Megosztás a következőn keresztül:

Biztonsági riasztások megtekintése és kezelése

A riasztások várólistája a hálózat identitásaiból megjelölt riasztások listáját jeleníti meg. Az üzenetsor alapértelmezés szerint csoportosított nézetben jeleníti meg az elmúlt hét napban látott riasztásokat. A legutóbbi riasztások a lista tetején jelennek meg, így először a legutóbbi riasztások jelennek meg.

A riasztási várólista megtekintése

A Microsoft Defender portálon lépjen az Incidensek & riasztások, majd a Riasztások elemre.

Az elmúlt hét nap riasztásai a következő információkkal jelennek meg:

  • Riasztás neve
  • Címkék
  • Súlyosság
  • Vizsgálati állapot
  • Állapot
  • Kategória
  • Észlelési forrás
  • Érintett eszközök
  • Első tevékenység
  • Legutóbbi tevékenység

Képernyőkép a Defender portál Riasztások lapjáról. Két gyanús találgatásos támadás nevű riasztás jelenik meg a riasztások teljes részleteivel.

A riasztási üzenetsor nézetének testreszabása

A riasztási üzenetsor nézetét többféleképpen is testre szabhatja. A lap tetején található eszközökkel a következőt teheti:

  • A nézet testreszabása oszlopok hozzáadásához vagy eltávolításához.
  • Szűrők alkalmazása.
  • Az időtartam testreszabása. Megjeleníti az adott időtartamra (például 1 nap, 3 nap, 1 hét, 30 nap és 6 hónap) vonatkozó riasztásokat.
  • Részletes Excel-jelentés exportálása elemzéshez.

Riasztások nézet szűrése

Az alábbi szűrők alkalmazásával jobban áttekintheti a riasztásokat.

Értesítés Leírás
Súlyosság A riasztás súlyossága több tényezőn alapul, többek között a támadó hozzáférésének mennyiségén, a támadás sikerességére gyakorolt lehetséges hatáson, valamint annak a valószínűségén, hogy a riasztás valódi pozitív. A riasztástípusok és azok hozzárendelt súlyossági szintjeinek teljes listáját lásd: Biztonsági riasztások nevének leképezése és egyedi külső azonosítók
Állapot A riasztások listáját az állapotuk alapján szűrheti. Szűrhet például úgy, hogy csak az Új, Folyamatban vagy Megoldott riasztásokat jelenítse meg.
Észlelési források A riasztásokat a következő észlelési források alapján szűrheti: Microsoft Defender for Identity vagy Microsoft Defender XDR
Címkék A riasztásokat a riasztásokhoz rendelt címkék alapján szűrheti.

Riasztás megtekintése

Az egyes riasztásokat több helyről is elérheti, ha kiválasztja a riasztás nevét az alábbiak közül:

  • A Riasztások lap
  • Az Incidensek oldal
  • Az Identitások lap
  • Az egyes eszközök oldalai
  • A Speciális veszélyforrás-keresés lap

A riasztások lap

A riasztások oldal kontextust biztosít a riasztáshoz a kiválasztott riasztáshoz kapcsolódó támadási jelek és riasztások kombinálásával egy részletes riasztási történet létrehozásához. A riasztások oldal segítségével gyorsan osztályzhatja, kivizsgálhatja és hatékony lépéseket hajthat végre a riasztásokkal kapcsolatban.

Megjegyzés:

Microsoft Defender for Identity riasztások jelenleg két különböző elrendezésben jelennek meg a Microsoft Defender portálon. Bár a riasztási nézetek különböző információkat mutatnak, minden riasztás a Defender for Identity által gyűjtött adatokon alapul. Az elrendezés és az információk közötti különbségek a termékek egységes riasztási felületére való folyamatos áttérés részét képezik Microsoft Defender termékekben.

A Defender for Identity és a Defender XDR riasztásainak megtekintéséhez válassza a Szűrés lehetőséget, majd a Szolgáltatásforrásokterületen válassza Microsoft Defender for Identity és Defender XDR, majd válassza az Alkalmaz lehetőséget:

A riasztások szűrőmenüjének szolgáltatásonkénti képernyőképe.

riasztások Microsoft Defender for Identity

A lap tetején a riasztás Fiókok, Cél gazdagép és Forrás gazdagép szakaszai találhatók. A riasztástól függően további gazdagépekről, fiókokról, IP-címekről, tartományokról és biztonsági csoportokról is tájékozódhat. Válassza ki bármelyiket az érintett entitásokkal kapcsolatos további részletek megtekintéséhez.

  • A Riasztási történet szakasz információkat nyújt a riasztás részleteinek teljes körű biztosításához. A riasztási történet két részre van osztva:
    • A történtek közé tartozik a riasztás idővonala és a riasztásban érintett entitások.
    • A riasztási gráf vizuálisan ábrázolja a riasztást, beleértve a riasztásban érintett entitásokat és azok kapcsolatait. A gráf segít megérteni, hogyan kapcsolódnak egymáshoz az entitások, és hogyan kapcsolódnak a riasztáshoz.
  • A fontos információk olyan technikai környezetet biztosítanak, amely támogatja a riasztások vizsgálatát. Ezekkel az információkkal ellenőrizheti, hogy a tevékenység várt vagy gyanús volt-e, és eldöntheti, hogy milyen műveleteket kell végrehajtania az incidens elszigeteléséhez vagy eszkalálásához.
  • A tevékenység részletei részletes információkat tartalmaznak, beleértve az időbélyeget, az alapobjektumot, a keresési hatókört és a riasztás egyéb részleteit.
  • A lap jobb oldalán található részletek panel további információkat tartalmaz a riasztásról, beleértve a riasztás részleteit, a Megjegyzések & előzményeit. A részletek panel további lehetőségeket is kínál, például:
    • Riasztás kezelése
    • Riasztás exportálása
    • Riasztás áthelyezése másik incidensbe
    • Riasztás besorolása

Képernyőkép a Defender for Identity riasztási struktúráról.

riasztások Microsoft Defender XDR

A lap tetején a riasztás Fiókok, Cél gazdagép és Forrás gazdagép szakaszai találhatók. A riasztástól függően megjelenhetnek a további gazdagépekre, fiókokra, IP-címekre, tartományokra és biztonsági csoportokra vonatkozó részletekre szolgáló gombok. Válassza ki bármelyiket az érintett entitásokkal kapcsolatos további részletek megtekintéséhez.

  • A Riasztási történet szakasz információkat nyújt a riasztás részleteinek teljes körű biztosításához. A riasztási történet két részre van osztva:
    • A történtek közé tartozik a riasztás idővonala és a riasztásban érintett entitások.
  • A lap jobb oldalán található részletek panel további információkat tartalmaz a riasztásról, beleértve a riasztás részleteit, a Megjegyzések & előzményeit. A részletek panel további lehetőségeket is kínál, például:
    • Riasztás kezelése
    • Riasztás áthelyezése másik incidensbe
    • Riasztás besorolása

Képernyőkép az XDR-hez készült Defender riasztási struktúráról

Biztonsági riasztások kezelése

Ha kiválaszt egy riasztást, megnyílik a Riasztáskezelés panel, ahol a következő műveleteket hajthatja végre:

Riasztás állapotának módosítása

A riasztásokat új, folyamatban lévő vagy feloldott állapotúként kategorizálhatja, ha a vizsgálat előrehaladásának megfelelően módosítja az állapotukat. Így rendszerezheti és kezelheti, hogy csapata hogyan reagálhat a riasztásokra. Egy csapatvezető például áttekintheti az összes új riasztást, és további elemzés céljából hozzárendelheti őket a Folyamatban üzenetsorhoz. A csapatvezető hozzárendelheti a riasztást a Feloldott üzenetsorhoz, ha tudják, hogy a riasztás jóindulatú, vagy egy irreleváns eszközről érkezik (például egy biztonsági rendszergazdához tartozik), vagy ha egy korábbi riasztáson keresztül kezelik.

Riasztás áthelyezése másik incidensbe

Létrehozhat egy új incidenst a riasztásból, vagy hivatkozhat egy meglévő incidensre.

Képernyőkép egy riasztás másik incidensbe való áthelyezésének lehetőségéről.

Riasztások hozzárendelése

Ha még nincs hozzárendelve riasztás, a Hozzárendelés hozzám lehetőséget választva saját magához rendelheti a riasztást.

Képernyőkép, amely bemutatja, hogyan rendelhet hozzá riasztást saját magához.

Megjegyzések hozzáadása riasztáshoz

Megjegyzéseket fűzhet egy riasztáshoz, hogy további kontextust vagy információkat biztosítson. Ez hasznos az elemzések csapattal való megosztásához vagy a vizsgálati folyamat dokumentálásához. Amikor módosítást vagy megjegyzést fűz egy riasztáshoz, az a Megjegyzések és előzmények szakaszban lesz rögzítve.

Képernyőkép a Microsoft Defender portál Megjegyzések & előzmények szakaszával. A megjegyzések beviteléhez egy szövegmező is rendelkezésre áll.

Biztonsági riasztások besorolása

Az egyes riasztások esetében tegye fel a következő kérdéseket a riasztás besorolásának meghatározásához, és segítsen eldönteni, hogy mi a következő lépés:

  1. A biztonsági riasztás TP, B-TP vagy FP?
  2. Milyen gyakori ez az adott biztonsági riasztás a környezetben?
  3. Azonos típusú számítógépek vagy felhasználók aktiválták a riasztást? Ilyenek például az azonos szerepkörrel rendelkező kiszolgálók, vagy ugyanahhoz a csoporthoz/részleghez tartozó felhasználók? Ha a számítógépek vagy a felhasználók hasonlóak voltak, akkor dönthet úgy, hogy kizárja a további jövőbeli FP-riasztások elkerülése érdekében.

A megfelelő vizsgálatot követően a Defender for Identity összes biztonsági riasztása az alábbi tevékenységtípusok egyikeként besorolható:

  • Valódi pozitív (TP): A Defender for Identity rosszindulatú műveletet észlelt.

  • Jóindulatú valódi pozitív (B-TP): A Defender for Identity által észlelt valós, de nem rosszindulatú művelet, például egy jóváhagyott alkalmazás által létrehozott behatolási teszt vagy ismert tevékenység.

  • Hamis pozitív (FP): Hamis riasztás, ami azt jelenti, hogy a tevékenység nem történt meg.

Képernyőkép egy riasztás igaz vagy hamis riasztásként való besorolásáról.

Megjegyzés:

Az azonos típusú riasztások növekedése általában csökkenti a riasztás gyanús/fontossági szintjét. Ismétlődő riasztások esetén ellenőrizze a konfigurációkat, és használja a biztonsági riasztások részleteit és definícióit annak megértéséhez, hogy pontosan mi történik, ami az ismétlődéseket kiváltja.

Riasztások hangolása

A riasztások finomhangolásával módosíthatja és optimalizálhatja őket, csökkentve a téves riasztásokat. A riasztások finomhangolásával az SOC-csapatok a magas prioritású riasztásokra összpontosíthatnak, és javíthatják a fenyegetésészlelési lefedettséget a rendszerben. A Microsoft Defender XDR hozzon létre szabályfeltételeket bizonyítéktípusok alapján, majd alkalmazza a szabályt a feltételeknek megfelelő bármely szabálytípusra.

További információ: Riasztás hangolása.

Kapcsolódó tartalom

  • Last updated on