Kelola dan investigasi pemberitahuan

  • 10 menit

Mengelola peringatan penyelidikan

Anda dapat mengelola pemberitahuan dengan memilih pemberitahuan di antrean Pemberitahuan atau tab Pemberitahuan dari halaman Perangkat untuk perangkat individual. Memilih pemberitahuan di salah satu tempat tersebut memunculkan panel Manajemen pemberitahuan.

Screenshot of the Microsoft Defender XDR Alerts Queue page.

Manajemen Pemberitahuan

Anda dapat menampilkan dan mengatur metadata tentang Pratinjau pemberitahuan atau halaman Detail pemberitahuan.

Screenshot of the Microsoft Defender XDR Alert details page.

Bidang metadata meliputi dan tindakan meliputi:

Tingkat keparahan

  • Tinggi (Merah) - Pemberitahuan yang umumnya terlihat terkait dengan ancaman persisten lanjutan (APT). Pemberitahuan ini menunjukkan risiko tinggi karena tingkat kerusakan yang dapat mereka timbulkan pada perangkat. Contohnya termasuk aktivitas alat pencurian kredensial, aktivitas ransomware yang tidak terkait dengan grup mana pun, merusak sensor keamanan, atau aktivitas jahat apa pun yang mengindikasikan ancaman.

  • Sedang (Oranye) - Pemberitahuan dari deteksi titik akhir dan perilaku pasca-pelanggaran yang mungkin menjadi bagian dari ancaman persisten tingkat lanjut (APT). Ini termasuk perilaku yang diamati dari tahap serangan, perubahan registri yang ganjil, eksekusi file yang mencurigakan, dan sebagainya. Meskipun beberapa mungkin menjadi bagian dari pengujian keamanan internal, itu membutuhkan penyelidikan karena mungkin juga menjadi bagian dari serangan lanjutan.

  • Rendah (Kuning) - Pemberitahuan tentang ancaman yang terkait dengan perangkat lunak jahat yang umum. Misalnya, alat peretasan, alat peretasan non-malware, seperti menjalankan perintah eksplorasi, membersihkan log, dll. sering kali tidak menunjukkan ancaman tingkat lanjut yang menargetkan organisasi. Ini juga dapat berasal dari pengujian alat keamanan terisolasi oleh pengguna di organisasi Anda.

  • Informasi (Abu-abu) - Pemberitahuan yang mungkin tidak dianggap berbahaya bagi jaringan tetapi dapat mendorong kesadaran keamanan organisasi tentang potensi masalah keamanan.

Tingkat keparahan pemberitahuan Antivirus Pertahanan Microsoft (Microsoft Defender AV) dan Pertahanan untuk Titik Akhir berbeda karena mewakili cakupan yang berbeda. Tingkat keparahan ancaman Microsoft Defender AV mewakili tingkat keparahan mutlak dari ancaman yang terdeteksi (perangkat lunak jahat) dan ditetapkan berdasarkan risiko potensial terhadap perangkat individu jika terinfeksi.

Tingkat keparahan pemberitahuan Pertahanan untuk Titik Akhir​ mewakili tingkat keparahan perilaku yang terdeteksi, risiko aktual terhadap perangkat, dan yang paling penting, potensi risiko bagi organisasi.

Jadi, misalnya:

  • Tingkat keparahan peringatan Defender untuk Titik Akhir tentang AV Microsoft Defender mendeteksi ancaman yang dicegah dan tidak menginfeksi perangkat dikategorikan sebagai "Informasi" karena tidak ada kerusakan yang sebenarnya.

  • Pemberitahuan tentang perangkat lunak jahat komersial terdeteksi saat mengeksekusi, tetapi diblokir dan dimediasi oleh Microsoft Defender AV, dikategorikan sebagai "Rendah" karena mungkin telah menyebabkan beberapa kerusakan pada perangkat individu tetapi tidak menimbulkan ancaman organisasi.

  • Pemberitahuan tentang perangkat lunak jahat yang terdeteksi saat mengeksekusi yang dapat menimbulkan ancaman tidak hanya pada perangkat individu tetapi juga ke organisasi, terlepas dari apakah itu akhirnya diblokir, dapat diberi peringkat sebagai "Sedang" atau "Tinggi".

  • Pemberitahuan perilaku yang mencurigakan, yang tidak diblokir atau dimediasi akan diberi peringkat "Rendah", "Sedang" atau "Tinggi" mengikuti pertimbangan ancaman organisasi yang sama.

Kategori

Kategori pemberitahuan selaras dengan taktik dan teknik serangan dalam matriks MITRE ATT&CK Enterprise.

Catatan

Kategori pemberitahuan juga menyertakan item (seperti Unwanted Software) yang bukan bagian dari matriks ATT&CK.

Kategorinya adalah:

  • Koleksi - Mencari dan mengumpulkan data untuk eksfiltrasi

  • Perintah dan kontrol - Menyambungkan ke infrastruktur jaringan yang dikendalikan penyerang untuk menyampaikan data atau menerima perintah

  • Akses kredensial - Memperoleh mandat yang valid untuk memperluas kontrol atas perangkat dan sumber daya lain dalam jaringan

  • Penghindaran pertahanan - Menghindari kontrol keamanan dengan, misalnya, mematikan aplikasi keamanan, menghapus implan, dan menjalankan rootkit

  • Penemuan - Mengumpulkan informasi tentang perangkat dan sumber daya penting, seperti komputer administrator, pengontrol domain, dan server file

  • Eksekusi - Meluncurkan alat penyerang dan kode berbahaya, termasuk RAT dan backdoor

  • Eksfiltrasi - Mengekstrak data dari jaringan ke lokasi eksternal yang dikendalikan penyerang

  • Eksploitasi - Mengeksploitasi kode dan kemungkinan aktivitas eksploitasi

  • Akses awal - Mendapatkan entri awal ke jaringan target, biasanya melibatkan tebakan kata sandi, eksploitasi, atau email pengelabuan

  • Gerakan lateral - Berpindah antar perangkat dalam jaringan target untuk menjangkau sumber daya penting atau mendapatkan persistensi jaringan

  • Malware - Backdoor, trojan, dan jenis kode berbahaya lainnya

  • Persistensi - Membuat titik ekstensibilitas autostart (ASEP) untuk tetap aktif dan saat sistem dimulai ulang

  • Eskalasi hak istimewa - Mendapatkan tingkat izin yang lebih tinggi untuk kode dengan menjalankannya dalam konteks proses atau akun yang memiliki hak istimewa

  • Ransomware - Perangkat lunak jahat yang mengenkripsi file dan memeras pembayaran untuk memulihkan akses

  • Aktivitas mencurigakan - Aktivitas atipikal yang dapat berupa aktivitas perangkat lunak jahat atau bagian dari serangan

  • Perangkat lunak yang tidak diinginkan - Aplikasi bereputasi rendah dan aplikasi yang memengaruhi produktivitas dan pengalaman pengguna; terdeteksi sebagai aplikasi yang mungkin tidak diinginkan (PUA)

Anda dapat membuat insiden baru dari pemberitahuan atau menautkan ke insiden yang ada.

Menetapkan pemberitahuan

Jika peringatan belum ditetapkan, Anda dapat memilih Tetapkan kepada saya untuk menetapkan peringatan kepada diri sendiri.

Sembunyikan pemberitahuan

Mungkin ada skenario di mana Anda perlu menyembunyikan pemberitahuan agar tidak muncul di Pusat Keamanan Pertahanan Microsoft. Defender for Endpoint memungkinkan Anda membuat aturan pengabaian untuk pemberitahuan tertentu yang dikenal tidak berbahaya, seperti alat atau proses yang diketahui di organisasi Anda.

Aturan pengabaian dapat dibuat dari pemberitahuan yang ada. Mereka dapat dinonaktifkan dan diaktifkan kembali jika diperlukan.

Ketika aturan supresi dibuat, aturan tersebut berlaku dari titik saat aturan dibuat. Aturan tidak akan memengaruhi peringatan yang sudah ada dalam antrean sebelum pembuatan aturan. Aturan hanya akan diterapkan pada pemberitahuan yang memenuhi kondisi yang ditetapkan setelah aturan dibuat.

Ada dua konteks untuk aturan pengabaian yang dapat Anda pilih:

  • Sembunyikan pemberitahuan pada perangkat ini

  • Sembunyikan pemberitahuan di organisasi saya

Konteks aturan memungkinkan Anda menyesuaikan apa yang muncul ke portal dan memastikan bahwa hanya pemberitahuan keamanan nyata yang muncul ke portal.

Mengubah status pemberitahuan

Anda dapat mengategorikan pemberitahuan sebagai Baru, Sedang Berlangsung atau Teratasi dengan mengubah statusnya saat penyelidikan Anda berlangsung. Tindakan ini membantu Anda mengatur dan mengelola bagaimana tim Anda dapat merespons pemberitahuan.

Misalnya, pemimpin tim dapat meninjau semua Pemberitahuan baru, dan menetapkannya ke antrean Sedang Berlangsung untuk analisis lebih lanjut.

Atau, pemimpin tim dapat menetapkan pemberitahuan untuk antrean Teratasi jika mereka tahu pemberitahuan itu tidak berbahaya, berasal dari perangkat yang tidak relevan (seperti milik administrator keamanan), atau sedang ditangani melalui pemberitahuan sebelumnya.

Klasifikasi pemberitahuan

Anda dapat memilih untuk tidak mengatur klasifikasi atau menentukan apakah pemberitahuan adalah benar atau palsu. Penting untuk memberikan klasifikasi positif benar/positif palsu karena digunakan untuk memantau kualitas pemberitahuan dan membuat pemberitahuan lebih akurat. Bidang "penentuan" mendefinisikan keakuratan tambahan untuk klasifikasi "positif benar".

Menambahkan komentar dan menampilkan riwayat pemberitahuan

Anda dapat menambahkan komentar dan melihat peristiwa historis tentang pemberitahuan untuk melihat perubahan yang sebelumnya ditetapkan pada pemberitahuan tersebut. Setiap kali perubahan atau komentar dibuat pada peringatan, hal tersebut akan dicatat di bagian Komentar dan riwayat. Komentar yang ditambahkan langsung muncul pada panel.

Investigasi pemberitahuan

Investigasi pemberitahuan yang memengaruhi jaringan Anda, pahami apa artinya, dan cara mengatasinya.

Pilih pemberitahuan dari antrean pemberitahuan untuk masuk ke halaman pemberitahuan. Tampilan ini berisi judul pemberitahuan, aset yang terpengaruh, panel samping detail, dan kisah pemberitahuan.

Dari halaman pemberitahuan, mulai investigasi Anda dengan memilih aset yang terpengaruh atau entitas mana pun di bawah tampilan pohon kisah pemberitahuan. Panel detail secara otomatis terisi dengan informasi lebih lanjut tentang apa yang Anda pilih.

Investigasi menggunakan kisah pemberitahuan

Cerita pemberitahuan merinci mengapa pemberitahuan dipicu, peristiwa terkait yang terjadi sebelum dan sesudah, dan entitas terkait lainnya.

Entitas dapat diklik, dan setiap entitas yang bukan pemberitahuan dapat diperluas menggunakan ikon perluasan di sisi kanan kartu entitas tersebut. Entitas yang fokus akan ditunjukkan oleh garis biru di sisi kiri kartu entitas itu, dengan pemberitahuan dalam judul difokuskan di awal.

Memilih entitas mengalihkan konteks panel detail ke entitas ini, dan akan memungkinkan Anda meninjau informasi lebih lanjut, dan mengelola entitas tersebut. Memilih... di sebelah kanan kartu entitas mengungkapkan semua tindakan yang tersedia untuk entitas tersebut. Tindakan yang sama ini muncul di panel detail saat entitas tersebut berada dalam fokus.

Mengambil tindakan dari panel detail

Setelah Anda memilih entitas yang menarik, panel detail berubah untuk menampilkan informasi tentang jenis entitas yang dipilih, informasi historis saat tersedia, dan menawarkan kontrol untuk mengambil tindakan pada entitas ini langsung dari halaman pemberitahuan.

Setelah anda selesai menginvestigasi, kembali ke pemberitahuan yang Anda mulai, tandai status pemberitahuan sebagai Teratasi dan klasifikasikan sebagai Pemberitahuan palsu atau Pemberitahuan benar. Mengklasifikasikan pemberitahuan membantu menyempurnakan kemampuan ini untuk memberikan pemberitahuan yang lebih tepat dan lebih sedikit pemberitahuan palsu.

Jika Anda mengklasifikasikannya sebagai pemberitahuan benar, Anda juga dapat memilih penentuan.

Jika Anda menemui peringatan palsu dengan aplikasi lini bisnis, buat aturan penghentian untuk menghindari jenis peringatan ini di masa mendatang.