4. lépés: Reagálás egy incidensre a Microsoft Sentinel és a Microsoft Defender XDR használatával

• A következőre érvényes::

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Ez a cikk a Microsoft Sentinel és a Microsoft Defender XDR használatával történő incidensmegoldás általános lépéseit és eljárásait ismerteti, beleértve az osztályozást, a vizsgálatot és a megoldást. Microsoft Sentinel és Microsoft Defender XDR-megosztás:

• Az életciklus frissítései (állapot, tulajdonos, besorolás) meg vannak osztva a termékek között.
• A vizsgálat során összegyűjtött bizonyítékok a Microsoft Sentinel-incidensben láthatók.

Az alábbi ábrák bemutatják, hogy a Microsoft kiterjesztett észlelési és válaszmegoldása (XDR) hogyan integrálható zökkenőmentesen a Microsoft Sentinellel attól függően, hogy a Microsoft Sentinel-munkaterületet a Microsoft Defender portál egyesített biztonsági üzemeltetési platformjára előkészítette-e.

Defender portál

Az alábbi ábra bemutatja, hogyan integrálható zökkenőmentesen a Microsoft XDR-megoldása a Microsoft Sentinellel az egyesített biztonsági üzemeltetési platformmal.

Ebben a diagramban:

• A teljes szervezeten belüli jelekből származó információk a Microsoft Defender XDR-be és Felhőhöz készült Microsoft Defender.
• A Microsoft Sentinel támogatja a többfelhős környezeteket, és integrálható külső alkalmazásokkal és partnerekkel.
• A Microsoft Sentinel-adatok a szervezet adataival együtt kerülnek be a Microsoft Defender portálra.
• A SecOps-csapatok ezután elemezhetik és megválaszolhatják a Microsoft Sentinel és a Microsoft Defender XDR által a Microsoft Defender portálon azonosított fenyegetéseket.

Azure Portalra

Az alábbi ábra bemutatja, hogyan integrálható zökkenőmentesen a Microsoft XDR-megoldása a Microsoft Sentinellel.

Ebben a diagramban:

• A teljes szervezeten belüli jelekből származó információk a Microsoft Defender XDR-be és Felhőhöz készült Microsoft Defender.
• A Microsoft Defender XDR és Felhőhöz készült Microsoft Defender SIEM-naplóadatokat küldenek a Microsoft Sentinel-összekötőken keresztül.
• A SecOps-csapatok ezután elemezhetik és megválaszolhatják a Microsoft Sentinel és a Microsoft Defender portálon azonosított fenyegetéseket.
• A Microsoft Sentinel támogatja a többfelhős környezeteket, és integrálható külső alkalmazásokkal és partnerekkel.

A Microsoft Defender és a Microsoft Sentinel integrációjáról további információt a Microsoft Defender XDR-integrációja a Microsoft Sentinellel című témakörben talál. Ez az interaktív útmutató végigvezeti a Modern támadások észlelésén és megválaszolásán a Microsoft egységes biztonsági információ- és eseménykezelési (SIEM) és kiterjesztett észlelési és válaszkezelési (XDR) képességeivel.

Incidenskezelési folyamat

Az incidensek a Microsoft Sentinel és a Microsoft Defender XDR használatával történő megoldásának folyamata eltér attól függően, hogy a munkaterületet az egyesített biztonsági üzemeltetési platformra tette-e, és hozzáférhet-e a Microsoft Sentinelhez a Defender portálon.

Defender portál

1. A Defender portál használatával trilázhatja a lehetséges incidenst, amely magában foglalja az incidens részleteinek megértését és az azonnali műveletek végrehajtását.

2. Folytassa a vizsgálatot a Defender portálon, beleértve a következőket:

   • Az incidens és hatókörének megismerése, valamint az eszköz ütemterveinek áttekintése.
   • Önjavítás függőben lévő műveletek áttekintése, entitások manuális szervizelése, élő válasz végrehajtása.
   • Megelőzési intézkedések hozzáadása.

   A Defender portál Microsoft Sentinel területén mélyítse el a vizsgálatot, beleértve a következőket:

   • Az incidens hatókörének megismerése a biztonsági folyamatokkal, szabályzatokkal és eljárásokkal (3P) való korrelációval.
   • 3P automatizált vizsgálati és szervizelési műveletek végrehajtása, valamint egyéni biztonsági vezénylés, automatizálás és válasz (SOAR) forgatókönyvek létrehozása.
   • Bizonyíték rögzítése incidenskezeléshez.
   • Egyéni mértékek hozzáadása.

3. Oldja meg az incidenst, és végezze el a megfelelő nyomon követéseket a biztonsági csapaton belül.

További információk:

• Incidensek vizsgálata a Microsoft Defender XDR-ben
• Incidenskezelés a Microsoft Defender XDR-vel
• Entitáslapok a Microsoft Sentinelben

Azure Portalra

1. A Microsoft Sentinel használata az Azure Portalon a lehetséges incidens osztályozásához, amely magában foglalja az incidens részleteinek megértését és az azonnali műveletek végrehajtását.

2. Lépjen át a Microsoft Defender portálra a vizsgálat megkezdéséhez. Ide tartoznak az alábbiak:

   • Az incidens és hatókörének megismerése, valamint az eszköz ütemterveinek áttekintése.
   • Önjavítás függőben lévő műveletek áttekintése, entitások manuális szervizelése, élő válasz végrehajtása.
   • Megelőzési intézkedések hozzáadása.

3. Szükség esetén folytassa a vizsgálatot a Microsoft Sentinel portálon. Ide tartoznak az alábbiak:

   • Az incidens hatókörének megismerése a biztonsági folyamatokkal, szabályzatokkal és eljárásokkal (3P) való korrelációval.
   • 3P automatizált vizsgálati és szervizelési műveletek végrehajtása, valamint egyéni biztonsági vezénylés, automatizálás és válasz (SOAR) forgatókönyvek létrehozása.
   • Bizonyíték rögzítése incidenskezeléshez.
   • Egyéni mértékek hozzáadása.

4. Oldja meg az incidenst a Microsoft Sentinel portálon, és végezze el a megfelelő nyomon követéseket a biztonsági csapaton belül.

További információ: Navigálás és incidensek kivizsgálása a Microsoft Sentinelben.

Függetlenül attól, hogy melyik portált használja, mindenképpen használja ki a Microsoft Sentinel forgatókönyv- és automatizálási szabályfunkcióit:

• A forgatókönyvek olyan vizsgálati és szervizelési műveletek gyűjteményei, amelyek rutinként futtathatók a Microsoft Sentinel portálról. A forgatókönyvek segíthetnek automatizálni és vezénylni a fenyegetésekre adott választ. Futtathatók manuálisan igény szerint incidenseken, entitásokon és riasztásokon, vagy beállíthatja, hogy automatikusan fussanak adott riasztásokra vagy incidensekre reagálva, amikor egy automatizálási szabály aktiválja őket. További információ: Fenyegetéskezelés automatizálása forgatókönyvekkel.

• Az automatizálási szabályok segítségével központilag kezelheti az automatizálást a Microsoft Sentinelben azáltal, hogy lehetővé teszi a különböző forgatókönyvekre alkalmazható szabályok kis csoportjának definiálását és koordinálását. További információ: Fenyegetéskezelés automatizálása a Microsoft Sentinelben automatizálási szabályokkal.

Miután előkészítette a Microsoft Sentinel-munkaterületet az egyesített biztonsági üzemeltetési platformra, vegye figyelembe, hogy a munkaterület automatizálási funkciói között különbségek vannak. További információ: Automation with the unified security operations platform.

1. lépés: Az incidens osztályozása

Ezeket a lépéseket általános módszerként használhatja a Microsoft Sentinel és a Microsoft Defender XDR incidensének osztályozásához. Ha előkészítette a munkaterületet az egyesített biztonsági üzemeltetési platformra, használja a Defender portált. Ellenkező esetben használja az Azure Portalt.

Defender portál

A Microsoft Sentinel incidenseinek kivizsgálása a Defender portálon:

1. A Defender portálon válassza a Vizsgálat és válasz > incidensek > riasztások > lehetőséget, és keresse meg a feltételezett incidenst. Szűrje a szolgáltatás-/észlelési forrásokat a Microsoft Sentinelre , így szűkítheti a Microsoft Sentinelből érkező incidensek listáját.

2. Válassza ki az incidenssort az incidensösszegző panel alapvető információinak megtekintéséhez.

3. Válassza az Incidens kezelése lehetőséget a név, a súlyosság, az állapot, a besorolás vagy a megjegyzések hozzáadásához. Válassza a Mentés lehetőséget a módosítások mentéséhez.

4. A vizsgálat folytatásához válassza az Incidens megnyitása lapot .

Azure Portalra

Incidensek kivizsgálása az Azure Portalon:

1. A Microsoft Sentinel Fenyegetéskezelés területén válassza az Incidensek lehetőséget, és keresse meg a feltételezett incidenst.

2. Az incidensösszegző panelen frissítse a tulajdonos nevét, állapotát, súlyosságát vagy megjegyzéseit.

3. A vizsgálat folytatásához válassza a Teljes adatok megtekintése lehetőséget.

2. lépés: Az incidens kivizsgálása

Ha a munkaterületet az egyesített biztonsági üzemeltetési platformra készítik fel, az egész lépéshez a Defender portálon marad. Ellenkező esetben kezdje az Azure Portallal. Átugorhat a Defender portálra egy vizsgálathoz, majd visszatérhet az Azure Portalra.

Defender portál

A Defender portál incidens részletei lapJának Támadási történet lapján tekintse meg a saját incidenskezelési munkafolyamat következő lépéseit:

1. Tekintse meg az incidens támadási történetét, hogy megismerje annak hatókörét, súlyosságát, észlelési forrását és az érintett entitásokat.

2. Elemezze az incidens riasztásait, hogy megismerje azok eredetét, hatókörét és súlyosságát az incidensen belüli riasztási történettel.

3. Szükség szerint gyűjtsön információkat az érintett eszközökről, felhasználókról és postaládákról a gráf használatával. Bármely entitáson kiválasztva megnyithat egy úszó panelt az összes részlettel együtt.

4. Tekintse meg, hogy a Microsoft Defender XDR hogyan oldott fel automatikusan bizonyos riasztásokat a Vizsgálatok lapon.

5. Szükség szerint használja az incidens adatkészletében található információkat a Bizonyíték és válasz lapon.

6. Az Eszközök lapon tekintse meg az incidensben érintett entitásokat. Válasszon ki egy felhasználói fiókot, egy gazdagépnevet, egy IP-címet vagy egy Azure-erőforrást, hogy tovább vizsgálhassa az entitás részleteinek oldalán. Ha például kiválasztott egy felhasználót, a felhasználói adatok panelen válassza az Ugrás a felhasználói oldalra lehetőséget a felhasználó entitásadatok lapjának megnyitásához.

7. Az entitás részletei lapon válassza a Sentinel-események lehetőséget a kijelölt entitás részletes idővonal-információinak és az entitáselemzések megtekintéséhez.

Azure Portalra

1. Az Azure Portal incidens részleteinek oldalán:

   • Az Incidens általános információinak megtekintése az Áttekintés lapon, beleértve az incidens ütemtervét, az entitások listáját és a kapcsolódó incidenseket.

   • Válassza a Vizsgálat lehetőséget az incidens gráfjának megtekintéséhez.

   • Válassza az Entitások lapot, majd válasszon ki egy entitást a további vizsgálathoz. Válassza ki az entitáspanel Elemzések szakaszát, és tekintse át az incidensről gyűjtött elemzéseket.

   • Válassza a Vizsgálat a Microsoft Defender XDR-ben lehetőséget, ha meg szeretné nyitni ugyanazt az incidenst a Defender portálon.

2. A Defender portál incidens részletei lapJának Támadási történet lapján tekintse meg a saját incidenskezelési munkafolyamat következő lépéseit:

   1. Tekintse meg az incidens támadási történetét, hogy megismerje annak hatókörét, súlyosságát, észlelési forrását és az érintett entitásokat.

   2. Elemezze az incidens riasztásait, hogy megismerje azok eredetét, hatókörét és súlyosságát az incidensen belüli riasztási történettel.

   3. Szükség szerint gyűjtsön információkat az érintett eszközökről, felhasználókról és postaládákról a gráf használatával. Bármely entitáson kiválasztva megnyithat egy úszó panelt az összes részlettel együtt.

   4. Tekintse meg, hogy a Microsoft Defender XDR hogyan oldott fel automatikusan bizonyos riasztásokat a Vizsgálatok lapon.

   5. Szükség szerint használja az incidens adatkészletében található információkat a Bizonyíték és válasz lapon.

3. Térjen vissza az Azure Portalra további incidensműveletek végrehajtásához, például forgatókönyv futtatásához vagy automatizálási szabály létrehozásához.

   Megjegyzéseket fűzhet az incidenshez a műveletek és az elemzés eredményeinek rögzítéséhez.

3. lépés: Az incidens megoldása

Ha a vizsgálat lezárult, és ön kijavította az incidenst a portálokon, az incidenst úgy oldhatja meg, hogy az incidens állapotát lezártra állítja.

Ha egy incidens állapotát lezártként jelöli meg, mindenképpen válasszon ki egy besorolást, beleértve az igaz, jóindulatú vagy hamis pozitív beállításokat is.

Példa:

Defender portál

További információ: Incidens feloldása a Defender portálon.

Azure Portalra

További információ: Incidens bezárása az Azure Portalon.

Szükség esetén jelentse az incidenst az incidens-válasz érdeklődőjének, hogy további műveleteket állapítson meg. Példa:

• Tájékoztassa az 1. rétegbeli biztonsági elemzőket a támadás korai észleléséhez.
• A Microsoft Defender XDR Threat Analytics és a biztonsági közösség támadásainak kutatása a biztonsági támadások trendje érdekében.
• Szükség esetén rögzítse az incidens megoldásához használt munkafolyamatot, és frissítse a szabványos munkafolyamatokat, folyamatokat, szabályzatokat és forgatókönyveket.
• Határozza meg, hogy szükség van-e a biztonsági konfiguráció módosítására, és implementálja őket.
• Hozzon létre egy vezénylési forgatókönyvet, amely automatizálja és vezényeli a fenyegetésre adott választ a jövőben hasonló kockázat esetén. További információ: Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben.

Ajánlott betanítás

Ehhez a lépéshez az alábbi betanítási modulok ajánlottak. A betanítási tartalom az általános rendelkezésre állási funkciókra összpontosít, ezért nem tartalmaz tartalmat az előzetes verzióban elérhető egyesített biztonsági üzemeltetési platformhoz.

Biztonsági incidensek kezelése a Microsoft Sentinelben

Oktatás	Biztonsági incidensek kezelése a Microsoft Sentinelben
	Ebben a modulban megvizsgálja a Microsoft Sentinel incidenskezelését, megismeri a Microsoft Sentinel-eseményeket és -entitásokat, és felderíti az incidensek megoldásának módjait.

Elkezd >

A megbízhatóság javítása a modern üzemeltetési eljárásokkal: Incidenskezelés

Oktatás	Betanítás A megbízhatóság javítása modern üzemeltetési gyakorlatokkal: Incidenskezelés
	Ismerje meg a hatékony incidenskezelés alapjait, és a megvalósítását lehetővé tévő Azure-eszközöket.

Elkezd >

A Microsoft 365 biztonsági incidenskezelésének ismertetése

Oktatás	A Microsoft 365 biztonsági incidenskezelésének ismertetése
	Megtudhatja, hogyan vizsgálja, kezeli és kezeli a Microsoft 365 a biztonsági problémákat az ügyfelek és a Microsoft 365 felhőkörnyezetének védelme érdekében.

Elkezd >

Következő lépések

• A Microsoft Sentinel és a Microsoft Defender portálok incidenskezelési folyamataival kapcsolatos további részletekért tekintse meg a Microsoft Sentinel és a Microsoft Defender portál incidenskezelési folyamataival kapcsolatos navigálást és kivizsgálását a Microsoft Defender XDR-ben .
• Tekintse meg az incidenskezelés áttekintését a Microsoft biztonsági ajánlott eljárásairól.
• A gyakori kibertámadásokra való reagáláshoz tekintse meg a munkafolyamatok és ellenőrzőlisták incidens-válasz forgatókönyveit.

Hivatkozások

Az alábbi források segítségével megismerheti a cikkben említett különböző szolgáltatásokat és technológiákat:

• Microsoft Defender XDR-integráció a Microsoft Sentinelrel
• Egyesített SIEM és XDR képességek interaktív útmutatója
• Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben
• Fenyegetéskezelés automatizálása forgatókönyvekkel
• Veszélyforrások elhárításának automatizálási szabályokkal történő automatizálása a Microsoft Sentinelben
• Microsoft Defender XDR Threat Analytics

Az alábbi forrásokból többet tudhat meg az incidensek elhárításáról:

• Navigálás és incidensek kivizsgálása a Microsoft Sentinelben
• Incidenskezelés a Microsoft Defender XDR-vel
• Incidenskezelés áttekintése
• Incidenskezelési forgatókönyvek