Incidensek kezelése

  • 8 perc

A Microsoft Defender XDR egy tartományközi fenyegetés-korrelációt és célalapú portált biztosít a fenyegetések kivizsgálásához. Az incidensek olyan kapcsolódó riasztásokon alapulnak, amelyek akkor jönnek létre, amikor rosszindulatú esemény vagy tevékenység látható a hálózaton. Az egyes riasztások értékes nyomokat nyújtanak egy folyamatban lévő támadásról. A támadások azonban általában különböző vektorokat és technikákat alkalmaznak a behatolás végrehajtásához. Az egyes nyomok összehozása kihívást és időigényes lehet.

Ez a rövid videó áttekintést nyújt a Microsoft Defender XDR-incidensekről.

Az incidens olyan korrelált riasztások gyűjteménye, amelyek egy támadás történetét alkotják. A Microsoft Defender XDR automatikusan összesíti a hálózat különböző eszköz-, felhasználó- és postaláda-entitásaiban található rosszindulatú és gyanús eseményeket. A kapcsolódó riasztások incidensbe való csoportosításával a biztonsági védelmezők átfogó képet kaphatnak a támadásokról.

A biztonsági védők például láthatják, hogy hol kezdődött a támadás, milyen taktikákat alkalmaztak, és hogy milyen messzire jutott a támadás a hálózaton. A biztonsági védők a támadás hatókörét is láthatják. Például, hogy hány eszközre, felhasználóra és postaládára volt hatással, milyen súlyos volt a hatás, és egyéb részletek az érintett entitásokról.

Ha engedélyezve van, a Microsoft Defender XDR automatikusan megvizsgálhatja és feloldhatja az egyes riasztásokat automatizálással és mesterséges intelligenciával. A biztonsági védelmezők további szervizelési lépéseket is végrehajthatnak, hogy közvetlenül az incidensek nézetben oldják meg a támadást.

Az elmúlt 30 nap incidensei megjelennek az incidenssoron. Innen a biztonsági védelmezők láthatják, hogy mely incidenseket kell rangsorba helyezni a kockázati szint és más tényezők alapján.

A biztonsági védők átnevezhetik az incidenseket, hozzárendelhetik őket az egyes elemzőkhöz, osztályozhatják és címkéket adhatnak hozzá az incidensekhez a jobb és testreszabottabb incidenskezelési élmény érdekében.

Incidensek rangsorolása

A Microsoft Defender XDR korrelációs analitikát alkalmaz, és a különböző termékekből származó összes kapcsolódó riasztást és vizsgálatot egyetlen incidensbe összesíti. A Microsoft Defender XDR egyedi riasztásokat is aktivál azokra a tevékenységekre vonatkozóan, amelyek csak rosszindulatúként azonosíthatók, mivel a Microsoft Defender XDR a teljes termékkészletben megtalálható. Ez a nézet szélesebb körű támadási történetet biztosít a biztonsági műveletek elemzőjének, amely segít nekik jobban megérteni és kezelni a szervezet összetett fenyegetéseit.

Az Incidensek üzenetsor az eszközök, felhasználók és postaládák megjelölt incidenseinek gyűjteményét jeleníti meg. Segít az incidensek rendezésében, hogy rangsorolja és hozzon létre egy megalapozott kiberbiztonsági választ.

Screen shot of the Microsoft Defender XDR Incident Queue.

Alapértelmezés szerint a Microsoft Defender portál üzenetsora az elmúlt 30 napban látott incidenseket jeleníti meg. A legutóbbi incidens a lista tetején található, így ön láthatja először.

Az incidenssor testre szabható oszlopokat tesz elérhetővé, amelyek betekintést nyújtanak az incidens vagy a benne foglalt entitások különböző jellemzőibe. Ez a mélyebb információréteg segít megalapozott döntést hozni a kezelendő incidensek rangsorolásával kapcsolatban.

Az automatikus incidenselnevezés egy pillantással áttekinthetőbbé teszi az incidensneveket olyan riasztási attribútumok alapján, mint az érintett végpontok száma, az érintett felhasználók, az észlelési források vagy a kategóriák. Az automatikus elnevezés lehetővé teszi az incidens hatókörének gyors megértését.

Elérhető szűrők

Állapot

Az állapotuk alapján megjelenített incidensek listájának korlátozásával megtekintheti, hogy mely incidensek vannak aktívak vagy feloldva.

Súlyosság

Az incidens súlyossága azt jelzi, hogy milyen hatással lehet az eszközökre. Minél nagyobb a súlyosság, annál nagyobb a hatás, és általában a legközönségesebb figyelmet igényli.

Incidens-hozzárendelés

Választhat, hogy az Önhöz rendelt riasztásokat vagy az automatizálás által kezelt riasztásokat jeleníti meg.

Több szolgáltatásforrás

Válassza a Nem (alapértelmezett) vagy az igen lehetőséget az engedélyezéshez.

Szolgáltatásforrások

Szűréssel csak a különböző forrásokból származó riasztásokat tartalmazó incidensek láthatók. A források a következők: Végponthoz készült Microsoft Defender, Microsoft Felhőappbiztonság, Microsoft Defender for Identity, Office 365-höz készült Microsoft Defender.

Címkék

Szűrjön a hozzárendelt címkékre. A Típuscímke név mező kiválasztása után minden hozzárendelt címke megjelenik.

Több kategória

Dönthet úgy, hogy csak azokat az incidenseket látja, amelyek több kategóriára vannak megfeleltetve, és így nagyobb károkat okozhatnak.

Kategóriák

Válassza ki a kategóriákat, amelyek a látott taktikákra, technikákra vagy támadási összetevőkre összpontosítanak.

Entitások

Szűrjön az entitás nevére vagy azonosítójára.

Adatérzékenység

Egyes támadások a bizalmas vagy értékes adatok kiszűrésére összpontosítanak. Ha szűrőt alkalmaz annak megállapítására, hogy bizalmas adatok is érintettek-e az incidensben, gyorsan megállapíthatja, hogy sérültek-e a bizalmas adatok. És ha talál egy kompromisszumot, rangsorolhatja az ilyen incidensekre adott választ. Ez a szűrési képesség csak akkor alkalmazható, ha Microsoft Purview információvédelem be van kapcsolva.

Eszközcsoport

Szűrés definiált eszközcsoportok szerint.

Operációsrendszer-platform

Az incidenssor nézetének korlátozása operációs rendszer szerint.

Osztályozás

Az incidensek szűrése a kapcsolódó riasztások beállított besorolása alapján. Az értékek közé tartoznak a valódi riasztások, a hamis riasztások vagy a nincs beállítva.

Automatizált vizsgálat állapota

Az incidensek szűrése az automatizált vizsgálat állapota alapján.

Társított fenyegetés

A Típushoz társított fenyegetésmező kiválasztásával megadhatja a fenyegetésre vonatkozó információkat, és megjelenítheti a korábbi keresési feltételeket.

Előzetes verziójú incidensek

A portáloldalak a legtöbb listával kapcsolatos adat előnézeti adatait biztosítják.

Ebben a képernyőképen a három kiemelt terület a kör, a nagyobb, mint a szimbólum és a tényleges hivatkozás.

Screen shot of Incident Preview information options.

Kör

A kör kiválasztásával megnyílik a lap jobb oldalán egy részletablak, amelyen a sorelem előnézete látható, és a teljes oldalnyi információ megnyitható.

Screen shot of Incidents details window.

Nagyobb, mint szimbólum

Ha vannak olyan kapcsolódó rekordok, amelyek megjeleníthetők, a nagyobb jel kiválasztásával az aktuális rekord alatti rekordok jelennek meg.

Screen shot of Related Incident records.

Láncszem

A hivatkozás a sorelem teljes oldalára navigál.

Incidensek kezelése

Az incidensek kezelése kritikus fontosságú a fenyegetések megfékezése és kezelése szempontjából. A Microsoft Defender XDR-ben hozzáférhet az eszközök, felhasználók és postaládák incidenseinek kezeléséhez. Az incidenseket úgy kezelheti, ha kiválaszt egy incidenst az Incidensek üzenetsorból.

Szerkesztheti az incidens nevét, feloldhatja azt, beállíthatja annak besorolását és meghatározását. Az incidenst saját magának is hozzárendelheti, incidenscímkéket és megjegyzéseket adhat hozzá.

Azokban az esetekben, amikor riasztásokat szeretne áthelyezni az egyik incidensből a másikba, a vizsgálat során ezt a Riasztások lapon is megteheti. A Riasztások lapon létrehozhat egy nagyobb vagy kisebb incidenst, amely az összes releváns riasztást tartalmazza.

Incidens nevének szerkesztése

Az incidensek automatikusan hozzárendelnek egy nevet a riasztási attribútumok alapján, például az érintett végpontok száma, az érintett felhasználók, az észlelési források vagy a kategóriák alapján. A riasztási attribútumokon alapuló elnevezés lehetővé teszi az incidens hatókörének gyors megértését. Az incidens nevét úgy módosíthatja, hogy jobban igazodjon az előnyben részesített elnevezési konvencióhoz.

Incidensek hozzárendelése

Ha még nem rendeltek hozzá incidenst, a Hozzám rendelés lehetőséget választva saját magának rendelheti hozzá az incidenst. Ez nem csak az incidens, hanem az ahhoz kapcsolódó összes riasztás tulajdonjogát is feltételezi.

Állapot és besorolás beállítása

Incidens állapota

Az incidenseket (aktívként vagy megoldottként) kategorizálhatja az állapotuknak a vizsgálat előrehaladása során történő módosításával. Az állapot frissítésének képessége segít rendszerezni és kezelni, hogy csapata hogyan reagálhat az incidensekre.

Az SOC-elemző például áttekintheti a nap sürgős aktív incidenseit, és dönthet úgy, hogy saját magukhoz rendeli őket vizsgálatra.

Alternatív megoldásként az SOC-elemző feloldottként is beállíthatja az incidenst, ha az incidenst kijavították. Az incidens feloldása automatikusan bezárja az incidens részét képező összes nyitott riasztást.

Besorolás és meghatározás

Dönthet úgy, hogy nem állít be besorolást, vagy eldönti, hogy az incidens valódi vagy hamis riasztás-e. Ezzel segít a csapatnak a minták megtekintésében és a tőlük való tanulásban.

Megjegyzések hozzáadása

Megjegyzéseket fűzhet hozzá, és megtekintheti az incidenssel kapcsolatos előzményeseményeket, hogy láthassa a rajta végrehajtott korábbi módosításokat.

Amikor módosít vagy megjegyzést fűz egy riasztáshoz, az a Megjegyzések és előzmények szakaszban lesz rögzítve.

A hozzáadott megjegyzések azonnal megjelennek a panelen.

Incidenscímkék hozzáadása

Hozzáadhat egyéni címkéket egy incidenshez, például az incidensek egy csoportjának megjelöléséhez, közös jellemzőkkel. Később szűrheti az incidensek üzenetsorát minden olyan incidensre, amely egy adott címkét tartalmaz.