Share via

Felügyelt észlelés és válasz

  • Cikk

Érintett szolgáltatás:

Tipp

A felügyelt észlelési és reagálási utasításokért tekintse meg ezt a rövid videót: https://www.youtube.com/watch?v=fYzquW2hE5I

Az automatizálás és az emberi szakértelem kombinációjával Microsoft Defender XDR-osztályozási szakértők Microsoft Defender XDR incidenseket, rangsorolja őket az Ön nevében, kiszűri a zajt, részletes vizsgálatokat végez, és végrehajtható felügyelt választ nyújt a biztonsági üzemeltetési központ (SOC) csapatainak.

Incidensfrissítések

Amint szakértőink megkezdik az incidens kivizsgálását, az incidens hozzárendelt és állapotmezői frissülnek a Defender-szakértőkre , illetve a Folyamatban állapotra.

Amikor szakértőink lezárják az incidenssel kapcsolatos vizsgálatukat, az incidens besorolási mezője a szakértők megállapításaitól függően az alábbiak egyikére frissül:

  • Valódi pozitív
  • Hamis pozitív
  • Tájékoztató, várt tevékenység

Az egyes besorolásoknak megfelelő Determináció mező is frissül, hogy további megállapításokat nyújtson azokról az eredményekről, amelyek alapján szakértőink meghatározták az említett besorolást.

Képernyőkép az Incidensek lapról, amelyen a Címkék, az Állapot, a Hozzárendelt, a Besorolás és a Meghatározás mező látható.

Ha egy incidens hamis pozitív vagy tájékoztató, várt tevékenységként van besorolva, akkor az incidens Állapot mezőjét a Rendszer feloldva értékre frissíti. Szakértőink ezután befejezik az incidenssel kapcsolatos munkájukat, és a Hozzárendelt mező hozzárendelés nélküli állapotúra frissül. Szakértőink megoszthatják a vizsgálat során kapott frissítéseket és az incidensek megoldása során levont következtetéseket. Ezek a frissítések az incidens Megjegyzések és előzmények úszó paneljén jelennek meg.

Megjegyzés:

Az incidensekkel kapcsolatos megjegyzések egyirányú bejegyzések. A Defender szakértői nem válaszolhatnak a Megjegyzések és előzmények panelen hozzáadott megjegyzésekre és kérdésekre. További információ a szakértőkkel való kapcsolattartásról: Kommunikáció az XDR-Microsoft Defender szakértőivel.

Ellenkező esetben, ha egy incidens igaz pozitívként van besorolva, a szakértőink azonosítják a szükséges válaszlépéseket, amelyeket végre kell hajtani. A műveletek végrehajtásának módja attól függ, hogy milyen engedélyeket és hozzáférési szinteket adott az XDR-hez készült Defender-szakértőknek. További információ az engedélyek szakértőknek való megadásáról.

  • Ha az XDR-hez biztosított Defender-szakértőknek az ajánlott biztonsági operátori hozzáférési engedélyeket, szakértőink az Ön nevében elvégezhetik a szükséges reagálási műveleteket az incidensen. Ezek a műveletek a vizsgálat összefoglalásával együtt megjelennek az incidens felügyelt válasz úszó paneljén a Microsoft Defender portálon, ahol Ön vagy az SOC csapata áttekintheti. Az XDR-hez készült Defender-szakértők által elvégzett összes művelet a Befejezett műveletek szakaszban jelenik meg. Azok a függőben lévő műveletek, amelyek végrehajtásához Ön vagy az SOC-csapat szükséges, a Függőben lévő műveletek szakaszban jelennek meg. További információt a Műveletek szakaszban talál. Miután szakértőink elvégezték az incidenssel kapcsolatos összes szükséges műveletet, az Állapot mező a Feloldva , a Hozzárendelve mező pedig a Hozzárendelés nélküli állapotra frissül.

  • Ha alapértelmezett biztonsági olvasói hozzáférést adott az XDR-hez készült Defender-szakértőknek, akkor a szükséges válaszműveletek és a vizsgálat összefoglalása megjelennek az incidens Felügyelt válasz úszó paneljén, a Microsoft Defender portál Függőben lévő műveletek szakaszában, hogy Ön vagy az SOC-csapat végre tudja hajtani. További információt a Műveletek szakaszban talál. Az átadás azonosításához az incidens Állapot mezője az Ügyfélműveletre vár , a Hozzárendelt mező pedig az Ügyfélre frissül.

A beavatkozást igénylő incidensek számát a Microsoft Defender kezdőlapjának tetején található Defender-szakértők szalagcímen ellenőrizheti.

Képernyőkép a Defender-szakértők kártyáról Microsoft Defender portálon, amelyen az ügyfél beavatkozására váró incidensek száma látható.

A szakértőink által vizsgált vagy jelenleg vizsgált incidensek megtekintéséhez szűrje az incidenssort a Microsoft Defender portálon a Defender Experts címkével.

Képernyőkép az Incidensek üzenetsorról Microsoft Defender portálon, amely úgy van szűrve, hogy csak a Defender-szakértők címkével rendelkezőket jelenítse meg.

Felügyelt válasz használata a Microsoft Defender XDR

Az Microsoft Defender portálon egy felügyelt válasz használatával beavatkozást igénylő incidens állapotmezőjeÜgyfélműveletre vár, a Hozzárendelve mező értéke Ügyfél, az Incidensek panel tetején pedig egy feladatkártya. A kijelölt incidens kapcsolattartói is kapnak egy megfelelő e-mail-értesítést, amely a Defender portálra mutató hivatkozást tartalmaz az incidens megtekintéséhez. További információ az értesítési kapcsolattartókról. Egy Teams-értesítést is kap, amely tájékoztatja Önt a frissítésekről. További információ a Teams beállításáról

Válassza a Felügyelt válasz megtekintése lehetőséget a feladatkártyán vagy a portállap tetején (Felügyelt válasz lap) egy úszó panel megnyitásához, ahol elolvashatja szakértőink vizsgálatának összegzését, befejezheti a szakértők által azonosított függőben lévő műveleteket, vagy csevegésen keresztül kapcsolatba léphet velük.

Vizsgálat összefoglalása

A Vizsgálat összefoglalása szakasz további kontextust biztosít a szakértőink által elemzett incidenssel kapcsolatban, így áttekintheti annak súlyosságát és lehetséges hatását, ha nem foglalkozik azonnal. Ide tartozhat az eszköz idővonala, a támadás jelzői, a megfigyelt biztonsági rések (IOK- és egyéb adatok) jelzése.

Képernyőkép a felügyelt válasz vizsgálatának összefoglalásáról.

Műveletek

A Műveletek lapon a szakértők által javasolt válaszműveleteket tartalmazó feladatkártyák láthatók.

Az XDR-hez készült Defender-szakértők jelenleg a következő egykattintásos felügyelt válaszműveleteket támogatják:

Művelet Leírás
Eszköz elkülönítése Elkülönít egy eszközt, amely megakadályozza, hogy a támadók irányítják azt, és további tevékenységeket hajtanak végre, például adatkiszivárgást és oldalirányú mozgást. Az elkülönített eszköz továbbra is csatlakozik Végponthoz készült Microsoft Defender.
Karanténfájl Leállítja a folyamatok futtatását, karanténba helyezi a fájlokat, és törli az állandó adatokat, például a beállításkulcsokat.
Alkalmazásvégrehajtás korlátozása Korlátozza a potenciálisan rosszindulatú programok végrehajtását, és zárolja az eszközt a további kísérletek megelőzése érdekében.
Az elkülönítés alóli feloldás Visszavonja az eszköz elkülönítését.
Alkalmazáskorlátozás eltávolítása Visszavonja az elkülönítés alóli feloldást.

Ezeken az egykattintásos műveleteken kívül olyan felügyelt válaszokat is kaphat szakértőinktől, amelyeket manuálisan kell elvégeznie.

Megjegyzés:

Az ajánlott felügyelt válaszműveletek végrehajtása előtt győződjön meg arról, hogy az automatizált vizsgálat és válaszkonfigurációk még nem kezelik őket. További információ a Microsoft Defender XDR automatizált vizsgálati és válaszképességeiről.

A felügyelt válaszműveletek megtekintése és végrehajtása:

  1. A műveletkártyák nyílgombjaival kibonthatja azt, és további információkat olvashat a szükséges műveletről.

Képernyőkép a felügyelt válaszműveletről az eszköz prod-kiszolgálójának elkülönítéséhez.

  1. Az egykattintásos válaszműveleteket tartalmazó kártyák esetében válassza ki a szükséges műveletet. A kártyán a Művelet állapotaFolyamatban, majd Sikertelen vagy Befejezve értékre változik a művelet eredményétől függően.

Képernyőkép a felügyelt válaszműveletről, amely azt mutatja, hogy folyamatban van az eszköz prod-kiszolgálójának elkülönítése.

Tipp

A portálon belüli válaszműveletek állapotát a Műveletközpontban is figyelheti. Ha egy válaszművelet sikertelen, próbálkozzon újra az Eszköz részleteinek megtekintése lapon, vagy kezdeményezzen csevegést a Defender szakértőivel.

  1. Ha manuálisan kell elvégeznie a szükséges műveleteket tartalmazó kártyákat, jelölje be a Végrehajtottam ezt a műveletet , miután végrehajtotta őket, majd válassza az Igen, elvégeztem lehetőséget a megjelenő megerősítési párbeszédpanelen.

Képernyőkép a művelet befejezésének megerősítésére irányuló felügyelt válaszműveletről.

  1. Ha nem szeretne azonnal végrehajtani egy szükséges műveletet, válassza a Kihagyás lehetőséget, majd válassza az Igen, kihagyom ezt a műveletet a megjelenő megerősítési párbeszédpanelen.

Fontos

Ha azt tapasztalja, hogy a műveletkártyákon lévő gombok bármelyike szürkén jelenik meg, az azt jelezheti, hogy nem rendelkezik a művelet végrehajtásához szükséges engedélyekkel. Győződjön meg arról, hogy a megfelelő engedélyekkel van bejelentkezve a Microsoft Defender XDR portálra. A legtöbb felügyelt válaszművelethez legalább biztonsági operátori hozzáféréssel kell rendelkeznie. Ha a probléma továbbra is fennáll a megfelelő engedélyekkel, lépjen az Eszköz részleteinek megtekintése területre, és végezze el onnan a lépéseket.

Betekintés a Defender-szakértők vizsgálataiba az SIEM- vagy ITSM-alkalmazásban

Mivel az XDR-hez készült Defender-szakértők kivizsgálják az incidenseket, és javítási műveleteket végeznek, láthatják az incidensekkel kapcsolatos munkájukat a biztonsági információ- és eseménykezelési (SIEM) és az IT-szolgáltatásfelügyeleti (ITSM) alkalmazásokban, beleértve a beépített alkalmazásokat is.

Microsoft Sentinel

Az incidensek láthatóságát a Microsoft Sentinelben a beépített Microsoft Defender XDR adatösszekötő bekapcsolásával érheti el. További információ.

Miután bekapcsolta az összekötőt, a Defender szakértői frissítik az Állapot, a Hozzárendelt, a Besorolás és a Meghatározás mezőket a Microsoft Defender XDR megfelelő Állapot, Tulajdonos és Ok mezőkben a Sentinelben.

Megjegyzés:

A Defender szakértői által kivizsgált incidensek állapota Microsoft Defender XDR általában aktívrólfolyamatban állapotúra vált az Ügyfélműveletre való várakozásróla Megoldva állapotra, míg a Sentinelben a New to Active to Resolved útvonalat követi. A Microsoft Defender XDR Ügyfélműveletre váró állapot mező nem rendelkezik a Sentinel megfelelő mezőjével, hanem címkeként jelenik meg egy incidensben a Sentinelben.

A következő szakasz azt ismerteti, hogy a szakértők által kezelt incidensek hogyan frissülnek a Sentinelben a vizsgálati folyamat során:

  1. A szakértőink által vizsgált incidens állapotaAktív , a Tulajdonos pedig Defender-szakértők.
  2. Egy incidens, amelyet szakértőink igaz pozitívként megerősítettek, egy felügyelt választ tettek közzé Microsoft Defender XDR, és egy Ügyfélre várócímkét, a tulajdonos pedig Ügyfélként van felsorolva. A megadott felügyelt válasz alapján kell eljárnia az incidenssel kapcsolatban.
  3. Miután szakértőink lezárták a vizsgálatot, és hamis pozitív vagy tájékoztató, várt tevékenységként lezártak egy incidenst, az incidens állapotaMegoldva értékre frissül, a tulajdonos hozzárendelés nélkülire frissül, és meg van adva a lezárás oka .

Képernyőkép a Microsoft Sentinel-incidensekről.

Egyéb alkalmazások

A Sentinel Microsoft Defender XDR API-jával vagy összekötőivel betekintést nyerhet az incidensekbe az SIEM- vagy ITSM-alkalmazásban.

Az összekötő konfigurálása után a Defender-szakértők által az incidens Állapot, Hozzárendelt, Besorolás és Meghatározás mezőinek frissítései a Microsoft Defender XDR-ban szinkronizálhatók a külső SIEM- vagy ITSM-alkalmazásokkal a mezőleképezés implementálásától függően. Ennek szemléltetéséhez tekintse meg a Sentinelből a ServiceNow-ba elérhető összekötőt.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.