Riasztások vizsgálata Microsoft Defender XDR
Megjegyzés:
Szeretne Microsoft Defender XDR-t használni? További információ arról, hogy hogyan értékelheti ki és próbálhatja ki a Microsoft Defender XDR-t.
Érintett szolgáltatás:
- Microsoft Defender XDR
Megjegyzés:
Ez a cikk a biztonsági riasztásokat ismerteti Microsoft Defender XDR. A tevékenységriasztások használatával azonban e-mail-értesítéseket küldhet saját magának vagy más rendszergazdáknak, ha a felhasználók bizonyos tevékenységeket végeznek a Microsoft 365-ben. További információ: Tevékenységriasztások létrehozása – Microsoft Purview | Microsoft Docs.
A riasztások képezik az összes incidens alapját, és jelzik a kártékony vagy gyanús események előfordulását a környezetben. A riasztások általában egy szélesebb körű támadás részét képezik, és egy incidenssel kapcsolatos nyomokat adnak meg.
A Microsoft Defender XDR a kapcsolódó riasztások összesítve incidensekké alakulnak. Az incidensek mindig a támadás tágabb kontextusát biztosítják, a riasztások elemzése azonban hasznos lehet, ha mélyebb elemzésre van szükség.
A Riasztások üzenetsor a riasztások aktuális készletét jeleníti meg. A riasztások üzenetsorát az Incidensek & riasztások riasztásaiból > érheti el a Microsoft Defender portál gyors indításakor.
Itt jelennek meg a Különböző Microsoft biztonsági megoldások, például Végponthoz készült Microsoft Defender, Office 365-höz készült Microsoft Defender és Microsoft Defender XDR riasztásai.
Alapértelmezés szerint az Microsoft Defender portál riasztási várólistája az elmúlt 30 nap új és folyamatban lévő riasztását jeleníti meg. A legutóbbi riasztás a lista tetején található, így ön láthatja először.
Az alapértelmezett riasztási várólistán a Szűrő elemet választva megtekintheti a Szűrő panelt, amelyből megadhatja a riasztások egy részhalmazát. Íme egy példa.
A riasztásokat az alábbi feltételek szerint szűrheti:
- Súlyossága
- Állapot
- Szolgáltatásforrások
- Entitások (az érintett eszközök)
- Automatizált vizsgálati állapot
A riasztások Office 365-höz készült Defender szükséges szerepkörei
Az Office 365-höz készült Microsoft Defender riasztások eléréséhez az alábbi szerepkörök bármelyikével kell rendelkeznie:
Microsoft Entra globális szerepkörök esetén:
- Globális rendszergazda
- Biztonsági rendszergazda
- Biztonsági operátor
- Globális olvasó
- Biztonsági olvasó
biztonsági & megfelelőségi szerepkörcsoportok Office 365
- Megfelelőségi rendszergazda
- Szervezetfelügyelet
Riasztás elemzése
A riasztás főoldalának megtekintéséhez válassza ki a riasztás nevét. Íme egy példa.
A Riasztás kezelése panelen a Fő riasztási lap megnyitása műveletet is kiválaszthatja.
A riasztási oldal az alábbi szakaszokból áll:
- Riasztási történet, amely a riasztáshoz kapcsolódó események és riasztások láncolata időrendben
- Összegzés részletei
A riasztási oldalon az entitások melletti három pontra (...) kattintva megtekintheti az elérhető műveleteket, például összekapcsolhatja a riasztást egy másik incidenssel. Az elérhető műveletek listája a riasztás típusától függ.
Riasztási források
Microsoft Defender XDR riasztások olyan megoldásokból származhatnak, mint a Végponthoz készült Microsoft Defender, Office 365-höz készült Microsoft Defender, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, a Microsoft Defender for Cloud Apps alkalmazásirányítási bővítménye, Microsoft Entra ID-védelem, és a Microsoft adatveszteség-megelőzési szolgáltatását. Előfordulhat, hogy a riasztásban előtaggal ellátott karaktereket tartalmazó riasztások jelennek meg. Az alábbi táblázat útmutatást nyújt a riasztási források leképezésének megértéséhez a riasztás előtag karaktere alapján.
Megjegyzés:
- Az előtagolt GUID azonosítók csak olyan egyesített szolgáltatásokra vonatkoznak, mint az egyesített riasztások várólistája, az egyesített riasztások oldala, az egyesített vizsgálat és az egyesített incidens.
- Az előtagú karakter nem módosítja a riasztás GUID azonosítóját. A GUID egyetlen módosítása az előtagú összetevő.
Riasztás forrása | Előtagolt karakter |
---|---|
Microsoft Defender XDR | ra ta a ThreatExperts esetébenea for DetectionSource = DetectionSource.CustomDetection |
Office 365-höz készült Microsoft Defender | fa{GUID} Példa: fa123a456b-c789-1d2e-12f1g33h445h6i |
Végponthoz készült Microsoft Defender | da vagy ed egyéni észlelési riasztások esetén |
Microsoft Defender for Identity | aa{GUID} Példa: aa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender for Cloud Apps | ca{GUID} Példa: ca123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Entra ID-védelem | ad |
Alkalmazásirányítás | ma |
Microsoft adatveszteség-megelőzés | dl |
Microsoft Entra IP-riasztási szolgáltatás konfigurálása
Nyissa meg a Microsoft Defender portált (security.microsoft.com), és válassza a Beállítások>Microsoft Defender XDR lehetőséget.
A listában válassza a Riasztási szolgáltatás beállításai lehetőséget, majd konfigurálja a Microsoft Entra ID-védelem riasztási szolgáltatást.
Alapértelmezés szerint csak a biztonsági műveleti központ legrelevánsabb riasztásai vannak engedélyezve. Ha szeretné lekérni Microsoft Entra IP-kockázatészlelést, azt a Riasztási szolgáltatás beállításai szakaszban módosíthatja.
A Riasztási szolgáltatás beállításai közvetlenül a Microsoft Defender portál Incidensek oldaláról is elérhetők.
Fontos
Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
Az érintett eszközök elemzése
A Végrehajtott műveletek szakasz felsorolja az érintett eszközöket, például a postaládákat, az eszközöket és a riasztás által érintett felhasználókat.
A Műveletközpont Nézet elemét választva megtekintheti a MűveletközpontElőzmény lapját a Microsoft Defender portálon.
Riasztási szerepkör nyomon követése a riasztási történetben
A riasztási történet folyamatfa nézetben jeleníti meg a riasztáshoz kapcsolódó összes objektumot vagy entitást. A címben szereplő riasztás lesz a fókuszban, amikor először a kiválasztott riasztás oldalára kerül. A riasztási történetben lévő objektumok kibonthatók és kattinthatók. Ezek további információkat nyújtanak, és felgyorsítják a választ, mivel lehetővé teszik, hogy közvetlenül a riasztási oldal kontextusában hajtson végre lépéseket.
Megjegyzés:
A riasztási előzmények szakasz több riasztást is tartalmazhat, és a kiválasztott riasztás előtt vagy után további riasztások is megjelennek ugyanahhoz a végrehajtási fához kapcsolódóan.
További riasztási információk megtekintése a részletek lapon
A részletek lapon a kiválasztott riasztás részletei láthatók, a hozzá kapcsolódó részletekkel és műveletekkel együtt. Ha kiválasztja a riasztási történet érintett eszközeit vagy entitásait, a részletek lapja megváltozik, hogy környezeti információkat és műveleteket biztosítson a kiválasztott objektumhoz.
Miután kiválasztott egy érdekes entitást, a részletek lapja megváltozik, és megjeleníti a kiválasztott entitástípussal kapcsolatos információkat, az előzményadatokat, ha az elérhető, valamint a riasztási oldalról közvetlenül az entitásra vonatkozó műveletekre vonatkozó lehetőségeket.
Értesítések kezelése
A riasztás kezeléséhez válassza a Riasztás kezelése lehetőséget a riasztási oldal összegzési részletek szakaszában. Egyetlen riasztás esetében íme egy példa a Riasztások kezelése panelre.
A Riasztás kezelése panelen megtekintheti vagy megadhatja a következőket:
- A riasztás állapota (Új, Megoldva, Folyamatban).
- A riasztáshoz rendelt felhasználói fiók.
- A riasztás besorolása:
- Nincs beállítva (alapértelmezett).
- Valódi pozitív , egy fenyegetéstípussal. Ezt a besorolást olyan riasztásokhoz használja, amelyek pontosan jelzik a valós fenyegetést. Ha ezt a fenyegetéstípust adja meg, a biztonsági csapat fenyegetési mintákat lát, és meg tudja védeni a szervezetét tőlük.
- Tájékoztató, elvárt tevékenység egy tevékenységtípussal. Ez a lehetőség olyan riasztásokhoz használható, amelyek technikailag pontosak, de normál viselkedést vagy szimulált fenyegetési tevékenységet jelentenek. Ezeket a riasztásokat általában figyelmen kívül szeretné hagyni, de a jövőben hasonló tevékenységekre számít, amikor a tevékenységeket tényleges támadók vagy kártevők aktiválják. Az ebben a kategóriában található beállításokkal besorolhatja a biztonsági tesztekre, a vörös csapattevékenységre és a megbízható alkalmazások és felhasználók által várt szokatlan viselkedésre vonatkozó riasztásokat.
- Vakriasztások olyan riasztástípusok esetén, amelyek akkor is létre lettek hozva, ha nincs rosszindulatú tevékenység vagy hamis riasztás. Az ebben a kategóriában található beállításokkal a tévesen normál eseményként vagy tevékenységként azonosított riasztásokat rosszindulatúként vagy gyanúsként sorolhatja be. A "Tájékoztató, elvárt tevékenység" riasztásaival ellentétben, amelyek valós fenyegetések észlelése esetén is hasznosak lehetnek, általában nem szeretné újra látni ezeket a riasztásokat. A riasztások téves pozitívként való besorolása segít Microsoft Defender XDR az észlelés minőségének javításában.
- Megjegyzés a riasztáshoz.
Megjegyzés:
2022. augusztus 29-e körül a korábban támogatott riasztásmeghatározó értékek (Apt és SecurityPersonnel) elavultak lesznek, és már nem érhetők el az API-n keresztül.
Megjegyzés:
A riasztások kezelésének egyik módja címkék használatával. A Office 365-höz készült Microsoft Defender címkézési képessége növekményesen jelenik meg, és jelenleg előzetes verzióban érhető el.
A módosított címkenevek jelenleg csak a frissítés után létrehozott riasztásokra lesznek alkalmazva. A módosítás előtt létrehozott riasztások nem tükrözik a frissített címkenevet.
Ha egy adott riasztáshoz hasonló riasztáskészletet szeretne kezelni, válassza a Hasonló riasztások megtekintése lehetőséget a riasztási oldal összegzési részleteinek szakaszában található INSIGHT mezőben.
A Riasztások kezelése panelen az összes kapcsolódó riasztást egyszerre sorolhatja be. Íme egy példa.
Ha a korábbiakban már besoroltak hasonló riasztásokat, időt takaríthat meg, ha Microsoft Defender XDR javaslatokat használva megtudhatja, hogyan oldották meg a többi riasztást. Az összefoglalás részletei szakaszban válassza a Javaslatok lehetőséget.
A Javaslatok lap a következő lépésekkel kapcsolatos műveleteket és tanácsokat nyújt a vizsgálathoz, a szervizeléshez és a megelőzéshez. Íme egy példa.
Riasztás hangolása
Biztonsági műveleti központ (SOC) elemzőjeként az egyik legfontosabb probléma a naponta aktivált riasztások számának osztályozása. Az elemzők ideje értékes, és csak a magas súlyosságra és a magas prioritású riasztásokra szeretnének összpontosítani. Mindeközben az elemzőknek az alacsonyabb prioritású riasztások osztályozására és megoldására is szükség van, ami általában manuális folyamat.
A riasztások finomhangolása lehetővé teszi a riasztások előzetes hangolását és kezelését. Ez leegyszerűsíti a riasztási várólista működését, és a riasztások automatikus elrejtésével vagy feloldásával időt takarít meg, amikor egy bizonyos elvárt szervezeti viselkedés történik, és a szabályfeltételek teljesülnek.
A "bizonyítéktípusok" alapján szabályfeltételeket hozhat létre, például fájlokat, folyamatokat, ütemezett feladatokat és sok más, a riasztást aktiváló bizonyítéktípust. A szabály létrehozása után alkalmazhatja a szabályt a kiválasztott riasztásra, vagy bármely olyan riasztástípusra, amely megfelel a szabály feltételeinek a riasztás hangolásához.
Emellett a funkció a különböző Microsoft Defender XDR szolgáltatásforrásokból érkező riasztásokat is magában foglalja. A nyilvános előzetes verzió riasztáshangolási funkciója olyan számítási feladatoktól kap riasztásokat, mint a Végponthoz készült Defender, a Office 365-höz készült Defender, a Defender for Identity, a Defender for Cloud Apps, a Microsoft Entra ID-védelem (Microsoft Entra IP- és egyéb, ha ezek a források elérhetők a platformon, és Terv. Korábban a riasztás finomhangolási képessége csak a Végponthoz készült Defender számítási feladatból rögzített riasztásokat.
Megjegyzés:
Javasoljuk, hogy körültekintően használja a riasztások finomhangolását, más néven a riasztások mellőzését. Bizonyos esetekben egy ismert belső üzleti alkalmazás vagy biztonsági teszt egy várt tevékenységet vált ki, és nem szeretné látni ezeket a riasztásokat. Így létrehozhat egy szabályt ezeknek a riasztástípusoknak a finomhangolásához.
Szabályfeltételek létrehozása a riasztások hangolásához
A riasztásokat kétféleképpen hangolhatja Microsoft Defender XDR. Riasztás hangolása a Beállítások lapon:
Válassza a Beállítások lehetőséget. A bal oldali panelen lépjen a Szabályok elemre, és válassza a Riasztás finomhangolása lehetőséget.
Új riasztás hangolásához válassza az Új szabály hozzáadása lehetőséget. Meglévő szabályt is szerkeszthet ebben a nézetben, ha kiválaszt egy szabályt a listából.
A Riasztás hangolása panelen kiválaszthatja azokat a szolgáltatásforrásokat, amelyekre a szabály vonatkozik a Szolgáltatásforrások legördülő menüben.
Megjegyzés:
Csak azok a szolgáltatások jelennek meg, amelyekhez a felhasználó rendelkezik engedéllyel.
Adjon hozzá olyan biztonsági réseket (IOK-okat), amelyek aktiválják a riasztást az IOK-k szakaszban. Hozzáadhat egy feltételt a riasztás leállításához, ha egy adott IOC vagy a riasztásban hozzáadott bármely IOC aktiválja.
Az IOC-k olyan mutatók, mint például a fájlok, folyamatok, ütemezett feladatok és a riasztást kiváltó egyéb bizonyítéktípusok.
Több szabályfeltétel beállításához használja az AND, OR és csoportosítási lehetőségeket a riasztást okozó több "bizonyítéktípus" közötti kapcsolat kiépítéséhez.
- Válassza ki például az eseményindító bizonyíték entitásszerepkulátorát: Eseményindító, egyenlő és bármely lehetőséget a riasztásban hozzáadott IOC aktiválásakor a riasztás leállításához. A "bizonyíték" összes tulajdonsága automatikusan új alcsoportként lesz kitöltve az alábbi mezőkben.
Megjegyzés:
A feltételértékek nem különböztetik meg a kis- és nagybetűket.
A "bizonyíték" tulajdonságait igény szerint szerkesztheti és/vagy törölheti (ha támogatott, helyettesítő karaktereket használ).
A fájlokon és folyamatokon kívül az ANTIMalware Scan Interface (AMSI) szkript, a Windows Management Instrumentation (WMI) esemény és az ütemezett feladatok is az újonnan hozzáadott bizonyítéktípusok közé tartoznak, amelyeket a bizonyítéktípusok legördülő listájából választhat.
Egy másik IOC hozzáadásához kattintson a Szűrő hozzáadása elemre.
Megjegyzés:
A riasztástípusok hangolásához legalább egy IOC-t hozzá kell adni a szabályfeltételhez.
A Művelet szakaszban hajtsa végre a megfelelő műveletet a Riasztás elrejtése vagy a Riasztás feloldása beállítással.
Írja be a Név, Leírás kifejezést, majd kattintson a Mentés gombra.
Megjegyzés:
A riasztás címe (Név) a riasztás típusán (IoaDefinitionId) alapul, amely a riasztás címét határozza meg. Két azonos riasztástípusú riasztás másik riasztási címre válthat.
Riasztás hangolása a Riasztások lapon:
Válasszon ki egy riasztást a Riasztások lap Incidensek és riasztások területén. Másik lehetőségként kiválaszthat egy riasztást, amikor áttekinti az incidens részleteit az Incidens oldalon.
A riasztásokat a Riasztás finomhangolása panelen hangolhatja, amely automatikusan megnyílik a riasztás részletei lap jobb oldalán.
Válassza ki azokat a feltételeket, amelyekre a riasztás vonatkozik a Riasztástípusok szakaszban. Válassza a Csak ez a riasztástípus lehetőséget, ha alkalmazni szeretné a szabályt a kiválasztott riasztásra.
Ha azonban a szabályt bármely olyan riasztástípusra szeretné alkalmazni, amely megfelel a szabály feltételeinek, válassza a Bármely riasztástípus az IOC-feltételek alapján lehetőséget.
A Hatókör szakasz kitöltése akkor szükséges, ha a riasztás finomhangolása végpontspecifikus Defender. Válassza ki, hogy a szabály a szervezet összes eszközére vagy egy adott eszközre vonatkozik-e.
Megjegyzés:
A szabály minden szervezetre való alkalmazásához rendszergazdai szerepköri engedély szükséges.
Adjon hozzá feltételeket a Feltételek szakaszban a riasztás leállításához, ha egy adott IOC vagy a riasztásban hozzáadott bármely IOC aktiválja. Ebben a szakaszban kiválaszthat egy adott eszközt, több eszközt, eszközcsoportot, a teljes szervezetet vagy felhasználót.
Megjegyzés:
Rendszergazda engedéllyel kell rendelkeznie, ha a hatókör csak a Felhasználóra van beállítva. Rendszergazda engedélyre nincs szükség, ha a hatókör a Felhasználó és az Eszköz, eszközcsoportokkal együtt van beállítva.
Adja hozzá azokat az IOK-okat, amelyekre a szabály vonatkozik az IOC szakaszban. A Bármely IOC lehetőséget választva leállíthatja a riasztást, függetlenül attól, hogy milyen "bizonyíték" okozta a riasztást.
Azt is megteheti, hogy az IOK-k szakaszban az Összes riasztás 7 kapcsolódó IOK automatikus kitöltése lehetőséget választja, hogy az összes riasztással kapcsolatos bizonyítéktípust és azok tulajdonságait egyszerre adja hozzá a Feltételek szakaszban.
A Művelet szakaszban hajtsa végre a megfelelő műveletet a Riasztás elrejtése vagy a Riasztás feloldása beállítással.
Írja be a Name (Név), Comment (Megjegyzés) kifejezést, majd kattintson a Save (Mentés) gombra.
Az IOK-k jövőbeni blokkolásának megakadályozása:
Miután mentette a riasztás finomhangolási szabályát, a megjelenő Sikeres szabálylétrehozás lapon hozzáadhatja a kiválasztott IOC-ket jelzőként az "engedélyezési listához", és megakadályozhatja, hogy a jövőben blokkolva legyenek.
A listában minden riasztással kapcsolatos IOK megjelenik.
A letiltási feltételekben kiválasztott IOK-k alapértelmezés szerint ki lesznek választva.
- Hozzáadhat például olyan fájlokat, amelyek engedélyezve lesznek a Bizonyíték kiválasztása (IOC) számára. Alapértelmezés szerint a riasztást kiváltó fájl van kiválasztva.
- Adja meg a hatókört a Hatókör kiválasztása mezőben. Alapértelmezés szerint a kapcsolódó riasztás hatóköre van kiválasztva.
- Kattintson a Mentés gombra. Most a fájl nincs letiltva, mivel szerepel az engedélyezési listában.
Az új riasztáshangolási funkció alapértelmezés szerint elérhető.
Az Microsoft Defender Portal korábbi felületére azonban visszaállhat a Beállítások > Microsoft Defender XDR > Szabályok > riasztáshangolása elemre, majd kikapcsolhatja az Új hangolási szabályok létrehozása engedélyezve kapcsolót.
Megjegyzés:
Hamarosan csak az új riasztáshangolási felület lesz elérhető. Nem fog tudni visszatérni az előző élményhez.
Meglévő szabályok szerkesztése:
Az új vagy meglévő szabályok feltételeit és hatókörét bármikor hozzáadhatja vagy módosíthatja a Microsoft Defender portálon a megfelelő szabály kiválasztásával, majd a Szabály szerkesztése elemre kattintva.
A meglévő szabályok szerkesztéséhez győződjön meg arról, hogy az Új riasztás finomhangolási szabályainak létrehozása engedélyezve váltógomb engedélyezve van.
Riasztás megoldása
Ha végzett egy riasztás elemzésével, és az megoldható, lépjen a Riasztás kezelése panelre a riasztáshoz vagy hasonló riasztásokhoz, jelölje meg az állapotot Megoldottként , majd sorolja be valódi pozitívként egy fenyegetéstípussal, egy tájékoztató tevékenységgel, a várt tevékenységgel és egy tevékenységtípussal vagy egy Hamis pozitív értékkel.
A riasztások osztályozása segít Microsoft Defender XDR az észlelési minőség javításában.
Riasztások osztályozása a Power Automate használatával
A modern biztonsági üzemeltetési (SecOps) csapatoknak automatizálásra van szükségük a hatékony működéshez. A veszélyforrás-keresésre és a valós fenyegetések kivizsgálására a SecOps-csapatok a Power Automate-et használják a riasztások listájának osztályozására és a nem fenyegetést jelentők kiküszöbölésére.
Riasztások feloldásának feltételei
- A felhasználó házon kívül üzenete be van kapcsolva
- A felhasználó nincs magas kockázatúként megjelölve
Ha mindkettő igaz, a SecOps jogos utazásként jelöli meg a riasztást, és feloldja azt. A riasztás feloldása után a rendszer értesítést küld a Microsoft Teamsben.
A Power Automate csatlakoztatása a Microsoft Defender for Cloud Apps
Az automatizálás létrehozásához szüksége lesz egy API-jogkivonatra, mielőtt csatlakoztathatja a Power Automate-et Microsoft Defender for Cloud Apps.
Nyissa meg Microsoft Defender, válassza a Beállítások>Cloud Apps>API-jogkivonat lehetőséget, majd az API-jogkivonatok lapon válassza a Jogkivonat hozzáadása lehetőséget.
Adja meg a jogkivonat nevét, majd válassza a Létrehozás lehetőséget. Mentse a jogkivonatot, mert később szüksége lesz rá.
Automatizált folyamat létrehozása
Ebből a rövid videóból megtudhatja, hogyan működik hatékonyan az automatizálás egy zökkenőmentes munkafolyamat létrehozásához, és hogyan csatlakoztathatja a Power Automate-et a Defender for Cloud Appshez.
Következő lépések
A folyamatban lévő incidensekhez szükség szerint folytassa a vizsgálatot.
Lásd még
- Incidensek áttekintése
- Incidensek kezelése
- Incidensek kivizsgálása
- Adatveszteség-megelőzési riasztások vizsgálata a Defenderben
- Microsoft Entra ID-védelem
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: