Olvasás angol nyelven

Megosztás a következőn keresztül:


Incidensek és riasztások a Microsoft Defender portálon

A Microsoft Defender portál egységes biztonsági szolgáltatáskészletet hoz létre, amely csökkenti a biztonsági fenyegetéseknek való kitettséget, javítja a szervezeti biztonsági helyzetet, észleli a biztonsági fenyegetéseket, valamint kivizsgálja és reagál a biztonsági incidensekre. Ezek a szolgáltatások a portálon megjelenő jeleket gyűjtenek és állítanak elő. A két fő jeltípus a következő:

Riasztások: Különböző fenyegetésészlelési tevékenységekből származó jelek. Ezek a jelek rosszindulatú vagy gyanús események előfordulását jelzik a környezetben.

Incidensek: Olyan tárolók, amelyek kapcsolódó riasztások gyűjteményét tartalmazzák, és egy támadás teljes történetét ismertetik. Az egyetlen incidens riasztásai a Microsoft összes biztonsági és megfelelőségi megoldásából származhatnak, valamint a felhőhöz készült Microsoft Sentinel és Microsoft Defender keresztül gyűjtött számos külső megoldásból.

Incidensek korrelációhoz és vizsgálathoz

Bár megvizsgálhatja és elháríthatja az egyes riasztások által a figyelmünkbe hozott fenyegetéseket, ezek önmagukban elszigetelt események, amelyek nem árulnak el semmit egy tágabb, összetettebb támadási történetről. Megkeresheti, kutathatja, megvizsgálhatja és korrelálhatja az egyetlen támadási történethez tartozó riasztási csoportokat, de ez sok időt, energiát és energiát igényel.

Ehelyett a Microsoft Defender portál korrelációs motorjai és algoritmusai automatikusan összesítik és korrelálják a kapcsolódó riasztásokat, és incidenseket alkotnak, amelyek e nagyobb támadási történeteket képviselik. A Defender több jelet azonosít ugyanahhoz a támadási történethez tartozóként, és AI használatával folyamatosan figyeli a telemetriai forrásait, és további bizonyítékokat ad hozzá a már megnyitott incidensekhez. Az incidensek tartalmazzák az összes olyan riasztást, amely kapcsolatban áll egymással és az általános támadási történettel, és különböző formában jeleníti meg a történetet:

  • A riasztások és a nyers események idővonalai, amelyeken alapulnak
  • A használt taktikák listája
  • az összes érintett és érintett felhasználó, eszköz és egyéb erőforrás Listák
  • Vizuálisan ábrázolja, hogyan kommunikálnak a történet szereplői
  • A Defender XDR kezdeményezett és befejezett automatikus vizsgálati és válaszfolyamatok naplói
  • A támadási történetet alátámasztó bizonyítékok gyűjteményei: rossz szereplők felhasználói fiókjai és eszközadatai és címe, rosszindulatú fájlok és folyamatok, releváns fenyegetésfelderítés stb.
  • A támadási történet szöveges összefoglalása

Az incidensek emellett keretrendszert biztosítanak a vizsgálatok és a fenyegetésmegoldás kezeléséhez és dokumentálására. Az incidensek e tekintetben való működésével kapcsolatos további információkért lásd: Incidensek kezelése Microsoft Defender.

Riasztásforrások és fenyegetésészlelés

A Microsoft Defender portál riasztásai számos forrásból származnak. Ezek a források tartalmazzák a Microsoft Defender XDR részét képező számos szolgáltatást, valamint a Microsoft Defender portállal különböző mértékű integrációval rendelkező egyéb szolgáltatásokat.

Ha például Microsoft Sentinel regisztrálva van a Microsoft Defender portálon, a Defender portál korrelációs motorja hozzáfér a Microsoft Sentinel által betöltött összes nyers adathoz, amelyet a Defender Speciális veszélyforrás-keresési tábláiban talál.

Microsoft Defender XDR maga is létrehoz riasztásokat. Defender XDR egyedi korrelációs képességei egy újabb adatelemzési és fenyegetésészlelési réteget biztosítanak a digitális tulajdonban lévő nem Microsoft-megoldásokhoz. Ezek az észlelések a Microsoft Sentinel elemzési szabályai által már megadott riasztásokon kívül Defender XDR riasztásokat is létrehoznak.

Ezeken a forrásokon belül egy vagy több fenyegetésészlelési mechanizmus létezik, amely az egyes mechanizmusokban meghatározott szabályok alapján állít elő riasztásokat.

A Microsoft Sentinel például legalább négy különböző motorral rendelkezik, amelyek különböző típusú riasztásokat hoznak létre, amelyek mindegyike saját szabályokkal rendelkezik.

Vizsgálati és reagálási eszközök és módszerek

A Microsoft Defender portál eszközöket és módszereket tartalmaz az incidensek osztályozásának, vizsgálatának és megoldásának automatizálásához vagy más módon történő támogatásához. Ezeket az eszközöket a következő táblázat mutatja be:

Eszköz/metódus Leírás
Incidensek kezelése és kivizsgálása Győződjön meg arról, hogy az incidenseket a súlyosságnak megfelelően rangsorolja, majd végezze el rajtuk a vizsgálatot. A fejlett veszélyforrás-kereséssel veszélyforrásokat kereshet, és a fenyegetéselemzéssel előreléphet a felmerülő fenyegetések előtt.
Riasztások automatikus vizsgálata és megoldása Ha ez engedélyezve van, Microsoft Defender XDR automatikusan kivizsgálhatja és feloldhatja a Microsoft 365 és az Entra ID-források riasztását automatizálással és mesterséges intelligenciával.
Automatikus támadáskimaradási műveletek konfigurálása A Microsoft Defender XDR és a Microsoft Sentinel által gyűjtött nagy megbízhatóságú jelek használatával automatikusan megszakíthatja az aktív támadásokat gépi sebességgel, amely tartalmazza a fenyegetést és korlátozza a hatást.
Microsoft Sentinel automatizálási szabályainak konfigurálása Automatizálási szabályok használatával automatizálhatja az incidensek osztályozását, hozzárendelését és kezelését, függetlenül azok forrásától. A szabályok konfigurálásával még nagyobb hatékonyságot érhet el csapatának, ha úgy konfigurálja a szabályokat, hogy címkéket alkalmazzanak az incidensekre a tartalmuk alapján, letilthatja a zajos (hamis pozitív) incidenseket, és bezárhatja a megfelelő feltételeknek megfelelő megoldott incidenseket, megadhatja az okot és megjegyzéseket adhat hozzá.
Proaktív vadászat fejlett vadászattal A Kusto lekérdezésnyelv (KQL) használatával proaktív módon vizsgálhatja meg a hálózat eseményeit a Defender portálon összegyűjtött naplók lekérdezésével. A speciális veszélyforrás-keresés olyan felhasználók számára támogatja az irányított módot, akik a lekérdezésszerkesztő kényelmét keresik.
AI kihasználása a biztonsági Microsoft Copilot Mesterséges intelligenciát adhat hozzá az összetett és időigényes napi munkafolyamatokkal rendelkező elemzők támogatásához. A Microsoft Copilot for Security például segíthet a teljes körű incidensvizsgálatban és -reagálásban, ha világosan leírt támadási történeteket, lépésenkénti, végrehajtható javítási útmutatót és incidenstevékenységeket összegző jelentéseket, természetes nyelvű KQL-veszélyforrás-keresést és szakértői kódelemzést biztosít, optimalizálva az SOC hatékonyságát az összes forrásból származó adatokra vonatkozóan.

Ez a képesség az egységes platformhoz Microsoft Sentinel más AI-alapú funkciókon kívül a felhasználói és entitásviselkedés-elemzések, az anomáliadetektálás, a többszakaszos fenyegetésészlelés és egyebek területén is elérhető.

A riasztások korrelációjáról és az incidensek egyesítéséről a Defender portálon a Riasztások, incidensek és korreláció a Microsoft Defender XDR