Megosztás a következőn keresztül:

Riasztások vizsgálata a Microsoft Defender XDR-ben

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

Megjegyzés:

Ez a cikk a Microsoft Defender XDR biztonsági riasztásokat ismerteti. A tevékenységriasztások használatával azonban e-mail-értesítéseket küldhet saját magának vagy más rendszergazdáknak, ha a felhasználók bizonyos tevékenységeket végeznek a Microsoft 365-ben. További információ: Tevékenységriasztások létrehozása – Microsoft Purview | Microsoft Docs.

A riasztások képezik az összes incidens alapját, és jelzik a kártékony vagy gyanús események előfordulását a környezetben. A riasztások általában egy szélesebb körű támadás részét képezik, és egy incidenssel kapcsolatos nyomokat adnak meg.

A Microsoft Defender XDR-ben a kapcsolódó riasztások összesítve incidensekké alakulnak. Az incidensek mindig a támadás tágabb kontextusát biztosítják, a riasztások elemzése azonban hasznos lehet, ha mélyebb elemzésre van szükség.

A Riasztások üzenetsor a riasztások aktuális készletét jeleníti meg. A riasztások üzenetsorát az Incidensek & riasztások riasztásaiból > érheti el a Microsoft Defender portál gyors indításakor.

A Microsoft Defender portál Riasztások szakasza

Itt jelennek meg a különböző Microsoft biztonsági megoldások, például a Végponthoz készült Microsoft Defender, az Office 365-höz készült Defender, a Microsoft Sentinel, a Defender for Cloud, a Defender for Identity, a Defender for Cloud Apps, a Defender XDR, az App Governance, a Microsoft Entra ID Protection és a Microsoft Data Loss Prevention riasztásai.

Alapértelmezés szerint a Riasztások üzenetsor a Microsoft Defender portálon az elmúlt hét nap új és folyamatban lévő riasztását jeleníti meg. A legutóbbi riasztás a lista tetején található, így ön láthatja először.

Az alapértelmezett riasztási várólistán a Szűrő elemet választva megtekintheti a Szűrő panelt, amelyből megadhatja a riasztások egy részhalmazát. Íme egy példa.

A Microsoft Defender portál Szűrők szakasza.

A riasztásokat az alábbi feltételek szerint szűrheti:

  • Súlyosság
  • Állapot
  • Kategóriák
  • Szolgáltatás-/észlelési források
  • Címkék
  • Politika
  • Entitások (az érintett eszközök)
  • Automatizált vizsgálati állapot
  • Riasztási előfizetés azonosítói

Megjegyzés:

A Microsoft Defender XDR ügyfelei mostantól riasztásokkal szűrhetik az incidenseket, ha egy feltört eszköz a vállalati hálózathoz csatlakoztatott operatív technológiai (OT) eszközökkel kommunikál a Microsoft Defender for IoT és a Végponthoz készült Microsoft Defender eszközfelderítési integrációján keresztül. Az incidensek szűréséhez válassza a Bármely lehetőséget a Szolgáltatás/észlelés forrásokban, majd válassza a Microsoft Defender for IoT elemet a Terméknévben, vagy tekintse meg az Incidensek és riasztások vizsgálata a Microsoft Defender for IoT-ben a Defender portálon című cikket. Eszközcsoportokkal is szűrhet helyspecifikus riasztásokra. További információ az IoT-hez készült Defender előfeltételeiről: Ismerkedés a vállalati IoT-monitorozással a Microsoft Defender XDR-ben.

A riasztások tartalmazhatnak rendszercímkéket és/vagy egyéni címkéket bizonyos színháttérrel. Az egyéni címkék a fehér hátteret, míg a rendszercímkék általában piros vagy fekete háttérszínt használnak. A rendszercímkék az alábbiakat azonosítják egy incidensben:

  • Támadás típusa, például zsarolóprogram vagy hitelesítő adatok adathalászata
  • Automatikus műveletek, például automatikus vizsgálat és reagálás és automatikus támadáskimaradás
  • Incidenst kezelő Defender-szakértők
  • Az incidensben érintett kritikus fontosságú eszközök

Tipp

A Microsoft előre meghatározott besorolásokon alapuló biztonsági kitettség-kezelése automatikusan kritikus objektumként címkézi meg az eszközöket, az identitásokat és a felhőbeli erőforrásokat. Ez a beépített képesség biztosítja a szervezet értékes és legfontosabb eszközeinek védelmét. Emellett segít a biztonsági üzemeltetési csapatoknak a vizsgálat és a szervizelés rangsorolásában. Tudjon meg többet a kritikus eszközkezelésről.

Az Office 365-höz készült Defender riasztásaihoz szükséges szerepkörök

Az Office 365-höz készült Microsoft Defender riasztásainak eléréséhez az alábbi szerepkörök bármelyikével kell rendelkeznie:

  • Microsoft Entra globális szerepkörök esetén:

    • Globális rendszergazda
    • Biztonsági rendszergazda
    • Biztonsági operátor
    • Globális olvasó
    • Biztonsági olvasó

  • Office 365 Biztonsági & megfelelőségi szerepkörcsoportok

    • Megfelelőségi rendszergazda
    • Szervezetfelügyelet

  • Egyéni szerepkör

Megjegyzés:

A Microsoft azt javasolja, hogy a nagyobb biztonság érdekében kevesebb engedélyekkel rendelkező szerepköröket használjunk. A sok engedéllyel rendelkező globális rendszergazdai szerepkört csak vészhelyzetekben szabad használni, ha más szerepkör nem fér el.

Riasztás elemzése

A riasztás főoldalának megtekintéséhez válassza ki a riasztás nevét. Íme egy példa.

Képernyőkép egy riasztás részleteiről a Microsoft Defender portálon

A Riasztás kezelése panelen a Fő riasztási lap megnyitása műveletet is kiválaszthatja.

A riasztási oldal az alábbi szakaszokból áll:

  • Riasztási történet, amely a riasztáshoz kapcsolódó események és riasztások láncolata időrendben
  • Összegzés részletei

A riasztási oldalon az entitások melletti három pontra (...) kattintva megtekintheti az elérhető műveleteket, például összekapcsolhatja a riasztást egy másik incidenssel. Az elérhető műveletek listája a riasztás típusától függ.

Riasztási források

A Microsoft Defender XDR-riasztások olyan megoldásokból származnak, mint a Végponthoz készült Microsoft Defender, az Office 365-höz készült Defender, a Defender for Identity, a Defender for Cloud Apps, a Microsoft Defender for Cloud Apps alkalmazásszabályozási bővítménye, a Microsoft Entra ID Protection és a Microsoft Data Loss Prevention. Előfordulhat, hogy a riasztásban előtaggal ellátott karaktereket tartalmazó riasztások jelennek meg. Az alábbi táblázat útmutatást nyújt a riasztási források leképezésének megértéséhez a riasztás előtag karaktere alapján.

Megjegyzés:

  • Az előtagolt GUID azonosítók csak olyan egyesített szolgáltatásokra vonatkoznak, mint az egyesített riasztások várólistája, az egyesített riasztások oldala, az egyesített vizsgálat és az egyesített incidens.
  • Az előtagú karakter nem módosítja a riasztás GUID azonosítóját. A GUID egyetlen módosítása az előtagú összetevő.
Riasztás forrása Riasztásazonosító előre írt karakterekkel
Microsoft Defender XDR ra{GUID}
ta{GUID} a ThreatExperts riasztásaihoz
ea{GUID} egyéni észlelésekből származó riasztásokhoz
Office 365-höz készült Microsoft Defender fa{GUID}
Példa: fa123a456b-c789-1d2e-12f1g33h445h6i
Végponthoz készült Microsoft Defender da{GUID}
ed{GUID} egyéni észlelésekből származó riasztásokhoz
Microsoft Defender for Identity aa{GUID}
Példa: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Példa: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID Protection ad{GUID}
Alkalmazásirányítás ma{GUID}
Microsoft adatveszteség-megelőzés dl{GUID}
Microsoft Defender for Cloud dc{GUID}
Microsoft Sentinel sn{GUID}

A Microsoft Entra IP-riasztási szolgáltatás konfigurálása

  1. Lépjen a Microsoft Defender portálra (security.microsoft.com), válassza a Beállítások>Microsoft Defender XDR lehetőséget.

  2. A listából válassza a Riasztási szolgáltatás beállításai lehetőséget, majd konfigurálja a Microsoft Entra ID Protection riasztási szolgáltatást.

    Képernyőkép a Microsoft Entra ID Protection riasztások beállításáról a Microsoft Defender portálon.

Alapértelmezés szerint csak a biztonsági műveleti központ legrelevánsabb riasztásai vannak engedélyezve. Ha szeretné lekérni az összes Microsoft Entra IP-kockázatészlelést, azt a Riasztási szolgáltatás beállításai szakaszban módosíthatja.

A Riasztási szolgáltatás beállításai közvetlenül a Microsoft Defender portál Incidensek oldaláról is elérhetők.

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Az érintett eszközök elemzése

A Végrehajtott műveletek szakasz felsorolja az érintett eszközöket, például a postaládákat, az eszközöket és a riasztás által érintett felhasználókat.

A MűveletközpontBan való megtekintés lehetőség kiválasztásával a MűveletközpontElőzmények lapját is megtekintheti a Microsoft Defender portálon.

Riasztási szerepkör nyomon követése a riasztási történetben

A riasztási történet folyamatfa nézetben jeleníti meg a riasztáshoz kapcsolódó összes objektumot vagy entitást. A címben szereplő riasztás lesz a fókuszban, amikor először a kiválasztott riasztás oldalára kerül. A riasztási történetben lévő objektumok kibonthatók és kattinthatók. Ezek további információkat nyújtanak, és felgyorsítják a választ, mivel lehetővé teszik, hogy közvetlenül a riasztási oldal kontextusában hajtson végre lépéseket.

Megjegyzés:

A riasztási előzmények szakasz több riasztást is tartalmazhat, és a kiválasztott riasztás előtt vagy után további riasztások is megjelennek ugyanahhoz a végrehajtási fához kapcsolódóan.

További riasztási információk megtekintése a részletek lapon

A részletek lapon a kiválasztott riasztás részletei láthatók, a hozzá kapcsolódó részletekkel és műveletekkel együtt. Ha kiválasztja a riasztási történet érintett eszközeit vagy entitásait, a részletek lapja megváltozik, hogy környezeti információkat és műveleteket biztosítson a kiválasztott objektumhoz.

Miután kiválasztott egy érdekes entitást, a részletek lapja megváltozik, és megjeleníti a kiválasztott entitástípussal kapcsolatos információkat, az előzményadatokat, ha az elérhető, valamint a riasztási oldalról közvetlenül az entitásra vonatkozó műveletekre vonatkozó lehetőségeket.

Értesítések kezelése

A riasztás kezeléséhez válassza a Riasztás kezelése lehetőséget a riasztási oldal összegzési részletek szakaszában. Egyetlen riasztás esetében íme egy példa a Riasztások kezelése panelre.

Képernyőkép a Riasztások kezelése szakaszról a Microsoft Defender portálon

A Riasztás kezelése panelen megtekintheti vagy megadhatja a következőket:

  • A riasztás állapota (Új, Megoldva, Folyamatban).
  • A riasztáshoz rendelt felhasználói fiók.
  • A riasztás besorolása:
    • Nincs beállítva (alapértelmezett).
    • Valódi pozitív , egy fenyegetéstípussal. Ezt a besorolást olyan riasztásokhoz használja, amelyek pontosan jelzik a valós fenyegetést. Ha ezt a fenyegetéstípust adja meg, a biztonsági csapat fenyegetési mintákat lát, és meg tudja védeni a szervezetét tőlük.
    • Tájékoztató, elvárt tevékenység egy tevékenységtípussal. Ez a lehetőség olyan riasztásokhoz használható, amelyek technikailag pontosak, de normál viselkedést vagy szimulált fenyegetési tevékenységet jelentenek. Ezeket a riasztásokat általában figyelmen kívül szeretné hagyni, de a jövőben hasonló tevékenységekre számít, amikor a tevékenységeket tényleges támadók vagy kártevők aktiválják. Az ebben a kategóriában található beállításokkal besorolhatja a biztonsági tesztekre, a vörös csapattevékenységre és a megbízható alkalmazások és felhasználók által várt szokatlan viselkedésre vonatkozó riasztásokat.
    • Vakriasztások olyan riasztástípusok esetén, amelyek akkor is létre lettek hozva, ha nincs rosszindulatú tevékenység vagy hamis riasztás. Az ebben a kategóriában található beállításokkal a tévesen normál eseményként vagy tevékenységként azonosított riasztásokat rosszindulatúként vagy gyanúsként sorolhatja be. A "Tájékoztató, elvárt tevékenység" riasztásaival ellentétben, amelyek valós fenyegetések észlelése esetén is hasznosak lehetnek, általában nem szeretné újra látni ezeket a riasztásokat. A riasztások téves pozitívként való besorolása segít a Microsoft Defender XDR-nek az észlelési minőség javításában.
  • Megjegyzés a riasztáshoz.

Megjegyzés:

2022. augusztus 29-e körül a korábban támogatott riasztásmeghatározó értékek (Apt és SecurityPersonnel) elavultak lesznek, és már nem érhetők el az API-n keresztül.

Megjegyzés:

A riasztások kezelésének egyik módja címkék használatával. Az Office 365-höz készült Microsoft Defender címkézési képessége fokozatosan jelenik meg, és jelenleg előzetes verzióban érhető el.

A módosított címkenevek jelenleg csak a frissítés után létrehozott riasztásokra lesznek alkalmazva. A módosítás előtt létrehozott riasztások nem tükrözik a frissített címkenevet.

Ha egy adott riasztáshoz hasonló riasztáskészletet szeretne kezelni, válassza a Hasonló riasztások megtekintése lehetőséget a riasztási oldal összegzési részleteinek szakaszában található INSIGHT mezőben.

Képernyőkép egy riasztás kiválasztásáról a Microsoft Defender portálon

A Riasztások kezelése panelen az összes kapcsolódó riasztást egyszerre sorolhatja be. Íme egy példa.

Képernyőkép a kapcsolódó riasztások kezeléséről a Microsoft Defender portálon

Ha korábban már besoroltak hasonló riasztásokat, időt takaríthat meg a Microsoft Defender XDR javaslataival, hogy megtudja, hogyan oldották meg a többi riasztást. Az összefoglalás részletei szakaszban válassza a Javaslatok lehetőséget.

Képernyőkép egy riasztásra vonatkozó javaslatok kiválasztásáról

A Javaslatok lap a következő lépésekkel kapcsolatos műveleteket és tanácsokat nyújt a vizsgálathoz, a szervizeléshez és a megelőzéshez. Íme egy példa.

Képernyőkép egy riasztási javaslatról

Riasztás hangolása

Biztonsági műveleti központ (SOC) elemzőjeként az egyik legfontosabb probléma a naponta aktivált riasztások számának osztályozása. Az elemzők ideje értékes, és csak a magas súlyosságra és a magas prioritású riasztásokra szeretnének összpontosítani. Mindeközben az elemzőknek az alacsonyabb prioritású riasztások osztályozására és megoldására is szükség van, ami általában manuális folyamat.

A riasztások hangolása, más néven a riasztások mellőzése lehetővé teszi a riasztások előzetes hangolását és kezelését. Ez leegyszerűsíti a riasztási üzenetsort, és a riasztások automatikus elrejtésével vagy feloldásával időt takarít meg a riasztások elrejtésével vagy feloldásával, minden alkalommal, amikor egy bizonyos elvárt szervezeti viselkedés történik, és a szabályfeltételek teljesülnek.

A riasztások finomhangolási szabályai olyan bizonyítékokon alapuló feltételeket támogatnak, mint a fájlok, folyamatok, ütemezett feladatok és más, riasztásokat aktiváló bizonyítékok. A riasztás finomhangolási szabályának létrehozása után alkalmazza a kiválasztott riasztásra vagy bármely olyan riasztástípusra, amely megfelel a meghatározott feltételeknek a riasztás finomhangolásához.

Az általános rendelkezésre állású riasztások hangolása csak a Végponthoz készült Defender riasztásait rögzíti. Az előzetes verzióban azonban a riasztások finomhangolása más Microsoft Defender XDR-szolgáltatásokra is kiterjed, beleértve az Office 365-höz készült Defendert, az Identitáshoz készült Defendert, a Defender for Cloud Appset, a Microsoft Entra ID Protectiont (Microsoft Entra IP) és másokat, ha elérhetők az Ön platformján és csomagjában.

Figyelem!

Javasoljuk, hogy körültekintően alkalmazza a riasztások finomhangolását olyan helyzetekben, amikor az ismert, belső üzleti alkalmazások vagy biztonsági tesztek egy várt tevékenységet váltanak ki, és nem szeretné látni a riasztásokat.

Szabályfeltételek létrehozása a riasztások hangolásához

Hozzon létre riasztáshangolási szabályokat a Microsoft Defender XDR beállítások területén vagy egy riasztás részleteit tartalmazó lapon. A folytatáshoz válassza az alábbi fülek egyikét.

  1. A Microsoft Defender portálon válassza a Beállítások > Microsoft Defender XDR-riasztás > finomhangolása lehetőséget.

    Képernyőkép a Riasztás finomhangolása lehetőségről a Microsoft Defender XDR Beállítások lapján.

  2. Új riasztás hangolásához válassza az Új szabály hozzáadása lehetőséget, vagy válasszon ki egy meglévő szabálysort a módosításokhoz. A szabály címének kiválasztásakor megnyílik a szabály részleteit tartalmazó lap, ahol megtekintheti a társított riasztások listáját, szerkesztheti a feltételeket, vagy be- és kikapcsolhatja a szabályt.

  3. A Riasztás hangolásapanelEn, a Szolgáltatásforrások kiválasztása területen válassza ki azokat a szolgáltatásforrásokat, ahol alkalmazni szeretné a szabályt. A listában csak azok a szolgáltatások jelennek meg, amelyekhez rendelkezik engedélyekkel. Például:

    Képernyőkép a Szolgáltatásforrás legördülő menüről a Riasztás hangolása lapon.

  4. A Feltételek területen adjon hozzá egy feltételt a riasztás eseményindítóihoz. Ha például meg szeretné akadályozni, hogy egy riasztás aktiválódjon egy adott fájl létrehozásakor, adjon meg egy feltételt a File:Custom eseményindítóhoz, és adja meg a fájl részleteit:

    Képernyőkép az IOC menüről a Riasztás hangolása lapon.

    • A felsorolt eseményindítók a kiválasztott szolgáltatásforrásoktól függően eltérőek. Az eseményindítók a biztonság sérülésére utaló jelek, például fájlok, folyamatok, ütemezett feladatok és egyéb olyan bizonyítéktípusok, amelyek riasztást válthatnak ki, beleértve a Kártevőirtó vizsgálati felület (AMSI) szkripteket, a Windows Management Instrumentation (WMI) eseményeket vagy az ütemezett feladatokat.

    • Több szabályfeltétel beállításához válassza a Szűrő hozzáadása , valamint az AND, VAGY és csoportosítási beállítások lehetőséget a riasztást aktiváló több bizonyítéktípus közötti kapcsolatok meghatározásához. A további bizonyítéktulajdonságok automatikusan új alcsoportként lesznek kitöltve, ahol megadhatja a feltételértékeket. A feltételértékek nem különböztetik meg a kis- és nagybetűket, és egyes tulajdonságok támogatják a helyettesítő karaktereket.

  5. A Riasztás hangolása panel Művelet területén válassza ki a megfelelő műveletet, amelyet a szabálynak el kell végeznie. Válassza a Riasztás elrejtése vagy a Riasztás feloldása lehetőséget.

  6. Adjon meg egy kifejező nevet a riasztásnak és egy megjegyzést a riasztás leírásához, majd válassza a Mentés lehetőséget.

Megjegyzés:

A riasztás címe (Név) a riasztás típusán (IoaDefinitionId) alapul, amely a riasztás címét határozza meg. Két azonos riasztástípusú riasztás másik riasztási címre válthat.

Riasztás megoldása

Ha végzett egy riasztás elemzésével, és az megoldható, lépjen a Riasztás kezelése panelre a riasztáshoz vagy hasonló riasztásokhoz, jelölje meg az állapotot Megoldottként , majd sorolja be valódi pozitívként egy fenyegetéstípussal, egy tájékoztató tevékenységgel, a várt tevékenységgel és egy tevékenységtípussal vagy egy Hamis pozitív értékkel.

A riasztások besorolása segít a Microsoft Defender XDR-nek az észlelési minőség javításában.

Riasztások osztályozása a Power Automate használatával

A modern biztonsági üzemeltetési (SecOps) csapatoknak automatizálásra van szükségük a hatékony működéshez. A veszélyforrás-keresésre és a valós fenyegetések kivizsgálására a SecOps-csapatok a Power Automate-et használják a riasztások listájának osztályozására és a nem fenyegetést jelentők kiküszöbölésére.

Riasztások feloldásának feltételei

  • A felhasználó házon kívül üzenete be van kapcsolva
  • A felhasználó nincs magas kockázatúként megjelölve

Ha mindkettő igaz, a SecOps jogos utazásként jelöli meg a riasztást, és feloldja azt. A riasztás feloldása után a rendszer értesítést küld a Microsoft Teamsben.

A Power Automate csatlakoztatása a Microsoft Defender for Cloud Appshez

Az automatizálás létrehozásához szüksége lesz egy API-jogkivonatra, mielőtt csatlakoztatni tudja a Power Automate-et a Microsoft Defender for Cloud Appshez.

  1. Nyissa meg a Microsoft Defendert , és válassza a Beállítások>Cloud Apps>API-jogkivonat lehetőséget, majd válassza a Jogkivonat hozzáadása lehetőséget az API-jogkivonatok lapon.

  2. Adja meg a jogkivonat nevét, majd válassza a Létrehozás lehetőséget. Mentse a jogkivonatot, mert később szüksége lesz rá.

Automatizált folyamat létrehozása

Ebből a rövid videóból megtudhatja, hogyan működik hatékonyan az automatizálás egy zökkenőmentes munkafolyamat létrehozásához, és hogyan csatlakoztathatja a Power Automate-et a Defender for Cloud Appshez.

Következő lépések

A folyamatban lévő incidensekhez szükség szerint folytassa a vizsgálatot.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.