A Defender for Identity biztonsági riasztásainak vizsgálata a Microsoft Defender XDR-ben
Ez a cikk a Microsoft Defender for Identity biztonsági riasztásainak a Microsoft Defender XDR-ben való használatának alapjait ismerteti.
A Defender for Identity-riasztások natív módon integrálva vannak a Microsoft Defender XDR-be dedikált identitásriasztási lapformátummal.
Az identitásriasztási oldal jobb tartományközi jelnövelést és új automatizált identitásválasz-képességeket biztosít a Microsoft Defender for Identity ügyfeleinek. Biztosítja a biztonság megőrzését és a biztonsági műveletek hatékonyságának növelését.
A riasztások Microsoft Defender XDR-n keresztüli vizsgálatának egyik előnye, hogy a Microsoft Defender for Identity riasztásai további korrelációban vannak a csomag többi termékétől kapott információkkal. Ezek a továbbfejlesztett riasztások összhangban vannak az Office 365-höz készült Microsoft Defender és Végponthoz készült Microsoft Defender származó többi Microsoft Defender XDR-riasztási formátummal. Az új oldal hatékonyan kiküszöböli, hogy egy másik termékportálra kell navigálnia az identitással kapcsolatos riasztások vizsgálatához.
A Defender for Identitytől származó riasztások mostantól aktiválhatják a Microsoft Defender XDR automatizált vizsgálati és válaszképességeit, beleértve a riasztások automatikus szervizelését és a gyanús tevékenységhez hozzájáruló eszközök és folyamatok elhárítását.
Fontos
A Microsoft Defender XDR-vel való konvergenciának részeként néhány lehetőség és részlet megváltozott a Defender for Identity portálon található helyükről. Kérjük, olvassa el az alábbi részleteket, hogy megtudja, hol találja az ismerős és az új funkciókat.
Biztonsági riasztások áttekintése
A riasztások több helyről is elérhetők, többek között a Riasztások lapról, az Incidensek lapról, az egyes eszközök lapjáról és a Speciális vadászlapról . Ebben a példában áttekintjük a Riasztások lapot.
A Microsoft Defender XDR-ben nyissa meg az Incidensek > riasztásokat, majd a Riasztások lehetőséget.
A Defender for Identity riasztásainak megtekintéséhez a jobb felső sarokban válassza a Szűrő lehetőséget, majd a Szolgáltatásforrások területen válassza a Microsoft Defender for Identity lehetőséget, és válassza az Alkalmaz elemet:
A riasztások a következő oszlopokban jelennek meg információval: Riasztás neve, Címkék, Súlyosság, Vizsgálati állapot, Állapot, Kategória, Észlelési forrás, Érintett objektumok, Első tevékenység és Utolsó tevékenység.
Biztonsági riasztások kategóriái
A Defender for Identity biztonsági riasztásai a következő kategóriákra vagy fázisokra oszlanak, például egy tipikus kibertámadási gyilkossági lánc fázisaira.
- Felderítési riasztások
- Sérült hitelesítő adatokra vonatkozó riasztások
- Oldalirányú mozgásra vonatkozó riasztások
- Tartományi dominancia riasztásai
- Kiszűrési riasztások
Riasztások kezelése
Ha kiválasztja az egyik riasztás riasztásának nevét , a riasztás részleteit tartalmazó lapra lép. A bal oldali panelen a történtek összegzése látható:
A Mi történt mező felett a riasztás fiókok, célgazda ésforrásgazda gombjai találhatók. Más riasztások esetén további gazdagépekről, fiókokról, IP-címekről, tartományokról és biztonsági csoportokról szóló gombok is megjelenhetnek. Jelölje ki bármelyiket, ha további részleteket szeretne megtudni az érintett entitásokról.
A jobb oldali panelen megjelenik a Riasztás részletei. Itt további részleteket tekinthet meg, és több feladatot is végrehajthat:
A riasztás besorolása – Itt kijelölheti ezt a riasztást igaz vagy hamis riasztásként
Riasztás állapota – A Besorolás beállítása beállításban a riasztást Igaz vagy Hamis értékre osztályozhatja. A Hozzárendelt területen hozzárendelheti a riasztást saját magához, vagy megszüntetheti a hozzárendelését.
Riasztás részletei – A Riasztás részletei területen további információt talál az adott riasztásról, a riasztás típusával kapcsolatos dokumentációra mutató hivatkozást követve megtekintheti, hogy a riasztás mely incidenshez van társítva, tekintse át az ehhez a riasztástípushoz kapcsolódó automatizált vizsgálatokat, és tekintse meg az érintett eszközöket és felhasználókat.
Megjegyzések > előzményei – Itt hozzáadhatja megjegyzéseit a riasztáshoz, és megtekintheti a riasztáshoz társított összes művelet előzményeit.
Riasztás kezelése – Ha a Riasztás kezelése lehetőséget választja, egy panelre lép, amely lehetővé teszi a következők szerkesztését:
Állapot – Választhatja az Új, a Megoldott vagy a Folyamatban lehetőséget.
Besorolás – A True (Igaz) vagy a False (Hamis) riasztást is választhatja.
Megjegyzés – Megjegyzést fűzhet a riasztáshoz.
Ha a Riasztás kezelése melletti három pont mellett választja ki a riasztást, csatolhatja a riasztást egy másik incidenshez, letiltási szabályt hozhat létre (csak előzetes verziójú ügyfelek számára érhető el), vagy megkérdezheti a Defender szakértőit.
A riasztást Excel-fájlba is exportálhatja. Ehhez válassza az Exportálás lehetőséget .
Megjegyzés:
Az Excel-fájlban most két hivatkozás érhető el: Megtekintés a Microsoft Defender identitáshoz és Nézet a Microsoft Defender XDR-ben. Minden hivatkozás a megfelelő portálra nyitja meg önt, és ott adja meg a riasztással kapcsolatos információkat.
Riasztások finomhangolása
A riasztások finomhangolásával módosíthatja és optimalizálhatja őket, csökkentve a hamis pozitív értékeket. A riasztások hangolásával az SOC-csapatok a magas prioritású riasztásokra összpontosíthatnak, és javíthatják a fenyegetésészlelési lefedettséget a rendszerben. A Microsoft Defender XDR-ben hozzon létre szabályfeltételeket bizonyítéktípusok alapján, majd alkalmazza a szabályt minden olyan szabálytípusra, amely megfelel a feltételeknek.
További információ: Riasztás hangolása.
Kapcsolódó információk
Tudjon meg többet
- Próbálja ki interaktív útmutatónkat: Gyanús tevékenységek és lehetséges támadások észlelése a Microsoft Defender for Identity használatával