Menyelidiki pemberitahuan keamanan Pertahanan untuk Identitas di Pertahanan Microsoft XDR
Artikel ini menjelaskan dasar-dasar cara bekerja dengan pemberitahuan keamanan Microsoft Defender untuk Identitas di Microsoft Defender XDR.
Pemberitahuan Defender for Identity diintegrasikan secara asli ke dalam Microsoft Defender XDR dengan format halaman pemberitahuan Identitas khusus.
Halaman Pemberitahuan identitas memberi pelanggan Microsoft Defender untuk Identitas pengayaan sinyal lintas domain yang lebih baik dan kemampuan respons identitas otomatis baru. Ini memastikan bahwa Anda tetap aman dan membantu meningkatkan efisiensi operasi keamanan Anda.
Salah satu manfaat menyelidiki pemberitahuan melalui Microsoft Defender XDR adalah bahwa pemberitahuan Microsoft Defender untuk Identitas dikorelasikan lebih lanjut dengan informasi yang diperoleh dari masing-masing produk lain di suite. Pemberitahuan yang ditingkatkan ini konsisten dengan format pemberitahuan Microsoft Defender XDR lainnya yang berasal dari Microsoft Defender untuk Office 365 dan Microsoft Defender untuk Titik Akhir. Halaman baru secara efektif menghilangkan kebutuhan untuk menavigasi ke portal produk lain untuk menyelidiki pemberitahuan yang terkait dengan identitas.
Pemberitahuan yang berasal dari Defender for Identity sekarang dapat memicu kemampuan investigasi dan respons otomatis (AIR) Pertahanan Microsoft XDR, termasuk memulihkan pemberitahuan secara otomatis dan mitigasi alat dan proses yang dapat berkontribusi pada aktivitas yang mencurigakan.
Penting
Sebagai bagian dari konvergensi dengan Microsoft Defender XDR, beberapa opsi dan detail telah berubah dari lokasinya di portal Defender for Identity. Silakan baca detail di bawah ini untuk menemukan tempat menemukan fitur yang akrab dan baru.
Meninjau pemberitahuan keamanan
Pemberitahuan dapat diakses dari beberapa lokasi, termasuk halaman Pemberitahuan, halaman Insiden, halaman Perangkat individual, dan dari halaman Perburuan tingkat lanjut. Dalam contoh ini, kita akan meninjau halaman Pemberitahuan.
Di Microsoft Defender XDR, buka Insiden & pemberitahuan lalu ke Pemberitahuan.
Untuk melihat pemberitahuan dari Defender for Identity, di kanan atas pilih Filter, lalu di bawah Sumber layanan pilih Microsoft Defender untuk Identitas, dan pilih Terapkan:
Pemberitahuan ditampilkan dengan informasi di kolom berikut: Nama pemberitahuan, Tag, Tingkat Keparahan, Status Investigasi, Status, Kategori, Sumber deteksi, Aset yang Terkena Dampak, Aktivitas pertama, dan Aktivitas terakhir.
Kategori pemberitahuan keamanan
Pemberitahuan keamanan Defender for Identity dibagi menjadi kategori atau fase berikut, seperti fase yang terlihat dalam rantai pembunuhan serangan cyber yang khas.
- Pemberitahuan pengintaian
- Pemberitahuan kredensial yang disusupi
- Pemberitahuan gerakan lateral
- Pemberitahuan dominasi domain
- Pemberitahuan eksfiltrasi
Mengelola pemberitahuan
Jika Anda memilih Nama pemberitahuan untuk salah satu pemberitahuan, Anda akan masuk ke halaman dengan detail tentang pemberitahuan tersebut. Di panel kiri, Anda akan melihat ringkasan Apa yang terjadi:
Di atas kotak Apa yang terjadi adalah tombol untuk Akun, Host Tujuan, dan Host Sumber pemberitahuan. Untuk pemberitahuan lain, Anda mungkin melihat tombol untuk detail tentang host, akun, alamat IP, domain, dan grup keamanan tambahan. Pilih salah satu dari mereka untuk mendapatkan detail selengkapnya tentang entitas yang terlibat.
Di panel kanan, Anda akan melihat detail Pemberitahuan. Di sini Anda dapat melihat detail selengkapnya dan melakukan beberapa tugas:
Klasifikasikan pemberitahuan ini - Di sini Anda dapat menunjuk pemberitahuan ini sebagai pemberitahuan Benar atau Pemberitahuan palsu
Status pemberitahuan - Di Atur Klasifikasi, Anda dapat mengklasifikasikan pemberitahuan sebagai Benar atau Salah. Di Ditetapkan ke, Anda dapat menetapkan pemberitahuan untuk diri Anda sendiri atau menghapus penetapannya.
Detail pemberitahuan - Di bawah Detail pemberitahuan, Anda dapat menemukan informasi selengkapnya tentang pemberitahuan tertentu, mengikuti tautan ke dokumentasi tentang jenis pemberitahuan, melihat insiden mana yang terkait dengan pemberitahuan, meninjau investigasi otomatis apa pun yang ditautkan ke jenis pemberitahuan ini, dan melihat perangkat dan pengguna yang terkena dampak.
Komentar & riwayat - Di sini Anda dapat menambahkan komentar ke pemberitahuan, dan melihat riwayat semua tindakan yang terkait dengan pemberitahuan.
Kelola pemberitahuan - Jika Anda memilih Kelola pemberitahuan, Anda akan masuk ke panel yang akan memungkinkan Anda mengedit:
Status - Anda dapat memilih Baru, Diselesaikan, atau Sedang Berlangsung.
Klasifikasi - Anda dapat memilih Pemberitahuan benar atau Pemberitahuan palsu.
Komentar - Anda dapat menambahkan komentar tentang pemberitahuan.
Jika Anda memilih tiga titik di samping Kelola pemberitahuan, Anda dapat Menautkan pemberitahuan ke insiden lain, Membuat aturan supresi (hanya tersedia untuk pelanggan pratinjau), atau Minta Pakar Pertahanan.
Anda juga dapat mengekspor pemberitahuan ke file Excel. Untuk melakukan ini, pilih Ekspor.
Catatan
Dalam file Excel, Anda sekarang memiliki dua tautan yang tersedia: Tampilkan di Microsoft Defender untuk Identitas dan Tampilkan di Pertahanan Microsoft XDR. Setiap tautan akan membawa Anda ke portal yang relevan, dan memberikan informasi tentang pemberitahuan di sana.
Menyetel pemberitahuan
Sesuaikan pemberitahuan Anda untuk menyesuaikan dan mengoptimalkannya, mengurangi positif palsu. Penyetelan pemberitahuan memungkinkan tim SOC Anda untuk fokus pada pemberitahuan berprioritas tinggi dan meningkatkan cakupan deteksi ancaman di seluruh sistem Anda. Di Microsoft Defender XDR, buat kondisi aturan berdasarkan jenis bukti, lalu terapkan aturan Anda pada jenis aturan apa pun yang cocok dengan kondisi Anda.
Untuk informasi selengkapnya, lihat Menyetel pemberitahuan.
Baca juga
Pelajari selengkapnya
- Cobalah panduan interaktif kami: Mendeteksi aktivitas mencurigakan dan potensi serangan dengan Microsoft Defender untuk Identitas