4. lépés: Reagálás egy incidensre a Microsoft Sentinel és a Microsoft Defender XDR használatával
Ez a cikk a Microsoft Sentinel és a Microsoft Defender XDR használatával történő incidensmegoldás általános lépéseit és eljárásait ismerteti, beleértve az osztályozást, a vizsgálatot és a megoldást. Microsoft Sentinel és Microsoft Defender XDR-megosztás:
- Az életciklus frissítései (állapot, tulajdonos, besorolás) meg vannak osztva a termékek között.
- A vizsgálat során összegyűjtött bizonyítékok a Microsoft Sentinel-incidensben láthatók.
Az alábbi ábrák bemutatják, hogy a Microsoft kiterjesztett észlelési és válaszmegoldása (XDR) hogyan integrálható zökkenőmentesen a Microsoft Sentinellel attól függően, hogy a Microsoft Sentinel-munkaterületet a Microsoft Defender portál egyesített biztonsági üzemeltetési platformjára előkészítette-e.
Az alábbi ábra bemutatja, hogyan integrálható zökkenőmentesen a Microsoft XDR-megoldása a Microsoft Sentinellel az egyesített biztonsági üzemeltetési platformmal.
Ebben a diagramban:
- A teljes szervezeten belüli jelekből származó információk a Microsoft Defender XDR-be és Felhőhöz készült Microsoft Defender.
- A Microsoft Sentinel támogatja a többfelhős környezeteket, és integrálható külső alkalmazásokkal és partnerekkel.
- A Microsoft Sentinel-adatok a szervezet adataival együtt kerülnek be a Microsoft Defender portálra.
- A SecOps-csapatok ezután elemezhetik és megválaszolhatják a Microsoft Sentinel és a Microsoft Defender XDR által a Microsoft Defender portálon azonosított fenyegetéseket.
Incidenskezelési folyamat
Az incidensek a Microsoft Sentinel és a Microsoft Defender XDR használatával történő megoldásának folyamata eltér attól függően, hogy a munkaterületet az egyesített biztonsági üzemeltetési platformra tette-e, és hozzáférhet-e a Microsoft Sentinelhez a Defender portálon.
A Defender portál használatával trilázhatja a lehetséges incidenst, amely magában foglalja az incidens részleteinek megértését és az azonnali műveletek végrehajtását.
Folytassa a vizsgálatot a Defender portálon, beleértve a következőket:
- Az incidens és hatókörének megismerése, valamint az eszköz ütemterveinek áttekintése.
- Önjavítás függőben lévő műveletek áttekintése, entitások manuális szervizelése, élő válasz végrehajtása.
- Megelőzési intézkedések hozzáadása.
A Defender portál Microsoft Sentinel területén mélyítse el a vizsgálatot, beleértve a következőket:
- Az incidens hatókörének megismerése a biztonsági folyamatokkal, szabályzatokkal és eljárásokkal (3P) való korrelációval.
- 3P automatizált vizsgálati és szervizelési műveletek végrehajtása, valamint egyéni biztonsági vezénylés, automatizálás és válasz (SOAR) forgatókönyvek létrehozása.
- Bizonyíték rögzítése incidenskezeléshez.
- Egyéni mértékek hozzáadása.
Oldja meg az incidenst, és végezze el a megfelelő nyomon követéseket a biztonsági csapaton belül.
További információk:
Függetlenül attól, hogy melyik portált használja, mindenképpen használja ki a Microsoft Sentinel forgatókönyv- és automatizálási szabályfunkcióit:
A forgatókönyvek olyan vizsgálati és szervizelési műveletek gyűjteményei, amelyek rutinként futtathatók a Microsoft Sentinel portálról. A forgatókönyvek segíthetnek automatizálni és vezénylni a fenyegetésekre adott választ. Futtathatók manuálisan igény szerint incidenseken, entitásokon és riasztásokon, vagy beállíthatja, hogy automatikusan fussanak adott riasztásokra vagy incidensekre reagálva, amikor egy automatizálási szabály aktiválja őket. További információ: Fenyegetéskezelés automatizálása forgatókönyvekkel.
Az automatizálási szabályok segítségével központilag kezelheti az automatizálást a Microsoft Sentinelben azáltal, hogy lehetővé teszi a különböző forgatókönyvekre alkalmazható szabályok kis csoportjának definiálását és koordinálását. További információ: Fenyegetéskezelés automatizálása a Microsoft Sentinelben automatizálási szabályokkal.
Miután előkészítette a Microsoft Sentinel-munkaterületet az egyesített biztonsági üzemeltetési platformra, vegye figyelembe, hogy a munkaterület automatizálási funkciói között különbségek vannak. További információ: Automation with the unified security operations platform.
1. lépés: Az incidens osztályozása
Ezeket a lépéseket általános módszerként használhatja a Microsoft Sentinel és a Microsoft Defender XDR incidensének osztályozásához. Ha előkészítette a munkaterületet az egyesített biztonsági üzemeltetési platformra, használja a Defender portált. Ellenkező esetben használja az Azure Portalt.
A Microsoft Sentinel incidenseinek kivizsgálása a Defender portálon:
A Defender portálon válassza a Vizsgálat és válasz > incidensek > riasztások > lehetőséget, és keresse meg a feltételezett incidenst. Szűrje a szolgáltatás-/észlelési forrásokat a Microsoft Sentinelre , így szűkítheti a Microsoft Sentinelből érkező incidensek listáját.
Válassza ki az incidenssort az incidensösszegző panel alapvető információinak megtekintéséhez.
Válassza az Incidens kezelése lehetőséget a név, a súlyosság, az állapot, a besorolás vagy a megjegyzések hozzáadásához. Válassza a Mentés lehetőséget a módosítások mentéséhez.
A vizsgálat folytatásához válassza az Incidens megnyitása lapot .
2. lépés: Az incidens kivizsgálása
Ha a munkaterületet az egyesített biztonsági üzemeltetési platformra készítik fel, az egész lépéshez a Defender portálon marad. Ellenkező esetben kezdje az Azure Portallal. Átugorhat a Defender portálra egy vizsgálathoz, majd visszatérhet az Azure Portalra.
A Defender portál incidens részletei lapJának Támadási történet lapján tekintse meg a saját incidenskezelési munkafolyamat következő lépéseit:
Tekintse meg az incidens támadási történetét, hogy megismerje annak hatókörét, súlyosságát, észlelési forrását és az érintett entitásokat.
Elemezze az incidens riasztásait, hogy megismerje azok eredetét, hatókörét és súlyosságát az incidensen belüli riasztási történettel.
Szükség szerint gyűjtsön információkat az érintett eszközökről, felhasználókról és postaládákról a gráf használatával. Bármely entitáson kiválasztva megnyithat egy úszó panelt az összes részlettel együtt.
Tekintse meg, hogy a Microsoft Defender XDR hogyan oldott fel automatikusan bizonyos riasztásokat a Vizsgálatok lapon.
Szükség szerint használja az incidens adatkészletében található információkat a Bizonyíték és válasz lapon.
Az Eszközök lapon tekintse meg az incidensben érintett entitásokat. Válasszon ki egy felhasználói fiókot, egy gazdagépnevet, egy IP-címet vagy egy Azure-erőforrást, hogy tovább vizsgálhassa az entitás részleteinek oldalán. Ha például kiválasztott egy felhasználót, a felhasználói adatok panelen válassza az Ugrás a felhasználói oldalra lehetőséget a felhasználó entitásadatok lapjának megnyitásához.
Az entitás részletei lapon válassza a Sentinel-események lehetőséget a kijelölt entitás részletes idővonal-információinak és az entitáselemzések megtekintéséhez.
3. lépés: Az incidens megoldása
Ha a vizsgálat lezárult, és ön kijavította az incidenst a portálokon, az incidenst úgy oldhatja meg, hogy az incidens állapotát lezártra állítja.
Ha egy incidens állapotát lezártként jelöli meg, mindenképpen válasszon ki egy besorolást, beleértve az igaz, jóindulatú vagy hamis pozitív beállításokat is.
Példa:
További információ: Incidens feloldása a Defender portálon.
Szükség esetén jelentse az incidenst az incidens-válasz érdeklődőjének, hogy további műveleteket állapítson meg. Példa:
- Tájékoztassa az 1. rétegbeli biztonsági elemzőket a támadás korai észleléséhez.
- A Microsoft Defender XDR Threat Analytics és a biztonsági közösség támadásainak kutatása a biztonsági támadások trendje érdekében.
- Szükség esetén rögzítse az incidens megoldásához használt munkafolyamatot, és frissítse a szabványos munkafolyamatokat, folyamatokat, szabályzatokat és forgatókönyveket.
- Határozza meg, hogy szükség van-e a biztonsági konfiguráció módosítására, és implementálja őket.
- Hozzon létre egy vezénylési forgatókönyvet, amely automatizálja és vezényeli a fenyegetésre adott választ a jövőben hasonló kockázat esetén. További információ: Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben.
Ajánlott betanítás
Ehhez a lépéshez az alábbi betanítási modulok ajánlottak. A betanítási tartalom az általános rendelkezésre állási funkciókra összpontosít, ezért nem tartalmaz tartalmat az előzetes verzióban elérhető egyesített biztonsági üzemeltetési platformhoz.
Biztonsági incidensek kezelése a Microsoft Sentinelben
Oktatás | Biztonsági incidensek kezelése a Microsoft Sentinelben |
---|---|
Ebben a modulban megvizsgálja a Microsoft Sentinel incidenskezelését, megismeri a Microsoft Sentinel-eseményeket és -entitásokat, és felderíti az incidensek megoldásának módjait. |
A megbízhatóság javítása a modern üzemeltetési eljárásokkal: Incidenskezelés
Oktatás | Betanítás A megbízhatóság javítása modern üzemeltetési gyakorlatokkal: Incidenskezelés |
---|---|
Ismerje meg a hatékony incidenskezelés alapjait, és a megvalósítását lehetővé tévő Azure-eszközöket. |
A Microsoft 365 biztonsági incidenskezelésének ismertetése
Oktatás | A Microsoft 365 biztonsági incidenskezelésének ismertetése |
---|---|
Megtudhatja, hogyan vizsgálja, kezeli és kezeli a Microsoft 365 a biztonsági problémákat az ügyfelek és a Microsoft 365 felhőkörnyezetének védelme érdekében. |
Következő lépések
- A Microsoft Sentinel és a Microsoft Defender portálok incidenskezelési folyamataival kapcsolatos további részletekért tekintse meg a Microsoft Sentinel és a Microsoft Defender portál incidenskezelési folyamataival kapcsolatos navigálást és kivizsgálását a Microsoft Defender XDR-ben .
- Tekintse meg az incidenskezelés áttekintését a Microsoft biztonsági ajánlott eljárásairól.
- A gyakori kibertámadásokra való reagáláshoz tekintse meg a munkafolyamatok és ellenőrzőlisták incidens-válasz forgatókönyveit.
Hivatkozások
Az alábbi források segítségével megismerheti a cikkben említett különböző szolgáltatásokat és technológiákat:
- Microsoft Defender XDR-integráció a Microsoft Sentinelrel
- Egyesített SIEM és XDR képességek interaktív útmutatója
- Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben
- Fenyegetéskezelés automatizálása forgatókönyvekkel
- Veszélyforrások elhárításának automatizálási szabályokkal történő automatizálása a Microsoft Sentinelben
- Microsoft Defender XDR Threat Analytics
Az alábbi forrásokból többet tudhat meg az incidensek elhárításáról:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: