Automatizált vizsgálat és reagálás a Microsoft Defender XDR
Cikk
Érintett szolgáltatás:
Microsoft Defender XDR
Ha szervezete Microsoft Defender XDR használ, a biztonsági üzemeltetési csapat riasztást kap a Microsoft Defender portálon, ha rosszindulatú vagy gyanús tevékenységet vagy összetevőt észlel. Mivel a fenyegetések látszólag soha nem szűnnek meg, a biztonsági csapatok gyakran szembesülnek azzal a kihívással, hogy kezelni tudják a nagy mennyiségű riasztást. Szerencsére Microsoft Defender XDR automatizált vizsgálati és reagálási (AIR) képességeket is tartalmaz, amelyekkel a biztonsági üzemeltetési csapat hatékonyabban és hatékonyabban kezelheti a fenyegetéseket.
Ez a cikk áttekintést nyújt az AIR-ről, és hivatkozásokat tartalmaz a következő lépésekre és további forrásokra.
Az automatizált vizsgálat és az önjavítás működése
A biztonsági riasztások aktivált állapotában a biztonsági üzemeltetési csapatnak kell megvizsgálnia ezeket a riasztásokat, és lépéseket tennie a szervezet védelmére. A riasztások rangsorolása és kivizsgálása nagyon időigényes lehet, különösen akkor, ha egy vizsgálat során folyamatosan érkeznek új riasztások. A biztonsági üzemeltetési csapatok számára túlterheltnek érezheti magát a figyelendő és az ellenük védelmet jelentő fenyegetések mennyisége. Az automatikus vizsgálati és reagálási képességek, az önjavítással, a Microsoft Defender XDR segíthetnek.
Az alábbi videóból megtudhatja, hogyan működik az önjavítás:
Az Microsoft Defender XDR automatikus vizsgálat és reagálás önjavító képességekkel az összes eszközén, e-mail-& tartalmaiban és identitásaiban működik.
Képzelje el, hogy egy virtuális elemző van az 1. vagy a 2. rétegbeli biztonsági üzemeltetési csapatban. A virtuális elemző azokat az ideális lépéseket utánozza, amelyeket a biztonsági műveletek a fenyegetések kivizsgálása és elhárítása érdekében hajtanak végre. A virtuális elemző 24x7-gyel dolgozhat korlátlan kapacitással, és jelentős mennyiségű vizsgálatot és fenyegetés-szervizelést végezhet. Egy ilyen virtuális elemző jelentősen csökkentheti a válaszadáshoz szükséges időt, ezzel felszabadítva a biztonsági üzemeltetési csapatot más fontos fenyegetések vagy stratégiai projektek esetén. Ha ez a forgatókönyv sci-finek hangzik, nem az! Egy ilyen virtuális elemző a Microsoft Defender XDR csomag része, és a neve automatizált vizsgálat és válasz.
Az automatizált vizsgálati és reagálási képességek lehetővé teszik, hogy a biztonsági üzemeltetési csapat jelentősen növelje a szervezet kapacitását a biztonsági riasztások és incidensek kezelésére. Az automatizált vizsgálat és reagálás révén csökkentheti a vizsgálati és reagálási tevékenységek kezelésének költségeit, és a lehető legtöbbet hozhatja ki a fenyegetésvédelmi csomagból. Az automatizált vizsgálati és válaszképességek az alábbiakkal segítik a biztonsági üzemeltetési csapatát:
Annak meghatározása, hogy egy fenyegetés beavatkozást igényel-e.
Végezze el (vagy javasolja) a szükséges szervizelési műveleteket.
Annak meghatározása, hogy történjen-e és milyen egyéb vizsgálat.
A folyamat megismétlése szükség szerint más riasztásokhoz.
Az automatizált vizsgálati folyamat
A riasztások létrehoznak egy incidenst, amely elindíthat egy automatizált vizsgálatot. Az automatizált vizsgálat minden egyes bizonyítékra vonatkozóan ítéletet hoz. Az ítéletek a következőek lehetnek:
Rosszindulatú
Gyanús
Nem találhatók fenyegetések
A rendszer azonosítja a rosszindulatú vagy gyanús entitások szervizelési műveleteit. A szervizelési műveletek közé tartoznak például a következők:
Amíg egy vizsgálat fut, a rendszer a vizsgálat befejezéséig hozzáadja a vizsgálathoz a többi kapcsolódó riasztást. Ha egy érintett entitást máshol lát, az automatizált vizsgálat kiterjeszti a hatókörét, hogy belefoglalja az adott entitást, és a vizsgálati folyamat megismétli.
A Microsoft Defender XDR minden automatizált vizsgálat korrelálja a jeleket Microsoft Defender for Identity, Végponthoz készült Microsoft Defender és Office 365-höz készült Microsoft Defender, az alábbi táblázatban összefoglalva:
Nem minden riasztás aktivál automatikus vizsgálatot, és nem minden vizsgálat eredményez automatikus javítási műveleteket. Ez attól függ, hogy hogyan van konfigurálva az automatizált vizsgálat és válasz a szervezet számára. Lásd: Automatizált vizsgálati és válaszképességek konfigurálása.
A vizsgálatok listájának megtekintése
A vizsgálatok megtekintéséhez lépjen az Incidensek oldalra. Jelöljön ki egy incidenst, majd válassza a Vizsgálatok lapot. További információ: Automatizált vizsgálat részletei és eredményei.
Automatikus vizsgálat & válaszkártya
Az új automatizált vizsgálat & válaszkártya a Microsoft Defender portálon (https://security.microsoft.com) érhető el. Ez az új kártya az elérhető szervizelési műveletek teljes számát javítja. A kártya áttekintést nyújt az egyes riasztások összes riasztásáról és a szükséges jóváhagyási időről.
Az Automatizált vizsgálat & válaszkártyát használva a biztonsági üzemeltetési csapat gyorsan a Műveletközpontba navigálhat a Jóváhagyás a műveletközpontban hivatkozásra kattintva, majd végrehajthatja a megfelelő műveleteket. A kártya lehetővé teszi, hogy a biztonsági üzemeltetési csapat hatékonyabban kezelje a jóváhagyásra váró műveleteket.
A Microsoft Applied Skills hitelesítő adatainak megszerzéséhez a tanulók bemutatják, hogy a Microsoft Defender XDR használatával képesek észlelni és reagálni a kibertámadásokra. A hitelesítő adatokra pályázóknak tisztában kell lenniük a végpontok elleni támadásokkal kapcsolatos bizonyítékok vizsgálatával és gyűjtésével. A Végponthoz készült Microsoft Defender és a Kusto lekérdezésnyelv (KQL) használatát is tapasztalatokkal kell rendelkezniük.