Riasztások vizsgálata Microsoft Defender XDR

Megjegyzés:

Ez a cikk a biztonsági riasztásokat ismerteti Microsoft Defender XDR. A riasztási szabályzatok használatával azonban e-mail-értesítéseket küldhet saját magának vagy más rendszergazdáknak, ha a felhasználók bizonyos tevékenységeket végeznek a Microsoft 365-ben. További információ: Riasztási szabályzatok a Microsoft Defender portálon.

A riasztások különböző fenyegetésészlelési tevékenységekből származó jelek. Ezeket a jeleket a Microsoft Defender portálon található számos biztonsági szolgáltatás generálja, és jelzik a kártékony vagy gyanús események előfordulását a környezetben.

Ezek a gyanús események általában egy szélesebb körű támadási történet részei. A Microsoft Defender portálon a riasztások olyan bizonyítékokat jelölnek, amelyek Defender XDR egymással összefüggenek incidensek formájában. Az incidensek az egész támadási történetet elmesélik; A riasztások elemzése azonban hasznos lehet, ha mélyebb elemzésre van szükség.

A Riasztások üzenetsor a riasztások aktuális készletét jeleníti meg. A riasztások teljes üzenetsorát megtekintheti az Incidensek & riasztások Riasztások > az Microsoft Defender portál gyorsindítási oldalán. Az egyes incidensekre vonatkozó riasztásokat az incidensek várólistáján, illetve az egyes incidensek oldalán, a Riasztások lapon is megtekintheti.

Riasztások különböző Microsoft biztonsági megoldásokból, például Végponthoz készült Microsoft Defender, Defender for Office 365, Microsoft Sentinel, Defender for Cloud, Defender for Identity, Defender for Cloud Apps, Defender XDRitt jelenik meg az App Governance, a Microsoft Entra ID Protection és a Microsoft Data Loss Prevention.

Alapértelmezés szerint a riasztások üzenetsora az Microsoft Defender portálon az elmúlt hét nap új és folyamatban lévő riasztását jeleníti meg. A legutóbbi riasztás a lista tetején található, így ön láthatja először. A riasztások teljes számát a keresősáv melletti üzenetsorban is megtalálhatja. A riasztások teljes száma az üzenetsorban használt szűrőktől függően változik.

Az alapértelmezett riasztási várólistán a Szűrő lehetőséget választva megtekintheti az összes elérhető szűrőt, amelyből megadhatja a riasztások egy részhalmazát. Íme egy példa.

A riasztásokat az alábbi feltételek szerint szűrheti:

• Súlyossága
• Állapot
• Kategóriák
• Szolgáltatás-/észlelési források
• Címkék
• Szabályzat/szabályzatszabály
• Riasztás típusa
• Terméknév
• Riasztás előfizetés-azonosítója
• Entitások (az érintett eszközök)
• Automatizált vizsgálati állapot
• Workspace (Munkaterület)
• Adatfolyam (számítási feladat vagy hely)
• Bizalmassági címke

Megjegyzés:

Microsoft Defender XDR az ügyfelek mostantól riasztásokkal szűrhetik az incidenseket, ha egy feltört eszköz az IoT-hez készült Microsoft Defender eszközfelderítési integrációján keresztül kommunikált a vállalati hálózathoz csatlakoztatott operatív technológiai (OT) eszközökkel, és Végponthoz készült Microsoft Defender. Az incidensek szűréséhez válassza a Bármely lehetőséget a Szolgáltatás/észlelés forrásokban, majd válassza a Microsoft Defender az IoT-hez lehetőséget a Terméknév területen, vagy tekintse meg az incidensek és riasztások kivizsgálása Microsoft Defender az IoT-hez a Defender portálon című cikket. Eszközcsoportokkal is szűrhet helyspecifikus riasztásokra. További információ az IoT-hez készült Defender előfeltételeiről: Ismerkedés a vállalati IoT-monitorozással Microsoft Defender XDR.

A riasztások tartalmazhatnak rendszercímkéket és/vagy egyéni címkéket bizonyos színháttérrel. Az egyéni címkék a fehér hátteret, míg a rendszercímkék általában piros vagy fekete háttérszínt használnak. A rendszercímkék az alábbiakat azonosítják egy incidensben:

• Támadás típusa, például zsarolóprogram vagy hitelesítő adatok adathalászata
• Automatikus műveletek, például automatikus vizsgálat és reagálás és automatikus támadáskimaradás
• Incidenst kezelő Defender-szakértők
• Az incidensben érintett kritikus fontosságú eszközök

Tipp

A Microsoft Biztonságikitettség-kezelés előre meghatározott besorolások alapján automatikusan kritikus objektumként címkézi meg az eszközöket, az identitásokat és a felhőbeli erőforrásokat. Ez a beépített képesség biztosítja a szervezet értékes és legfontosabb eszközeinek védelmét. Emellett segít a biztonsági üzemeltetési csapatoknak a vizsgálat és a szervizelés rangsorolásában. Tudjon meg többet a kritikus eszközkezelésről.

Fontos

A cikkben található információk egy előre kiadott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy vélelmezett garanciát az itt megadott információkra vonatkozóan.

A riasztásokat egyéni dátum- és időtartomány használatával, illetve a keresősáv használatával keresheti meg az adott riasztásokat. Ha egy adott dátumon vagy időtartományon belül szeretne riasztásokat keresni, válassza az Egyéni tartomány lehetőséget a dátumválasztóban, majd adja meg a kezdő és a záró dátumot és időpontot.

Adott riasztások kereséséhez írja be a keresőkifejezést a keresősávba. Riasztásokat a riasztás címe vagy azonosítója alapján kereshet.

A Defender for Office 365 riasztásokhoz szükséges szerepkörök

A Office 365 riasztások Microsoft Defender eléréséhez az alábbi szerepkörök bármelyikével kell rendelkeznie:

• Microsoft Entra globális szerepkörök esetén:

  • Globális rendszergazda
  • Biztonsági rendszergazda
  • Biztonsági operátor
  • Globális olvasó
  • Biztonsági olvasó

• biztonsági & megfelelőségi szerepkörcsoportok Office 365

  • Megfelelőségi rendszergazda
  • Szervezetfelügyelet

• Egyéni szerepkör

Megjegyzés:

A Microsoft azt javasolja, hogy a nagyobb biztonság érdekében kevesebb engedélyekkel rendelkező szerepköröket használjunk. A sok engedéllyel rendelkező globális rendszergazdai szerepkört csak vészhelyzetekben szabad használni, ha más szerepkör nem fér el.

Riasztás elemzése

A riasztás főoldalának megtekintéséhez válassza ki a riasztás nevét. Íme egy példa.

A Riasztás kezelése panelen a Fő riasztási lap megnyitása műveletet is kiválaszthatja.

A riasztási oldal az alábbi szakaszokból áll:

• Riasztási történet, amely a riasztáshoz kapcsolódó események és riasztások láncolata időrendben
• Összegzés részletei

A riasztási oldalon az entitások melletti három pontra (...) kattintva megtekintheti az elérhető műveleteket, például összekapcsolhatja a riasztást egy másik incidenssel. Az elérhető műveletek listája a riasztás típusától függ.

Riasztási források

Microsoft Defender XDR riasztások olyan megoldásokból származnak, mint a Végponthoz készült Microsoft Defender, a Defender for Office 365, a Defender for Identity, a Defender for Cloud Apps, az alkalmazásirányítási bővítmény. Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection és Microsoft Data Loss Prevention. Előfordulhat, hogy a riasztásban előtaggal ellátott karaktereket tartalmazó riasztások jelennek meg. Az alábbi táblázat útmutatást nyújt a riasztási források leképezésének megértéséhez a riasztás előtag karaktere alapján.

Megjegyzés:

• Az előtagolt GUID azonosítók csak olyan egyesített szolgáltatásokra vonatkoznak, mint az egyesített riasztások várólistája, az egyesített riasztások oldala, az egyesített vizsgálat és az egyesített incidens.
• Az előtagú karakter nem módosítja a riasztás GUID azonosítóját. A GUID egyetlen módosítása az előtagú összetevő.

Riasztás forrása	Riasztásazonosító előre írt karakterekkel
Microsoft Defender XDR	ra{GUID} ta{GUID} a ThreatExperts riasztásaihoz ea{GUID} egyéni észlelésekből származó riasztásokhoz
Office 365-höz készült Microsoft Defender	fa{GUID} Példa: fa123a456b-c789-1d2e-12f1g33h445h6i
Végponthoz készült Microsoft Defender	da{GUID} ed{GUID} egyéni észlelésekből származó riasztásokhoz
Microsoft Defender for Identity	aa{GUID} ri{GUID} XDR észlelési motor riasztásaihoz Például: aa123a456b-c789-1d2e-12f1g33h445h6i, ri001122334455667788_-0123456789
Microsoft Defender for Cloud Apps	ca{GUID} ma{GUID} az App Governance észleléseiből és szabályzataiból származó riasztásokhoz rm{GUID} XDR észlelési motor riasztásaihoz Példa: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID Protection	ad{GUID}
Alkalmazásirányítás	ma{GUID}
Microsoft adatveszteség-megelőzés	dl{GUID}
Microsoft Defender for Cloud	dc{GUID}
Microsoft Sentinel	sn{GUID}
Microsoft Purview Belső kockázatkezelés	ir{GUID}
Microsoft Biztonsági Copilot	sc{GUID}

Megjegyzés:

Ha rendelkezik hozzáféréssel a Microsoft Purview belső kockázatkezelés, megtekintheti és kezelheti a belső kockázatkezelési riasztásokat, és megkeresheti a belső kockázatkezelési eseményeket a Microsoft Defender portálon. További információ: Insider risk threats in the Microsoft Defender portal (Belső kockázati fenyegetések vizsgálata a Microsoft Defender portálon).

Riasztási szolgáltatás beállításainak konfigurálása

A riasztási szolgáltatás beállításainak konfigurálása a Microsoft Defender XDR:

1. Nyissa meg a Microsoft Defender portált (security.microsoft.com), és válassza a Beállítások>Microsoft Defender XDR lehetőséget.

2. A listából válassza a Riasztási szolgáltatás beállításai lehetőséget, majd konfigurálja a szolgáltatás riasztási beállításait.

   Fontos

   2025. december 11-től a Microsoft Defender XDR továbbfejlesztett konfigurációs lehetőségeket vezet be az Entra ID Protection-riasztásokhoz a nyilvános előzetes verzióban. Ezek a frissítések részletesebb vezérlést biztosítanak a kockázatalapú riasztások felett. Az új alapértelmezett beállítás csak a magas kockázatú észlelések. Módosítsa az alapértelmezett beállítást Magas + Közepes vagy Minden észlelés értékre a szervezet igényeinek megfelelően.

   

A Riasztási szolgáltatás beállításai közvetlenül a Microsoft Defender portál Incidensek oldaláról is elérhetők.

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Az érintett eszközök elemzése

A Végrehajtott műveletek szakasz felsorolja az érintett eszközöket, például a postaládákat, az eszközöket és a riasztás által érintett felhasználókat.

A Műveletközpont Nézet elemét választva megtekintheti a MűveletközpontElőzmény lapját a Microsoft Defender portálon.

Riasztási szerepkör nyomon követése a riasztási történetben

A riasztási történet folyamatfa nézetben jeleníti meg a riasztáshoz kapcsolódó összes objektumot vagy entitást. A címben szereplő riasztás lesz a fókuszban, amikor először a kiválasztott riasztás oldalára kerül. A riasztási történetben lévő objektumok kibonthatók és kattinthatók. Ezek további információkat nyújtanak, és felgyorsítják a választ, mivel lehetővé teszik, hogy közvetlenül a riasztási oldal kontextusában hajtson végre lépéseket.

Megjegyzés:

A riasztási előzmények szakasz több riasztást is tartalmazhat, és a kiválasztott riasztás előtt vagy után további riasztások is megjelennek ugyanahhoz a végrehajtási fához kapcsolódóan.

További riasztási információk megtekintése a részletek lapon

A részletek lapon a kiválasztott riasztás részletei láthatók, a hozzá kapcsolódó részletekkel és műveletekkel együtt. Ha kiválasztja a riasztási történet érintett eszközeit vagy entitásait, a részletek lapja megváltozik, hogy környezeti információkat és műveleteket biztosítson a kiválasztott objektumhoz.

Miután kiválasztott egy érdekes entitást, a részletek lapja megváltozik, és megjeleníti a kiválasztott entitástípussal kapcsolatos információkat, az előzményadatokat, ha az elérhető, valamint a riasztási oldalról közvetlenül az entitásra vonatkozó műveletekre vonatkozó lehetőségeket.

Értesítések kezelése

A riasztás kezeléséhez válassza a Riasztás kezelése lehetőséget a riasztási oldal összegzési részletek szakaszában. Egyetlen riasztás esetében íme egy példa a Riasztások kezelése panelre.

A Riasztás kezelése panelen megtekintheti vagy megadhatja a következőket:

• A riasztás állapota (Új, Megoldva, Folyamatban).
• A riasztáshoz rendelt felhasználói fiók.
• A riasztás besorolása:
  • Nincs beállítva (alapértelmezett).
  • Valódi pozitív , egy fenyegetéstípussal. Ezt a besorolást olyan riasztásokhoz használja, amelyek pontosan jelzik a valós fenyegetést. Ha ezt a fenyegetéstípust adja meg, a biztonsági csapat fenyegetési mintákat lát, és meg tudja védeni a szervezetét tőlük.
  • Tájékoztató, elvárt tevékenység egy tevékenységtípussal. Ez a lehetőség olyan riasztásokhoz használható, amelyek technikailag pontosak, de normál viselkedést vagy szimulált fenyegetési tevékenységet jelentenek. Ezeket a riasztásokat általában figyelmen kívül szeretné hagyni, de a jövőben hasonló tevékenységekre számít, amikor a tevékenységeket tényleges támadók vagy kártevők aktiválják. Az ebben a kategóriában található beállításokkal besorolhatja a biztonsági tesztekre, a vörös csapattevékenységre és a megbízható alkalmazások és felhasználók által várt szokatlan viselkedésre vonatkozó riasztásokat.
  • Vakriasztások olyan riasztástípusok esetén, amelyek akkor is létre lettek hozva, ha nincs rosszindulatú tevékenység vagy hamis riasztás. Az ebben a kategóriában található beállításokkal a tévesen normál eseményként vagy tevékenységként azonosított riasztásokat rosszindulatúként vagy gyanúsként sorolhatja be. A "Tájékoztató, elvárt tevékenység" riasztásaival ellentétben, amelyek valós fenyegetések észlelése esetén is hasznosak lehetnek, általában nem szeretné újra látni ezeket a riasztásokat. A riasztások téves pozitívként való besorolása segít Microsoft Defender XDR az észlelés minőségének javításában.
• Megjegyzés a riasztáshoz.

Megjegyzés:

• 2022 augusztusában a korábban támogatott riasztásmeghatározó értékek (Apt és SecurityPersonnel) elavultak voltak, és már nem érhetők el az API-n keresztül.

• A riasztások kezelésének egyik módja címkék használatával. A Office 365 Microsoft Defender címkézési képessége jelenleg előzetes verzióban érhető el, és fokozatosan jelenik meg.

A módosított címkenevek jelenleg csak a frissítés után létrehozott riasztásokra lesznek alkalmazva. A módosítás előtt létrehozott riasztások nem tükrözik a frissített címkenevet.

Ha egy adott riasztáshoz hasonló riasztáskészletet szeretne kezelni, válassza a Hasonló riasztások megtekintése lehetőséget a riasztási oldal összegzési részleteinek szakaszában található INSIGHT mezőben.

A Riasztások kezelése panelen az összes kapcsolódó riasztást egyszerre sorolhatja be. Íme egy példa.

Ha a korábbiakban már besoroltak hasonló riasztásokat, időt takaríthat meg, ha Microsoft Defender XDR javaslatokat használva megtudhatja, hogyan oldották meg a többi riasztást. Az összefoglalás részletei szakaszban válassza a Javaslatok lehetőséget.

A Javaslatok lap a következő lépésekkel kapcsolatos műveleteket és tanácsokat nyújt a vizsgálathoz, a szervizeléshez és a megelőzéshez. Íme egy példa.

Beépített riasztáshangolási szabályok

Megjegyzés:

Ez a funkció jelenleg előzetes verzióban érhető el, nem érhető el minden szervezetben, és változhat.

Microsoft Defender XDR beépített riasztás-finomhangolási szabályokat tartalmaz, amelyek segítenek csökkenteni a gyakori jóindulatú tevékenységekből származó jelentési zajt. Ezek a beépített szabályok anélkül tiltják le a riasztásokat, hogy befolyásolnák az egyéb funkciókat, például az AIR-vizsgálatokat és az e-mail-értesítéseket. Ha az AIR-vizsgálat rosszindulatú vagy gyanús tevékenységet észlel, az új riasztás újraaktiválódik.

Ha meg szeretné tekinteni a beépített riasztáshangolási szabályokat a Microsoft Defender portálon, lépjen aRendszerbeállítások>>Microsoft Defender XDR>Szabályzatok szakasz Riasztáshangolás szakaszára>, vagy közvetlenül a Riasztás hangolása lapra a címenhttps://security.microsoft.com/securitysettings/defender/alert_suppression.

Mindenképpen tekintse át ezeket a szabályokat, hogy megértse, hogyan befolyásolhatják, hogy mely riasztások jelenjenek meg a Microsoft Defender portálon.

Riasztás hangolása

Biztonsági műveleti központ (SOC) elemzőjeként az egyik legfontosabb probléma a naponta aktivált riasztások számának osztályozása. Bár csak a magas súlyosságú és a magas prioritású riasztásokra szeretne összpontosítani, az elemzőknek az alacsonyabb prioritású riasztások osztályozására és megoldására is szükség van, ami általában manuális folyamat. A riasztások finomhangolása (korábban riasztások mellőzése) lehetővé teszi a riasztások automatikus elrejtését vagy feloldását a várt szervezeti viselkedés és szabályfeltételek teljesülése esetén. Ez leegyszerűsíti a riasztási várólistát, és időt takarít meg az osztályozáshoz.

A riasztások finomhangolási szabályai olyan bizonyítékokon alapuló feltételeket támogatnak, mint a fájlok, folyamatok, ütemezett feladatok és más, riasztásokat aktiváló bizonyítékok. A riasztás finomhangolási szabályának létrehozása után alkalmazza a kiválasztott riasztásra vagy bármely olyan riasztástípusra, amely megfelel a meghatározott feltételeknek a riasztás finomhangolásához.

Microsoft Defender XDR beépített riasztás-finomhangolási szabályokat tartalmaz (jelenleg előzetes verzióban), amelyek segítenek csökkenteni a gyakori jóindulatú tevékenységekből származó jelentési zajt. Ezek a beépített szabályok anélkül tiltják le a riasztásokat, hogy befolyásolnák az egyéb funkciókat, például az AIR-vizsgálatokat és az e-mail-értesítéseket. Ha az AIR-vizsgálat rosszindulatú vagy gyanús tevékenységet észlel, az új riasztás újraaktiválódik.

Saját egyéni riasztás-finomhangolási szabályokat is létrehozhat az alábbi műveletek végrehajtásához, ha adott feltételek teljesülnek:

• Riasztás elrejtése: Letiltja a riasztást, és megakadályozza az incidensek létrehozását. A rejtett riasztások az AlertInfo és az AlertEvidence táblákban maradnak. Ez a művelet csak a Végponthoz készült Defender-riasztásokra vonatkozik.
• Riasztás megoldása: Automatikusan feloldja a riasztást és a kapcsolódó incidenseket. Az egyező riasztások és a hozzájuk kapcsolódó incidensek feloldott állapottal aktiválódnak.
• Beállítás viselkedésként: Az egyező jeleket viselkedéssé alakítja. Nem jelennek meg a riasztási üzenetsorban, és nem aktiválnak incidenseket. Az adatok a BehaviorInfo és a BehaviorEntities táblában maradnak a vadászathoz. Ez a művelet nem támogatott a Felhőhöz készült Defender és Microsoft Defender Office 365 riasztások esetében.

Megjegyzés:

A riasztás finomhangolása általánosan elérhető a Végponthoz készült Defenderhez. Előzetes verzióban más Microsoft Defender XDR szolgáltatásokra is kiterjed, beleértve a Defender for Office 365, a Defender for Identity, a Defender for Cloud Apps és a Microsoft Entra ID Protection szolgáltatást.

Microsoft Defender XDR beépített riasztás-finomhangolási szabályokat is tartalmaz (jelenleg előzetes verzióban), amelyek letiltják a gyakori jóindulatú tevékenységek riasztásait anélkül, hogy ez hatással lenne az automatizált vizsgálatra és válaszra (AIR) vonatkozó vizsgálatokra és e-mail-értesítésekre.

Figyelem!

A riasztások finomhangolását körültekintően használja olyan helyzetekben, ahol ismert, belső üzleti alkalmazások vagy biztonsági tesztek aktiválják a várt tevékenységet.

Szabályfeltételek létrehozása a riasztások hangolásához

Hozzon létre riasztás-finomhangolási szabályokat a Microsoft Defender XDR Beállítások területéről vagy egy riasztás részleteinek oldaláról. A folytatáshoz válassza az alábbi fülek egyikét.

Beállítások lap

1. A Microsoft Defender portálon válassza a Beállítások > Microsoft Defender XDR > Riasztás finomhangolása lehetőséget.

   

2. Új riasztás hangolásához válassza az Új szabály hozzáadása lehetőséget, vagy válasszon ki egy meglévő szabálysort a módosításokhoz. A szabály címének kiválasztásakor megnyílik a szabály részleteit tartalmazó lap, ahol megtekintheti a társított riasztások listáját, szerkesztheti a feltételeket, vagy be- és kikapcsolhatja a szabályt.

3. A Riasztás hangolásapanelEn, a Szolgáltatásforrások kiválasztása területen válassza ki azokat a szolgáltatásforrásokat, ahol alkalmazni szeretné a szabályt. A listában csak azok a szolgáltatások jelennek meg, amelyekhez rendelkezik engedélyekkel. Például:

   

4. A Feltételek területen adjon hozzá egy feltételt a riasztás eseményindítóihoz. Ha például meg szeretné akadályozni, hogy egy riasztás aktiválódjon egy adott fájl létrehozásakor, adjon meg egy feltételt a File:Custom eseményindítóhoz, és adja meg a fájl részleteit:

   

   • A felsorolt eseményindítók a kiválasztott szolgáltatásforrásoktól függően eltérőek. Az eseményindítók a biztonság sérülésére utaló jelek, például fájlok, folyamatok, ütemezett feladatok és egyéb olyan bizonyítéktípusok, amelyek riasztást válthatnak ki, beleértve a Kártevőirtó vizsgálati felület (AMSI) szkripteket, a Windows Management Instrumentation (WMI) eseményeket vagy az ütemezett feladatokat.

   • Több szabályfeltétel beállításához válassza a Szűrő hozzáadása , valamint az AND, VAGY és csoportosítási beállítások lehetőséget a riasztást aktiváló több bizonyítéktípus közötti kapcsolatok meghatározásához. A további bizonyítéktulajdonságok automatikusan új alcsoportként lesznek kitöltve, ahol megadhatja a feltételértékeket. A feltételértékek nem különböztetik meg a kis- és nagybetűket, és egyes tulajdonságok támogatják a helyettesítő karaktereket.

5. A Riasztás hangolása panel Művelet területén válassza ki a szabály által végrehajtandó megfelelő műveletet. Válassza a Riasztás elrejtése, a Riasztás feloldása vagy a Beállítás viselkedésként lehetőséget.

6. Adjon meg egy kifejező nevet a riasztásnak és egy megjegyzést a riasztás leírásához, majd válassza a Mentés lehetőséget.

Riasztások lap

1. A Microsoft Defender portálon lépjen a Riasztások lapra vagy egy riasztás részleteit tartalmazó lapra. Ha a Riasztások lapon van, először válassza ki a hangolni kívánt riasztást, majd válassza a Riasztás hangolása lehetőséget. A képernyőfelbontástól függően előfordulhat, hogy a három pontot (...) kell választania a Riasztás hangolása beállítás megjelenítéséhez. Például:

   

   Ekkor megnyílik a Riasztás hangolása panel, ahol feltételeket határozhat meg a riasztáshoz. Például:

   

2. A Riasztástípusok területen válassza ki, hogy a riasztás finomhangolási szabályát csak a kiválasztott típusú riasztásokra vagy az ugyanazon feltételeken alapuló riasztástípusokra alkalmazza. Ha a Bármely riasztástípus bizonyos feltételek alapján lehetőséget választja, akkor válassza ki azokat a szolgáltatásforrásokat is, ahol alkalmazni szeretné a szabályt. A listában csak azok a szolgáltatások jelennek meg, amelyekhez rendelkezik engedélyekkel. Például:

   

3. A Feltételek területen adjon hozzá egy feltételt a riasztás eseményindítóihoz. Ha például meg szeretné akadályozni, hogy egy riasztás aktiválódjon egy adott fájl létrehozásakor, adjon meg egy feltételt a File:Custom eseményindítóhoz, és adja meg a fájl részleteit:

   

   • A felsorolt eseményindítók a kiválasztott szolgáltatásforrásoktól függően eltérőek. Az eseményindítók a biztonság sérülésére utaló jelek, például fájlok, folyamatok, ütemezett feladatok és egyéb olyan bizonyítéktípusok, amelyek riasztást válthatnak ki, beleértve a Kártevőirtó vizsgálati felület (AMSI) szkripteket, a Windows Management Instrumentation (WMI) eseményeket vagy az ütemezett feladatokat.

   • Több szabályfeltétel beállításához válassza a Szűrő hozzáadása , valamint az AND, VAGY és csoportosítási beállítások lehetőséget a riasztást aktiváló több bizonyítéktípus közötti kapcsolatok meghatározásához. A további bizonyítéktulajdonságok automatikusan új alcsoportként lesznek kitöltve, ahol megadhatja a feltételértékeket. A feltételértékek nem különböztetik meg a kis- és nagybetűket, és egyes tulajdonságok támogatják a helyettesítő karaktereket.

4. A Riasztás hangolása panel Művelet területén válassza ki a szabály által végrehajtandó megfelelő műveletet. Válassza a Riasztás elrejtése, a Riasztás feloldása vagy a Beállítás viselkedésként lehetőséget.

5. Adjon meg egy kifejező nevet a riasztásnak, és egy megjegyzést a riasztás leírásához.

6. Válassza a Mentés lehetőséget

Megjegyzés:

A riasztás címe (Név) a riasztás típusán (IoaDefinitionId) alapul, amely a riasztás címét határozza meg. Két azonos riasztástípusú riasztás másik riasztási címre válthat. A Riasztás elrejtése funkció csak a Végponthoz készült Defender-riasztásokban érhető el.

Miután létrehozta a riasztás finomhangolási szabályát egy riasztás részleteit tartalmazó lapról, a megjelenő Sikeres szabálylétrehozás lapon vegye fel a riasztással kapcsolatos IOC-ket mutatóként egy engedélyezési listára , hogy a jövőben ne legyenek letiltva. Alapértelmezés szerint a riasztás finomhangolási szabályának részeként konfigurált IOK-k vannak kiválasztva. Például:

1. Adjon hozzá egy fájlt a Bizonyítékok kiválasztása (IOC) listához az engedélyezéshez . Alapértelmezés szerint a riasztást kiváltó fájl már ki van jelölve.
2. Adjon meg egy hatókört a Select scope (Hatókör kiválasztása) beállításhoz, amely az értékre vonatkozik . Alapértelmezés szerint a riasztásra vonatkozó hatókör van kiválasztva.
3. Válassza a Mentés lehetőséget a fájl engedélyezési listához való hozzáadásához és letiltásának megakadályozásához.

Riasztás megoldása

Ha végzett egy riasztás elemzésével, és az megoldható, lépjen a Riasztás kezelése panelre a riasztáshoz vagy hasonló riasztásokhoz, jelölje meg az állapotot Megoldottként , majd sorolja be valódi pozitívként egy fenyegetéstípussal, egy tájékoztató tevékenységgel, a várt tevékenységgel és egy tevékenységtípussal vagy egy Hamis pozitív értékkel.

A riasztások osztályozása segít Microsoft Defender XDR az észlelési minőség javításában.

Riasztások osztályozása a Power Automate használatával

A modern biztonsági üzemeltetési (SecOps) csapatoknak automatizálásra van szükségük a hatékony működéshez. A veszélyforrás-keresésre és a valós fenyegetések kivizsgálására a SecOps-csapatok a Power Automate-et használják a riasztások listájának osztályozására és a nem fenyegetést jelentők kiküszöbölésére.

Riasztások feloldásának feltételei

• A felhasználó házon kívül üzenete be van kapcsolva
• A felhasználó nincs magas kockázatúként megjelölve

Ha mindkettő igaz, a SecOps jogos utazásként jelöli meg a riasztást, és feloldja azt. A riasztás feloldása után a rendszer értesítést küld a Microsoft Teamsben.

A Power Automate csatlakoztatása a Microsoft Defender for Cloud Apps

Az automatizálás létrehozásához szüksége lesz egy API-jogkivonatra, mielőtt csatlakoztathatja a Power Automate-et Microsoft Defender for Cloud Apps.

1. Nyissa meg Microsoft Defender, válassza a Beállítások>Cloud Apps>API-jogkivonat lehetőséget, majd az API-jogkivonatok lapon válassza a Jogkivonat hozzáadása lehetőséget.

2. Adja meg a jogkivonat nevét, majd válassza a Létrehozás lehetőséget. Mentse a jogkivonatot, mert később szüksége lesz rá.

Automatizált folyamat létrehozása

Ebből a rövid videóból megtudhatja, hogyan működik hatékonyan az automatizálás egy zökkenőmentes munkafolyamat létrehozásához, és hogyan csatlakoztathatja a Power Automate-et Defender for Cloud Apps.

Riasztások osztályozása dinamikus fenyegetésészlelési ügynök használatával

Microsoft Security Copilot a Microsoft Defender tartalmazza a dinamikus fenyegetésészlelési ügynököt, amely egy mindig bekapcsolva lévő, adaptív háttérszolgáltatás, amely felfedi a rejtett fenyegetéseket a Defender és Microsoft Sentinel környezetekben. A mesterséges intelligencia segítségével azonosítja a hiányosságokat, és feltárja a hamis negatívumokat a riasztások, események, anomáliák és a fenyegetésfelderítés korrelációja révén. Amikor az ügynök azonosít egy rést, dinamikus riasztást hoz létre a riasztás részleteiben, beleértve a természetes nyelvi magyarázatokat, a leképezett MITRE ATT&CK-technikákat és a testreszabott javítási lépéseket.

További információ: Microsoft Security Copilot Dinamikus fenyegetésészlelési ügynök.

Következő lépések

A folyamatban lévő incidensekhez szükség szerint folytassa a vizsgálatot.

Lásd még

• Incidensek áttekintése
• Incidensek kezelése
• Incidensek kivizsgálása
• Adatveszteség-megelőzési riasztások vizsgálata a Defenderben
• Microsoft Entra ID Protection

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.