Megosztás a következőn keresztül:

Felügyelt észlelés és válasz

  • Cikk

Érintett szolgáltatás:

A felügyelt észlelési és reagálási utasításokért tekintse meg ezt a rövid videót.

Az automatizálás és az emberi szakértelem kombinációjával az XDR-hez készült Microsoft Defender-szakértők osztályozják a Microsoft Defender XDR-incidenseket, rangsorolja őket az Ön nevében, kiszűri a zajt, részletes vizsgálatokat végez, és végrehajtható felügyelt választ biztosít a biztonsági üzemeltetési központ (SOC) csapatainak.

Incidensfrissítések

Amint szakértőink megkezdik az incidens kivizsgálását, az incidens hozzárendelt és állapotmezői frissülnek a Defender-szakértőkre , illetve a Folyamatban állapotra.

Amikor szakértőink lezárják az incidenssel kapcsolatos vizsgálatukat, az incidens besorolási mezője a szakértők megállapításaitól függően az alábbiak egyikére frissül:

  • Valódi pozitív
  • Hamis pozitív
  • Tájékoztató, várt tevékenység

Az egyes besorolásoknak megfelelő Determináció mező is frissül, hogy további megállapításokat nyújtson azokról az eredményekről, amelyek alapján szakértőink meghatározták az említett besorolást.

Képernyőkép az Incidensek lapról, amelyen a Címkék, az Állapot, a Hozzárendelt, a Besorolás és a Meghatározás mező látható.

Ha egy incidens hamis pozitív vagy tájékoztató, várt tevékenységként van besorolva, akkor az incidens Állapot mezőjét a Rendszer feloldva értékre frissíti. Szakértőink ezután befejezik az incidenssel kapcsolatos munkájukat, és a Hozzárendelt mező hozzárendelés nélküli állapotúra frissül. Szakértőink megoszthatják a vizsgálat során kapott frissítéseket és az incidensek megoldása során levont következtetéseket. Ezek a frissítések az incidens Megjegyzések és előzmények úszó paneljén jelennek meg.

Megjegyzés:

Az incidensekkel kapcsolatos megjegyzések egyirányú bejegyzések. A Defender szakértői nem válaszolhatnak a Megjegyzések és előzmények panelen hozzáadott megjegyzésekre és kérdésekre. További információ a szakértőkkel való kapcsolattartásról: Kommunikáció a Microsoft Defender szakértőivel az XDR-hez szolgáltatásban.

Ellenkező esetben, ha egy incidens igaz pozitívként van besorolva, a szakértőink azonosítják a szükséges válaszlépéseket, amelyeket végre kell hajtani. A műveletek végrehajtásának módja attól függ, hogy milyen engedélyeket és hozzáférési szinteket adott az XDR-hez készült Defender-szakértőknek. További információ az engedélyek szakértőknek való megadásáról.

  • Ha az XDR-hez biztosított Defender-szakértőknek az ajánlott biztonsági operátori hozzáférési engedélyeket, szakértőink az Ön nevében elvégezhetik a szükséges reagálási műveleteket az incidensen. Ezek a műveletek a Vizsgálat összegzésével együtt megjelennek az incidens Felügyelt válasz úszó paneljén a Microsoft Defender portálon, ahol Ön vagy az SOC csapata áttekintheti. Az XDR-hez készült Defender-szakértők által elvégzett összes művelet a Befejezett műveletek szakaszban jelenik meg. Azok a függőben lévő műveletek, amelyek végrehajtásához Ön vagy az SOC-csapat szükséges, a Függőben lévő műveletek szakaszban jelennek meg. További információt a Műveletek szakaszban talál. Miután szakértőink elvégezték az incidenssel kapcsolatos összes szükséges műveletet, az Állapot mező a Feloldva , a Hozzárendelve mező pedig a Hozzárendelés nélküli állapotra frissül.

  • Ha alapértelmezett biztonsági olvasói hozzáférést adott az XDR-hez készült Defender-szakértőknek, akkor a szükséges válaszműveletek és a vizsgálat összefoglalása megjelennek az incidens Felügyelt válasz úszó paneljén, a Microsoft Defender portál Függőben lévő műveletek szakaszában, ön vagy az SOC-csapat számára. További információt a Műveletek szakaszban talál. Az átadás azonosításához az incidens Állapot mezője az Ügyfélműveletre vár , a Hozzárendelt mező pedig az Ügyfélre frissül.

A műveletet igénylő incidensek számát a Microsoft Defender kezdőlapjának tetején található Defender-szakértők szalagcímen ellenőrizheti.

Képernyőkép a Microsoft Defender portálOn található Defender-szakértők kártyáról, amelyen az ügyfél beavatkozására váró incidensek száma látható.

A szakértőink által vizsgált vagy jelenleg vizsgált incidensek megtekintéséhez szűrje az incidenssort a Microsoft Defender portálon a Defender Experts címkével.

Képernyőkép a Microsoft Defender portál Incidensek üzenetsoráról, amely úgy van szűrve, hogy csak a Defender Experts címkével rendelkezőket jelenítse meg.

Felügyelt válasz használata a Microsoft Defender XDR-ben

A Microsoft Defender portálon a felügyelt válasz használatával beavatkozást igénylő incidens állapotmezőjeÜgyfélműveletre vár, a Hozzárendelve mező értéke Ügyfél , az Incidensek panel tetején pedig egy feladatkártya. A kijelölt incidens kapcsolattartói is kapnak egy megfelelő e-mail-értesítést, amely a Defender portálra mutató hivatkozást tartalmaz az incidens megtekintéséhez. További információ az értesítési kapcsolattartókról. Egy Teams-értesítést is kap, amely tájékoztatja Önt a frissítésekről. További információ a Teams beállításáról

Válassza a Felügyelt válasz megtekintése lehetőséget a feladatkártyán vagy a portállap tetején (Felügyelt válasz lap) egy úszó panel megnyitásához, ahol elolvashatja szakértőink vizsgálatának összegzését, befejezheti a szakértők által azonosított függőben lévő műveleteket, vagy csevegésen keresztül kapcsolatba léphet velük.

Vizsgálat összefoglalása

A Vizsgálat összefoglalása szakasz további kontextust biztosít a szakértőink által elemzett incidenssel kapcsolatban, így áttekintheti annak súlyosságát és lehetséges hatását, ha nem foglalkozik azonnal. Ide tartozhat az eszköz idővonala, a támadás jelzői, a megfigyelt biztonsági rések (IOK- és egyéb adatok) jelzése.

Képernyőkép a felügyelt válasz vizsgálatának összefoglalásáról.

Műveletek

A Műveletek lapon a szakértők által javasolt válaszműveleteket tartalmazó feladatkártyák láthatók.

Az XDR-hez készült Defender-szakértők jelenleg a következő egykattintásos felügyelt válaszműveleteket támogatják:

Művelet Leírás
Eszköz elkülönítése Elkülönít egy eszközt, amely megakadályozza, hogy a támadók irányítják azt, és további tevékenységeket hajtanak végre, például adatkiszivárgást és oldalirányú mozgást. Az elkülönített eszköz továbbra is csatlakozik a Végponthoz készült Microsoft Defenderhez.
Karanténfájl Leállítja a folyamatok futtatását, karanténba helyezi a fájlokat, és törli az állandó adatokat, például a beállításkulcsokat.
Alkalmazásvégrehajtás korlátozása Korlátozza a potenciálisan rosszindulatú programok végrehajtását, és zárolja az eszközt a további kísérletek megelőzése érdekében.
Az elkülönítés alóli feloldás Visszavonja az eszköz elkülönítését.
Alkalmazáskorlátozás eltávolítása Visszavonja az elkülönítés alóli feloldást.

Ezeken az egykattintásos műveleteken kívül olyan felügyelt válaszokat is kaphat szakértőinktől, amelyeket manuálisan kell elvégeznie.

Megjegyzés:

Az ajánlott felügyelt válaszműveletek végrehajtása előtt győződjön meg arról, hogy az automatizált vizsgálat és válaszkonfigurációk még nem kezelik őket. További információ a Microsoft Defender XDR automatizált vizsgálati és válaszképességeiről.

A felügyelt válaszműveletek megtekintése és végrehajtása:

  1. A műveletkártyák nyílgombjaival kibonthatja azt, és további információkat olvashat a szükséges műveletről.

Képernyőkép a felügyelt válaszműveletről az eszköz prod-kiszolgálójának elkülönítéséhez.

  1. Az egykattintásos válaszműveleteket tartalmazó kártyák esetében válassza ki a szükséges műveletet. A kártyán a Művelet állapotaFolyamatban, majd Sikertelen vagy Befejezve értékre változik a művelet eredményétől függően.

Képernyőkép a felügyelt válaszműveletről, amely azt mutatja, hogy folyamatban van az eszköz prod-kiszolgálójának elkülönítése.

Tipp

A portálon belüli válaszműveletek állapotát a Műveletközpontban is figyelheti. Ha egy válaszművelet sikertelen, próbálkozzon újra az Eszköz részleteinek megtekintése lapon, vagy kezdeményezzen csevegést a Defender szakértőivel.

  1. Ha manuálisan kell elvégeznie a szükséges műveleteket tartalmazó kártyákat, jelölje be a Végrehajtottam ezt a műveletet , miután végrehajtotta őket, majd válassza az Igen, elvégeztem lehetőséget a megjelenő megerősítési párbeszédpanelen.

Képernyőkép a művelet befejezésének megerősítésére irányuló felügyelt válaszműveletről.

  1. Ha nem szeretne azonnal végrehajtani egy szükséges műveletet, válassza a Kihagyás lehetőséget, majd válassza az Igen, kihagyom ezt a műveletet a megjelenő megerősítési párbeszédpanelen.

Fontos

Ha azt tapasztalja, hogy a műveletkártyákon lévő gombok bármelyike szürkén jelenik meg, az azt jelezheti, hogy nem rendelkezik a művelet végrehajtásához szükséges engedélyekkel. Győződjön meg arról, hogy a megfelelő engedélyekkel van bejelentkezve a Microsoft Defender XDR portálra. A legtöbb felügyelt válaszművelethez legalább biztonsági operátori hozzáféréssel kell rendelkeznie. Ha a probléma továbbra is fennáll a megfelelő engedélyekkel, lépjen az Eszköz részleteinek megtekintése területre, és végezze el onnan a lépéseket.

Betekintés a Defender-szakértők vizsgálataiba az SIEM- vagy ITSM-alkalmazásban

Mivel az XDR-hez készült Defender-szakértők kivizsgálják az incidenseket, és javítási műveleteket végeznek, láthatják az incidensekkel kapcsolatos munkájukat a biztonsági információ- és eseménykezelési (SIEM) és az IT-szolgáltatásfelügyeleti (ITSM) alkalmazásokban, beleértve a beépített alkalmazásokat is.

Microsoft Sentinel

Az incidensek láthatóságát a Microsoft Sentinelben a beépített Microsoft Defender XDR-adatösszekötő bekapcsolásával érheti el. További információ.

Miután bekapcsolta az összekötőt, a Defender szakértői frissítik a Microsoft Defender XDR Állapot, Hozzárendelt, Besorolás és Meghatározás mezőit a Sentinel megfelelő Állapot, Tulajdonos és Ok mezőiben.

Megjegyzés:

A Microsoft Defender XDR-ben a Defender szakértői által vizsgált incidensek állapota általában aktívrólfolyamatban állapotúra vált az Ügyfélműveletre váró állapotról a Megoldva állapotra, míg a Sentinelben a New to Active to Resolved elérési utat követi. A Microsoft Defender XDR ügyfélműveletre váró állapota nem rendelkezik megfelelő mezővel a Sentinelben; ehelyett címkeként jelenik meg egy incidensben a Sentinelben.

A következő szakasz azt ismerteti, hogy a szakértők által kezelt incidensek hogyan frissülnek a Sentinelben a vizsgálati folyamat során:

  1. A szakértőink által vizsgált incidens állapotaAktív , a Tulajdonos pedig Defender-szakértők.
  2. Egy incidens, amelyet a szakértőink igaz pozitívként megerősítettek, egy felügyelt választ tettek közzé a Microsoft Defender XDR-ben, és egy Ügyfélre várócímkét, a tulajdonos pedig ügyfélként van felsorolva. A megadott felügyelt válasz alapján kell eljárnia az incidenssel kapcsolatban.
  3. Miután szakértőink lezárták a vizsgálatot, és hamis pozitív vagy tájékoztató, várt tevékenységként lezártak egy incidenst, az incidens állapotaMegoldva értékre frissül, a tulajdonos hozzárendelés nélkülire frissül, és meg van adva a lezárás oka .

Képernyőkép a Microsoft Sentinel-incidensekről.

Egyéb alkalmazások

A Microsoft Defender XDR API vagy a Sentinel összekötőinek használatával betekintést nyerhet az SIEM- vagy ITSM-alkalmazás incidenseibe.

Az összekötő konfigurálása után a Defender szakértői által az incidens állapotának, hozzárendelt, besorolási és meghatározási mezőinek Frissítései a Microsoft Defender XDR-ben szinkronizálhatók a külső SIEM- vagy ITSM-alkalmazásokkal a mezőleképezés implementálásától függően. Ennek szemléltetéséhez tekintse meg a Sentinelből a ServiceNow-ba elérhető összekötőt.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.