A Microsoft 365 szolgáltatásai és alkalmazásai riasztásokat hoznak létre, ha gyanús vagy rosszindulatú eseményt vagy tevékenységet észlelnek. Az egyes riasztások értékes nyomokat szolgáltatnak egy befejezett vagy folyamatban lévő támadásról. A támadások azonban általában különböző technikákat alkalmaznak különböző típusú entitások, például eszközök, felhasználók és postaládák ellen. Az eredmény több riasztás a bérlő több entitására vonatkozóan. Mivel az egyes riasztások összekösse őket, hogy betekintést nyerjenek egy támadásba, nehézkes és időigényes lehet, Microsoft Defender XDR automatikusan összesíti a riasztásokat és a hozzájuk kapcsolódó információkat egy incidensbe.
Folyamatosan azonosítania kell a legmagasabb prioritású incidenseket az elemzéshez és a megoldáshoz az incidenssorban, és készen kell állnia a válaszadásra. Ez a következő kombinációk kombinációja:
Rangsorolás a legmagasabb prioritású incidensek meghatározásához az incidenssor szűrésével és rendezésével. Ez más néven osztályozás.
Incidensek kezelése a címük módosításával, az elemzőkhöz való hozzárendelésükkel, címkék és megjegyzések hozzáadásával, illetve megoldásuk esetén besorolással.
Minden incidens esetében az incidensmegoldási munkafolyamattal elemezheti az incidenst és annak riasztásait és adatait, hogy azok tartalmazzák a támadást, felszámolják a fenyegetést, helyreállnak a támadásból, és tanuljanak belőle.
Automatizált vizsgálat és szervizelés
Ha a szervezete Microsoft Defender XDR használ, a biztonsági üzemeltetési csapat riasztást kap a Microsoft Defender portálon, ha rosszindulatú vagy gyanús tevékenységet vagy összetevőt észlel. A fenyegetések folyamatos áramlása miatt a biztonsági csapatok gyakran szembesülnek azzal a kihívással, hogy kezelni tudják a nagy mennyiségű riasztást. Szerencsére Microsoft Defender XDR automatizált vizsgálati és reagálási (AIR) képességeket is tartalmaz, amelyekkel a biztonsági üzemeltetési csapat hatékonyabban és hatékonyabban kezelheti a fenyegetéseket.
Amikor egy automatizált vizsgálat befejeződik, a rendszer az incidens minden bizonyítékára vonatkozóan ítéletet hoz. Az ítélettől függően a szervizelési műveletek azonosíthatók. Bizonyos esetekben a szervizelési műveletek automatikusan megtörténik; más esetekben a szervizelési műveletek a Microsoft Defender XDR Műveletközponton keresztül várják a jóváhagyást.
Komplex veszélyforrás-kereséssel kapcsolatos proaktív keresés
Nem elég reagálni a támadásokra, ahogy bekövetkeznek. A kiterjesztett, többfázisú támadások, például a zsarolóprogramok esetében proaktívan meg kell keresnie a folyamatban lévő támadás bizonyítékait, és meg kell tennie a lépéseket, hogy megállítsa azt, mielőtt befejeződik.
A speciális veszélyforrás-keresés a Microsoft Defender XDR lekérdezésalapú veszélyforrás-keresési eszköze, amellyel akár 30 napnyi nyers adatot is megvizsgálhat. Proaktívan megvizsgálhatja a hálózat eseményeit a fenyegetésjelzők és entitások megkereséséhez. A Microsoft Defender XDR adatokhoz való rugalmas hozzáférés lehetővé teszi az ismert és potenciális fenyegetések korlátozás nélküli keresését.
Ugyanezekkel a veszélyforrás-keresési lekérdezésekkel egyéni észlelési szabályokat hozhat létre. Ezek a szabályok automatikusan futnak a gyanús biztonsági incidensek, a helytelenül konfigurált gépek és egyéb eredmények kereséséhez és megválaszolásához.
A fenyegetéselemzéssel megelőzheti a felmerülő fenyegetéseket
A fenyegetéselemzés a Microsoft Defender XDR fenyegetésfelderítési képessége, amely segít a biztonsági csapatnak abban, hogy a lehető leghatékonyabban szembesüljön a felmerülő fenyegetésekkel. Részletes elemzést és információkat tartalmaz a következőkről:
A fenyegetéselemzés a kapcsolódó incidensekről és a Microsoft 365-bérlőn belüli érintett eszközökről is tartalmaz információkat az egyes azonosított fenyegetésekről.
Minden azonosított fenyegetés tartalmaz egy elemzői jelentést, amely a Microsoft biztonsági kutatói által írt fenyegetések átfogó elemzését tartalmazza, akik a kiberbiztonság észlelésének és elemzésének élvonalában állnak. Ezek a jelentések arról is információt nyújtanak, hogyan jelennek meg a támadások a Microsoft Defender XDR.
A Microsoft Applied Skills hitelesítő adatainak megszerzéséhez a tanulók bemutatják, hogy a Microsoft Defender XDR használatával képesek észlelni és reagálni a kibertámadásokra. A hitelesítő adatokra pályázóknak tisztában kell lenniük a végpontok elleni támadásokkal kapcsolatos bizonyítékok vizsgálatával és gyűjtésével. A Végponthoz készült Microsoft Defender és a Kusto lekérdezésnyelv (KQL) használatát is tapasztalatokkal kell rendelkezniük.