A Defender for Identity biztonsági riasztásainak vizsgálata a Microsoft Defender XDR-ben
Feljegyzés
A Defender for Identity nem olyan naplózási vagy naplózási megoldásként szolgál, amely minden egyes műveletet vagy tevékenységet rögzít azon kiszolgálókon, amelyeken az érzékelő telepítve van. Csak az észlelési és javaslati mechanizmusokhoz szükséges adatokat rögzíti.
Ez a cikk a Microsoft Defender for Identity biztonsági riasztásainak a Microsoft Defender XDR-ben való használatának alapjait ismerteti.
A Defender for Identity-riasztások natív módon integrálva vannak a Microsoft Defender XDR-be dedikált identitásriasztási lapformátummal.
Az identitásriasztási oldal jobb tartományközi jelnövelést és új automatizált identitásválasz-képességeket biztosít a Microsoft Defender for Identity ügyfeleinek. Biztosítja a biztonság megőrzését és a biztonsági műveletek hatékonyságának növelését.
A riasztások Microsoft Defender XDR-n keresztüli vizsgálatának egyik előnye, hogy a Microsoft Defender for Identity riasztásai további korrelációban vannak a csomag többi termékétől kapott információkkal. Ezek a továbbfejlesztett riasztások összhangban vannak az Office 365-höz készült Microsoft Defender és Végponthoz készült Microsoft Defender származó többi Microsoft Defender XDR-riasztási formátummal. Az új oldal hatékonyan kiküszöböli, hogy egy másik termékportálra kell navigálnia az identitással kapcsolatos riasztások vizsgálatához.
A Defender for Identitytől származó riasztások mostantól aktiválhatják a Microsoft Defender XDR automatizált vizsgálati és válaszképességeit, beleértve a riasztások automatikus szervizelését és a gyanús tevékenységhez hozzájáruló eszközök és folyamatok elhárítását.
Fontos
A Microsoft Defender XDR-vel való konvergenciának részeként néhány lehetőség és részlet megváltozott a Defender for Identity portálon található helyükről. Kérjük, olvassa el az alábbi részleteket, hogy megtudja, hol találja az ismerős és az új funkciókat.
Biztonsági riasztások áttekintése
A riasztások több helyről is elérhetők, többek között a Riasztások lapról, az Incidensek lapról, az egyes eszközök lapjáról és a Speciális vadászlapról . Ebben a példában áttekintjük a Riasztások lapot.
A Microsoft Defender XDR-ben nyissa meg az Incidensek > riasztásokat, majd a Riasztások lehetőséget.
A Defender for Identity riasztásainak megtekintéséhez a jobb felső sarokban válassza a Szűrő lehetőséget, majd a Szolgáltatásforrások területen válassza a Microsoft Defender for Identity lehetőséget, és válassza az Alkalmaz elemet:
A riasztások a következő oszlopokban jelennek meg információval: Riasztás neve, Címkék, Súlyosság, Vizsgálati állapot, Állapot, Kategória, Észlelési forrás, Érintett objektumok, Első tevékenység és Utolsó tevékenység.
Biztonsági riasztások kategóriái
A Defender for Identity biztonsági riasztásai a következő kategóriákra vagy fázisokra oszlanak, például egy tipikus kibertámadási gyilkossági lánc fázisaira.
- Felderítési riasztások
- Sérült hitelesítő adatokra vonatkozó riasztások
- Oldalirányú mozgásra vonatkozó riasztások
- Tartományi dominancia riasztásai
- Kiszűrési riasztások
Riasztások kezelése
Ha kiválasztja az egyik riasztás riasztásának nevét , a riasztás részleteit tartalmazó lapra lép. A bal oldali panelen a történtek összegzése látható:
A Mi történt mező felett a riasztás fiókok, célgazda és forrásgazda gombjai találhatók. Más riasztások esetén további gazdagépekről, fiókokról, IP-címekről, tartományokról és biztonsági csoportokról szóló gombok is megjelenhetnek. Jelölje ki bármelyiket, ha további részleteket szeretne megtudni az érintett entitásokról.
A jobb oldali panelen megjelenik a Riasztás részletei. Itt további részleteket tekinthet meg, és több feladatot is végrehajthat:
A riasztás besorolása – Itt kijelölheti ezt a riasztást igaz vagy hamis riasztásként
Riasztás állapota – A Besorolás beállítása beállításban a riasztást Igaz vagy Hamis értékre osztályozhatja. A Hozzárendelt területen hozzárendelheti a riasztást saját magához, vagy megszüntetheti a hozzárendelését.
Riasztás részletei – A Riasztás részletei területen további információt talál az adott riasztásról, a riasztás típusával kapcsolatos dokumentációra mutató hivatkozást követve megtekintheti, hogy a riasztás mely incidenshez van társítva, tekintse át az ehhez a riasztástípushoz kapcsolódó automatizált vizsgálatokat, és tekintse meg az érintett eszközöket és felhasználókat.
Megjegyzések > előzményei – Itt hozzáadhatja megjegyzéseit a riasztáshoz, és megtekintheti a riasztáshoz társított összes művelet előzményeit.
Riasztás kezelése – Ha a Riasztás kezelése lehetőséget választja, egy panelre lép, amely lehetővé teszi a következők szerkesztését:
Állapot – Választhatja az Új, a Megoldott vagy a Folyamatban lehetőséget.
Besorolás – A True (Igaz) vagy a False (Hamis) riasztást is választhatja.
Megjegyzés – Megjegyzést fűzhet a riasztáshoz.
Ha a Riasztás kezelése melletti három pont mellett választja ki a riasztást, csatolhatja a riasztást egy másik incidenshez, letiltási szabályt hozhat létre (csak előzetes verziójú ügyfelek számára érhető el), vagy megkérdezheti a Defender szakértőit.
A riasztást Excel-fájlba is exportálhatja. Ehhez válassza az Exportálás lehetőséget .
Feljegyzés
Az Excel-fájlban most két hivatkozás érhető el: Megtekintés a Microsoft Defender identitáshoz és Nézet a Microsoft Defender XDR-ben. Minden hivatkozás a megfelelő portálra nyitja meg önt, és ott adja meg a riasztással kapcsolatos információkat.
Riasztások finomhangolása
A riasztások finomhangolásával módosíthatja és optimalizálhatja őket, csökkentve a hamis pozitív értékeket. A riasztások hangolásával az SOC-csapatok a magas prioritású riasztásokra összpontosíthatnak, és javíthatják a fenyegetésészlelési lefedettséget a rendszerben. A Microsoft Defender XDR-ben hozzon létre szabályfeltételeket bizonyítéktípusok alapján, majd alkalmazza a szabályt minden olyan szabálytípusra, amely megfelel a feltételeknek.
További információ: Riasztás hangolása.
Lásd még
További információ
- Próbálja ki interaktív útmutatónkat: Gyanús tevékenységek és lehetséges támadások észlelése a Microsoft Defender for Identity használatával