Guida operativa giornaliera - Microsoft Defender per identità
Questo articolo esamina le attività Microsoft Defender per identità consigliate per il team su base giornaliera.
Esaminare il dashboard ITDR
Dove: in Microsoft Defender XDR selezionare Dashboard identità>.
Persona: analisti SOC, amministratori della sicurezza, amministratori di gestione delle identità e degli accessi
Usare la pagina Dashboard di Defender per identità per visualizzare informazioni dettagliate critiche e dati in tempo reale sul rilevamento e la risposta alle minacce di identità (ITDR). Su base giornaliera, è consigliabile concentrarsi sui widget Informazioni dettagliate principali, Eventi imprevisti correlati all'identità e Utenti di Entra ID a rischio .
Per altre informazioni, vedere Usare il dashboard ITDR di Defender per identità (anteprima).
Valutazione degli eventi imprevisti in base alla priorità
Dove: in Microsoft Defender XDR selezionare Eventi imprevisti & avvisi
Persona: analisti SOC
Quando si verificano eventi imprevisti:
Nel dashboard degli eventi imprevisti filtrare per gli elementi seguenti:
Filtro Valori Stato Nuovo, In corso Gravità Alto, Medio, Basso Origine del servizio Mantenere controllate tutte le origini del servizio. Questa selezione dovrebbe elencare gli avvisi con la massima fedeltà, con correlazione tra altri carichi di lavoro Microsoft XDR. Selezionare Defender per identità per visualizzare gli elementi provenienti in modo specifico da Defender per identità. Selezionare ogni evento imprevisto per esaminare tutti i dettagli. Esaminare tutte le schede dell'evento imprevisto, del log attività e della ricerca avanzata.
Nella scheda Evidenza e risposta dell'evento imprevisto selezionare ogni elemento di evidenza. Selezionare il menu >opzioni Analizza e quindi selezionare Log attività o Vai a cercare in base alle esigenze.
Valutare gli eventi imprevisti. Per ogni evento imprevisto selezionare Gestisci evento imprevisto e quindi selezionare una delle opzioni seguenti:
- Vero positivo
- Falso positivo
- Attività informativa prevista
Per gli avvisi reali, specificare il tipo di minaccia per consentire al team di sicurezza di visualizzare i modelli di minaccia e di difendere l'organizzazione dai rischi.
Quando si è pronti per avviare l'indagine attiva, assegnare l'evento imprevisto a un utente e aggiornare lo stato dell'evento imprevisto su In corso.
Quando l'evento imprevisto viene risolto, risolverlo per risolvere tutti gli avvisi attivi collegati e correlati e impostare una classificazione.
Analizzare gli utenti con un punteggio di analisi elevato
Dove: in Microsoft Defender XDR e in Microsoft Entra.
In Microsoft Defender XDR:
Controllare il widget Utenti a rischio nella home page o gli utenti di Entra ID a rischio nella pagina Dashboard identità>.
Se gli utenti sono elencati ad alto rischio:
- Selezionare Visualizza tutti gli utenti per esaminare le identità ad alto rischio in Microsoft Entra.
- Passare alla pagina Identità e ordinare la griglia per visualizzare gli utenti con punteggi con priorità di indagine elevata nella parte superiore. Selezionare un'identità per visualizzare la pagina dei dettagli dell'identità, inclusi altri dettagli nel widget Priorità di indagine .
Il widget priorità di indagine include la suddivisione del punteggio di priorità dell'indagine calcolata e una tendenza di due settimane per un'identità, incluso se il punteggio di identità è sul percentile elevato per il tenant.
Altre informazioni correlate all'identità sono disponibili in:
- Singole pagine dei dettagli degli avvisi o degli eventi imprevisti
- Pagine dei dettagli del dispositivo
- Query di ricerca avanzate
- Pagina Centro notifiche
Persona: analisti SOC
Per altre informazioni, vedere:
- Analizzare gli utenti in Microsoft Defender XDR
- Analizzare gli asset
- Usare il dashboard ITDR di Defender per identità (anteprima)
Configurare le regole di ottimizzazione per i veri positivi non attendibili/gli avvisi di falsi positivi
Dove: in Microsoft Defender XDR selezionare Ricerca > avanzata
Persona: amministratori di sicurezza e conformità, analisti SOC
Se si trovano veri positivi benigni o falsi positivi a titolo definitivo, è consigliabile ottimizzare gli avvisi per ridurre il numero di avvisi che è necessario valutare in base alla propria propensione al rischio. L'ottimizzazione degli avvisi risolve automaticamente gli avvisi in base alle configurazioni e alle condizioni delle regole.
È consigliabile creare nuove regole in base alle esigenze man mano che la rete cresce per assicurarsi che l'ottimizzazione degli avvisi rimanga pertinente ed efficace.
Per altre informazioni, vedere Ottimizzare un avviso.
Eseguire la ricerca proattiva
Dove: in Microsoft Defender XDR selezionare Ricerca > avanzata.
Persona: analisti SOC
È possibile eseguire la ricerca proattiva su base giornaliera o settimanale, a seconda del livello di analista soc.
Usare Microsoft Defender XDR ricerca avanzata per esplorare in modo proattivo gli ultimi 30 giorni di dati non elaborati, inclusi i dati di Defender per identità correlati allo streaming dei dati da altri servizi Microsoft Defender XDR.
Esaminare gli eventi nella rete per individuare gli indicatori di minaccia e le entità, incluse le minacce note e potenziali.
È consigliabile che i principianti usno la ricerca avanzata guidata, che fornisce un generatore di query. Se si ha familiarità con l'uso di Linguaggio di query Kusto (KQL), compilare query da zero in base alle esigenze per le indagini.
Per altre informazioni, vedere Ricerca proattiva delle minacce con ricerca avanzata in Microsoft Defender XDR.
Esaminare i problemi di integrità di Defender per identità
Dove: in Microsoft Defender XDR selezionare Problemi di integrità delle identità>.
Persona: amministratori della sicurezza, amministratori di Active Directory
È consigliabile controllare regolarmente la pagina Problemi di integrità per verificare la presenza di eventuali problemi nella distribuzione di Defender per identità, ad esempio problemi di connettività o sensore. Assicurarsi di controllare sia le schede Globale che Sensore per visualizzare entrambi i tipi di problemi.
È anche consigliabile configurare le notifiche tramite posta elettronica per i problemi del servizio in modo che sia possibile rilevare i problemi man mano che si verificano.
Per altre informazioni, vedere Microsoft Defender per identità problemi di integrità e Configurare le notifiche tramite posta elettronica.
Contenuto correlato
Per altre informazioni, vedere:
- panoramica delle operazioni di sicurezza Microsoft Defender XDR
- Microsoft Defender per identità guida operativa
- Guida operativa settimanale - Microsoft Defender per identità
- Guida operativa mensile - Microsoft Defender per identità
- Guida operativa trimestrale/ad hoc - Microsoft Defender per identità