Share via

Végponthoz készült Microsoft Defender-riasztások kezelése

  • Cikk

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

A Végponthoz készült Defender riasztásokon keresztül értesíti a lehetséges rosszindulatú eseményekről, attribútumokról és környezetfüggő információkról. Megjelenik az új riasztások összegzése, és a Riasztások üzenetsor összes riasztása elérhető.

A riasztásokat úgy kezelheti, hogy kiválaszt egy riasztást a Riasztások sorban, vagy az Eszköz lap Riasztások lapját egy adott eszközhöz.

Ha kiválaszt egy riasztást valamelyik helyen, megjelenik a Riasztáskezelés panel.

A Riasztáskezelés panel és a Riasztások üzenetsor

Ebből a videóból megtudhatja, hogyan használhatja az új Végponthoz készült Microsoft Defender riasztási oldalt.

Létrehozhat egy új incidenst a riasztásból, vagy hivatkozhat egy meglévő incidensre.

Riasztások hozzárendelése

Ha még nincs hozzárendelve riasztás, a Hozzárendelés hozzám lehetőséget választva saját magához rendelheti a riasztást.

Riasztások mellőzése

Előfordulhatnak olyan helyzetek, amikor el kell tiltania a riasztások megjelenítését a Microsoft Defender XDR. A Végponthoz készült Defender lehetővé teszi, hogy letiltási szabályokat hozzon létre az olyan riasztásokhoz, amelyekről ismert, hogy ártalmatlanok, például ismert eszközök vagy folyamatok a szervezetben.

A letiltási szabályok meglévő riasztásokból hozhatók létre. Szükség esetén letilthatók és újra engedélyezhetők.

A mellőzési szabály létrehozásakor a szabály létrehozásának időpontjától lép érvénybe. A szabály a szabály létrehozása előtt nem befolyásolja az üzenetsorban már meglévő riasztásokat. A szabály csak olyan riasztásokra lesz alkalmazva, amelyek megfelelnek a szabály létrehozása után megadott feltételeknek.

A letiltási szabályhoz két környezet közül választhat:

  • Riasztás letiltása ezen az eszközön
  • Riasztás letiltása a szervezetben

A szabály kontextusa lehetővé teszi, hogy testre szabja a portálon megjelenő elemeket, és győződjön meg arról, hogy csak valós biztonsági riasztások jelennek meg a portálon.

Az alábbi táblázatban szereplő példák segítségével kiválaszthatja a mellőzési szabály környezetét:

Összefüggésben Definíció Példaforgatókönyvek
Riasztás letiltása ezen az eszközön Az ugyanazzal a riasztási címmel és csak az adott eszközön található riasztások le lesznek tiltva.

Az eszközön lévő összes többi riasztás nem lesz letiltva.
  • Egy biztonsági kutató egy rosszindulatú szkriptet vizsgál, amelyet a szervezet más eszközeinek megtámadására használtak.
  • A fejlesztők rendszeresen hoznak létre PowerShell-szkripteket a csapatuk számára.
Riasztás letiltása a szervezetben Az azonos riasztási címmel rendelkező riasztások minden eszközön le lesznek tiltva.
  • A szervezet minden tagja jóindulatú felügyeleti eszközt használ.

Riasztás mellőzése és új mellőzési szabály létrehozása

Létrehozás riasztások letiltására vagy feloldására vonatkozó egyéni szabályokat. A riasztások letiltásának kontextusát a riasztás címének, a biztonsági rés jelzésének és a feltételeknek a megadásával szabályozhatja. A környezet megadása után konfigurálhatja a műveletet és a hatókört a riasztáson.

  1. Válassza ki a letiltani kívánt riasztást. Ekkor megjelenik a Riasztáskezelés panel.

  2. Válassza Létrehozás mellőzési szabályt.

    Ezekkel az attribútumokkal mellőzési feltételt hozhat létre. Az egyes feltételek között egy AND operátor van alkalmazva, így a mellőzés csak akkor történik meg, ha minden feltétel teljesül.

    • SHA1 fájl
    • Fájlnév – helyettesítő karakterek támogatottak
    • Mappa elérési útja – helyettesítő karakter támogatott
    • IP-cím
    • URL – helyettesítő karakter támogatott
    • Parancssor – helyettesítő karakterek támogatottak

  3. Válassza a Triggering IOC (IOC aktiválása) lehetőséget.

  4. Adja meg a riasztás műveletét és hatókörét.

    A riasztásokat automatikusan feloldhatja vagy elrejtheti a portálról. Az automatikusan feloldott riasztások a riasztási várólista, a riasztási oldal és az eszköz idővonalának megoldott szakaszában jelennek meg, és feloldottként jelennek meg a Végponthoz készült Defender API-kban.

    A rejtettként megjelölt riasztások az eszköz társított riasztásaiból és az irányítópultról is el lesznek rejtve, és nem lesznek streamelve a Végponthoz készült Defender API-k között.

  5. Adjon meg egy szabálynevet és egy megjegyzést.

  6. Kattintson a Mentés gombra.

A mellőzési szabályok listájának megtekintése

  1. A navigációs panelen válassza a Beállítások>Végpontok>Szabályok>Riasztás mellőzése lehetőséget.

  2. A letiltási szabályok listája megjeleníti a szervezet felhasználói által létrehozott összes szabályt.

További információ a mellőzési szabályok kezeléséről: Mellőzési szabályok kezelése

Riasztás állapotának módosítása

A riasztásokat ( Új, Folyamatban vagy Megoldott) úgy kategorizálhatja, hogy a vizsgálat előrehaladásának megfelelően módosítja az állapotukat. Így rendszerezheti és kezelheti, hogy csapata hogyan reagálhat a riasztásokra.

Egy csapatvezető például áttekintheti az összes új riasztást, és további elemzés céljából hozzárendelheti őket a Folyamatban üzenetsorhoz.

Másik lehetőségként a csapatvezető hozzárendelheti a riasztást a Feloldott üzenetsorhoz, ha tudják, hogy a riasztás jóindulatú, egy irreleváns eszközről érkezik (például egy biztonsági rendszergazdához tartozik), vagy egy korábbi riasztáson keresztül kezelik.

Riasztások besorolása

Dönthet úgy, hogy nem állít be besorolást, vagy megadhatja, hogy a riasztás valódi vagy hamis riasztás-e. Fontos megadni a valódi pozitív/hamis pozitív besorolást. Ez a besorolás a riasztások minőségének figyelésére és a riasztások pontosabbá ására szolgál. A "determináció" mező további pontosságot határoz meg a "valódi pozitív" besoroláshoz.

A riasztások besorolásának lépéseit ebben a videóban találja:

Megjegyzések hozzáadása és a riasztások előzményeinek megtekintése

Megjegyzéseket adhat hozzá, és megtekintheti a riasztásokkal kapcsolatos előzményeseményeket a riasztás korábbi módosításainak megtekintéséhez.

Amikor módosítást vagy megjegyzést fűz egy riasztáshoz, az a Megjegyzések és előzmények szakaszban lesz rögzítve.

A hozzáadott megjegyzések azonnal megjelennek a panelen.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.