Vizsgálat és válaszadás Microsoft Defender XDR
Az alábbiakban az Microsoft Defender XDR elsődleges kivizsgáló és válaszfeladatait találja:
- Reagálás az incidensekre
- Automatikus szervizelési műveletek áttekintése és jóváhagyása
- az adatok ismert fenyegetéseinek Keresés
- A legújabb kibertámadások megismerése
Incidenskezelés
A Microsoft 365 szolgáltatásai és alkalmazásai riasztásokat hoznak létre, ha gyanús vagy rosszindulatú eseményt vagy tevékenységet észlelnek. Az egyes riasztások értékes nyomokat szolgáltatnak egy befejezett vagy folyamatban lévő támadásról. A támadások azonban általában különböző technikákat alkalmaznak különböző típusú entitások, például eszközök, felhasználók és postaládák ellen. Az eredmény több riasztás a bérlő több entitására vonatkozóan. Mivel az egyes riasztások összekösse őket, hogy betekintést nyerjenek egy támadásba, nehézkes és időigényes lehet, Microsoft Defender XDR automatikusan összesíti a riasztásokat és a hozzájuk kapcsolódó információkat egy incidensbe.
Folyamatosan azonosítania kell a legmagasabb prioritású incidenseket az elemzéshez és a megoldáshoz az incidenssorban, és készen kell állnia a válaszadásra. Ez a következő kombinációk kombinációja:
- Rangsorolás a legmagasabb prioritású incidensek meghatározásához az incidenssor szűrésével és rendezésével. Ez más néven osztályozás.
- Incidensek kezelése a címük módosításával, az elemzőkhöz való hozzárendelésükkel, címkék és megjegyzések hozzáadásával, illetve megoldásuk esetén besorolással.
Minden incidens esetében az incidensmegoldási munkafolyamattal elemezheti az incidenst és annak riasztásait és adatait, hogy azok tartalmazzák a támadást, felszámolják a fenyegetést, helyreállnak a támadásból, és tanuljanak belőle. Ebben a példában Microsoft Defender XDR.
Automatizált vizsgálat és szervizelés
Ha a szervezete Microsoft Defender XDR használ, a biztonsági üzemeltetési csapat riasztást kap a Microsoft Defender portálon, ha rosszindulatú vagy gyanús tevékenységet vagy összetevőt észlel. A fenyegetések folyamatos áramlása miatt a biztonsági csapatok gyakran szembesülnek azzal a kihívással, hogy kezelni tudják a nagy mennyiségű riasztást. Szerencsére Microsoft Defender XDR automatizált vizsgálati és reagálási (AIR) képességeket is tartalmaz, amelyekkel a biztonsági üzemeltetési csapat hatékonyabban és hatékonyabban kezelheti a fenyegetéseket.
Amikor egy automatizált vizsgálat befejeződik, a rendszer az incidens minden bizonyítékára vonatkozóan ítéletet hoz. Az ítélettől függően a szervizelési műveletek azonosíthatók. Bizonyos esetekben a szervizelési műveletek automatikusan megtörténik; más esetekben a szervizelési műveletek a Microsoft Defender XDR Műveletközponton keresztül várják a jóváhagyást.
További információ: Automatizált vizsgálat és reagálás Microsoft Defender XDR.
Komplex veszélyforrás-kereséssel kapcsolatos proaktív keresés
Nem elég reagálni a támadásokra, ahogy bekövetkeznek. A kiterjesztett, többfázisú támadások, például a zsarolóprogramok esetében proaktívan meg kell keresnie a folyamatban lévő támadás bizonyítékait, és meg kell tennie a lépéseket, hogy megállítsa azt, mielőtt befejeződik.
A speciális veszélyforrás-keresés a Microsoft Defender XDR lekérdezésalapú veszélyforrás-keresési eszköze, amellyel akár 30 napnyi nyers adatot is megvizsgálhat. Proaktívan megvizsgálhatja a hálózat eseményeit a fenyegetésjelzők és entitások megkereséséhez. A Microsoft Defender XDR adatokhoz való rugalmas hozzáférés lehetővé teszi az ismert és potenciális fenyegetések korlátozás nélküli keresését.
Ugyanezekkel a veszélyforrás-keresési lekérdezésekkel egyéni észlelési szabályokat hozhat létre. Ezek a szabályok automatikusan futnak a gyanús biztonsági incidensek, a helytelenül konfigurált gépek és egyéb eredmények kereséséhez és megválaszolásához.
További információt a komplex veszélyforrás-kereséssel kapcsolatos proaktív keresés a Microsoft Defender XDR-ben című témakörben talál.
A fenyegetéselemzéssel megelőzheti a felmerülő fenyegetéseket
A fenyegetéselemzés a Microsoft Defender XDR fenyegetésfelderítési képessége, amely segít a biztonsági csapatnak abban, hogy a lehető leghatékonyabban szembesüljön a felmerülő fenyegetésekkel. Részletes elemzést és információkat tartalmaz a következőkről:
- Aktív veszélyforrás-szereplők és kampányaik
- Népszerű és új támadási technikák
- Kritikus biztonsági rések
- Gyakori támadási felületek
- Elterjedt kártevők
A fenyegetéselemzés a kapcsolódó incidensekről és a Microsoft 365-bérlőn belüli érintett eszközökről is tartalmaz információkat az egyes azonosított fenyegetésekről.
Minden azonosított fenyegetés tartalmaz egy elemzői jelentést, amely a Microsoft biztonsági kutatói által írt fenyegetések átfogó elemzését tartalmazza, akik a kiberbiztonság észlelésének és elemzésének élvonalában állnak. Ezek a jelentések arról is információt nyújtanak, hogyan jelennek meg a támadások a Microsoft Defender XDR.
További információ: Fenyegetéselemzés a Microsoft Defender XDR-ben.
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: