Riasztásbesorolási forgatókönyvek
Érintett szolgáltatás:
- Microsoft Defender XDR
A riasztásbesorolási forgatókönyvek lehetővé teszik a jól ismert támadások riasztásainak módszeres áttekintését és gyors besorolását, valamint a támadás elhárításához és a hálózat védelméhez ajánlott műveletek végrehajtását. A riasztások besorolása segít a teljes incidens megfelelő besorolásában is.
Biztonsági kutatóként vagy biztonsági üzemeltetési központ (SOC) elemzőként hozzáféréssel kell rendelkeznie a Microsoft Defender portálhoz, hogy:
- Értékelje és tekintse át a létrehozott riasztásokat és a kapcsolódó incidenseket. Lásd: Riasztások vizsgálata.
- Keresés a bérlő biztonsági jeladatait, és ellenőrizze a lehetséges fenyegetéseket és gyanús tevékenységeket. Lásd: speciális veszélyforrás-keresés.
Megjegyzés:
Visszajelzést küldhet a Microsoftnak a valódi pozitív és téves riasztásokról, nemcsak a vizsgálat végén, hanem a vizsgálati folyamat során is. Ez segíthet a Microsoftnak a biztonsági események jövőbeli elemzésében és besorolásában.
Office 365-höz készült Microsoft Defender
Office 365-höz készült Microsoft Defender védi a szervezetet az e-mailek, hivatkozások (URL-címek) és együttműködési eszközök által okozott rosszindulatú fenyegetések ellen. Office 365-höz készült Defender a következőket tartalmazza:
Veszélyforrások elleni védelmi szabályzatok
Definiáljon fenyegetésvédelmi szabályzatokat a szervezet megfelelő védelmi szintjének beállításához.
Jelentések
Valós idejű jelentések megtekintése Office 365-höz készült Defender teljesítmény monitorozásához a szervezetben.
Fenyegetésvizsgálati és reagálási képességek
Élvonalbeli eszközök használata a fenyegetések kivizsgálásához, megértéséhez, szimulálásához és megelőzéséhez.
Automatizált vizsgálati és reagálási képességek
Időt és erőfeszítést takaríthat meg a fenyegetések kivizsgálása és enyhítése érdekében.
Office 365-höz készült Defender riasztások a következőképpen osztályozhatók:
- Valódi pozitív (TP) a megerősített rosszindulatú tevékenységhez.
- Hamis pozitív (FP) a megerősített nem rosszindulatú tevékenység esetén.
Megjegyzés:
Microsoft Defender portál https://security.microsoft.com egyesíti a meglévő Microsoft biztonsági portálok funkcióit. A Microsoft Defender portál az információk gyors elérését, az egyszerűbb elrendezéseket és a kapcsolódó információk összefogását helyezi előtérbe a könnyebb használat érdekében.
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps egy Cloud Access Security Broker (CASB), amely támogatja a különböző üzembehelyezési módokat, például a naplógyűjtést, az API-összekötőket és a fordított proxyt. Gazdag átláthatóságot, az adatutazás feletti irányítást és kifinomult elemzéseket biztosít a kibertámadások azonosításához és leküzdéséhez az összes Microsoft- és külső felhőszolgáltatásban.
A Defender for Cloud Apps natív módon integrálható vezető Microsoft-megoldásokkal, és biztonsági szakemberek szem előtt tartásával készült. Egyszerű üzembe helyezést, központosított felügyeletet és innovatív automatizálási képességeket biztosít.
A Defender for Cloud Apps keretrendszere lehetővé teszi a hálózat védelmét a kibertámadásokkal és a rendellenességekkel szemben, észleli a szokatlan viselkedést a felhőalkalmazásokban a zsarolóprogramok, a feltört felhasználók vagy a rosszindulatú alkalmazások azonosítása érdekében. Lehetővé teszi a magas kockázatú használat elemzését, és automatikusan orvosolhatja a kockázat szervezetre való korlátozását.
A Defender for Cloud Apps-riasztások a következőképpen osztályozhatók:
- TP a megerősített rosszindulatú tevékenységhez.
- Jóindulatú valódi pozitív (B-TP) gyanús, de nem rosszindulatú tevékenység, például behatolási teszt vagy más engedélyezett gyanús művelet esetén.
- FP a megerősített nem rosszindulatú tevékenységhez.
Riasztásbesorolási forgatókönyvek
A következő fenyegetések riasztásainak gyorsabb besorolásához tekintse meg ezeket a forgatókönyveket:
- Gyanús e-mail-továbbítási tevékenység
- Gyanús bejövő üzenetkezelési szabályok
- Bejövő üzenetek továbbítása - gyanús szabályok
- Jelszópermet-tevékenységgel kapcsolatos gyanús IP-címek
- Szórásos jelszófeltöréses támadás
A riasztások Microsoft Defender portálon történő vizsgálatával kapcsolatos információkért lásd: Riasztások vizsgálata.
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.