Automatizált vizsgálat és reagálás a Microsoft Defender XDR
Érintett szolgáltatás:
- Microsoft Defender XDR
Ha szervezete Microsoft Defender XDR használ, a biztonsági üzemeltetési csapat riasztást kap a Microsoft Defender portálon, ha rosszindulatú vagy gyanús tevékenységet vagy összetevőt észlel. Mivel a fenyegetések látszólag soha nem szűnnek meg, a biztonsági csapatok gyakran szembesülnek azzal a kihívással, hogy kezelni tudják a nagy mennyiségű riasztást. Szerencsére Microsoft Defender XDR automatizált vizsgálati és reagálási (AIR) képességeket is tartalmaz, amelyekkel a biztonsági üzemeltetési csapat hatékonyabban és hatékonyabban kezelheti a fenyegetéseket.
Ez a cikk áttekintést nyújt az AIR-ről, és hivatkozásokat tartalmaz a következő lépésekre és további forrásokra.
Az automatizált vizsgálat és az önjavítás működése
A biztonsági riasztások aktivált állapotában a biztonsági üzemeltetési csapatnak kell megvizsgálnia ezeket a riasztásokat, és lépéseket tennie a szervezet védelmére. A riasztások rangsorolása és kivizsgálása nagyon időigényes lehet, különösen akkor, ha egy vizsgálat során folyamatosan érkeznek új riasztások. A biztonsági üzemeltetési csapatok számára túlterheltnek érezheti magát a figyelendő és az ellenük védelmet jelentő fenyegetések mennyisége. Az automatikus vizsgálati és reagálási képességek, az önjavítással, a Microsoft Defender XDR segíthetnek.
Az alábbi videóból megtudhatja, hogyan működik az önjavítás:
Az Microsoft Defender XDR automatikus vizsgálat és reagálás önjavító képességekkel az összes eszközén, e-mail-& tartalmaiban és identitásaiban működik.
Tipp
Ez a cikk az automatizált vizsgálat és reagálás működését ismerteti. A képességek konfigurálásához lásd: Automatizált vizsgálati és válaszképességek konfigurálása Microsoft Defender XDR.
Saját virtuális elemző
Képzelje el, hogy egy virtuális elemző van az 1. vagy a 2. rétegbeli biztonsági üzemeltetési csapatban. A virtuális elemző azokat az ideális lépéseket utánozza, amelyeket a biztonsági műveletek a fenyegetések kivizsgálása és elhárítása érdekében hajtanak végre. A virtuális elemző 24x7-gyel dolgozhat korlátlan kapacitással, és jelentős mennyiségű vizsgálatot és fenyegetés-szervizelést végezhet. Egy ilyen virtuális elemző jelentősen csökkentheti a válaszadáshoz szükséges időt, ezzel felszabadítva a biztonsági üzemeltetési csapatot más fontos fenyegetések vagy stratégiai projektek esetén. Ha ez a forgatókönyv sci-finek hangzik, nem az! Egy ilyen virtuális elemző a Microsoft Defender XDR csomag része, és a neve automatizált vizsgálat és válasz.
Az automatizált vizsgálati és reagálási képességek lehetővé teszik, hogy a biztonsági üzemeltetési csapat jelentősen növelje a szervezet kapacitását a biztonsági riasztások és incidensek kezelésére. Az automatizált vizsgálat és reagálás révén csökkentheti a vizsgálati és reagálási tevékenységek kezelésének költségeit, és a lehető legtöbbet hozhatja ki a fenyegetésvédelmi csomagból. Az automatizált vizsgálati és válaszképességek az alábbiakkal segítik a biztonsági üzemeltetési csapatát:
- Annak meghatározása, hogy egy fenyegetés beavatkozást igényel-e.
- Végezze el (vagy javasolja) a szükséges szervizelési műveleteket.
- Annak meghatározása, hogy történjen-e és milyen egyéb vizsgálat.
- A folyamat megismétlése szükség szerint más riasztásokhoz.
Az automatizált vizsgálati folyamat
A riasztások létrehoznak egy incidenst, amely elindíthat egy automatizált vizsgálatot. Az automatizált vizsgálat minden egyes bizonyítékra vonatkozóan ítéletet hoz. Az ítéletek a következőek lehetnek:
- Rosszindulatú
- Gyanús
- Nem találhatók fenyegetések
A rendszer azonosítja a rosszindulatú vagy gyanús entitások szervizelési műveleteit. A szervizelési műveletek közé tartoznak például a következők:
- Fájl küldése karanténba
- Folyamat leállítása
- Eszköz elkülönítése
- URL-cím blokkolása
- Egyéb műveletek
További információ: Szervizelési műveletek a Microsoft Defender XDR-ban.
Attól függően , hogy az automatizált vizsgálati és válaszképességek hogyan vannak konfigurálva a szervezet számára, a szervizelési műveleteket a rendszer automatikusan vagy csak a biztonsági üzemeltetési csapat jóváhagyásával hajtja végre. A Műveletközpontban minden művelet megjelenik, legyen az függőben vagy befejezve.
Amíg egy vizsgálat fut, a rendszer a vizsgálat befejezéséig hozzáadja a vizsgálathoz a többi kapcsolódó riasztást. Ha egy érintett entitást máshol lát, az automatizált vizsgálat kiterjeszti a hatókörét, hogy belefoglalja az adott entitást, és a vizsgálati folyamat megismétli.
A Microsoft Defender XDR minden automatizált vizsgálat korrelálja a jeleket Microsoft Defender for Identity, Végponthoz készült Microsoft Defender és Office 365-höz készült Microsoft Defender, az alábbi táblázatban összefoglalva:
| Entitások | Veszélyforrások elleni védelmi szolgáltatások |
|---|---|
| Eszközök (más néven végpontok vagy gépek) | Végponthoz készült Defender |
| Helyszíni Active Directory-felhasználók, entitások viselkedése és tevékenységei | Defender for Identity |
| tartalom Email (fájlok és URL-címeket tartalmazó e-mailek) | Office 365-höz készült Defender |
Megjegyzés:
Nem minden riasztás aktivál automatikus vizsgálatot, és nem minden vizsgálat eredményez automatikus javítási műveleteket. Ez attól függ, hogy hogyan van konfigurálva az automatizált vizsgálat és válasz a szervezet számára. Lásd: Automatizált vizsgálati és válaszképességek konfigurálása.
A vizsgálatok listájának megtekintése
A vizsgálatok megtekintéséhez lépjen az Incidensek oldalra. Jelöljön ki egy incidenst, majd válassza a Vizsgálatok lapot. További információ: Automatizált vizsgálat részletei és eredményei.
Automatikus vizsgálat & válaszkártya
Az új automatizált vizsgálat & válaszkártya a Microsoft Defender portálon (https://security.microsoft.com) érhető el. Ez az új kártya az elérhető szervizelési műveletek teljes számát javítja. A kártya áttekintést nyújt az egyes riasztások összes riasztásáról és a szükséges jóváhagyási időről.
Az Automatizált vizsgálat & válaszkártyát használva a biztonsági üzemeltetési csapat gyorsan a Műveletközpontba navigálhat a Jóváhagyás a műveletközpontban hivatkozásra kattintva, majd végrehajthatja a megfelelő műveleteket. A kártya lehetővé teszi, hogy a biztonsági üzemeltetési csapat hatékonyabban kezelje a jóváhagyásra váró műveleteket.
Következő lépések
- Tekintse meg az automatizált vizsgálat és reagálás előfeltételeit
- Automatizált vizsgálat és reagálás konfigurálása a szervezet számára
- További információ a Műveletközpontról
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.