Megosztás a következőn keresztül:


Automatizált vizsgálat és reagálás a Microsoft Defender XDR

Érintett szolgáltatás:

  • Microsoft Defender XDR

Ha szervezete Microsoft Defender XDR használ, a biztonsági üzemeltetési csapat riasztást kap a Microsoft Defender portálon, ha rosszindulatú vagy gyanús tevékenységet vagy összetevőt észlel. Mivel a fenyegetések látszólag soha nem szűnnek meg, a biztonsági csapatok gyakran szembesülnek azzal a kihívással, hogy kezelni tudják a nagy mennyiségű riasztást. Szerencsére Microsoft Defender XDR automatizált vizsgálati és reagálási (AIR) képességeket is tartalmaz, amelyekkel a biztonsági üzemeltetési csapat hatékonyabban és hatékonyabban kezelheti a fenyegetéseket.

Ez a cikk áttekintést nyújt az AIR-ről, és hivatkozásokat tartalmaz a következő lépésekre és további forrásokra.

Az automatizált vizsgálat és az önjavítás működése

A biztonsági riasztások aktivált állapotában a biztonsági üzemeltetési csapatnak kell megvizsgálnia ezeket a riasztásokat, és lépéseket tennie a szervezet védelmére. A riasztások rangsorolása és kivizsgálása nagyon időigényes lehet, különösen akkor, ha egy vizsgálat során folyamatosan érkeznek új riasztások. A biztonsági üzemeltetési csapatok számára túlterheltnek érezheti magát a figyelendő és az ellenük védelmet jelentő fenyegetések mennyisége. Az automatikus vizsgálati és reagálási képességek, az önjavítással, a Microsoft Defender XDR segíthetnek.

Az alábbi videóból megtudhatja, hogyan működik az önjavítás:

Az Microsoft Defender XDR automatikus vizsgálat és reagálás önjavító képességekkel az összes eszközén, e-mail-& tartalmaiban és identitásaiban működik.

Tipp

Ez a cikk az automatizált vizsgálat és reagálás működését ismerteti. A képességek konfigurálásához lásd: Automatizált vizsgálati és válaszképességek konfigurálása Microsoft Defender XDR.

Saját virtuális elemző

Képzelje el, hogy egy virtuális elemző van az 1. vagy a 2. rétegbeli biztonsági üzemeltetési csapatban. A virtuális elemző azokat az ideális lépéseket utánozza, amelyeket a biztonsági műveletek a fenyegetések kivizsgálása és elhárítása érdekében hajtanak végre. A virtuális elemző 24x7-gyel dolgozhat korlátlan kapacitással, és jelentős mennyiségű vizsgálatot és fenyegetés-szervizelést végezhet. Egy ilyen virtuális elemző jelentősen csökkentheti a válaszadáshoz szükséges időt, ezzel felszabadítva a biztonsági üzemeltetési csapatot más fontos fenyegetések vagy stratégiai projektek esetén. Ha ez a forgatókönyv sci-finek hangzik, nem az! Egy ilyen virtuális elemző a Microsoft Defender XDR csomag része, és a neve automatizált vizsgálat és válasz.

Az automatizált vizsgálati és reagálási képességek lehetővé teszik, hogy a biztonsági üzemeltetési csapat jelentősen növelje a szervezet kapacitását a biztonsági riasztások és incidensek kezelésére. Az automatizált vizsgálat és reagálás révén csökkentheti a vizsgálati és reagálási tevékenységek kezelésének költségeit, és a lehető legtöbbet hozhatja ki a fenyegetésvédelmi csomagból. Az automatizált vizsgálati és válaszképességek az alábbiakkal segítik a biztonsági üzemeltetési csapatát:

  1. Annak meghatározása, hogy egy fenyegetés beavatkozást igényel-e.
  2. Végezze el (vagy javasolja) a szükséges szervizelési műveleteket.
  3. Annak meghatározása, hogy történjen-e és milyen egyéb vizsgálat.
  4. A folyamat megismétlése szükség szerint más riasztásokhoz.

Az automatizált vizsgálati folyamat

A riasztások létrehoznak egy incidenst, amely elindíthat egy automatizált vizsgálatot. Az automatizált vizsgálat minden egyes bizonyítékra vonatkozóan ítéletet hoz. Az ítéletek a következőek lehetnek:

  • Rosszindulatú
  • Gyanús
  • Nem találhatók fenyegetések

A rendszer azonosítja a rosszindulatú vagy gyanús entitások szervizelési műveleteit. A szervizelési műveletek közé tartoznak például a következők:

  • Fájl küldése karanténba
  • Folyamat leállítása
  • Eszköz elkülönítése
  • URL-cím blokkolása
  • Egyéb műveletek

További információ: Szervizelési műveletek a Microsoft Defender XDR-ban.

Attól függően , hogy az automatizált vizsgálati és válaszképességek hogyan vannak konfigurálva a szervezet számára, a szervizelési műveleteket a rendszer automatikusan vagy csak a biztonsági üzemeltetési csapat jóváhagyásával hajtja végre. A Műveletközpontban minden művelet megjelenik, legyen az függőben vagy befejezve.

Amíg egy vizsgálat fut, a rendszer a vizsgálat befejezéséig hozzáadja a vizsgálathoz a többi kapcsolódó riasztást. Ha egy érintett entitást máshol lát, az automatizált vizsgálat kiterjeszti a hatókörét, hogy belefoglalja az adott entitást, és a vizsgálati folyamat megismétli.

A Microsoft Defender XDR minden automatizált vizsgálat korrelálja a jeleket Microsoft Defender for Identity, Végponthoz készült Microsoft Defender és Office 365-höz készült Microsoft Defender, az alábbi táblázatban összefoglalva:

Entitások Veszélyforrások elleni védelmi szolgáltatások
Eszközök (más néven végpontok vagy gépek) Végponthoz készült Defender
Helyszíni Active Directory-felhasználók, entitások viselkedése és tevékenységei Defender for Identity
tartalom Email (fájlok és URL-címeket tartalmazó e-mailek) Office 365-höz készült Defender

Megjegyzés:

Nem minden riasztás aktivál automatikus vizsgálatot, és nem minden vizsgálat eredményez automatikus javítási műveleteket. Ez attól függ, hogy hogyan van konfigurálva az automatizált vizsgálat és válasz a szervezet számára. Lásd: Automatizált vizsgálati és válaszképességek konfigurálása.

A vizsgálatok listájának megtekintése

A vizsgálatok megtekintéséhez lépjen az Incidensek oldalra. Jelöljön ki egy incidenst, majd válassza a Vizsgálatok lapot. További információ: Automatizált vizsgálat részletei és eredményei.

Automatikus vizsgálat & válaszkártya

Az új automatizált vizsgálat & válaszkártya a Microsoft Defender portálon (https://security.microsoft.com) érhető el. Ez az új kártya az elérhető szervizelési műveletek teljes számát javítja. A kártya áttekintést nyújt az egyes riasztások összes riasztásáról és a szükséges jóváhagyási időről.

Képernyőkép az automatikus vizsgálat & válaszkártyáról.

Az Automatizált vizsgálat & válaszkártyát használva a biztonsági üzemeltetési csapat gyorsan a Műveletközpontba navigálhat a Jóváhagyás a műveletközpontban hivatkozásra kattintva, majd végrehajthatja a megfelelő műveleteket. A kártya lehetővé teszi, hogy a biztonsági üzemeltetési csapat hatékonyabban kezelje a jóváhagyásra váró műveleteket.

Következő lépések

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.