Incidensek és riasztások kezelése Office 365-höz készült Microsoft Defender a Microsoft Defender XDR-ben

• A következőre érvényes::

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.

A Microsoft Defender XDR incidensei korrelált riasztások és kapcsolódó adatok gyűjteményei, amelyek meghatározzák egy támadás teljes történetét. Office 365-höz készült Defender riasztások, az automatizált vizsgálat és reagálás (AIR) és a vizsgálatok eredménye natív módon integrálva és korrelálva van a Microsoft Defender XDR Incidensek oldalán a címenhttps://security.microsoft.com/incidents-queue. Erre a lapra incidenssorként hivatkozunk.

Riasztások jönnek létre, ha rosszindulatú vagy gyanús tevékenység érint egy entitást (például e-maileket, felhasználókat vagy postaládákat). A riasztások értékes megállapításokat nyújtanak a folyamatban lévő vagy befejezett támadásokról. Egy folyamatban lévő támadás azonban több entitást is érinthet, ami több riasztást eredményez különböző forrásokból. Egyes beépített riasztások automatikusan aktiválják az AIR-forgatókönyveket. Ezek a forgatókönyvek vizsgálati lépések sorozatát hajtják végre, hogy más érintett entitásokat vagy gyanús tevékenységeket keressenek.

Ebből a rövid videóból megtudhatja, hogyan kezelheti Office 365-höz készült Microsoft Defender riasztásokat Microsoft Defender XDR.

Office 365-höz készült Defender riasztások, vizsgálatok és adataik automatikusan korrelálnak. A kapcsolat meghatározásakor a rendszer létrehoz egy incidenst, amely lehetővé teszi a biztonsági csapatok számára a teljes támadás láthatóságát.

Határozottan javasoljuk, hogy a SecOps-csapatok kezeljék a Office 365-höz készült Defender incidenseit és riasztásait a következő https://security.microsoft.com/incidents-queuehelyen található Incidensek üzenetsorban: . Ez a megközelítés a következő előnyökkel jár:

• Több kezelési lehetőség:

  • Rangsorolás
  • Szűrés
  • Osztályozás
  • Címkekezelés

  Az incidenseket közvetlenül az üzenetsorból is elvégezheti, vagy hozzárendelheti őket valakihez. A megjegyzések és a megjegyzéselőzmények segíthetnek a haladás nyomon követésében.

• Ha a támadás más, Microsoft Defender^* által védett számítási feladatokat is érint, a kapcsolódó riasztások, vizsgálatok és adataik is ugyanahhoz az incidenshez kapcsolódnak.

  ^*Végponthoz készült Microsoft Defender, Microsoft Defender for Identity és Microsoft Defender for Cloud Apps.

• Összetett korrelációs logika nem szükséges, mert a logikát a rendszer biztosítja.

• Ha a korrelációs logika nem felel meg teljesen az igényeinek, riasztásokat adhat hozzá a meglévő incidensekhez, vagy új incidenseket hozhat létre.

• A kapcsolódó Office 365-höz készült Defender riasztások, AIR-vizsgálatok és a vizsgálatok függőben lévő műveletei automatikusan hozzáadódnak az incidensekhez.

• Ha az AIR-vizsgálat nem talál fenyegetést, a rendszer automatikusan feloldja a kapcsolódó riasztásokat Ha egy incidens összes riasztása megoldódott, az incidens állapota Is Megoldva értékre változik.

• A kapcsolódó bizonyítékok és válaszműveletek automatikusan összesítve jelennek meg az incidens Bizonyíték és válasz lapján.

• A biztonsági csapat tagjai közvetlenül az incidensekből hajthatnak végre reagálási műveleteket. Például helyreállítható módon törölhetik a postaládákban lévő e-maileket, vagy eltávolíthatják a gyanús levelezési szabályokat a postaládákból.

• Az ajánlott e-mail-műveletek csak akkor jönnek létre, ha egy rosszindulatú e-mail legutóbbi kézbesítési helye egy felhőbeli postaláda.

• A függőben lévő e-mail-műveletek a legújabb kézbesítési hely alapján frissülnek. Ha az e-mailt már manuális művelet orvosolta, az állapot ezt tükrözi.

• Az ajánlott műveletek csak olyan e-mail- és e-mail-fürtök esetén jönnek létre, amelyek a legkritikusabb fenyegetésnek számítanak:

  • Kártevő szoftverek
  • Megbízható adathalászat
  • Rosszindulatú URL-címek
  • Rosszindulatú fájlok

Megjegyzés:

Az incidensek nem csak statikus eseményeket jelentenek. Emellett olyan támadási történeteket is képviselnek, amelyek az idő múlásával történnek. A támadás előrehaladtával a rendszer folyamatosan hozzáadja az új Office 365-höz készült Defender riasztásokat, AIR-vizsgálatokat és azok adatait a meglévő incidenshez.

Incidensek kezelése a Microsoft Defender portál Incidensek lapján a következő címenhttps://security.microsoft.com/incidents-queue:

Incidensek kezelése a Microsoft Sentinel Incidensek lapján:https://portal.azure.com/#blade/HubsExtension/BrowseResource/resourceType/microsoft.securityinsightsarg%2Fsentinel

Végrehajtandó válaszműveletek

A biztonsági csapatok számos különféle válaszműveletet hajthatnak végre e-mailben Office 365-höz készült Defender eszközökkel:

• Törölheti az üzeneteket, de az alábbi műveleteket is végrehajthatja e-mailben:

  • Áthelyezés a Beérkezett üzenetek mappába
  • Áthelyezés a Levélszemét mappába
  • Áthelyezés törölt elemekre
  • Helyreállítható törlés
  • Végleges törlés.

  Ezeket a műveleteket a következő helyekről hajthatja végre:

  • Az incidens részleteinek Bizonyíték és válasz lapja az Incidensek oldalon** a következő helyen https://security.microsoft.com/incidents-queue : (ajánlott).
  • Threat Explorer a címen https://security.microsoft.com/threatexplorer.
  • Az egyesített műveletközpont a következő helyen: https://security.microsoft.com/action-center/pending.

• Az AIR-forgatókönyveket manuálisan is elindíthatja bármely e-mail-üzenetben a Veszélyforrás-felderítő Trigger investigation műveletével.

• A Hamis pozitív vagy hamis negatív észleléseket közvetlenül a Microsoftnak jelentheti a Veszélyforrás-kezelővel vagy rendszergazdai beküldésekkel.

• A nem észlelt kártékony fájlokat, URL-címeket és feladókat a bérlői engedélyezési/tiltólistával tilthatja le.

A Office 365-höz készült Defender műveletei zökkenőmentesen integrálódnak a veszélyforrás-keresési élménybe, és a műveletek előzményei az egyesített MűveletközpontElőzmények lapján láthatók a címenhttps://security.microsoft.com/action-center/history.

A leghatékonyabb megoldás az incidensekkel való beépített integráció használata Microsoft Defender XDR. Az AIR által javasolt műveleteket jóváhagyhatja Office 365-höz készült Defender egy incidens bizonyítékai és válaszlapja Microsoft Defender XDR. A lefokozási műveletnek ez a módszere a következő okok miatt ajánlott:

• Megvizsgálod a teljes támadási történetet.
• Kihasználhatja a többi számítási feladat beépített korrelációjának előnyeit: Végponthoz készült Microsoft Defender, Microsoft Defender for Identity és Microsoft Defender for Cloud Apps.
• Egyetlen helyről hajthat végre műveleteket az e-mailen.

Manuális vizsgálat vagy veszélyforrás-keresés eredménye alapján hajthat végre műveletet az e-mailen. A Threat Explorer lehetővé teszi, hogy a biztonsági csapat tagjai műveletet végezzenek a felhőpostaládákban még létező e-mail-üzeneteken. Műveletet végezhetnek a szervezeten belüli üzeneteken, amelyeket a szervezet felhasználói küldtek. A Threat Explorer adatai az elmúlt 30 napban érhetők el.

Ebből a rövid videóból megtudhatja, hogyan egyesíti a Microsoft Defender XDR a különböző észlelési forrásokból származó riasztásokat, például a Office 365-höz készült Defender riasztásait incidensekké.