Изучение оповещений в XDR в Microsoft Defender

Область применения:

• Microsoft Defender XDR

Примечание.

В этой статье описаны оповещения системы безопасности в XDR в Microsoft Defender. Однако оповещения о действиях можно использовать для отправки уведомлений по электронной почте себе или другим администраторам, когда пользователи выполняют определенные действия в Microsoft 365. Дополнительные сведения см. в статье Создание оповещений о действиях — Microsoft Purview | Документация Майкрософт.

Оповещения лежат в основе всех инцидентов и указывают на возникновение вредоносных или подозрительных событий в вашей среде. Оповещения обычно являются частью более широкой атаки и предоставляют подсказки об инциденте.

В Microsoft Defender XDR связанные оповещения объединяются для формирования инцидентов. Инциденты всегда предоставляют более широкий контекст атаки, однако анализ оповещений может быть полезным, если требуется более глубокий анализ.

В очереди оповещений отображается текущий набор оповещений. Вы получите в очередь оповещений из раздела Инциденты & оповещения оповещений > при быстром запуске портала Microsoft Defender.

Здесь отображаются оповещения от различных решений безопасности Майкрософт, таких как Microsoft Defender для конечной точки, Defender для Office 365, Microsoft Sentinel, Defender для облака, Defender для удостоверений, Defender for Cloud Apps, Defender XDR, управление приложениями, Microsoft Entra ID Protection и Защита от потери данных Майкрософт.

По умолчанию в очереди оповещений на портале Microsoft Defender отображаются новые и выполняемые оповещения за последние 30 дней. Самое последнее оповещение находится вверху списка, поэтому вы можете увидеть его первым.

В очереди оповещений по умолчанию можно выбрать Фильтр , чтобы просмотреть панель Фильтр , в которой можно указать подмножество оповещений. Ниже приведен пример.

Вы можете фильтровать оповещения по следующим критериям:

• Severity
• Состояние
• Категории
• Источники службы и обнаружения
• Tags
• Политика
• Объекты (затронутые активы)
• Состояние автоматического расследования
• Идентификаторы подписок оповещений

Необходимые роли для оповещений Defender для Office 365

Для доступа к оповещениям Microsoft Defender для Office 365 вам потребуется любая из следующих ролей:

• Для глобальных ролей Microsoft Entra:

  • Глобальный администратор
  • Администратор безопасности
  • Оператор безопасности
  • Глобальный читатель
  • Читатель сведений о безопасности

• Группы ролей соответствия требованиям & безопасности Office 365

  • Администратор соответствия требованиям
  • Управление организацией

• Настраиваемая роль

Анализ оповещения

Чтобы увидеть главную страницу предупреждения, выберите имя предупреждения. Ниже приведен пример.

Вы также можете выбрать действие Открыть главную страницу оповещения на панели Управление оповещением .

Страница предупреждения состоит из следующих разделов:

• История оповещений, которая представляет собой цепочку событий и оповещений, связанных с этим оповещением в хронологическом порядке
• Сводная информация

На странице оповещения можно выбрать многоточие (...) рядом с любой сущностью, чтобы увидеть доступные действия, такие как связывание оповещения с другим инцидентом. Список доступных действий зависит от типа оповещения.

Источники оповещений

Оповещения XDR в Microsoft Defender поступают из таких решений, как Microsoft Defender для конечной точки, Defender для Office 365, Defender для удостоверений, Defender для облачных приложений, надстройка управления приложениями для Microsoft Defender for Cloud Apps, Защита идентификаторов Microsoft Entra и Защита от потери данных Майкрософт. В оповещении могут отображаться оповещения с заданными символами в оповещении. В следующей таблице приведены рекомендации, которые помогут вам понять сопоставление источников предупреждений на основе предваряющего символа в предупреждении.

Примечание.

• Предварительно добавленные идентификаторы GUID относятся только к унифицированным функциям, таким как унифицированная очередь оповещений, унифицированная страница оповещений, унифицированное расследование и унифицированный инцидент.
• Добавленный символ не изменяет GUID оповещения. Единственное изменение в GUID — добавленный компонент.

Источник оповещения	Предварительный символ
Microsoft Defender XDR	ra ta для ThreatExperts ea for DetectionSource = DetectionSource.CustomDetection
Microsoft Defender для Office 365	fa{GUID} Пример: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender для конечной точки	da или ed для настраиваемых предупреждений об обнаружении
Microsoft Defender для удостоверений	aa{GUID} Пример: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps	ca{GUID} Пример: ca123a456b-c789-1d2e-12f1g33h445h6i
Защита идентификаторов Microsoft Entra	ad
Управление приложениями	ma
Защита от потери данных (Майкрософт)	dl
Microsoft Defender для облака	dc

Настройка службы оповещений Microsoft Entra IP

1. Перейдите на портал Microsoft Defender (security.microsoft.com), выберите Параметры>XDR Microsoft Defender.

2. В списке выберите Параметры службы оповещений, а затем настройте службу оповещенийMicrosoft Entra ID Protection .

   

По умолчанию включены только наиболее важные оповещения для центра операций безопасности. Если вы хотите получить все обнаружения рисков IP-адресов Microsoft Entra, вы можете изменить его в разделе Параметры службы оповещений .

Вы также можете получить доступ к параметрам службы оповещений непосредственно на странице Инциденты на портале Microsoft Defender.

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Проанализируйте затронутые активы

В разделе Предпринятые действия есть список затронутых ресурсов, таких как почтовые ящики, устройства и пользователи, затронутые этим предупреждением.

Вы также можете выбрать Вид в центре уведомлений , чтобы просмотреть вкладку Журналцентра уведомлений на портале Microsoft Defender.

Отслеживание роли оповещения в истории оповещения

История предупреждений отображает все активы или сущности, связанные с предупреждением, в виде дерева процессов. Оповещение в заголовке находится в центре внимания, когда вы впервые попадаете на страницу выбранного оповещения. Ресурсы в истории оповещений можно развертывать и щелкать. Они предоставляют дополнительную информацию и ускоряют ваш ответ, позволяя вам действовать прямо в контексте страницы с предупреждением.

Примечание.

Раздел истории оповещений может содержать несколько оповещений, при этом дополнительные оповещения, связанные с тем же деревом выполнения, отображаются до или после выбранного оповещения.

Просмотрите дополнительную информацию об оповещениях на странице сведений

На странице сведений отображаются сведения о выбранном оповещении с подробными сведениями и связанными с ним действиями. Если вы выберете любой из затронутых активов или объектов в истории оповещений, страница сведений изменится, чтобы предоставить контекстную информацию и действия для выбранного объекта.

После выбора интересующей сущности страница сведений изменится для отображения сведений о выбранном типе сущности, исторических сведений, когда она доступна, и параметров для выполнения действий с этой сущностью непосредственно со страницы оповещения.

Управление оповещениями

Чтобы управлять оповещением, выберите Управление оповещением в разделе сводных сведений на странице оповещения. Ниже приведен пример панели Управление оповещением для одного оповещения.

На панели Управление оповещениями можно просмотреть или указать:

• Статус оповещения (Новое, Разрешено, В процессе).
• Учетная запись пользователя, которой назначено оповещение.
• Классификация предупреждений:
  • Не задано (по умолчанию).
  • Истинно положительный результат с типом угрозы. Используйте эту классификацию для предупреждений, которые точно указывают на реальную угрозу. При указании этого типа угрозы команда безопасности будет видеть шаблоны угроз и действовать для защиты вашей организации от них.
  • Информационное ожидаемое действие с типом действия. Используйте этот параметр для оповещений, которые являются технически точными, но представляют собой нормальное поведение или имитацию активности угроз. Как правило, вы хотите игнорировать эти оповещения, но ожидать их для аналогичных действий в будущем, когда действия активируются фактическими злоумышленниками или вредоносными программами. Используйте параметры в этой категории для классификации оповещений о тестах безопасности, действиях красной команды и ожидаемом необычном поведении от доверенных приложений и пользователей.
  • Ложноположительный результат для типов оповещений, созданных даже при отсутствии вредоносных действий или ложном оповещении. Используйте параметры в этой категории для классификации оповещений, которые ошибочно определены как обычные события или действия как вредоносные или подозрительные. В отличие от оповещений для "Информационных, ожидаемых действий", которые также могут быть полезны для перехвата реальных угроз, вы, как правило, не хотите видеть эти оповещения снова. Классификация оповещений как ложноположительных помогает XDR в Microsoft Defender улучшить качество обнаружения.
• Комментарий к предупреждению.

Примечание.

Примерно 29 августа 2022 г. поддерживаемые ранее значения определения оповещений (Apt и SecurityPersonnel) будут нерекомендуемые и больше не будут доступны через API.

Примечание.

Один из способов управления оповещениями через использование тегов. Возможность добавления тегов в Microsoft Defender для Office 365 постепенно развертывается и в настоящее время находится в предварительной версии.

В настоящее время измененные имена тегов применяются только к оповещениям, созданным после обновления. Оповещения, созданные до изменения, не будут отражать обновленное имя тега.

Чтобы управлять набором оповещений, похожими на определенное оповещение, выберите Просмотреть аналогичные оповещения в поле АНАЛИТИКА в разделе сведений о сводке на странице оповещений.

На панели Управление оповещениями можно одновременно классифицировать все связанные оповещения. Ниже приведен пример.

Если аналогичные оповещения уже классифицировались в прошлом, вы можете сэкономить время, используя рекомендации по XDR в Microsoft Defender, чтобы узнать, как разрешались другие оповещения. В разделе сводных данных выберите Рекомендации .

На вкладке Рекомендации представлены дальнейшие действия и советы по расследованию, исправлению и предотвращению. Ниже приведен пример.

Настройка оповещения

Будучи аналитиком центра управления безопасностью (SOC), одной из главных проблем является рассмотрение большого количества оповещений, которые активируются ежедневно. Время аналитика ценно, так как он хочет сосредоточиться только на оповещениях с высоким уровнем серьезности и высоким приоритетом. Между тем, аналитики также должны рассматривать и разрешать оповещений с более низким приоритетом, что, как правило, происходит вручную.

Настройка оповещений, ранее известная как подавление оповещений, позволяет настраивать оповещения и управлять ими заранее. Это упрощает очередь оповещений и экономит время рассмотрения путем автоматического скрытия или разрешения оповещений каждый раз, когда происходит определенное ожидаемое поведение организации и выполняются условия правила.

Правила настройки оповещений поддерживают условия, основанные на типах доказательств , таких как файлы, процессы, запланированные задачи и другие типы доказательств, которые активируют оповещения. После создания правила настройки оповещений примените его к выбранному оповещению или любому типу оповещений, который соответствует определенным условиям для настройки оповещения.

Настройка оповещений в качестве общедоступной службы фиксирует оповещения только из Defender для конечной точки. Однако в предварительной версии настройка оповещений также распространяется на другие службы XDR в Microsoft Defender, включая Defender для Office 365, Defender для удостоверений, Defender для облачных приложений, Microsoft Entra ID Protection (MICROSOFT Entra IP) и другие, если они доступны на вашей платформе и плане.

Предостережение

Мы рекомендуем использовать настройку оповещений с осторожностью для сценариев, когда известные внутренние бизнес-приложения или тесты безопасности активируют ожидаемое действие, и вы не хотите видеть оповещения.

Создание условий правила для настройки оповещений

Создайте правила настройки оповещений в области параметров XDR в Microsoft Defender или на странице сведений об оповещении. Выберите одну из следующих вкладок, чтобы продолжить.

Страница параметров

1. На портале Microsoft Defender выберите Параметры Настройка оповещений > XDR > Microsoft Defender.

   

2. Выберите Добавить новое правило , чтобы настроить новое оповещение, или выберите существующую строку правила для внесения изменений. При выборе заголовка правила открывается страница сведений о правиле, где можно просмотреть список связанных оповещений, изменить условия или включить и отключить правило.

3. В области Настройка оповещений в разделе Выбор источников служб выберите источники служб, к которым требуется применить правило. В списке отображаются только службы, у которых есть разрешения. Например:

   

4. В области Условия добавьте условие для триггеров оповещения. Например, если вы хотите предотвратить активацию оповещения при создании определенного файла, определите условие для триггера File:Custom и сведения о файле:

   

   • Перечисленные триггеры различаются в зависимости от выбранных источников служб. Триггерами являются все индикаторы компрометации (IOC), такие как файлы, процессы, запланированные задачи и другие типы доказательств, которые могут активировать оповещение, включая сценарии интерфейса проверки вредоносных программ (AMSI), события инструментария управления Windows (WMI) или запланированные задачи.

   • Чтобы задать несколько условий правила, выберите Добавить фильтр и используйте параметры И, ИЛИ и группирования, чтобы определить связи между несколькими типами доказательств, которые активируют оповещение. Дополнительные свойства доказательства автоматически заполняются как новая подгруппа, в которой можно определить значения условий. Значения условий не чувствительны к регистру, а некоторые свойства поддерживают подстановочные знаки.

5. В области Действие панели Настройка оповещения выберите соответствующее действие, которое нужно выполнить правилом: скрыть оповещение или Разрешить оповещение.

6. Введите понятное имя оповещения и комментарий, чтобы описать оповещение, а затем нажмите кнопку Сохранить.

Страница оповещений

1. На портале Microsoft Defender перейдите на страницу Оповещения или страницу сведений об оповещении. Если вы находитесь на странице Оповещения, сначала выберите оповещение , которое нужно настроить, а затем выберите Настроить оповещение. В зависимости от разрешения экрана может потребоваться выбрать многоточие (...), чтобы увидеть параметр Настроить оповещение . Например:

   

   Сбоку откроется панель Настройка оповещений , где можно определить условия для оповещения. Например:

   

2. Настройте следующие сведения, а затем нажмите кнопку Сохранить:

3. В области Типы оповещений выберите, чтобы применить правило настройки оповещений только к оповещениям выбранного типа или любому типу оповещений на основе одинаковых условий. Если выбрать любой тип оповещений в зависимости от определенных условий, также выберите источники служб, к которым требуется применить правило. В списке отображаются только службы, у которых есть разрешения. Например:

   

4. В области Условия добавьте условие для триггеров оповещения. Например, если вы хотите предотвратить активацию оповещения при создании определенного файла, определите условие для триггера File:Custom и сведения о файле:

   

   • Перечисленные триггеры различаются в зависимости от выбранных источников служб. Триггерами являются все индикаторы компрометации (IOC), такие как файлы, процессы, запланированные задачи и другие типы доказательств, которые могут активировать оповещение, включая сценарии интерфейса проверки вредоносных программ (AMSI), события инструментария управления Windows (WMI) или запланированные задачи.

   • Чтобы задать несколько условий правила, выберите Добавить фильтр и используйте параметры И, ИЛИ и группирования, чтобы определить связи между несколькими типами доказательств, которые активируют оповещение. Дополнительные свойства доказательства автоматически заполняются как новая подгруппа, в которой можно определить значения условий. Значения условий не чувствительны к регистру, а некоторые свойства поддерживают подстановочные знаки.

5. В области Действие панели Настройка оповещения выберите соответствующее действие, которое нужно выполнить правилом: скрыть оповещение или Разрешить оповещение.

6. Введите понятное имя оповещения и комментарий, чтобы описать оповещение.

Примечание.

Заголовок оповещения (имя) основан на типе оповещения (IoaDefinitionId), который определяет название оповещения. Два оповещения с одинаковым типом оповещений могут измениться на другое название оповещения.

Устранение предупреждения

Завершив анализ оповещения и его устранение, перейдите в область Управление оповещением для оповещения или аналогичных оповещений, пометьте состояние как Разрешено , а затем классифицируйте его как истинно положительный с типом угрозы, информационный, ожидаемое действие с типом действия или ложноположительный результат.

Классификация оповещений помогает XDR в Microsoft Defender улучшить качество обнаружения.

Использование Power Automate для рассмотрения оповещений

Для эффективной работы современных команд по обеспечению безопасности (SecOps) требуется автоматизация. Чтобы сосредоточиться на поиске и изучении реальных угроз, команды SecOps используют Power Automate для рассмотрения списка оповещений и устранения тех, которые не являются угрозами.

Условия для разрешения оповещений

• У пользователя включено сообщение "Нет на рабочем месте"
• Пользователь не помечен как высокий риск

Если оба варианта верны, SecOps помечает оповещение как допустимое перемещение и разрешает его. После устранения предупреждения в Microsoft Teams будет опубликовано уведомление.

Подключение Power Automate к Microsoft Defender для облачных приложений

Чтобы создать автоматизацию, вам потребуется маркер API, прежде чем вы сможете подключить Power Automate к Microsoft Defender for Cloud Apps.

1. Откройте Microsoft Defender и выберите ПараметрыТокен APIоблачных>приложений>, а затем выберите Добавить маркер на вкладке Маркеры API.

2. Укажите имя маркера и нажмите кнопку Создать. Сохраните маркер так, как он понадобится вам позже.

Создание автоматизированного потока

Просмотрите это короткое видео, чтобы узнать, как автоматизация работает эффективно для создания бесперебойного рабочего процесса и как подключить Power Automate к Defender for Cloud Apps.

Дальнейшие действия

При необходимости для внутрипроцессных инцидентов продолжайте расследование.

См. также

• Обзор инцидентов
• Управление инцидентами
• Исследование инцидентов
• Изучение оповещений защиты от потери данных в Defender
• Защита идентификаторов Microsoft Entra

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.