Del via


Daglig driftsveiledning - Microsoft Defender for identitet

Denne artikkelen tar for seg Microsoft Defender for identitet aktiviteter vi anbefaler for teamet på daglig basis.

Se gjennom ITDR-instrumentbordet

Hvor: I Microsoft Defender XDR, under velg Identiteter>Instrumentbord.

Identitet: SOC-analytikere, sikkerhetsadministratorer, identitets- og tilgangsadministrasjonsadministratorer

Bruk Defender for identitetens instrumentbordside til å vise kritisk innsikt og sanntidsdata om identitetstrusselregistrering og respons (ITDR). På daglig basis anbefaler vi at du fokuserer på topinnsikt, identitetsrelatertehendelser og entra-ID-brukere med risikokontrollprogrammer .

Hvis du vil ha mer informasjon, kan du se Arbeide med Defender for Identitys ITDR-instrumentbord (forhåndsvisning).

Triage hendelser etter prioritet

Hvor: I Microsoft Defender XDR velger du Hendelser & varsler

Persona: SOC-analytikere

Ved sortering av hendelser:

  1. Filtrer etter følgende elementer i hendelsesinstrumentbordet:

    Filter Verdier
    Status Ny, pågår
    Alvorlighetsgraden Høy, middels, lav
    Tjenestekilde La alle tjenestekilder være kontrollert. Dette valget bør vise varsler med mest gjengivelse, med korrelasjon på tvers av andre Microsoft XDR-arbeidsbelastninger. Velg Defender for identitet for å vise elementer som kommer spesifikt fra Defender for Identity.
  2. Velg hver hendelse for å se gjennom alle detaljer. Se gjennom alle fanene i hendelsen, aktivitetsloggen og avansert jakt.

  3. Velg hvert beviselement i hendelsens bevis- og svarfane . Velg Alternativer-menyen >Undersøk , og velg deretter Aktivitetslogg eller Gå på jakt etter behov.

  4. Triage hendelsene dine. Velg Administrer hendelse for hver hendelse, og velg deretter ett av følgende alternativer:

    • Sann positiv
    • Falsk positiv
    • Informasjon, forventet aktivitet

    For sanne varsler angir du trusseltypen for å hjelpe sikkerhetsteamet med å se trusselmønstre og forsvare organisasjonen mot risiko.

  5. Når du er klar til å starte den aktive etterforskningen, tilordner du hendelsen til en bruker og oppdaterer hendelsesstatusen til Pågår.

  6. Når hendelsen utbedres, kan du løse den for å løse alle koblede og relaterte aktive varsler og angi en klassifisering.

Undersøke brukere med høy undersøkelsespoengsum

Hvor: I Microsoft Defender XDR og i Microsoft Entra.

I Microsoft Defender XDR:

  1. Kontroller miniprogrammet Brukere med risikohjemmesiden eller entra-ID-brukere som er i fare sonensiden identitetsinstrumentbord>.

  2. Hvis du har brukere oppført med høy risiko:

    • Velg Vis alle brukere for å se gjennom identiteter med høy risiko i Microsoft Entra.
    • Gå til Identiteter-siden, og sorter rutenettet for å vise brukere med høy undersøkelsesprioritet øverst. Velg en identitet for å vise siden for identitetsdetaljer, inkludert flere detaljer i kontrollprogrammet for undersøkelsesprioritet .

    Kontrollprogrammet for undersøkelsesprioritet inkluderer analyse av prioritetspoengsum for beregnet undersøkelse og en to ukers trend for en identitet, inkludert om identitetspoengsummen er på den høye persentilen for denne leieren.

Finn mer identitetsrelatert informasjon om:

  • Sider for individuelle varsler eller hendelsesdetaljer
  • Sider med enhetsdetaljer
  • Avanserte jaktspørringer
  • Handlingssenter-siden

Persona: SOC-analytikere

Hvis du vil ha mer informasjon, kan du se:

Konfigurer justeringsregler for godartede sanne positiver / falske positive varsler

Hvor: I Microsoft Defender XDR velger du Jakt > avansert jakt

Identitet: Sikkerhets- og samsvarsadministratorer, SOC-analytikere

Hvis du finner enten godartede sanne positiver eller direkte falske positiver, anbefaler vi at du justerer varslene for å redusere antall varsler du trenger for å matche risikoappetitten. Justeringsvarsler løser varsler automatisk basert på konfigurasjoner og regelbetingelser.

Vi anbefaler at du oppretter nye regler etter behov etter hvert som nettverket vokser for å sikre at varslingsjusteringen forblir relevant og effektiv.

Hvis du vil ha mer informasjon, kan du se Justere et varsel.

Proaktivt jakte

Hvor: I Microsoft Defender XDR velger du Jakt > avansert jakt.

Persona: SOC-analytikere

Det kan være lurt å proaktivt jakte daglig eller ukentlig, avhengig av nivået ditt som SOC-analytiker.

Bruk Microsoft Defender XDR avansert jakt til proaktivt å utforske gjennom de siste 30 dagene med rådata, inkludert Defender for Identity-data som er korrelert med datastrømming fra andre Microsoft Defender XDR-tjenester.

Undersøk hendelser i nettverket for å finne trusselindikatorer og enheter, inkludert både kjente og potensielle trusler.

Vi anbefaler at nybegynnere bruker veiledet avansert jakt, som gir et spørreverktøy. Hvis du er fortrolig med å bruke Kusto Query Language (KQL), kan du bygge spørringer fra grunnen av etter behov for undersøkelsene dine.

For mer informasjon, se Proaktivt jakten på trusler med avansert jakt i Microsoft Defender XDR.

Se gjennom Defender for identitetsproblemer

Hvor: Velg identitetstilstandsproblemer >i Microsoft Defender XDR.

Identitet: Sikkerhetsadministratorer, Active Directory-administratorer

Vi anbefaler at du regelmessig sjekker siden for helseproblemer for å se etter eventuelle problemer i Defender for Identity-distribusjonen, for eksempel tilkoblings- eller sensorproblemer. Pass på at du kontrollerer både globale faner og sensorfaner for å vise begge typer problemer.

Vi anbefaler også å konfigurere e-postvarsler for tjenesteproblemer, slik at du kan fange opp problemer mens de oppstår.

Hvis du vil ha mer informasjon, kan du se Microsoft Defender for identitet ogkonfigurere e-postvarsler.

Hvis du vil ha mer informasjon, kan du se: