעילות צפויה

שדה קביעת הנתונים המתאים לכל סיווג מתעדכן גם הוא כדי לספק תובנות נוספות על הממצאים שהובילו את המומחים שלנו לקבוע את הסיווג הצוין.

אם מקרה מסווג כ'חיובי False' או 'מידע', 'פעילות צפויה', השדה 'מצב' של האירוע מתעדכן ל'נפתר'. לאחר מכן, המומחים שלנו מסיים את עבודתם על מקרה זה, ושדה ' מוקצה ל' מתעדכן ל'לא מוקצה'. המומחים שלנו עשויים לשתף עדכונים מהחקירה שלהם ומהמסקנה שלהם בעת פתרון תקרית. עדכונים אלה פורסמו בלוח הנשלף של הערות והיסטוריה של האירוע.

הערה

הערות לתקריות הן פרסומים חד-כיווניים. למומחי Defender אין אפשרות להגיב להערות או לשאלות שתוסיף בלוח ההערות וההיסטוריה . לקבלת מידע נוסף אודות אופן התכתבות עם המומחים שלנו, ראה יצירת קשר עם מומחים בשירות Microsoft Defender מומחי XDR.

אחרת, אם מקרה מסווג כ'חיובי אמיתי', המומחים שלנו מזהים לאחר מכן את פעולות התגובה הנדרשות שיש לבצע. השיטה שבה מתבצעות הפעולות תלויה בהרשאות וב לרמות הגישה שהזנת לשירות Defender Experts for XDR. קבל מידע נוסף על הענקת הרשאות למומחים שלנו.

• אם תעניק ל- Defender Experts עבור XDR את הרשאות הגישה המומלצות של מפעיל האבטחה, המומחים שלנו יוכלו לבצע את פעולות התגובה הנדרשות במקרה בשמך. פעולות אלה, יחד עם סיכום חקירה, מופיעות בלוח הנשלף של התגובה המנוהלת של האירוע בפורטל ה- Microsoft Defender שלך כדי שתוכל או לצוות SOC שלך לסקור. כל הפעולות שהושלמו על-ידי Defender Experts עבור XDR מופיעות תחת המקטע פעולות שהושלמו . כל הפעולות הממתינות שדורשות ממך או צוות SOC שלך להשלים מפורטות תחת המקטע פעולות ממתינות . לקבלת מידע נוסף, עיין בסעיף פעולות. לאחר שהמומחים שלנו נקטו בכל הפעולות הדרושות באירוע, שדה המצב שלו מתעדכן לאחר מכן ל'נפתר' ושדה 'מוקצה ל' מתעדכן ל'לא מוקצה'.

• אם תעניק ל- XDR Defender Experts את הגישה המוגדרת כברירת מחדל לקורא אבטחה, פעולות התגובה הנדרשות, יחד עם סיכום חקירה, יופיעו בלוח הנשלף של התגובה המנוהלת של האירוע תחת המקטע פעולות ממתינות בפורטל Microsoft Defender שלך כדי שאתה או צוות ה- SOC שלכם תבצעו. לקבלת מידע נוסף, עיין בסעיף פעולות. כדי לזהות כף-יד זו, השדה 'מצב אירוע' מתעדכן ל'ממתין לפעולת הלקוח' ושדה 'מוקצה ל' מתעדכן ללקוח.

באפשרותך לבדוק את מספר האירועים שדורשים את הפעולה שלך בכרזת Defender Experts בחלק העליון של דף Microsoft Defender הבית.

כדי להציג את האירועים שהמומחים שלנו חקרו או שחוקרים כעת, סנן את תור האירועים בפורטל Microsoft Defender באמצעות התג Defender Experts.

כיצד להשתמש בתגובה מנוהלת ב- Microsoft Defender XDR

בפורטל Microsoft Defender, מקרה הדורש את תשומת לבך באמצעות תגובה מנוהלת הגדיר את השדה מצב כממתין לפעולת הלקוח, השדה מוקצה ל מוגדר ללקוח וכרטיס פעילות מעל החלונית אירועים. אנשי הקשר המיועדים שלך לתקריות מקבלים גם הודעת דואר אלקטרוני תואמת עם קישור לפורטל Defender כדי להציג את המקרה. קבל מידע נוסף על אנשי קשר של הודעות. תקבל גם הודעת Teams המודיעה לך על העדכונים. קבל מידע נוסף על הגדרת Teams

בחר הצג תגובה מנוהלת בכרטיס הפעילות או בחלק העליון של דף הפורטל (הכרטיסיה תגובה מנוהלת) כדי לפתוח לוח נשלף שבו תוכל לקרוא את סיכום החקירה של המומחים שלנו, להשלים פעולות ממתינות המזוהות על-ידי המומחים שלנו או ליצור איתם קשר באמצעות צ'אט.

סיכום חקירה

הסעיף סיכום חקירה מספק לך הקשר נוסף לגבי המקרה שנותחו על-ידי המומחים שלנו כדי לספק לך ניראות לגבי החומרה שלו וההשפעה הפוטנציאלית שלו, אם לא טופלו באופן מיידי. היא עשויה לכלול את ציר הזמן של המכשיר, מחווני תקיפה ומחווני פשרה (IOCs) שנצפתו ופרטים אחרים.

פעולות

הכרטיסיה פעולות מציגה כרטיסי פעילות המכילים פעולות תגובה שהמומחים שלנו ממליצים.

Defender Experts for XDR תומך כעת בפעולות התגובה המנוהלות בלחיצה אחת הבאות:

פעולה	תיאור
בודד מכשיר	מבודד מכשיר, שמסייע במניעת תוקף לשלוט בו ולבצע פעילויות נוספות כגון הסרת נתונים ותנועה רוחבית. המכשיר המבודד עדיין יהיה מחובר Microsoft Defender עבור נקודת קצה.
קובץ הסגר	הפסקת הפעלת תהליכים, העברת הקבצים להסגר ומחיקה של נתונים מתמידים כגון מפתחות רישום.
הגבל ביצוע אפליקציה	הגבלת הביצוע של תוכניות שעלולות להיות זדוניות ונעילת המכשיר כדי למנוע ניסיונות נוספים.
שחרור מבידוד	ביטול בידוד של מכשיר.
הסר מגבלת אפליקציה	ביטול שחרור מהבידוד.

מלבד פעולות אלה בלחיצה אחת, באפשרותך גם לקבל תגובות מנוהלות מהמומחים שלנו שעליך לבצע באופן ידני.

הערה

לפני ביצוע אחת מפעולות התגובה המנוהלות המומלצות, ודא שהן עדיין לא ממועונות על-ידי תצורות החקירה והתגובה האוטומטיות שלך. קבל מידע נוסף על יכולות חקירה ותגובה אוטומטיות Microsoft Defender XDR.

כדי להציג ולבצע את פעולות התגובה המנוהלות:

1. בחר את לחצני החצים בכרטיס פעולה כדי להרחיב אותו ולקרוא מידע נוסף אודות הפעולה הנדרשת.

2. עבור כרטיסים עם פעולות תגובה בלחיצה אחת, בחר את הפעולה הנדרשת. מצב הפעולה בכרטיס משתנה ל'מתבצע' ולאחר מכן למצב 'נכשל' או 'הושלם', בהתאם לתוצאת הפעולה.

עצה

באפשרותך גם לנטר את המצב של פעולות תגובה בתוך הפורטל במרכז הפעולות. אם פעולת תגובה נכשלת, נסה לעשות זאת שוב מהדף הצג פרטי מכשיר או הפעל צ'אט עם Defender Experts.

3. עבור כרטיסים עם פעולות נדרשות שעליך לבצע באופן ידני, בחר השלמתי פעולה זו לאחר ביצוען ולאחר מכן בחר כן, עשיתי זאת בתיבת הדו-שיח לאישור שמופיעה.

4. אם אינך מעוניין להשלים פעולה נדרשת באופן מיידי, בחר דלג ולאחר מכן בחר כן , דלג על פעולה זו בתיבת הדו-שיח לאישור שמופיעה.

חשוב

אם אתה מבחין כי אחד מהלחצנים בכרטיסי הפעולה מופיע באפור, הדבר עשוי להצביע על כך שאין לך את ההרשאות הדרושות לביצוע הפעולה. ודא שנכנסת לפורטל Microsoft Defender XDR באמצעות ההרשאות המתאימות. רוב פעולות התגובה המנוהלות דורשות גישה של מפעיל האבטחה לפחות. אם אתה עדיין נתקל בבעיה זו גם עם ההרשאות המתאימות, נווט אל הצג פרטי מכשיר והשלם את השלבים משם.

קבל ניראות לחקירות Defender Experts באפליקציית SIEM או ITSM

כאשר Defender Experts for XDR חוקרים אירועים וכוללים פעולות תיקון, אתה יכול לראות את עבודתם על אירועים בפרטי האבטחה שלך ובאפליקציות ניהול האירועים (SIEM) וניהול שירותי ה- IT (ITSM), כולל אפליקציות הזמינות לשימוש.

Microsoft Sentinel

באפשרותך לקבל ניראות אירוע ב- Microsoft Sentinel על-ידי הפעלת מחבר הנתונים המוכלל Microsoft Defender XDR שלו. למידע נוסף.

לאחר הפעלת המחבר, עדכונים של מומחי Defender לשדות מצב, מוקצהל, סיווג והגדרה ב- Microsoft Defender XDR יופיעו בשדות המתאימים מצב, בעלים וסיבה לסגור ב- Sentinel.

הערה

מצב האירועים שנחקרים על-ידי Defender Experts ב- Microsoft Defender XDR בדרך כלל מ'פעיל' ל'מתבצע' אל 'ממתין לפעולת הלקוח לפתרון', בעודו ב- Sentinel, הוא עוקב אחר הנתיב 'חדש לפעיל לפעיל' ל'נפתר'. מצב Microsoft Defender XDR הממתין לפעולת הלקוח אינו כולל שדה שווה ערך ב- Sentinel; במקום זאת, הוא מוצג כתגית באירוע ב- Sentinel.

הסעיף הבא מתאר כיצד אירוע מטופל על-ידי המומחים שלנו מתעדכן ב- Sentinel עם התקדמותו במהלך מסע החקירה:

1. אירוע הנחקר על-ידי המומחים שלנו כולל את המצב כפעיל והבעלים המפורט כ- Defender Experts.
2. מקרה שהמומחים שלנו אישרו כ'חיובי אמיתי' כולל תגובה מנוהלת שפורסם ב- Microsoft Defender XDR, ותגית ממתינה לפעולת הלקוח והבעלים מופיע כלקוח. עליך לפעול בהתאם לתקרית בהתבסס על השימוש בתגובה המנוהלת שסופקה.
3. לאחר שהמומחים שלנו סגרו את החקירה שלהם וסגרו מקרה כ'חיובי מוטעה' או 'מידע', 'פעילות צפויה', מצב האירוע מתעדכן ל'נפתר', הבעלים מתעדכן ל'לא מוקצה' ומסופקת סיבה לסגירה.

יישומים אחרים

ניתן להשיג ניראות של אירועים ביישום SIEM או ITSM באמצעות ה- API או המחברים של Microsoft Defender XDR ב- Sentinel.

לאחר קביעת התצורה של מחבר, ניתן לסנכרן את העדכונים של Defender Experts לשדות Status,Assigned to, Classification ו- Determination ב- Microsoft Defender XDR עם יישומי SIEM או ITSM של ספק חיצוני, בהתאם לאופן ההטמעה של מיפוי השדות. כדי להמחיש, באפשרותך לעיין במחבר הזמין מ- Sentinel ל- ServiceNow.

למידע נוסף

• הבנה וניהול של הודעות על אירועי XDR עבור מומחי Defender עבור
• הכרת התגובה המנוהלת
• קבל ניראות בזמן אמת עם דוחות Defender Experts for XDR

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.