Az első incidens szervizelése a Microsoft Defender XDR-ben
Érintett szolgáltatás:
- Microsoft Defender XDR
A Microsoft Defender XDR észlelési és elemzési képességeket biztosít a fenyegetések elszigeteléséhez és felszámolásához. Az elszigetelés olyan lépéseket tartalmaz, amelyek csökkentik a támadás hatását, miközben a felszámolás biztosítja, hogy a támadó tevékenység minden nyomát eltávolítsák a hálózatról.
A Microsoft Defender XDR szervizelése automatizálható vagy az incidens válaszadói által végzett manuális műveletekkel. Szervizelési műveletek végezhetők eszközökön, fájlokon és identitásokon.
Automatikus szervizelés
A Microsoft Defender XDR a fenyegetésfelderítést és a hálózaton belüli jeleket használja a legbonyolóbb támadások elleni küzdelemhez. A zsarolóprogramok, az üzleti e-mailek feltörése (BEC) és a közbeékelt támadók (AiTM) adathalászata a legösszetettebb támadások egyike, amelyek automatikus támadásmegszakítási képességekkel azonnal kezelhetők. Ha egy támadás megszakadt, az incidensek válaszadói átvehetik és teljes körűen kivizsgálhatják a támadásokat, és alkalmazhatják a szükséges szervizelést.
Ismerje meg, hogyan segít az automatikus támadáskimaradás az incidensek elhárításában:
Eközben a Microsoft Defender XDR automatizált vizsgálati és reagálási képességei automatikusan kivizsgálhatják és alkalmazhatják a javítási műveleteket a rosszindulatú és gyanús elemekre. Ezek a képességek skálázják a vizsgálatokat és a fenyegetések megoldását, felszabadítva az incidensekre reagálókat, hogy erőfeszítéseiket a nagy hatású támadásokra összpontosítsák.
Konfigurálhatja és kezelheti az automatizált vizsgálati és reagálási képességeket. Az összes múltbeli és függőben lévő műveletet a Műveletközpontban is megtekintheti.
Megjegyzés:
A felülvizsgálat után visszavonhatja az automatikus műveleteket.
A vizsgálati feladatok felgyorsítása érdekében a Riasztások osztályozása a Power Automate használatával lehetséges. Emellett automatizált szervizelés is létrehozható automatizálással és forgatókönyvekkel. A Microsoft forgatókönyvsablonokkal rendelkezik a GitHubon a következő forgatókönyvekhez:
- Bizalmas fájlmegosztás eltávolítása felhasználói ellenőrzés kérése után
- Ritka országriasztások automatikus osztályozása
- Felettesi művelet kérése fiók letiltása előtt
- Rosszindulatú levelezési szabályok letiltása
A forgatókönyvek a Power Automate-et használják egyéni robotfolyamat-automatizálási folyamatok létrehozására bizonyos tevékenységek automatizálásához adott feltételek aktiválása után. A szervezetek forgatókönyveket hozhatnak létre meglévő sablonokból vagy az alapoktól. Forgatókönyvek is létrehozhatók az incidens utáni felülvizsgálat során a megoldott incidensek szervizelési műveleteinek létrehozásához.
Ebből a videóból megtudhatja, hogyan segíthet a Power Automate az incidensmegoldás automatizálásában:
Manuális szervizelés
A támadásokra reagálva a biztonsági csapatok a portál manuális szervizelési műveleteit kihasználva megakadályozhatják a további károkat okozó támadásokat. Egyes műveletek azonnal megállíthatják a fenyegetéseket, míg mások további kriminalisztikai elemzésekben nyújtanak segítséget. Ezeket a műveleteket bármely entitásra alkalmazhatja a szervezeten belül üzembe helyezett Defender számítási feladatoktól függően.
Eszközökre vonatkozó műveletek
Az eszköz elkülönítése – elkülöníti az érintett eszközt az eszköz hálózatról való leválasztásával. Az eszköz továbbra is csatlakoztatva marad a Végponthoz készült Defender szolgáltatáshoz a folyamatos monitorozás érdekében.
Alkalmazásvégrehajtás korlátozása – egy olyan kódintegritási szabályzat alkalmazásával korlátozza az alkalmazásokat, amely csak akkor engedélyezi a fájlok futtatását, ha egy Microsoft által kiadott tanúsítvánnyal vannak aláírva.
Víruskereső vizsgálatának futtatása – elindítja a Defender víruskereső távoli vizsgálatát egy eszközre vonatkozóan. A vizsgálat más víruskereső megoldásokkal együtt is futtatható, függetlenül attól, hogy a Defender víruskereső az aktív víruskereső megoldás-e.
Vizsgálati csomag összegyűjtése – vizsgálati csomagot gyűjthet egy eszközről a vizsgálati vagy válaszfolyamat részeként. A vizsgálati csomag begyűjtésével azonosíthatja az eszköz aktuális állapotát, és jobban megismerheti a támadó által használt eszközöket és technikákat.
Automatizált vizsgálat kezdeményezése – új általános célú automatizált vizsgálatot indít az eszközön. Amíg egy vizsgálat fut, az eszközről generált összes többi riasztás hozzá lesz adva egy folyamatban lévő automatizált vizsgálathoz, amíg a vizsgálat be nem fejeződik. Emellett ha ugyanezt a fenyegetést más eszközökön is észlelik, a rendszer hozzáadja ezeket az eszközöket a vizsgálathoz.
Élő válasz kezdeményezése – azonnali hozzáférést biztosít egy eszközhöz egy távoli rendszerhéj-kapcsolat használatával, hogy mélyreható vizsgálati munkát végezhessen, és azonnali válaszlépéseket hajthat végre az azonosított fenyegetések valós idejű azonnali tárolásához. Az élő válasz úgy lett kialakítva, hogy fokozza a vizsgálatokat azáltal, hogy lehetővé teszi a törvényszéki adatok gyűjtését, szkriptek futtatását, gyanús entitások küldését elemzésre, fenyegetések elhárítását és a felmerülő fenyegetések proaktív keresését.
Kérdezze meg a Defender szakértőit – a Potenciálisan feltört vagy már feltört eszközökkel kapcsolatos további információkért forduljon egy Microsoft Defender-szakértőhöz. A Microsoft Defender szakértőit közvetlenül a portálról is bevonhatja, hogy időben és pontosan válaszoljon. Ez a művelet eszközökhöz és fájlokhoz is elérhető.
Az eszközökön végzett egyéb műveletek a következő oktatóanyagban érhetők el:
Megjegyzés:
Az eszközökön közvetlenül a támadási történet gráfjából hajthat végre műveleteket.
Fájlokon végzett műveletek
- Fájl leállítása és karanténba helyezése – magában foglalja a futó folyamatok leállítását, a fájlok quarantinálását és az állandó adatok, például a beállításkulcsok törlését.
- Jelölők hozzáadása a fájlok letiltásához vagy engedélyezéséhez – megakadályozza a támadás továbbterjedését a potenciálisan rosszindulatú fájlok vagy a gyanús kártevők tiltásával. Ez a művelet megakadályozza a fájl olvasását, írását vagy végrehajtását a szervezet eszközein.
- Fájl letöltése vagy összegyűjtése – lehetővé teszi az elemzők számára, hogy egy jelszóval védett .zip archív fájlba töltsék le a fájlt a szervezet további elemzéséhez.
- Mély elemzés – biztonságos, teljes körűen kialakított felhőkörnyezetben hajt végre egy fájlt. A részletes elemzési eredmények a fájl tevékenységeit, megfigyelt viselkedését és a kapcsolódó összetevőket mutatják, például az elvetett fájlokat, a beállításjegyzék módosításait és az IP-címekkel folytatott kommunikációt.
Egyéb támadások elhárítása
Megjegyzés:
Ezek az oktatóanyagok akkor érvényesek, ha más Defender számítási feladatok engedélyezve vannak a környezetben.
Az alábbi oktatóanyagok felsorolják az entitások vizsgálatakor vagy adott fenyegetésekre való reagáláskor alkalmazható lépéseket és műveleteket:
- Válasz feltört e-mail fiókra az Office 365-höz készült Defenderen keresztül
- Biztonsági rések elhárítása a Defender for Vulnerability Managementtel
- Felhasználói fiókok szervizelési műveletei a Defender for Identity használatával
- Szabályzatok alkalmazása az alkalmazások vezérléséhez a Defender for Cloud Apps használatával
Következő lépések
- Támadások szimulálása a támadásszimulációs betanítással
- A Microsoft Defender XDR felfedezése a virtuális nindzsa képzésen keresztül
Lásd még
- Incidensek kivizsgálása
- A portál funkcióinak és funkcióinak megismerése a Microsoft Defender XDR Ninja képzésen keresztül
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.