תחקור מקרים ב- Microsoft Defender XDR
חל על:
- Microsoft Defender XDR
Microsoft Defender XDR לצבור את כל ההתראות, הנכסים, החקירות והראיות הקשורים מכל המכשירים, המשתמשים ותיבות הדואר שלך לתקריות כדי להעניק לך מבט מקיף על כל הרוחב של מתקפה.
במקרה מסוים, אתה מנתח את ההתראות המשפיעות על הרשת שלך, מבין את משמעותן ואיסוף הראיות כדי שתוכל לתכנן תוכנית תיקון יעילה.
חקירה ראשונית
לפני שתצלול לתוך הפרטים, עיין במאפיינים ובכתבת ההתקפה כולה על המקרה.
באפשרותך להתחיל על-ידי בחירת המקרה מעמודת סימן הביקורת. הנה דוגמה.
כאשר תעשה זאת, נפתחת חלונית סיכום עם מידע חשוב אודות האירוע, כגון חומרה, למי היא מוקצית, והקטגוריות MITRE ATT&CK™ עבור המקרה. הנה דוגמה.
מכאן, באפשרותך לבחור פתח דף אירוע. פעולה זו פותחת את העמוד הראשי של האירוע שבו תמצא את המידע המלא לגבי סיפור ההתקפה ואת הכרטיסיות עבור התראות, מכשירים, משתמשים, חקירות וראיות.
באפשרותך גם לפתוח את העמוד הראשי עבור מקרה על-ידי בחירת שם האירוע מתור האירועים.
סיפור התקפה
סיפורי תקיפה עוזרים לך לסקור, לחקור ולתקנו במהירות מתקפות תוך הצגת הסיפור המלא של ההתקפה באותה כרטיסיה. הוא גם מאפשר לך לסקור את פרטי הישות ולבצע פעולות תיקון, כגון מחיקת קובץ או תיקון מכשיר מבלי לאבד הקשר.
סיפור ההתקפה מתואר בקצרה בסרטון הבא.
בתוך סיפור התקיפה תוכל למצוא את דף ההתראה ואת גרף האירועים.
דף ההתראה של האירוע כולל את המקטעים הבאים:
כתבה בהתראה, הכוללת:
- מה קרה
- פעולות שבוצעו
- אירועים קשורים
מאפייני התראה בחלונית השמאלית (מצב, פרטים, תיאור ועוד)
שים לב שלא כל התראה תכלול את כל סעיףי המשנה המפורטים במקטע 'הכתבה התראה '.
הגרף מציג את היקף התקיפה המלא, כיצד ההתקפה התפשטה ברשת שלך לאורך זמן, היכן היא התחילה וכמה רחוק התוקף התוקף התפשט. הוא מחבר בין הישויות החשודות השונות, מהווה חלק מהמתקפה עם הנכסים הקשורים שלהן, כגון משתמשים, מכשירים ותיבות דואר.
מהגרף, באפשרותך לבצע את הפעולות הבאות:
הפעל את ההתראות ואת הצמתים בגרף כפי שהתרחשו לאורך זמן כדי להבין את הכרונולוגיית ההתקפה.
פתח חלונית ישות, המאפשרת לך לסקור את פרטי הישות ולבצע פעולות תיקון, כגון מחיקת קובץ או תיקון מכשיר.
סמן את ההתראות בהתבסס על הישות שאליהן הן קשורות.
חפש פרטי ישות של מכשיר, קובץ, כתובת IP או כתובת URL.
אפשרות החיפוש משתמשת בתכונת הציד המתקדם כדי למצוא מידע רלוונטי על ישות. שאילתת החיפוש בודקת טבלאות סכימה רלוונטיות אם קיימות אירועים או התראות הקשורים לישות הספציפית שאתה חוקר. באפשרותך לבחור כל אחת מהאפשרויות כדי למצוא מידע רלוונטי אודות הישות:
- ראה את כל השאילתות הזמינות – האפשרות מחזירה את כל השאילתות הזמינות עבור סוג הישות שאתה חוקר.
- כל הפעילות – השאילתה מחזירה את כל הפעילויות המשויכות לישות ומספקת לך תצוגה מקיפה של הקשר האירוע.
- התראות קשורות – השאילתה מחפשת ומחזירה את כל התראות האבטחה הכוללות ישות ספציפית, כדי להבטיח שלא תחמיץ מידע.
ניתן לקשר את יומני הרישום או ההתראות המתבצעים למקריות על-ידי בחירת תוצאות ולאחר מכן בחירה באפשרות קשר למקריות.
אם המקרה או ההתראות הקשורות היו התוצאה של כלל ניתוח והגדרת, באפשרותך גם לבחור הפעל שאילתה כדי לראות תוצאות קשורות אחרות.
סיכום
השתמש בדף סיכום כדי להעריך את החשיבות היחסית של האירוע ולגשת במהירות להתראות המשויכות ולישויות המושפעות. הדף ' סיכום' מעניק לך מבט מהיר על הדברים המובילים שיש להוסיף לתקרית.
המידע מאורגן בסעיפים אלה.
במקטע | תיאור |
---|---|
התראות וקטגוריות | תצוגה חזותית ומספרית של ההתקדמות המתקדמות של ההתקפה נגד שרשרת ההרוגים. בדומה למוצרי אבטחה אחרים של Microsoft, Microsoft Defender XDR מיושר למסגרת MITRE ATT&CK™. ציר הזמן של ההתראות מציג את הסדר הכרונולוגי שבו התרחשו ההתראות, עבור כל אחת מהן, המצב ושם ההתראות. |
היקף | מציג את מספר המכשירים, המשתמשים ותיבות הדואר המושפעים ומפרט את הישויות לפי רמת סיכון וקדימות חקירה. |
ראיה | הצגת מספר הישויות המושפעות מהתקרית. |
פרטי אירוע | הצגת מאפייני האירוע, כגון תגיות, מצב וחומרה. |
התראות
בכרטיסיה התראות , באפשרותך להציג את תור ההתראות עבור התראות הקשורות לתקרית ומידע נוסף אודותן, כגון:
- חומרת.
- הישויות שהיו מעורבים בהתראה.
- מקור ההתראות (Microsoft Defender עבור זהות, Microsoft Defender עבור נקודת קצה Microsoft Defender עבור Office 365, יישומי ענן של Defender ו- ההרחבה 'פיקוח על היישום').
- הסיבה שהם היו מקושרים יחד.
הנה דוגמה.
כברירת מחדל, ההתראות מסודרות בסדר כרונולוגי כדי לאפשר לך לראות כיצד המתקפה תקפה עם הזמן. בעת בחירת התראה בתוך מקרה, Microsoft Defender XDR מציג את פרטי ההתראה הספציפיים להקשר של האירוע הכולל.
באפשרותך לראות את האירועים של ההתראה, אילו התראות מופעלות אחרות גרמו להתראה הנוכחית, ואת כל הישויות והפעילויות המושפעות המעורבות בתקיפה, כולל מכשירים, קבצים, משתמשים ותיבות דואר.
הנה דוגמה.
למד כיצד להשתמש בתור ההתראות ועמודי התראה ב'חקירת התראות'.
נכסים
הצג ונהל בקלות את כל הנכסים שלך במקום אחד באמצעות הכרטיסיה החדשה נכסים . תצוגה מאוחדת זו כוללת התקנים, משתמשים, תיבות דואר ויישומים.
הכרטיסיה נכסים מציגה את המספר הכולל של נכסים לצד שמה. רשימה של קטגוריות שונות עם מספר הנכסים בתוך קטגוריה זו מוצגת בעת בחירה בכרטיסיה נכסים.
התקנים
התצוגה מכשירים מפרטת את כל המכשירים הקשורים לתקרית. הנה דוגמה.
בחירת מכשיר מהרשימה פותחת סרגל המאפשר לך לנהל את המכשיר שנבחר. באפשרותך לייצא, לנהל תגיות במהירות, ליזום חקירה אוטומטית ועוד.
באפשרותך לבחור את סימן הביקורת עבור מכשיר כדי לראות את פרטי המכשיר, נתוני מדריך הכתובות, ההתראות הפעילות והמשתמשים המחוברים. בחר את שם המכשיר כדי לראות את פרטי המכשיר במלאי המכשיר של Defender for Endpoint. הנה דוגמה.
בדף המכשיר, באפשרותך לאסוף מידע נוסף אודות המכשיר, כגון כל ההתראות שלו, ציר זמן והמלצות אבטחה. לדוגמה, מהכרטיסיה ציר זמן, באפשרותך לגלול לאורך ציר הזמן של המכשיר, להציג את כל האירועים וה אופני הפעולה שנצפה במחשב בסדר כרונולוגי, כאשר ההתראות מוגדלות. הנה דוגמה
עצה
באפשרותך לבצע סריקות לפי דרישה בדף המכשיר. בפורטל Microsoft Defender, בחר נקודות קצה > רשימת מלאי של מכשירים. בחר מכשיר המכיל התראות ולאחר מכן הפעל סריקת אנטי-וירוס. מתבצע מעקב אחר פעולות, כגון סריקות אנטי-וירוס, והן גלויות בדף מלאי המכשירים. לקבלת מידע נוסף, ראה הפעלת Microsoft Defender אנטי-וירוס במכשירים.
משתמשים
התצוגה משתמשים מפרטת את כל המשתמשים שזוהו כחלק מהתקרית או קשורים לה. הנה דוגמה.
באפשרותך לבחור את סימן הביקורת עבור משתמש כדי לראות את הפרטים של האיום, החשיפה ופרטי הקשר של חשבון המשתמש. בחר את שם המשתמש כדי לראות פרטי חשבון משתמש נוספים.
למד כיצד להציג פרטי משתמשים נוספים ולנהל את המשתמשים של אירוע בחקירה של משתמשים.
תיבות דואר
התצוגה תיבות דואר מפרטת את כל תיבות הדואר שזוהו כחלק מהתקרית או קשורות לה. הנה דוגמה.
באפשרותך לבחור את סימן הביקורת עבור תיבת דואר כדי לראות רשימה של התראות פעילות. בחר את שם תיבת הדואר כדי לראות פרטי תיבת דואר נוספים בדף הסייר Defender עבור Office 365.
יישומים
התצוגה יישומים מפרטת את כל היישומים המזוהים כחלק מהתקרית או קשורים לה. הנה דוגמה.
באפשרותך לבחור את סימן הביקורת עבור יישום כדי לראות רשימה של התראות פעילות. בחר את שם היישום כדי לראות פרטים נוספים בדף הסייר עבור יישומי ענן של Defender.
חקירות
הכרטיסיה חקירות מפרטת את כל החקירות האוטומטיות שהופעלו על-ידי התראות באירוע זה. חקירות אוטומטיות יבצעו פעולות תיקון או ימתין לאישור אנליסט של פעולות, בהתאם לאופן שבו הגדרת את החקירות האוטומטיות שלך לפעול ב- Defender for Endpoint ו- Defender עבור Office 365.
בחר חקירה כדי לנווט לדף הפרטים שלה לקבלת מידע מלא על מצב החקירה והתיקון. אם קיימות פעולות ממתינות לאישור כחלק מהחקירה, הן יופיעו בכרטיסיה היסטוריית פעולות ממתינות . בצע פעולה כחלק מתיקון תקריות.
קיימת גם כרטיסיה של גרף חקירה המציגה:
- חיבור ההתראות אל הנכסים המושפעים בארגון שלך.
- אילו ישויות קשורות להתראות ולאופן שבו הן חלק מהכתבה על ההתקפה.
- ההתראות על המקרה.
גרף החקירות עוזר לך להבין במהירות את היקף התקיפה המלא על-ידי חיבור הישויות החשודות השונות שהם חלק מהמתקפה עם הנכסים הקשורים שלהן, כגון משתמשים, מכשירים ותיבות דואר.
לקבלת מידע נוסף, ראה חקירה אוטומטית ותגובה Microsoft Defender XDR.
ראיות ותגובה
הכרטיסיה 'ראיות' ו'תגובה' מציגה את כל האירועים הנתמכים והישויות החשודות בהתראות באירוע. הנה דוגמה.
Microsoft Defender XDR חוקר באופן אוטומטי את כל האירועים הנתמכים ואת הישויות החשודות של כל האירועים בהתראות, ומספק לך מידע על הודעות הדואר האלקטרוני, הקבצים, התהליכים, השירותים, כתובות ה- IP החשובות ועוד. פעולה זו מסייעת לך לזהות ולחסום במהירות איומים פוטנציאליים באירוע.
כל אחת מהישויות שנותחו מסומנת בפסק דין (זדוני, חשוד, נקי) ומצב תיקון. פעולה זו מסייעת לך להבין את מצב התיקון של התקרית כולה ואת השלבים הבאים שניתן לבצע.
אישור או דחייה של פעולות תיקון
עבור מקרים עם מצב תיקון של אישור ממתין, באפשרותך לאשר או לדחות פעולת תיקון מתוך המקרה.
- בחלונית הניווט, עבור אל אירועים & התראות>.
- סנן לפי הפעולה ' ממתין' עבור מצב החקירה האוטומטית (אופציונלי).
- בחר שם אירוע כדי לפתוח את דף הסיכום שלו.
- בחר את הכרטיסיה ראיות ותגובה .
- בחר פריט ברשימה כדי לפתוח את החלונית הנשלפת שלו.
- סקור את המידע ולאחר מכן בצע אחד מהפעולות הבאות:
- בחר באפשרות הפעולה 'אשר ממתין' כדי לאתחל פעולה ממתינה.
- בחר באפשרות דחה פעולה ממתינה כדי למנוע ביצוע פעולה ממתינה.
השלבים הבאים
לפי הצורך:
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.