Undersøke varsler i Microsoft Defender XDR

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Obs!

Denne artikkelen beskriver sikkerhetsvarsler i Microsoft Defender XDR. Du kan imidlertid bruke aktivitetsvarsler til å sende e-postvarsler til deg selv eller andre administratorer når brukere utfører bestemte aktiviteter i Microsoft 365. Hvis du vil ha mer informasjon, kan du se Opprett aktivitetsvarsler – Microsoft Purview | Microsoft Docs.

Varsler er grunnlaget for alle hendelser og angir forekomsten av ondsinnede eller mistenkelige hendelser i miljøet ditt. Varsler er vanligvis en del av et bredere angrep og gir hint om en hendelse.

I Microsoft Defender XDR aggregeres relaterte varsler sammen for å danne hendelser. Hendelser vil alltid gi den bredere konteksten av et angrep, men analyse av varsler kan være verdifullt når dypere analyse er nødvendig.

Varsler-køen viser gjeldende sett med varsler. Du kommer til varslingskøen fra Hendelser & varsler > varsler på hurtigstartlinjen i Microsoft Defender-portalen.

Varsler-delen i Microsoft Defender-portalen

Varsler fra ulike Microsoft-sikkerhetsløsninger som Microsoft Defender for endepunkt, Microsoft Defender for Office 365 og Microsoft Defender XDR vises her.

Som standard viser varselkøen i Microsoft Defender-portalen de nye og pågående varslene fra de siste 30 dagene. Det nyeste varselet er øverst i listen, slik at du kan se det først.

Fra standardvarslingskøen kan du velge Filter for å se en filterrute , der du kan angi et delsett av varslene. Her er et eksempel.

Filter-delen i Microsoft Defender-portalen.

Du kan filtrere varsler i henhold til disse vilkårene:

  • Alvorlighetsgraden
  • Status
  • Tjenestekilder
  • Enheter (de berørte ressursene)
  • Automatisert undersøkelsestilstand

Obligatoriske roller for Defender for Office 365 varsler

Du må ha noen av følgende roller for å få tilgang til Microsoft Defender for Office 365 varsler:

  • For Microsoft Entra globale roller:

    • Global administrator
    • Sikkerhetsadministrator
    • Sikkerhetsoperator
    • Global leser
    • Sikkerhetsleser

  • Office 365 rollegrupper for & forskriftssamsvar

    • Samsvarsadministrator
    • Organisasjonsadministrasjon

  • En egendefinert rolle

Analysere et varsel

Hvis du vil se hovedvarselsiden, velger du navnet på varselet. Her er et eksempel.

Skjermbilde som viser detaljene for et varsel i Microsoft Defender-portalen

Du kan også velge handlingen Åpne hovedvarselsiden fra Behandle varsel-ruten .

En varselside består av disse inndelingene:

  • Varselartikkel, som er kjeden av hendelser og varsler relatert til dette varselet i kronologisk rekkefølge
  • Sammendragsdetaljer

Du kan velge ellipsen (...) ved siden av en hvilken som helst enhet for å se tilgjengelige handlinger, for eksempel ved å koble varselet til en annen hendelse. Listen over tilgjengelige handlinger avhenger av varseltypen.

Varselkilder

Microsoft Defender XDR varsler kan komme fra løsninger som Microsoft Defender for endepunkt, Microsoft Defender for Office 365 Microsoft Defender for identitet, Microsoft Defender for Cloud Apps, appstyringstillegget for Microsoft Defender for Cloud Apps, Microsoft Entra ID-beskyttelse, og Microsoft Data Loss Prevention. Du kan legge merke til varsler med klargjørede tegn i varselet. Tabellen nedenfor gir veiledning for å hjelpe deg med å forstå tilordningen av varslingskilder basert på det forhåndsforberedte tegnet i varselet.

Obs!

  • De forberedende GUID-ene er spesifikke bare for enhetlige opplevelser, for eksempel enhetlig varselkø, enhetlig varslingsside, enhetlig undersøkelse og enhetlig hendelse.
  • Det forhåndsforberedte tegnet endrer ikke GUIDen for varselet. Den eneste endringen i GUID-en er den klargjørede komponenten.
Varselkilde Forhåndsutsendet tegn
Microsoft Defender XDR ra
ta for ThreatExperts
ea for DetectionSource = DetectionSource.CustomDetection
Microsoft Defender for Office 365 fa{GUID}
Eksempel: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for endepunkt da eller ed for egendefinerte gjenkjenningsvarsler
Microsoft Defender for identitet aa{GUID}
Eksempel: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for skyapper ca{GUID}
Eksempel: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID-beskyttelse ad
Appstyring ma
Hindring av datatap i Microsoft dl

Konfigurer Microsoft Entra IP-varslingstjeneste

  1. Gå til Microsoft Defender portal (security.microsoft.com), velg Innstillinger>Microsoft Defender XDR.

  2. Velg Innstillinger for varslingstjeneste fra listen, og konfigurer deretter Microsoft Entra ID-beskyttelse varslingstjenesten.

    Skjermbilde av Microsoft Entra ID-beskyttelse varsler-innstillingen i Microsoft Defender-portalen.

Som standard er bare de mest relevante varslene for sikkerhetsoperasjonssenteret aktivert. Hvis du vil få alle Microsoft Entra IP-risikoregistreringer, kan du endre det i delen Innstillinger for varslingstjeneste.

Du kan også få tilgang til innstillinger for varslingstjenesten direkte fra Hendelser-siden i Microsoft Defender-portalen.

Viktig

Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

Analyser berørte ressurser

Delen handlinger som utføres, har en liste over berørte ressurser, for eksempel postbokser, enheter og brukere som er berørt av dette varselet.

Du kan også velge Vis i handlingssenter for å vise Logg-fanen i handlingssenteret i Microsoft Defender-portalen.

Spore en varselrolle i varselartikkelen

Varselartikkelen viser alle aktiva eller enheter relatert til varselet i en prosesstrevisning. Varselet i tittelen er det som er i fokus når du lander på siden for det valgte varselet. Aktiva i varselartikkelen kan utvides og klikkes. De gir tilleggsinformasjon og fremskynder svaret ditt ved å la deg utføre handlinger direkte i konteksten på varselsiden.

Obs!

Varselartikkeldelen kan inneholde mer enn ett varsel, med flere varsler relatert til det samme kjøringstreet som vises før eller etter varselet du har valgt.

Vis mer varselinformasjon på detaljsiden

Detaljsiden viser detaljene for det valgte varselet, med detaljer og handlinger relatert til det. Hvis du velger noen av de berørte ressursene eller enhetene i varselartikkelen, endres detaljsiden for å gi kontekstuell informasjon og handlinger for det valgte objektet.

Når du har valgt en interesseenhet, endres detaljsiden til å vise informasjon om den valgte enhetstypen, historisk informasjon når den er tilgjengelig, og alternativer for å utføre handlinger på denne enheten direkte fra varselsiden.

Behandle varsler

Hvis du vil behandle et varsel, velger du Administrer varsel i delen med sammendragsdetaljer på varselsiden. Her er et eksempel på administrer varselruten for ett enkelt varsel.

Skjermbilde av Administrer varsel-delen i Microsoft Defender-portalen

Med Administrer varsel-ruten kan du vise eller angi:

  • Varslingsstatusen (Ny, Løst, Pågår).
  • Brukerkontoen som er tilordnet varselet.
  • Varselets klassifisering:
    • Ikke angitt (standard).
    • Sann positiv med en type trussel. Bruk denne klassifiseringen for varsler som nøyaktig angir en reell trussel. Hvis du angir denne trusseltypen, ser sikkerhetsteamet trusselmønstre og handler for å forsvare organisasjonen mot dem.
    • Informasjon, forventet aktivitet med en type aktivitet. Bruk dette alternativet for varsler som er teknisk nøyaktige, men som representerer normal virkemåte eller simulert trusselaktivitet. Du vil vanligvis ignorere disse varslene, men forventer at de skal utføre lignende aktiviteter i fremtiden der aktivitetene utløses av faktiske angripere eller skadelig programvare. Bruk alternativene i denne kategorien til å klassifisere varsler for sikkerhetstester, rød gruppeaktivitet og forventet uvanlig oppførsel fra klarerte apper og brukere.
    • Falsk positiv for typer varsler som ble opprettet selv når det ikke er skadelig aktivitet eller for en falsk alarm. Bruk alternativene i denne kategorien til å klassifisere varsler som feilaktig identifiseres som vanlige hendelser eller aktiviteter som ondsinnede eller mistenkelige. I motsetning til varsler om informasjon, forventet aktivitet, som også kan være nyttig for å fange reelle trusler, vil du vanligvis ikke se disse varslene igjen. Klassifisering av varsler som falsk positiv bidrar Microsoft Defender XDR til å forbedre gjenkjenningskvaliteten.
  • En kommentar til varselet.

Obs!

Rundt 29 august 2022, tidligere støttet varsel fastsettelse verdier ('Apt' og 'SecurityPersonnel') vil bli avskrevet og ikke lenger tilgjengelig via API.

Obs!

Én måte å administrere varsler på gjennom bruk av koder. Merkingsfunksjonen for Microsoft Defender for Office 365 rulles trinnvis ut og er for øyeblikket i forhåndsversjon.

Endrede kodenavn brukes for øyeblikket bare på varsler som er opprettet etter oppdateringen. Varsler som ble generert før endringen, gjenspeiler ikke det oppdaterte kodenavnet.

Hvis du vil administrere et sett med varsler som ligner på et bestemt varsel, velger du Vis lignende varsler i INNSIKT-boksen i delen med sammendragsdetaljer på varselsiden.

Skjermbilde av valg av et varsel i Microsoft Defender-portalen

Fra Administrer varsler-ruten kan du klassifisere alle relaterte varsler samtidig. Her er et eksempel.

Skjermbilde av behandling av relaterte varsler i Microsoft Defender-portalen

Hvis lignende varsler allerede var klassifisert tidligere, kan du spare tid ved å bruke Microsoft Defender XDR anbefalinger for å finne ut hvordan de andre varslene ble løst. Velg Anbefalinger fra delen med sammendragsdetaljer.

Skjermbilde av et eksempel på valg av anbefalinger for et varsel

Anbefalinger-fanen gir neste trinns handlinger og råd for undersøkelse, utbedring og forebygging. Her er et eksempel.

Skjermbilde av et eksempel på varselanbefalinger

Stille inn et varsel

Som analytiker for sikkerhetsoperasjonssenteret (SOC) er et av de viktigste problemene å fordele det store antallet varsler som utløses daglig. En analytikers tid er verdifull, og ønsker bare å fokusere på varsler med høy alvorlighetsgrad og høy prioritet. I mellomtiden er analytikere også pålagt å triage og løse lavere prioritet varsler, som har en tendens til å være en manuell prosess.

Varslingsjustering gir mulighet til å justere og administrere varsler på forhånd. Dette effektiviserer varselkøen og sparer tid ved å skjule eller løse varsler automatisk, hver gang en bestemt forventet organisatorisk virkemåte oppstår, og regelbetingelsene oppfylles.

Du kan opprette regelbetingelser basert på «bevistyper», for eksempel filer, prosesser, planlagte oppgaver og mange andre bevistyper som utløser varselet. Når du har opprettet regelen, kan du bruke regelen på det valgte varselet eller en hvilken som helst varseltype som oppfyller regelbetingelsene for å justere varselet.

I tillegg dekker funksjonen også varsler som kommer fra ulike Microsoft Defender XDR tjenestekilder. Funksjonen for varslingsjustering i offentlig forhåndsversjon får varsler fra arbeidsbelastninger som Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps, Microsoft Entra ID-beskyttelse (Microsoft Entra IP) og andre, hvis disse kildene er tilgjengelige på plattformen og planen. Tidligere registrerte varslingsjusteringsfunksjonen bare varsler fra Defender for Endpoint-arbeidsbelastningen.

Obs!

Vi anbefaler at du bruker varseljustering, tidligere kjent som varslingsundertrykkelse, med forsiktighet. I enkelte situasjoner utløser et kjent internt forretningsprogram eller sikkerhetstester en forventet aktivitet, og du vil ikke se disse varslene. Du kan derfor opprette en regel for å justere disse varseltypene.

Opprett regelbetingelser for å justere varsler

Det finnes to måter å justere et varsel på i Microsoft Defender XDR. Slik justerer du et varsel fra Innstillinger-siden :

  1. Gå til Innstillinger. Gå til Regler i den venstre ruten, og velg Varseljustering.

    Skjermbilde av alternativet Varseljustering på innstillinger-siden for Microsoft Defender XDR.

    Velg Legg til ny regel for å justere et nytt varsel. Du kan også redigere en eksisterende regel i denne visningen ved å velge en regel fra listen.

    Skjermbilde av hvordan du legger til nye regler på siden varseljustering.

  2. I juster varselruten kan du velge tjenestekilder der regelen gjelder i rullegardinmenyen under Tjenestekilder.

    Skjermbilde av rullegardinmenyen for tjenestekilde i Juster en varselside.

    Obs!

    Bare tjenester som brukeren har tillatelse til, vises.

  3. Legg til indikatorer for kompromisser (IOCer) som utløser varselet under IOCer-delen . Du kan legge til en betingelse for å stoppe varselet når det utløses av en bestemt IOC eller av noen IOC lagt til i varselet.

    IOCer er indikatorer som filer, prosesser, planlagte oppgaver og andre bevistyper som utløser varselet.

    Skjermbilde av IOC-menyen i Still inn et varsel-siden.

    Hvis du vil angi flere regelbetingelser, bruker du OG, ELLER og grupperingsalternativer for å bygge forholdet mellom disse flere «bevistypene» som forårsaker varselet.

    1. Velg for eksempel den utløsende bevisenhetsrollen: Utløser, er lik og hvilken som helst for å stoppe varselet når det utløses av en IOC som er lagt til i varselet. Alle egenskapene til denne "bevis" vil automatisk fylle ut som en ny undergruppe i de respektive feltene nedenfor.

    Obs!

    Betingelsesverdier skiller ikke mellom store og små bokstaver.

    1. Du kan redigere og/eller slette egenskapene for dette beviset avhengig av kravet ditt (ved hjelp av jokertegn, når det støttes).

    2. Bortsett fra filer og prosesser, antimalware scan interface (AMSI) skript, Windows Management Instrumentation (WMI) hendelse, og planlagte oppgaver er noen av de nylig lagt bevis typer som du kan velge fra bevistyper rullegardinlisten.

    3. Hvis du vil legge til en annen IOC, klikker du Legg til filter.

    Obs!

    Det kreves å legge til minst én IOC i regelbetingelsen for å justere hvilken som helst varslingstype.

  4. I Handling-delen utfører du den aktuelle handlingen for å skjule varselet eller løse varselet.

    Skriv inn navn, beskrivelse, og klikk Lagre.

    Obs!

    Varseltittelen (navn) er basert på varseltypen (IoaDefinitionId), som bestemmer tittelen på varselet. To varsler som har samme varseltype, kan endres til en annen varseltittel.

    Skjermbilde av Handling-menyen på siden Juster et varsel.

Slik justerer du et varsel fra Varsler-siden:

  1. Velg et varsel på Varsler-siden under Hendelser og varsler. Du kan også velge et varsel når du ser gjennom hendelsesdetaljer på Hendelse-siden.

    Du kan justere et varsel gjennom juster varselruten som automatisk åpnes på høyre side av siden med varseldetaljer.

    Skjermbilde av Juster en varslingsrute på en varselside.

  2. Velg betingelsene der varselet gjelder i delen Varseltyper . Velg Bare denne varseltypen for å bruke regelen på det valgte varselet.

    Hvis du imidlertid vil bruke regelen på en hvilken som helst varslingstype som oppfyller regelbetingelsene, velger du En hvilken som helst varslingstype basert på IOC-betingelser.

    Skjermbilde av Juster en varslingsrute som uthever inndelingen Varseltyper.

  3. Utfylling av Omfang-delen er nødvendig hvis varslingsjusteringen er Defender for endepunktspesifikk. Velg om regelen gjelder for alle enheter i organisasjonen eller for en bestemt enhet.

    Obs!

    Bruk av regelen for alle organisasjoner krever en administrativ rolletillatelse.

    Skjermbilde av Juster en varslingsrute som uthever Omfang-delen.

  4. Legg til betingelser i Betingelser-delen for å stoppe varselet når det utløses av en bestemt IOC eller av noen IOC lagt til i varselet. Du kan velge en bestemt enhet, flere enheter, enhetsgrupper, hele organisasjonen eller av brukeren i denne delen.

    Obs!

    Du må ha Admin tillatelse når omfanget bare er angitt for brukeren. Admin tillatelsen er ikke nødvendig når omfanget er angitt for brukeren sammen med enhetsgrupper.

    Skjermbilde av Juster en varslingsrute som uthever Betingelser-delen.

  5. Legg til IOCer der regelen gjelder i IOCer-delen . Du kan velge hvilken som helst IOC for å stoppe varselet uansett hvilke "bevis" som har forårsaket varselet.

    Skjermbilde av Tune an alert pane highlighting the IOCs section.

  6. Alternativt kan du velge Autofyll alle varsel 7-relaterte IOCer i IOCer-delen for å legge til alle varselrelaterte bevistyper og deres egenskaper samtidig i Betingelser-delen .

    Skjermbilde av fyll ut alle varselrelaterte IOCer automatisk.

  7. I Handling-delen utfører du den aktuelle handlingen for å skjule varselet eller løse varselet.

    Skriv inn navn, kommentar, og klikk Lagre.

    Skjermbilde av Handling-delen i Juster varsel-ruten.

  8. Hindre at IOCer blokkeres i fremtiden:

    Når du lagrer regelen for varslingsjustering, kan du legge til de valgte IOCene som indikatorer i «tillatelseslisten» på siden for oppretting av vellykket regel som vises.

    Alle varselrelaterte IOCer vises i listen.

    IOCer som ble valgt i undertrykkingsbetingelsene, velges som standard.

    1. Du kan for eksempel legge til filer som skal tillates i Select-beviset (IOC). Filen som utløste varselet, er valgt som standard.
    2. Angi omfanget for Velg omfang som skal brukes på. Som standard er omfanget for det relaterte varselet valgt.
    3. Klikk på Lagre. Filen er nå ikke blokkert fordi den er i tillatelseslisten.

  9. Den nye funksjonaliteten for varslingsjustering er tilgjengelig som standard.

    Du kan imidlertid bytte tilbake til forrige opplevelse i Microsoft Defender portalen ved å gå til Innstillinger > Microsoft Defender XDR > Regler > Varseljustering, og deretter slå av veksleknappen for oppretting av nye justeringsregler aktivert.

    Obs!

    Snart vil bare den nye varslingsjusteringsopplevelsen være tilgjengelig. Du vil ikke kunne gå tilbake til den forrige opplevelsen.

  10. Rediger eksisterende regler:

    Du kan alltid legge til eller endre regelbetingelser og omfanget av nye eller eksisterende regler i Microsoft Defender-portalen ved å velge den relevante regelen og klikke Rediger regel.

    Hvis du vil redigere eksisterende regler, må du kontrollere at veksleknappen for oppretting av nye varslingsjusteringsregler er aktivert.

Løse et varsel

Når du er ferdig med å analysere et varsel, og det kan løses, går du til behandle varselruten for varselet eller lignende varsler og merker statusen som Løst , og deretter klassifiserer du den som en sann positiv med en type trussel, en informasjonsbasert, forventet aktivitet med en aktivitetstype eller en falsk positiv.

Klassifisering av varsler bidrar Microsoft Defender XDR til å forbedre gjenkjenningskvaliteten.

Bruke Power Automate til å sortere varsler

Moderne sikkerhetsoperasjoner (SecOps)-team trenger automatisering for å fungere effektivt. Hvis du vil fokusere på å jakte og undersøke reelle trusler, bruker SecOps-team Power Automate til å gå gjennom listen over varsler og eliminere de som ikke er trusler.

Vilkår for å løse varsler

  • Brukeren har deaktivert fraværsmelding
  • Brukeren er ikke merket som høy risiko

Hvis begge er sanne, markerer SecOps varselet som legitim reise og løser det. Et varsel legges inn i Microsoft Teams etter at varselet er løst.

Koble Power Automate til Microsoft Defender for Cloud Apps

Hvis du vil opprette automatiseringen, trenger du et API-token før du kan koble Power Automate til Microsoft Defender for Cloud Apps.

  1. Åpne Microsoft Defender og velg Innstillinger>Cloud Apps>API-token, og velg deretter Legg til token i API-token-fanen.

  2. Angi et navn for tokenet, og velg deretter Generer. Lagre tokenet slik du trenger det senere.

Opprett en automatisert flyt

Se denne korte videoen for å lære hvordan automatisering fungerer effektivt for å opprette en jevn arbeidsflyt og hvordan du kobler Power Automate til Defender for Cloud Apps.

Neste trinn

Fortsett etterforskningen etter behov for prosessrelaterte hendelser.

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.