Incidensek kivizsgálása a Microsoft Defender XDR-ben

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

Microsoft Defender XDR összesíti az összes kapcsolódó riasztást, eszközt, vizsgálatot és bizonyítékot az összes eszközről, felhasználóról és postaládáról egy incidensbe, így átfogó képet kaphat a támadások teljes terjedelméről.

Egy incidensen belül elemezheti a hálózatot érintő riasztásokat, megértheti azok lényegét, és összevetheti a bizonyítékokat, hogy hatékony javítási tervet alakíthat ki.

Kezdeti vizsgálat

Mielőtt belemerülnénk a részletekbe, tekintsük át az incidens tulajdonságait és teljes támadási történetét.

Első lépésként válassza ki az incidenst a pipa oszlopból. Íme egy példa.

Incidens kiválasztása a Microsoft Defender portálon

Ekkor megnyílik egy összefoglaló panel, amelyen az incidenssel kapcsolatos legfontosabb információk, például a súlyosság, a hozzárendelt személy és a MITRE ATT&az incidens CK-kategóriái™ láthatók. Íme egy példa.

A Microsoft Defender portálon az incidens összegző adatait megjelenítő panel.

Innen kiválaszthatja az Incidens lap megnyitása lehetőséget. Ez megnyitja az incidens főoldalát, ahol megtalálhatja a riasztások, eszközök, felhasználók, vizsgálatok és bizonyítékok teljes támadási történetének információit és lapjait.

Az incidens főoldalát úgy is megnyithatja, hogy kiválasztja az incidens nevét az incidenssorból.

Támadási történet

A támadási történetek segítségével gyorsan áttekintheti, kivizsgálhatja és elháríthatja a támadásokat, miközben ugyanazon a lapon tekintheti meg a támadás teljes történetét. Emellett lehetővé teszi az entitás részleteinek áttekintését és a szervizelési műveletek végrehajtását, például egy fájl törlését vagy egy eszköz elkülönítését a környezet elvesztése nélkül.

A támadás történetéről röviden az alábbi videóban olvashat.

A támadási történetben megtalálhatja a riasztási oldalt és az incidensgráfot.

Az incidensriasztási oldal a következő szakaszokból áll:

  • Riasztási történet, amely a következőket tartalmazza:

    • Mi történt
    • Végrehajtott műveletek
    • Kapcsolódó események

  • Riasztás tulajdonságai a jobb oldali panelen (állapot, részletek, leírás és egyebek)

Vegye figyelembe, hogy nem minden riasztás rendelkezik a Riasztási történet szakasz összes felsorolt alszakaszával.

A grafikonon a támadás teljes hatóköre, a támadás időbeli terjedése, a támadás kezdete és a támadó által elért távolság látható. Összekapcsolja a támadás részét képező különböző gyanús entitásokat a kapcsolódó objektumokkal, például felhasználókkal, eszközökkel és postaládákkal.

A grafikonon a következőket teheti:

  • A támadás időrendjének megértéséhez játssza le a riasztásokat és a csomópontokat a gráfon az idő múlásával.

    Képernyőkép a riasztások és csomópontok lejátszásáról a támadási történet gráflapján.

  • Nyisson meg egy entitáspanelt, ahol áttekintheti az entitás részleteit, és szervizelési műveleteket hajthat végre, például fájlokat törölhet vagy eszközöket elkülöníthet.

    Képernyőkép az entitás részleteinek áttekintéséről a támadási történet gráfoldalán.

  • A riasztások kiemelése azon entitás alapján, amelyhez kapcsolódnak.

  • Eszköz, fájl, IP-cím vagy URL entitásadatainak keresése.

A go hunt lehetőség kihasználja a speciális veszélyforrás-keresési funkciót, hogy releváns információkat találjon egy entitásról. A go hunt lekérdezés ellenőrzi a releváns sématáblákat a vizsgált entitást érintő események vagy riasztások esetében. Az entitással kapcsolatos releváns információk megkereséséhez bármelyik lehetőséget kiválaszthatja:

  • Az összes elérhető lekérdezés megtekintése – a beállítás a vizsgált entitástípushoz tartozó összes elérhető lekérdezést visszaadja.
  • Minden tevékenység – a lekérdezés az entitáshoz társított összes tevékenységet visszaadja, így átfogó képet nyújt az incidens környezetéről.
  • Kapcsolódó riasztások – a lekérdezés megkeresi és visszaadja az adott entitást érintő összes biztonsági riasztást, biztosítva, hogy ne maradjon le semmilyen információról.

A támadási történetben szereplő eszközön a go hunt lehetőség kiválasztása

Az eredményként kapott naplók vagy riasztások az eredmények kiválasztásával, majd az Incidens csatolása lehetőség kiválasztásával kapcsolhatók össze egy incidenssel.

Az incidensre mutató hivatkozás kiemelése a keresési lekérdezés eredményei között

Összefoglalás

Az Összefoglalás lapon felmérheti az incidens relatív fontosságát, és gyorsan elérheti a kapcsolódó riasztásokat és érintett entitásokat. Az Összefoglalás lapon pillanatképeket tekinthet meg az incidenssel kapcsolatos legfontosabb tudnivalókról.

Képernyőkép egy incidens összefoglaló adatairól a Microsoft Defender portálon.

Az információk ezekben a szakaszokban vannak rendszerezve.

Szakasz Leírás
Riasztások és kategóriák Vizuális és numerikus nézet, amely bemutatja, hogyan haladt előre a támadás a leölési lánc ellen. A microsoftos biztonsági termékekhez hasonlóan a Microsoft Defender XDR is a MITRE ATT&CK-keretrendszerhez™ igazodik. A riasztások idővonala megjeleníti a riasztások előfordulásának időrendi sorrendjét, valamint az egyes riasztások állapotát és nevét.
Hatókör Megjeleníti az érintett eszközök, felhasználók és postaládák számát, valamint felsorolja az entitásokat a kockázati szint és a vizsgálat prioritása szerint.
Bizonyíték Megjeleníti az incidens által érintett entitások számát.
Incidensadatok Megjeleníti az incidens tulajdonságait, például címkéket, állapotot és súlyosságot.

Riasztások

A Riasztások lapon megtekintheti az incidenshez kapcsolódó riasztások riasztási üzenetsorát, valamint az azokkal kapcsolatos egyéb információkat, például:

  • Súlyossága.
  • A riasztásban érintett entitások.
  • A riasztások forrása (Microsoft Defender for Identity, Végponthoz készült Microsoft Defender, Office 365-höz készült Microsoft Defender, Defender for Cloud Apps és az alkalmazásirányítási bővítmény).
  • Az ok, amiért össze voltak kapcsolva.

Íme egy példa.

Incidens riasztások panelje a Microsoft Defender portálon

Alapértelmezés szerint a riasztások időrendben vannak rendezve, hogy láthassa, hogyan játszott le a támadás az idő múlásával. Amikor kiválaszt egy riasztást egy incidensen belül, Microsoft Defender XDR megjeleníti az általános incidens környezetére vonatkozó riasztási információkat.

Láthatja a riasztás eseményeit, amelyek más aktivált riasztások okozták az aktuális riasztást, valamint a támadásban érintett összes entitást és tevékenységet, beleértve az eszközöket, fájlokat, felhasználókat és postaládákat.

Íme egy példa.

Egy incidensen belüli riasztás részletei a Microsoft Defender portálon.

Megtudhatja, hogyan használhatja a riasztási üzenetsort és a riasztási oldalakat a riasztások vizsgálatához.

Eszközök

Az új Eszközök lapon egyszerűen megtekintheti és kezelheti az összes objektumot egy helyen. Ez az egyesített nézet tartalmazza az Eszközöket, a Felhasználókat, a Postaládákat és az Alkalmazásokat.

Az Eszközök lap a neve mellett megjeleníti az eszközök teljes számát. Az Eszközök lap kiválasztásakor megjelenik a különböző kategóriák listája az adott kategórián belüli eszközök számával.

Incidens Adategységek lapja a Microsoft Defender portálon

Eszközök

Az Eszközök nézet felsorolja az incidenshez kapcsolódó összes eszközt. Íme egy példa.

Egy incidens Eszközök lapja a Microsoft Defender portálon

Ha kiválaszt egy eszközt a listából, megnyílik egy sáv, amely lehetővé teszi a kiválasztott eszköz kezelését. Gyorsan exportálhat, kezelhet címkéket, kezdeményezhet automatizált vizsgálatot stb.

Az eszközhöz tartozó pipa bejelölésével megtekintheti az eszköz részleteit, a címtáradatokat, az aktív riasztásokat és a bejelentkezett felhasználókat. Válassza ki az eszköz nevét az eszköz részleteinek megtekintéséhez a Végponthoz készült Defender eszközleltárában. Íme egy példa.

Az eszközök beállításai a Microsoft Defender portál Eszközök lapján.

Az eszközoldalon további információkat gyűjthet az eszközről, például az összes riasztást, egy ütemtervet és biztonsági javaslatokat. Az Idősor lapon például végiggörgethet az eszköz ütemtervén, és a gépen megfigyelt összes eseményt és viselkedést időrendben tekintheti meg, a riasztásokkal együtt. Íme egy példa

Az eszköz részletei az Microsoft Defender portál Eszköz lapján.

Tipp

Az eszközoldalakon igény szerinti vizsgálatokat végezhet. A Microsoft Defender portálon válassza a Végpontok > Eszközleltár lehetőséget. Válasszon ki egy riasztásokat tartalmazó eszközt, majd futtasson víruskereső-vizsgálatot. A rendszer nyomon követi a műveleteket, például a víruskereső-vizsgálatokat, és látható az Eszközleltár lapon. További információ: Microsoft Defender víruskereső vizsgálat futtatása eszközökön.

Felhasználók

A Felhasználók nézet felsorolja az összes olyan felhasználót, akiről megállapították, hogy az incidens része vagy ahhoz kapcsolódik. Íme egy példa.

A Microsoft Defender portál Felhasználók lapja.

A felhasználói fiók fenyegetésének, kitettségének és kapcsolattartási adatainak megtekintéséhez jelölje be a felhasználó pipát. Válassza ki a felhasználónevet a felhasználói fiók további részleteinek megtekintéséhez.

Megtudhatja, hogyan tekinthet meg további felhasználói adatokat, és hogyan kezelheti az incidens felhasználóit a felhasználók vizsgálata során.

Postaládák

A Postaládák nézet felsorolja az összes olyan postaládát, amelyet az incidens részeként vagy ahhoz kapcsolódóként azonosítottak. Íme egy példa.

Egy incidens Postaládák lapja a Microsoft Defender portálon.

Az aktív riasztások listájának megtekintéséhez jelölje be a postaláda pipáját. Válassza ki a postaláda nevét a további postaládaadatok megtekintéséhez a Office 365-höz készült Defender Intéző lapján.

Apps

Az Alkalmazások nézet felsorolja az incidens részét képező vagy ahhoz kapcsolódó összes alkalmazást. Íme egy példa.

Egy incidens Alkalmazások lapja a Microsoft Defender portálon.

Az aktív riasztások listájának megtekintéséhez jelölje be az alkalmazás pipáját. Az alkalmazás nevének kiválasztásával további részleteket tekinthet meg a Defender for Cloud Apps Explorer oldalán.

Vizsgálatok

A Vizsgálatok lap felsorolja az incidens riasztásai által aktivált összes automatizált vizsgálatot . Az automatizált vizsgálatok szervizelési műveleteket hajtanak végre, vagy megvárják a műveletek elemző általi jóváhagyását attól függően, hogy hogyan konfigurálta az automatizált vizsgálatok futtatását a Végponthoz készült Defenderben és Office 365-höz készült Defender.

Egy incidens Vizsgálat lapja a Microsoft Defender portálon

Válasszon ki egy vizsgálatot, hogy a részletek lapjára navigáljon a vizsgálat és a szervizelés állapotával kapcsolatos teljes körű információkért. Ha a vizsgálat részeként jóváhagyásra váró műveletek vannak, azok megjelennek a Függőben lévő műveletek előzményei lapon. Beavatkozás az incidensek szervizelése során.

Egy Vizsgálat gráffül is látható, amely a következőket jeleníti meg:

  • A riasztások kapcsolata a szervezet érintett eszközeihez.
  • Mely entitások kapcsolódnak ahhoz, hogy mely riasztások és hogyan részei a támadás történetének.
  • Az incidensre vonatkozó riasztások.

A vizsgálati gráf segítségével gyorsan megértheti a támadás teljes hatókörét azáltal, hogy összekapcsolja a támadás részét képező különböző gyanús entitásokat a kapcsolódó objektumokkal, például felhasználókkal, eszközökkel és postaládákkal.

További információ: Automatizált vizsgálat és reagálás Microsoft Defender XDR.

Bizonyítékok és válaszok

A Bizonyítékok és válasz lap megjeleníti az incidens riasztásaiban szereplő összes támogatott eseményt és gyanús entitást. Íme egy példa.

Egy incidens bizonyítékai és válaszoldala az Microsoft Defender portálon

Microsoft Defender XDR automatikusan megvizsgálja az incidensek által támogatott eseményeket és a riasztásokban szereplő gyanús entitásokat, és információkat nyújt a fontos e-mailekről, fájlokról, folyamatokról, szolgáltatásokról, IP-címekről és egyebekről. Ez segít gyorsan észlelni és blokkolni az incidens potenciális fenyegetéseit.

Az elemzett entitások mindegyike ítélettel (rosszindulatú, gyanús, tiszta) és szervizelési állapottal van megjelölve. Ez segít megérteni a teljes incidens szervizelési állapotát, és hogy milyen további lépések végezhetők el.

Szervizelési műveletek jóváhagyása vagy elutasítása

A Jóváhagyásra váró szervizelési állapotú incidensek esetén az incidensen belülről hagyhat jóvá vagy utasíthat el javítási műveletet.

  1. A navigációs panelen lépjen az Incidensek & riasztások>Incidensek elemre.
  2. Szűrjön a Függőben műveletre az Automatizált vizsgálat állapota esetén (nem kötelező).
  3. Válassza ki az incidens nevét az összefoglaló oldal megnyitásához.
  4. Válassza a Bizonyíték és válasz lapot.
  5. Jelöljön ki egy elemet a listában az úszó panel megnyitásához.
  6. Tekintse át az információkat, majd hajtsa végre az alábbi lépések egyikét:
    • Függőben lévő művelet elindításához válassza a Függőben lévő művelet jóváhagyása lehetőséget.
    • Válassza a Függőben lévő művelet elutasítása lehetőséget a függőben lévő művelet végrehajtásának megakadályozásához.

A Microsoft Defender portál Bizonyítékok és válaszok kezelése paneljén található Jóváhagyás\Elutasítás lehetőség.

Következő lépések

Szükség szerint:

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.