Válasz az első incidensre a Microsoft Defender XDR
Érintett szolgáltatás:
- Microsoft Defender XDR
Ez az útmutató felsorolja az új Microsoft Defender XDR felhasználók microsoftos erőforrásait, amelyek a portál használata során magabiztosan hajtanak végre napi incidensmegoldási feladatokat. Az útmutató használatának tervezett eredményei a következők:
- Gyorsan megtanulhatja, hogyan használható Microsoft Defender XDR incidensekre és riasztásokra.
- A videók és oktatóanyagok segítségével megismerheti a portál funkcióit az incidensek kivizsgálásához és szervizeléséhez.
Microsoft Defender XDR lehetővé teszi a releváns fenyegetésesemények megtekintését az összes eszközre (eszközökre, identitásokra, postaládákra, felhőalkalmazásokra stb.). A portál összevonja a Defender védelmi csomag, a Microsoft Sentinel és más integrált biztonsági információ- és eseménykezelési (SIEM) megoldások jelzéseit. A támadási információk korrelációja és teljes kontextusa egyetlen panelen lehetővé teszi a szervezet sikeres védelmét és védelmét.
Ez az útmutató három fő szakaszból áll:
- Az incidensek ismertetése: incidensek elérése, osztályozása és kezelése a portálon
- Támadások elemzése: videók és oktatóanyagok gyűjteménye, amelyekből megtudhatja, hogyan vizsgálhat meg konkrét támadásokat a portál funkcióival.
- Támadások elhárítása: felsorolja a portálon a fenyegetések elhárításához elérhető automatizált és manuális műveleteket. Ez a szakasz videókra és oktatóanyagokra mutató hivatkozásokat tartalmaz.
Az incidensek ismertetése
Az incidens olyan folyamatok, parancsok és műveletek láncolata, amelyek nem egyeztek meg. Az incidensek holisztikus képet és kontextust biztosítanak a gyanús vagy rosszindulatú tevékenységekről. Egyetlen incidens a támadás teljes kontextusát biztosítja ahelyett, hogy több száz, több szolgáltatásból származó riasztást osztályoz.
Tipp
2024 januárjában korlátozott ideig, amikor felkeresi az Incidensek oldalt, megjelenik a Defender Boxed. A Defender Boxed kiemeli a szervezet 2023-ban elért biztonsági sikereit, fejlesztéseit és válaszműveleteit. A Defender Boxed újbóli megnyitásához az Microsoft Defender portálon lépjen az Incidensek elemre, majd válassza a Saját Defender Dobozos lehetőséget.
Microsoft Defender XDR számos olyan funkcióval rendelkezik, amelyekkel reagálhat egy incidensre. Az incidensek között navigálhat a Kezdőlap Aktív incidensek kártyáján az Összes incidens megtekintése lehetőség kiválasztásával, vagy a bal oldali navigációs panel Incidensek & riasztásai között.
. Aktív incidensek kártya a Microsoft Defender XDR kezdőlapján
Minden incidens automatikusan korrelált riasztásokat tartalmaz a különböző észlelési forrásokból , és különböző végpontokat, identitásokat vagy felhőalkalmazásokat tartalmazhat.
Incidens osztályozása
Az incidensek rangsorolása válaszadónként, biztonsági csapatonként és szervezetenként eltérő. Az incidensmegoldási tervek és a biztonsági csapatok iránya előadhatja az incidensek prioritását.
Microsoft Defender XDR különböző jelzőkkel rendelkezik, például az incidensek súlyosságával, a felhasználók típusával vagy az incidensek osztályozására és rangsorolására vonatkozó fenyegetéstípusokkal. Ezen mutatók bármilyen kombinációját használhatja, amely könnyen elérhető az incidenssor szűrőivel.
Az incidensek prioritásának meghatározására példaként az alábbi tényezőket kombináljuk egy incidenshez:
- Az incidens súlyossága magas.
- Az automatizálási vizsgálat állapota nem sikerült.
- 5 érintett adategység van, amelyek közül kettő szigorúan bizalmas adatérzékenységgel van megjelölve.
- Az incidens állapota új.
- Az incidens nincs hozzárendelve egy csapattaghoz vizsgálat céljából.
A fenti információk alapján magas prioritást rendelhet az incidenshez. A prioritás meghatározása után megkezdheti az incidens vizsgálatát.
Megjegyzés:
Microsoft Defender XDR automatikusan meghatározza a szűrőket, például a súlyosságot, a vizsgálati állapotokat, az érintett eszközöket és az incidensek állapotát. Az információk a szervezet hálózati tevékenységein alapulnak, amelyek a fenyegetésfelderítési hírcsatornákkal és az alkalmazott automatizált szervizelési műveletekkel vannak kontextusban.
Incidensek kezelése
Az incidensek és riasztások alapvető információinak biztosításával hozzájárulhat az incidenskezelés hatékonyságához. Amikor az egyes incidensek osztályozása és elemzése során a következő szűrőkhöz ad hozzá információkat, további kontextust biztosít az incidenshez, amelyet más válaszadók is kihasználhatnak:
- Incidensek és riasztások besorolása
- Elnevezési incidensek
- Címkék hozzáadása
- Megjegyzések megadása
Ebből a videóból megtudhatja, hogyan osztályozhatja az incidenseket és a riasztásokat:
Következő lépések
- Az első incidens elemzése
- Az első incidens szervizelése
- Tekintse meg a demókat és a portál új fejlesztéseit működés közben a Microsoft Defender XDR Virtual Ninja Training
Lásd még
- Microsoft Defender XDR integrálása a biztonsági műveletekbe
- Gyakori támadások elhárítása incidensmegoldási forgatókönyvek használatával
- A portál funkcióinak és funkcióinak megismerése a Microsoft Defender XDR Ninja képzésen keresztül
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.