Mengelola insiden

  • 8 menit

Microsoft Defender XDR menyediakan korelasi ancaman lintas domain dan portal berbasis tujuan untuk menyelidiki ancaman. Insiden didasarkan pada pemberitahuan terkait yang dibuat saat kejadian atau aktivitas berbahaya terlihat di jaringan Anda. Setiap pemberitahuan memberi petunjuk yang bermanfaat atas serangan yang terjadi. Namun, serangan umumnya menggunakan berbagai vektor dan teknik untuk melakukan pelanggaran. Menyatukan setiap petunjuk adalah hal yang menantang dan memakan waktu.

Video singkat ini memberikan gambaran umum insiden di Microsoft Defender XDR.

Insiden adalah kumpulan pemberitahuan berkorelasi yang membentuk kisah serangan. Microsoft Defender XDR secara otomatis menggabungkan peristiwa berbahaya dan mencurigakan yang ditemukan di entitas perangkat, pengguna, dan kotak surat yang berbeda di jaringan. Pengelompokan pemberitahuan terkait menjadi insiden akan membantu pertahanan keamanan memiliki pandangan yang komprehensif akan suatu serangan.

Misalnya, pertahanan keamanan dapat melihat lokasi serangan dimulai, taktik yang digunakan, dan seberapa parah serangan telah masuk ke jaringan. Pertahanan keamanan juga dapat melihat ruang lingkup serangan. Seperti berapa banyak perangkat, pengguna, dan kotak surat yang terpengaruh, seberapa parah dampaknya, dan detail lainnya tentang entitas yang terpengaruh.

Jika diaktifkan, Microsoft Defender XDR dapat secara otomatis menyelidiki dan menyelesaikan pemberitahuan individual melalui otomatisasi dan kecerdasan buatan. Pertahanan keamanan juga dapat melakukan lebih banyak langkah remediasi untuk mengatasi serangan langsung dari tampilan insiden.

Insiden selama 30 hari terakhir diperlihatkan dalam antrean insiden. Melalui ini pertahanan keamanan dapat melihat insiden yang harus diprioritaskan berdasarkan tingkat risiko dan faktor lainnya.

Pertahanan keamanan juga dapat mengganti nama insiden, menetapkannya ke setiap analis, mengklasifikasikan, dan menambahkan tag ke insiden untuk pengalaman manajemen insiden yang lebih baik dan lebih disesuaikan.

Memprioritaskan insiden

Microsoft Defender XDR menerapkan analitik korelasi dan menggabungkan semua pemberitahuan dan investigasi terkait dari berbagai produk ke dalam satu insiden. Microsoft Defender XDR juga memicu pemberitahuan unik tentang aktivitas yang hanya dapat diidentifikasi sebagai berbahaya mengingat visibilitas end-to-end yang dimiliki Microsoft Defender XDR di seluruh properti dan rangkaian produk. Tampilan ini membantu analis operasi keamanan Anda memahami gambaran besar serangan, sehingga membantu mereka memahami dan menangani ancaman yang kompleks di seluruh organisasi.

Antrean insiden memperlihatkan koleksi insiden berbendera dari seluruh perangkat, pengguna, dan kotak surat. Antrean insiden membantu Anda mengurutkan insiden yang perlu diprioritaskan dan membuat keputusan respons keamanan siber yang terinformasi.

Screen shot of the Microsoft Defender XDR Incident Queue.

Secara default, antrean di portal Pertahanan Microsoft menampilkan insiden yang terlihat dalam 30 hari terakhir. Insiden terbaru berada di bagian atas daftar sehingga Anda dapat melihatnya di awal.

Antrean insiden mengekspos kolom yang dapat disesuaikan dan memberi Anda visibilitas ke dalam berbagai karakteristik insiden atau entitas yang terkandung. Lapisan informasi yang lebih dalam ini membantu Anda membuat keputusan yang tepat mengenai prioritas insiden yang harus ditangani.

Agar lebih jelas secara sekilas, penamaan insiden otomatis membuat nama insiden berdasarkan atribut pemberitahuan seperti jumlah titik akhir yang terpengaruh, pengguna yang terpengaruh, sumber deteksi, atau kategori. Pemberian nama otomatis memungkinkan Anda dengan cepat memahami ruang lingkup insiden tersebut.

Filter yang tersedia

Keadaan

Anda dapat memilih untuk membatasi daftar insiden yang ditampilkan berdasarkan statusnya untuk melihat insiden mana yang aktif atau yang telah teratasi.

Keparahan

Keparahan suatu insiden menunjukkan dampak insiden tersebut terhadap aset Anda. Semakin tinggi keparahannya, semakin besar dampaknya dan biasanya membutuhkan perhatian segera.

Penetapan insiden

Anda dapat memilih untuk menampilkan peringatan yang ditetapkan untuk Anda atau peringatan yang ditangani oleh otomatisasi.

Beberapa sumber layanan

Pilih Tidak (default), atau ya untuk diaktifkan.

Sumber layanan

Filter untuk hanya melihat insiden yang berisi peringatan dari sumber yang berbeda. Sumber meliputi: Pertahanan Microsoft untuk Titik Akhir, Microsoft Cloud App Security, Pertahanan Microsoft untuk Identitas, Microsoft Defender for Office 365.

Tag

Filter pada tag yang ditetapkan. Tag yang ditetapkan akan muncul setelah Anda memilih bidang Ketik nama tag.

Beberapa kategori

Anda dapat memilih untuk hanya melihat insiden yang telah dipetakan ke beberapa kategori dan dengan demikian berpotensi menyebabkan lebih banyak kerusakan.

Kategori

Pilih kategori untuk berfokus pada taktik, teknik, atau komponen serangan tertentu yang terlihat.

Entitas

Filter pada nama entitas atau ID.

Sensitivitas data

Beberapa serangan berfokus pada penargetan untuk menarik data sensitif atau berharga. Dengan menerapkan filter untuk melihat apakah data sensitif terlibat dalam insiden tersebut, Anda dapat dengan cepat menentukan apakah informasi sensitif telah disusupi. Dan jika ditemukan adanya penyusupan, Anda dapat memprioritaskan respons terhadap insiden tersebut. Kemampuan pemfilteran ini hanya berlaku jika Perlindungan Informasi Microsoft Purview diaktifkan.

Grup perangkat

Memfilter berdasarkan grup perangkat yang ditentukan.

Platform OS

Membatasi tampilan antrean insiden berdasarkan sistem operasi.

Klasifikasi

Memfilter insiden berdasarkan klasifikasi pemberitahuan terkait yang telah ditetapkan. Nilai ini meliputi pemberitahuan benar, pemberitahuan salah, atau tidak ditetapkan.

Status Penyelidikan Otomatis

Memfilter insiden berdasarkan status penyelidikan otomatis.

Ancaman Terkait

Memilih bidang Jenis ancaman terkait akan memungkinkan Anda memasukkan informasi ancaman, dan memunculkan kriteria pencarian sebelumnya.

Meninjau insiden

Halaman portal menyediakan informasi pratinjau untuk sebagian besar data terkait daftar.

Dalam cuplikan layar ini, tiga area yang disorot adalah lingkaran, simbol lebih besar dari, dan tautan yang sebenarnya.

Screen shot of Incident Preview information options.

Lingkaran

Memilih lingkaran akan membuka jendela detail di sisi kanan halaman dengan pratinjau item baris dengan opsi untuk membuka halaman informasi selengkapnya.

Screen shot of Incidents details window.

Simbol lebih besar dari

Jika ada rekaman terkait yang dapat ditampilkan, memilih simbol lebih besar dari akan menampilkan rekaman tersebut di bawah rekaman saat ini.

Screen shot of Related Incident records.

Tautan

Tautan akan mengarahkan Anda ke halaman lengkap untuk item baris.

Mengelola insiden

Mengelola insiden sangat penting demi memastikan bahwa ancaman dapat ditangani. Di Microsoft Defender XDR, Anda memiliki akses untuk mengelola insiden pada perangkat, pengguna, dan kotak surat. Anda dapat mengelola insiden dengan memilih salah satu dari antrean Insiden.

Anda dapat mengedit nama insiden, mengatasinya, serta mengatur klasifikasi dan penentuannya. Anda juga dapat menetapkan insiden untuk Anda sendiri, serta menambahkan tag dan komentar insiden.

Jika Anda ingin memindahkan peringatan dari satu insiden ke insiden lainnya, selama penyelidikan, Anda juga dapat melakukannya dari tab Peringatan. Menggunakan tab Peringatan memungkinkan Anda membuat insiden yang lebih besar atau lebih kecil yang mencakup semua peringatan yang relevan.

Mengedit nama insiden

Insiden secara otomatis memiliki nama yang ditetapkan berdasar atribut pemberitahuan seperti jumlah titik akhir yang terpengaruh, pengguna yang terpengaruh, sumber deteksi, atau kategori. Pemberian nama berdasarkan atribut peringatan memungkinkan Anda dengan cepat memahami ruang lingkup insiden. Anda dapat mengubah nama insiden agar lebih selaras dengan konvensi penamaan yang Anda inginkan.

Menetapkan insiden

Jika insiden belum ditetapkan, Anda dapat memilih Tetapkan kepada saya untuk menetapkan insiden tersebut kepada Anda sendiri. Melakukan penetapan tersebut mengasumsikan kepemilikan insiden dan semua pemberitahuan yang terkait dengannya.

Mengatur status dan klasifikasi

Status insiden

Anda dapat mengategorikan insiden (sebagai Aktif, atau Teratasi) dengan mengubah statusnya saat penyelidikan Anda berlangsung. Kemampuan untuk memperbarui status ini membantu Anda mengatur dan mengelola bagaimana tim Anda dapat merespons insiden.

Misalnya, analis SOC Anda dapat meninjau insiden Aktif yang mendesak untuk hari itu dan memutuskan untuk menetapkannya pada diri sendiri untuk diselidiki.

Atau, analis SOC Anda dapat menetapkan insiden sebagai Terselesaikan jika insiden telah diremediasi. Mengatasi insiden akan secara otomatis menutup semua pemberitahuan terbuka yang merupakan bagian dari insiden.

Klasifikasi dan penentuan

Anda dapat memilih untuk tidak mengatur klasifikasi atau memutuskan untuk menentukan apakah insiden merupakan pemberitahuan benar atau salah. Tindakan ini membantu tim mengenali pola dan mempelajarinya.

Menambahkan komentar

Anda dapat menambahkan komentar dan melihat kejadian historis tentang insiden untuk melihat perubahan yang sebelumnya ditetapkan pada insiden tersebut.

Setiap kali perubahan atau komentar dibuat pada peringatan, hal tersebut akan dicatat di bagian Komentar dan riwayat.

Komentar yang ditambahkan langsung muncul pada panel.

Menambahkan tag insiden

Anda dapat menambahkan tag kustom ke insiden, misalnya, untuk menandai sekelompok insiden yang memiliki karakteristik serupa. Setelahnya Anda akan dapat memfilter antrean insiden untuk semua insiden yang berisi tag tertentu.