A Defender for Identity biztonsági riasztásainak vizsgálata a Microsoft Defender XDR-ben

Ez a cikk a Microsoft Defender for Identity biztonsági riasztásainak a Microsoft Defender XDR-ben való használatának alapjait ismerteti.

A Defender for Identity-riasztások natív módon integrálva vannak a Microsoft Defender XDR-be dedikált identitásriasztási lapformátummal.

Az identitásriasztási oldal jobb tartományközi jelnövelést és új automatizált identitásválasz-képességeket biztosít a Microsoft Defender for Identity ügyfeleinek. Biztosítja a biztonság megőrzését és a biztonsági műveletek hatékonyságának növelését.

A riasztások Microsoft Defender XDR-n keresztüli vizsgálatának egyik előnye, hogy a Microsoft Defender for Identity riasztásai további korrelációban vannak a csomag többi termékétől kapott információkkal. Ezek a továbbfejlesztett riasztások összhangban vannak az Office 365-höz készült Microsoft Defender és Végponthoz készült Microsoft Defender származó többi Microsoft Defender XDR-riasztási formátummal. Az új oldal hatékonyan kiküszöböli, hogy egy másik termékportálra kell navigálnia az identitással kapcsolatos riasztások vizsgálatához.

A Defender for Identitytől származó riasztások mostantól aktiválhatják a Microsoft Defender XDR automatizált vizsgálati és válaszképességeit, beleértve a riasztások automatikus szervizelését és a gyanús tevékenységhez hozzájáruló eszközök és folyamatok elhárítását.

Fontos

A Microsoft Defender XDR-vel való konvergenciának részeként néhány lehetőség és részlet megváltozott a Defender for Identity portálon található helyükről. Kérjük, olvassa el az alábbi részleteket, hogy megtudja, hol találja az ismerős és az új funkciókat.

Biztonsági riasztások áttekintése

A riasztások több helyről is elérhetők, többek között a Riasztások lapról, az Incidensek lapról, az egyes eszközök lapjáról és a Speciális vadászlapról . Ebben a példában áttekintjük a Riasztások lapot.

A Microsoft Defender XDR-ben nyissa meg az Incidensek > riasztásokat, majd a Riasztások lehetőséget.

A Defender for Identity riasztásainak megtekintéséhez a jobb felső sarokban válassza a Szűrő lehetőséget, majd a Szolgáltatásforrások területen válassza a Microsoft Defender for Identity lehetőséget, és válassza az Alkalmaz elemet:

A riasztások a következő oszlopokban jelennek meg információval: Riasztás neve, Címkék, Súlyosság, Vizsgálati állapot, Állapot, Kategória, Észlelési forrás, Érintett objektumok, Első tevékenység és Utolsó tevékenység.

Biztonsági riasztások kategóriái

A Defender for Identity biztonsági riasztásai a következő kategóriákra vagy fázisokra oszlanak, például egy tipikus kibertámadási gyilkossági lánc fázisaira.

• Felderítési riasztások
• Sérült hitelesítő adatokra vonatkozó riasztások
• Oldalirányú mozgásra vonatkozó riasztások
• Tartományi dominancia riasztásai
• Kiszűrési riasztások

Riasztások kezelése

Ha kiválasztja az egyik riasztás riasztásának nevét , a riasztás részleteit tartalmazó lapra lép. A bal oldali panelen a történtek összegzése látható:

A Mi történt mező felett a riasztás fiókok, célgazda ésforrásgazda gombjai találhatók. Más riasztások esetén további gazdagépekről, fiókokról, IP-címekről, tartományokról és biztonsági csoportokról szóló gombok is megjelenhetnek. Jelölje ki bármelyiket, ha további részleteket szeretne megtudni az érintett entitásokról.

A jobb oldali panelen megjelenik a Riasztás részletei. Itt további részleteket tekinthet meg, és több feladatot is végrehajthat:

• A riasztás besorolása – Itt kijelölheti ezt a riasztást igaz vagy hamis riasztásként

  

• Riasztás állapota – A Besorolás beállítása beállításban a riasztást Igaz vagy Hamis értékre osztályozhatja. A Hozzárendelt területen hozzárendelheti a riasztást saját magához, vagy megszüntetheti a hozzárendelését.

  

• Riasztás részletei – A Riasztás részletei területen további információt talál az adott riasztásról, a riasztás típusával kapcsolatos dokumentációra mutató hivatkozást követve megtekintheti, hogy a riasztás mely incidenshez van társítva, tekintse át az ehhez a riasztástípushoz kapcsolódó automatizált vizsgálatokat, és tekintse meg az érintett eszközöket és felhasználókat.

  

• Megjegyzések > előzményei – Itt hozzáadhatja megjegyzéseit a riasztáshoz, és megtekintheti a riasztáshoz társított összes művelet előzményeit.

  

• Riasztás kezelése – Ha a Riasztás kezelése lehetőséget választja, egy panelre lép, amely lehetővé teszi a következők szerkesztését:

  • Állapot – Választhatja az Új, a Megoldott vagy a Folyamatban lehetőséget.

  • Besorolás – A True (Igaz) vagy a False (Hamis) riasztást is választhatja.

  • Megjegyzés – Megjegyzést fűzhet a riasztáshoz.

  • Ha a Riasztás kezelése melletti három pont mellett választja ki a riasztást, csatolhatja a riasztást egy másik incidenshez, letiltási szabályt hozhat létre (csak előzetes verziójú ügyfelek számára érhető el), vagy megkérdezheti a Defender szakértőit.

    

    A riasztást Excel-fájlba is exportálhatja. Ehhez válassza az Exportálás lehetőséget .

    Megjegyzés:

    Az Excel-fájlban most két hivatkozás érhető el: Megtekintés a Microsoft Defender identitáshoz és Nézet a Microsoft Defender XDR-ben. Minden hivatkozás a megfelelő portálra nyitja meg önt, és ott adja meg a riasztással kapcsolatos információkat.

Riasztások finomhangolása

A riasztások finomhangolásával módosíthatja és optimalizálhatja őket, csökkentve a hamis pozitív értékeket. A riasztások hangolásával az SOC-csapatok a magas prioritású riasztásokra összpontosíthatnak, és javíthatják a fenyegetésészlelési lefedettséget a rendszerben. A Microsoft Defender XDR-ben hozzon létre szabályfeltételeket bizonyítéktípusok alapján, majd alkalmazza a szabályt minden olyan szabálytípusra, amely megfelel a feltételeknek.

További információ: Riasztás hangolása.

Kapcsolódó információk

• A Microsoft Defender identitásbiztonsági riasztásai

Tudjon meg többet

• Próbálja ki interaktív útmutatónkat: Gyanús tevékenységek és lehetséges támadások észlelése a Microsoft Defender for Identity használatával