Incidensek vizsgálata

  • 4 perc

Az incidensoldal a következő információkat és navigációs hivatkozásokat tartalmazza.

Incidens áttekintése

Az áttekintési oldal áttekintést nyújt az incidenssel kapcsolatos legfontosabb tudnivalókról.

Screenshot of the Incident overview pane.

A támadási kategóriák vizuális és numerikus képet adnak arról, hogy a támadás hogyan haladt előre a gyilkossági lánc ellen. A Microsoft többi biztonsági termékéhez hasonlóan a Microsoft Defender XDR is igazodik a MITRE ATT&CK™ keretrendszerhez.

A hatókör szakasz az incidens részét képező legfontosabb érintett objektumok listáját tartalmazza. Ha az eszközre vonatkozó konkrét információk, például a kockázati szint, a vizsgálati prioritás és az eszközök címkézése, az ebben a szakaszban is megjelennek.

A riasztások idővonala bepillantást nyújt a riasztások időrendébe, valamint az incidenshez kapcsolódó riasztások okaiba.

És végül - a bizonyítékok szakasz összefoglalja, hogy hány különböző összetevő szerepelt az incidensben és azok szervizelési állapotában, így azonnal megállapíthatja, hogy szükség van-e valamilyen műveletre a végén.

Ez az áttekintés segíthet az incidens kezdeti osztályozásában azáltal, hogy betekintést nyújt az incidens legfontosabb jellemzőibe, amelyekkel tisztában kell lennie.

Riasztások

Megtekintheti az incidenshez kapcsolódó összes riasztást és egyéb információkat, például a súlyosságot, a riasztásban részt vevő entitásokat, a riasztások forrását (Microsoft Defender for Identity, Végponthoz készült Microsoft Defender, Office 365-höz készült Microsoft Defender), és hogy miért kapcsolták össze őket.

Alapértelmezés szerint a riasztások időrendben vannak rendezve, hogy először megtekinthesse, hogyan játszották le a támadást az idő múlásával. Ha az egyes riasztásokra kattint, a megfelelő riasztási oldalra kerül, ahol részletes vizsgálatot végezhet a riasztásról.

Devices

Az Eszközök lap felsorolja az összes eszközt, ahol az incidenssel kapcsolatos riasztások láthatók.

A támadást lebonyolító gép névhivatkozására kattintva az eszközoldalra navigálhat. Az Eszköz lapon a rajta aktivált riasztások és a kapcsolódó események láthatók a vizsgálat megkönnyítése érdekében.

Felhasználók

Tekintse meg azokat a felhasználókat, amelyekről megállapították, hogy egy adott incidens részei vagy kapcsolódóak.

A felhasználónévre kattintva navigálhat a felhasználó Felhőhöz készült Microsoft Defender Alkalmazások lapjára, ahol további vizsgálat végezhető.

Postaládák

Vizsgálja meg az incidens részét képező vagy ahhoz kapcsolódó postaládákat.

Alkalmazások

Vizsgálja meg azokat az alkalmazásokat, amelyekről megállapították, hogy egy incidens része vagy kapcsolódó.

Vizsgálatok

Válassza a Vizsgálatok lehetőséget az incidens riasztásai által aktivált összes automatizált vizsgálat megtekintéséhez. A vizsgálatok szervizelési műveleteket hajtanak végre, vagy megvárják a műveletek elemzői jóváhagyását.

Válassza ki a vizsgálatot a Vizsgálat részletei lapra való navigáláshoz, hogy teljes körű információt kapjon a vizsgálatról és a szervizelés állapotáról. Ha bármely művelet jóváhagyásra vár a vizsgálat részeként, azok megjelennek a Függőben lévő műveletek lapon.

Bizonyítékok és válaszok

A Microsoft Defender XDR automatikusan megvizsgálja az incidensek által támogatott eseményeket és gyanús entitásokat a riasztásokban, és automatikus válaszokkal és információkkal szolgál a fontos fájlokról, folyamatokról, szolgáltatásokról, e-mailekről és egyebekről. Ez segít gyorsan észlelni és blokkolni a lehetséges fenyegetéseket az incidensben.

Az elemzett entitások mindegyike ítélettel (rosszindulatú, gyanús, tiszta) és szervizelési állapottal lesz megjelölve. Ez segít megérteni a teljes incidens szervizelési állapotát, valamint a további javítás következő lépéseit.

Grafikon

A gráf egy incidensbe vizualizálja a kapcsolódó kiberbiztonsági fenyegetések adatait, így láthatja a különböző adatpontokból származó mintákat és korrelációkat. Az ilyen korrelációt az incidensdiagramon tekintheti meg.

A Graph a kiberbiztonsági támadás történetét meséli el. Például megmutatja a belépési pontot, amely azt jelzi, hogy melyik eszközön figyelték meg a kompromisszumot vagy a tevékenységet, stb.

Az incidensgráfon található köröket kiválasztva megtekintheti a kártékony fájlok részleteit, a társított fájlészleléseket, a világszerte megtalálható példányokat, azt, hogy megfigyelték-e a szervezetében, ha igen, hány példányt.