Riasztások vizsgálata a Microsoft Defender XDR-ben
Cikk
Érintett szolgáltatás:
Microsoft Defender XDR
Megjegyzés
Ez a cikk a Microsoft Defender XDR biztonsági riasztásokat ismerteti. A tevékenységriasztások használatával azonban e-mail-értesítéseket küldhet saját magának vagy más rendszergazdáknak, ha a felhasználók bizonyos tevékenységeket végeznek a Microsoft 365-ben. További információ: Tevékenységriasztások létrehozása – Microsoft Purview | Microsoft Docs.
A riasztások képezik az összes incidens alapját, és jelzik a kártékony vagy gyanús események előfordulását a környezetben. A riasztások általában egy szélesebb körű támadás részét képezik, és egy incidenssel kapcsolatos nyomokat adnak meg.
A Microsoft Defender XDR-ben a kapcsolódó riasztások összesítve incidensekké alakulnak. Az incidensek mindig a támadás tágabb kontextusát biztosítják, a riasztások elemzése azonban hasznos lehet, ha mélyebb elemzésre van szükség.
A Riasztások üzenetsor a riasztások aktuális készletét jeleníti meg. A riasztások üzenetsorát az Incidensek & riasztások riasztásaiból > érheti el a Microsoft Defender portál gyors indításakor.
Itt jelennek meg a különböző Microsoft biztonsági megoldások, például a Végponthoz készült Microsoft Defender, az Office 365-höz készült Defender, a Microsoft Sentinel, a Defender for Cloud, a Defender for Identity, a Defender for Cloud Apps, a Defender XDR, az App Governance, a Microsoft Entra ID Protection és a Microsoft Data Loss Prevention riasztásai.
Alapértelmezés szerint a Riasztások üzenetsor a Microsoft Defender portálon az elmúlt hét nap új és folyamatban lévő riasztását jeleníti meg. A legutóbbi riasztás a lista tetején található, így ön láthatja először.
Az alapértelmezett riasztási várólistán a Szűrő elemet választva megtekintheti a Szűrő panelt, amelyből megadhatja a riasztások egy részhalmazát. Íme egy példa.
A riasztásokat az alábbi feltételek szerint szűrheti:
A riasztások tartalmazhatnak rendszercímkéket és/vagy egyéni címkéket bizonyos színháttérrel. Az egyéni címkék a fehér hátteret, míg a rendszercímkék általában piros vagy fekete háttérszínt használnak. A rendszercímkék az alábbiakat azonosítják egy incidensben:
Támadás típusa, például zsarolóprogram vagy hitelesítő adatok adathalászata
Automatikus műveletek, például automatikus vizsgálat és reagálás és automatikus támadáskimaradás
Incidenst kezelő Defender-szakértők
Az incidensben érintett kritikus fontosságú eszközök
Tipp.
A Microsoft előre meghatározott besorolásokon alapuló biztonsági kitettség-kezelése automatikusan kritikus objektumként címkézi meg az eszközöket, az identitásokat és a felhőbeli erőforrásokat. Ez a beépített képesség biztosítja a szervezet értékes és legfontosabb eszközeinek védelmét. Emellett segít a biztonsági üzemeltetési csapatoknak a vizsgálat és a szervizelés rangsorolásában. Tudjon meg többet a kritikus eszközkezelésről.
Az Office 365-höz készült Defender riasztásaihoz szükséges szerepkörök
Az Office 365-höz készült Microsoft Defender riasztásainak eléréséhez az alábbi szerepkörök bármelyikével kell rendelkeznie:
Microsoft Entra globális szerepkörök esetén:
Globális rendszergazda
Biztonsági rendszergazda
Biztonsági operátor
Globális olvasó
Biztonsági olvasó
Office 365 Biztonsági & megfelelőségi szerepkörcsoportok
A Microsoft azt javasolja, hogy a nagyobb biztonság érdekében kevesebb engedélyekkel rendelkező szerepköröket használjunk. A sok engedéllyel rendelkező globális rendszergazdai szerepkört csak vészhelyzetekben szabad használni, ha más szerepkör nem fér el.
Riasztás elemzése
A riasztás főoldalának megtekintéséhez válassza ki a riasztás nevét. Íme egy példa.
A Riasztás kezelése panelen a Fő riasztási lap megnyitása műveletet is kiválaszthatja.
A riasztási oldal az alábbi szakaszokból áll:
Riasztási történet, amely a riasztáshoz kapcsolódó események és riasztások láncolata időrendben
Összegzés részletei
A riasztási oldalon az entitások melletti három pontra (...) kattintva megtekintheti az elérhető műveleteket, például összekapcsolhatja a riasztást egy másik incidenssel. Az elérhető műveletek listája a riasztás típusától függ.
Riasztási források
A Microsoft Defender XDR-riasztások olyan megoldásokból származnak, mint a Végponthoz készült Microsoft Defender, az Office 365-höz készült Defender, a Defender for Identity, a Defender for Cloud Apps, a Microsoft Defender for Cloud Apps alkalmazásszabályozási bővítménye, a Microsoft Entra ID Protection és a Microsoft Data Loss Prevention. Előfordulhat, hogy a riasztásban előtaggal ellátott karaktereket tartalmazó riasztások jelennek meg. Az alábbi táblázat útmutatást nyújt a riasztási források leképezésének megértéséhez a riasztás előtag karaktere alapján.
Megjegyzés
Az előtagolt GUID azonosítók csak olyan egyesített szolgáltatásokra vonatkoznak, mint az egyesített riasztások várólistája, az egyesített riasztások oldala, az egyesített vizsgálat és az egyesített incidens.
Az előtagú karakter nem módosítja a riasztás GUID azonosítóját. A GUID egyetlen módosítása az előtagú összetevő.
Riasztás forrása
Riasztásazonosító előre írt karakterekkel
Microsoft Defender XDR
ra{GUID} ta{GUID} a ThreatExperts riasztásaihoz ea{GUID} egyéni észlelésekből származó riasztásokhoz
A listából válassza a Riasztási szolgáltatás beállításai lehetőséget, majd konfigurálja a Microsoft Entra ID Protection riasztási szolgáltatást.
Alapértelmezés szerint csak a biztonsági műveleti központ legrelevánsabb riasztásai vannak engedélyezve. Ha szeretné lekérni az összes Microsoft Entra IP-kockázatészlelést, azt a Riasztási szolgáltatás beállításai szakaszban módosíthatja.
A Riasztási szolgáltatás beállításai közvetlenül a Microsoft Defender portál Incidensek oldaláról is elérhetők.
Fontos
Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
Az érintett eszközök elemzése
A Végrehajtott műveletek szakasz felsorolja az érintett eszközöket, például a postaládákat, az eszközöket és a riasztás által érintett felhasználókat.
A MűveletközpontBan való megtekintés lehetőség kiválasztásával a MűveletközpontElőzmények lapját is megtekintheti a Microsoft Defender portálon.
Riasztási szerepkör nyomon követése a riasztási történetben
A riasztási történet folyamatfa nézetben jeleníti meg a riasztáshoz kapcsolódó összes objektumot vagy entitást. A címben szereplő riasztás lesz a fókuszban, amikor először a kiválasztott riasztás oldalára kerül. A riasztási történetben lévő objektumok kibonthatók és kattinthatók. Ezek további információkat nyújtanak, és felgyorsítják a választ, mivel lehetővé teszik, hogy közvetlenül a riasztási oldal kontextusában hajtson végre lépéseket.
Megjegyzés
A riasztási előzmények szakasz több riasztást is tartalmazhat, és a kiválasztott riasztás előtt vagy után további riasztások is megjelennek ugyanahhoz a végrehajtási fához kapcsolódóan.
További riasztási információk megtekintése a részletek lapon
A részletek lapon a kiválasztott riasztás részletei láthatók, a hozzá kapcsolódó részletekkel és műveletekkel együtt. Ha kiválasztja a riasztási történet érintett eszközeit vagy entitásait, a részletek lapja megváltozik, hogy környezeti információkat és műveleteket biztosítson a kiválasztott objektumhoz.
Miután kiválasztott egy érdekes entitást, a részletek lapja megváltozik, és megjeleníti a kiválasztott entitástípussal kapcsolatos információkat, az előzményadatokat, ha az elérhető, valamint a riasztási oldalról közvetlenül az entitásra vonatkozó műveletekre vonatkozó lehetőségeket.
Értesítések kezelése
A riasztás kezeléséhez válassza a Riasztás kezelése lehetőséget a riasztási oldal összegzési részletek szakaszában. Egyetlen riasztás esetében íme egy példa a Riasztások kezelése panelre.
A Riasztás kezelése panelen megtekintheti vagy megadhatja a következőket:
A riasztás állapota (Új, Megoldva, Folyamatban).
A riasztáshoz rendelt felhasználói fiók.
A riasztás besorolása:
Nincs beállítva (alapértelmezett).
Valódi pozitív , egy fenyegetéstípussal. Ezt a besorolást olyan riasztásokhoz használja, amelyek pontosan jelzik a valós fenyegetést. Ha ezt a fenyegetéstípust adja meg, a biztonsági csapat fenyegetési mintákat lát, és meg tudja védeni a szervezetét tőlük.
Tájékoztató, elvárt tevékenység egy tevékenységtípussal. Ez a lehetőség olyan riasztásokhoz használható, amelyek technikailag pontosak, de normál viselkedést vagy szimulált fenyegetési tevékenységet jelentenek. Ezeket a riasztásokat általában figyelmen kívül szeretné hagyni, de a jövőben hasonló tevékenységekre számít, amikor a tevékenységeket tényleges támadók vagy kártevők aktiválják. Az ebben a kategóriában található beállításokkal besorolhatja a biztonsági tesztekre, a vörös csapattevékenységre és a megbízható alkalmazások és felhasználók által várt szokatlan viselkedésre vonatkozó riasztásokat.
Vakriasztások olyan riasztástípusok esetén, amelyek akkor is létre lettek hozva, ha nincs rosszindulatú tevékenység vagy hamis riasztás. Az ebben a kategóriában található beállításokkal a tévesen normál eseményként vagy tevékenységként azonosított riasztásokat rosszindulatúként vagy gyanúsként sorolhatja be. A "Tájékoztató, elvárt tevékenység" riasztásaival ellentétben, amelyek valós fenyegetések észlelése esetén is hasznosak lehetnek, általában nem szeretné újra látni ezeket a riasztásokat. A riasztások téves pozitívként való besorolása segít a Microsoft Defender XDR-nek az észlelési minőség javításában.
Megjegyzés a riasztáshoz.
Megjegyzés
2022. augusztus 29-e körül a korábban támogatott riasztásmeghatározó értékek (Apt és SecurityPersonnel) elavultak lesznek, és már nem érhetők el az API-n keresztül.
Megjegyzés
A riasztások kezelésének egyik módja címkék használatával. Az Office 365-höz készült Microsoft Defender címkézési képessége fokozatosan jelenik meg, és jelenleg előzetes verzióban érhető el.
A módosított címkenevek jelenleg csak a frissítés után létrehozott riasztásokra lesznek alkalmazva. A módosítás előtt létrehozott riasztások nem tükrözik a frissített címkenevet.
Ha egy adott riasztáshoz hasonló riasztáskészletet szeretne kezelni, válassza a Hasonló riasztások megtekintése lehetőséget a riasztási oldal összegzési részleteinek szakaszában található INSIGHT mezőben.
A Riasztások kezelése panelen az összes kapcsolódó riasztást egyszerre sorolhatja be. Íme egy példa.
Ha korábban már besoroltak hasonló riasztásokat, időt takaríthat meg a Microsoft Defender XDR javaslataival, hogy megtudja, hogyan oldották meg a többi riasztást. Az összefoglalás részletei szakaszban válassza a Javaslatok lehetőséget.
A Javaslatok lap a következő lépésekkel kapcsolatos műveleteket és tanácsokat nyújt a vizsgálathoz, a szervizeléshez és a megelőzéshez. Íme egy példa.
Riasztás hangolása
Biztonsági műveleti központ (SOC) elemzőjeként az egyik legfontosabb probléma a naponta aktivált riasztások számának osztályozása. Az elemzők ideje értékes, és csak a magas súlyosságra és a magas prioritású riasztásokra szeretnének összpontosítani. Mindeközben az elemzőknek az alacsonyabb prioritású riasztások osztályozására és megoldására is szükség van, ami általában manuális folyamat.
A riasztások hangolása, más néven a riasztások mellőzése lehetővé teszi a riasztások előzetes hangolását és kezelését. Ez leegyszerűsíti a riasztási üzenetsort, és a riasztások automatikus elrejtésével vagy feloldásával időt takarít meg a riasztások elrejtésével vagy feloldásával, minden alkalommal, amikor egy bizonyos elvárt szervezeti viselkedés történik, és a szabályfeltételek teljesülnek.
A riasztások finomhangolási szabályai olyan bizonyítékokon alapuló feltételeket támogatnak, mint a fájlok, folyamatok, ütemezett feladatok és más, riasztásokat aktiváló bizonyítékok. A riasztás finomhangolási szabályának létrehozása után alkalmazza a kiválasztott riasztásra vagy bármely olyan riasztástípusra, amely megfelel a meghatározott feltételeknek a riasztás finomhangolásához.
Az általános rendelkezésre állású riasztások hangolása csak a Végponthoz készült Defender riasztásait rögzíti. Az előzetes verzióban azonban a riasztások finomhangolása más Microsoft Defender XDR-szolgáltatásokra is kiterjed, beleértve az Office 365-höz készült Defendert, az Identitáshoz készült Defendert, a Defender for Cloud Appset, a Microsoft Entra ID Protectiont (Microsoft Entra IP) és másokat, ha elérhetők az Ön platformján és csomagjában.
Figyelemfelhívás
Javasoljuk, hogy körültekintően alkalmazza a riasztások finomhangolását olyan helyzetekben, amikor az ismert, belső üzleti alkalmazások vagy biztonsági tesztek egy várt tevékenységet váltanak ki, és nem szeretné látni a riasztásokat.
Szabályfeltételek létrehozása a riasztások hangolásához
Hozzon létre riasztáshangolási szabályokat a Microsoft Defender XDR beállítások területén vagy egy riasztás részleteit tartalmazó lapon. A folytatáshoz válassza az alábbi fülek egyikét.
A Microsoft Defender portálon válassza a Beállítások > Microsoft Defender XDR-riasztás > finomhangolása lehetőséget.
Új riasztás hangolásához válassza az Új szabály hozzáadása lehetőséget, vagy válasszon ki egy meglévő szabálysort a módosításokhoz. A szabály címének kiválasztásakor megnyílik a szabály részleteit tartalmazó lap, ahol megtekintheti a társított riasztások listáját, szerkesztheti a feltételeket, vagy be- és kikapcsolhatja a szabályt.
A Riasztás hangolásapanelEn, a Szolgáltatásforrások kiválasztása területen válassza ki azokat a szolgáltatásforrásokat, ahol alkalmazni szeretné a szabályt. A listában csak azok a szolgáltatások jelennek meg, amelyekhez rendelkezik engedélyekkel. Például:
A Feltételek területen adjon hozzá egy feltételt a riasztás eseményindítóihoz. Ha például meg szeretné akadályozni, hogy egy riasztás aktiválódjon egy adott fájl létrehozásakor, adjon meg egy feltételt a File:Custom eseményindítóhoz, és adja meg a fájl részleteit:
A felsorolt eseményindítók a kiválasztott szolgáltatásforrásoktól függően eltérőek. Az eseményindítók a biztonság sérülésére utaló jelek, például fájlok, folyamatok, ütemezett feladatok és egyéb olyan bizonyítéktípusok, amelyek riasztást válthatnak ki, beleértve a Kártevőirtó vizsgálati felület (AMSI) szkripteket, a Windows Management Instrumentation (WMI) eseményeket vagy az ütemezett feladatokat.
Több szabályfeltétel beállításához válassza a Szűrő hozzáadása , valamint az AND, VAGY és csoportosítási beállítások lehetőséget a riasztást aktiváló több bizonyítéktípus közötti kapcsolatok meghatározásához. A további bizonyítéktulajdonságok automatikusan új alcsoportként lesznek kitöltve, ahol megadhatja a feltételértékeket. A feltételértékek nem különböztetik meg a kis- és nagybetűket, és egyes tulajdonságok támogatják a helyettesítő karaktereket.
A Riasztás hangolása panel Művelet területén válassza ki a megfelelő műveletet, amelyet a szabálynak el kell végeznie. Válassza a Riasztás elrejtése vagy a Riasztás feloldása lehetőséget.
Adjon meg egy kifejező nevet a riasztásnak és egy megjegyzést a riasztás leírásához, majd válassza a Mentés lehetőséget.
A Microsoft Defender portálon lépjen a Riasztások lapra vagy egy riasztás részleteit tartalmazó lapra. Ha a Riasztások lapon van, először válassza ki a hangolni kívánt riasztást, majd válassza a Riasztás hangolása lehetőséget. A képernyőfelbontástól függően előfordulhat, hogy a három pontot (...) kell választania a Riasztás hangolása beállítás megjelenítéséhez. Például:
Ekkor megnyílik a Riasztás hangolása panel, ahol feltételeket határozhat meg a riasztáshoz. Például:
Konfigurálja a következő adatokat, majd válassza a Mentés lehetőséget:
A Riasztástípusok területen válassza ki, hogy a riasztás finomhangolási szabályát csak a kiválasztott típusú riasztásokra vagy az ugyanazon feltételeken alapuló riasztástípusokra alkalmazza. Ha a Bármely riasztástípus bizonyos feltételek alapján lehetőséget választja, akkor válassza ki azokat a szolgáltatásforrásokat is, ahol alkalmazni szeretné a szabályt. A listában csak azok a szolgáltatások jelennek meg, amelyekhez rendelkezik engedélyekkel. Például:
A Feltételek területen adjon hozzá egy feltételt a riasztás eseményindítóihoz. Ha például meg szeretné akadályozni, hogy egy riasztás aktiválódjon egy adott fájl létrehozásakor, adjon meg egy feltételt a File:Custom eseményindítóhoz, és adja meg a fájl részleteit:
A felsorolt eseményindítók a kiválasztott szolgáltatásforrásoktól függően eltérőek. Az eseményindítók a biztonság sérülésére utaló jelek, például fájlok, folyamatok, ütemezett feladatok és egyéb olyan bizonyítéktípusok, amelyek riasztást válthatnak ki, beleértve a Kártevőirtó vizsgálati felület (AMSI) szkripteket, a Windows Management Instrumentation (WMI) eseményeket vagy az ütemezett feladatokat.
Több szabályfeltétel beállításához válassza a Szűrő hozzáadása , valamint az AND, VAGY és csoportosítási beállítások lehetőséget a riasztást aktiváló több bizonyítéktípus közötti kapcsolatok meghatározásához. A további bizonyítéktulajdonságok automatikusan új alcsoportként lesznek kitöltve, ahol megadhatja a feltételértékeket. A feltételértékek nem különböztetik meg a kis- és nagybetűket, és egyes tulajdonságok támogatják a helyettesítő karaktereket.
A Riasztás hangolása panel Művelet területén válassza ki a megfelelő műveletet, amelyet a szabálynak el kell végeznie. Válassza a Riasztás elrejtése vagy a Riasztás feloldása lehetőséget.
Adjon meg egy kifejező nevet a riasztásnak, és egy megjegyzést a riasztás leírásához.
Megjegyzés
A riasztás címe (Név) a riasztás típusán (IoaDefinitionId) alapul, amely a riasztás címét határozza meg. Két azonos riasztástípusú riasztás másik riasztási címre válthat.
Riasztás megoldása
Ha végzett egy riasztás elemzésével, és az megoldható, lépjen a Riasztás kezelése panelre a riasztáshoz vagy hasonló riasztásokhoz, jelölje meg az állapotot Megoldottként , majd sorolja be valódi pozitívként egy fenyegetéstípussal, egy tájékoztató tevékenységgel, a várt tevékenységgel és egy tevékenységtípussal vagy egy Hamis pozitív értékkel.
A riasztások besorolása segít a Microsoft Defender XDR-nek az észlelési minőség javításában.
Riasztások osztályozása a Power Automate használatával
A modern biztonsági üzemeltetési (SecOps) csapatoknak automatizálásra van szükségük a hatékony működéshez. A veszélyforrás-keresésre és a valós fenyegetések kivizsgálására a SecOps-csapatok a Power Automate-et használják a riasztások listájának osztályozására és a nem fenyegetést jelentők kiküszöbölésére.
Riasztások feloldásának feltételei
A felhasználó házon kívül üzenete be van kapcsolva
A felhasználó nincs magas kockázatúként megjelölve
Ha mindkettő igaz, a SecOps jogos utazásként jelöli meg a riasztást, és feloldja azt. A riasztás feloldása után a rendszer értesítést küld a Microsoft Teamsben.
A Power Automate csatlakoztatása a Microsoft Defender for Cloud Appshez
Az automatizálás létrehozásához szüksége lesz egy API-jogkivonatra, mielőtt csatlakoztatni tudja a Power Automate-et a Microsoft Defender for Cloud Appshez.
Nyissa meg a Microsoft Defendert , és válassza a Beállítások>Cloud Apps>API-jogkivonat lehetőséget, majd válassza a Jogkivonat hozzáadása lehetőséget az API-jogkivonatok lapon.
Adja meg a jogkivonat nevét, majd válassza a Létrehozás lehetőséget. Mentse a jogkivonatot, mert később szüksége lesz rá.
Automatizált folyamat létrehozása
Ebből a rövid videóból megtudhatja, hogyan működik hatékonyan az automatizálás egy zökkenőmentes munkafolyamat létrehozásához, és hogyan csatlakoztathatja a Power Automate-et a Defender for Cloud Appshez.
Következő lépések
A folyamatban lévő incidensekhez szükség szerint folytassa a vizsgálatot.