Daglig driftsveiledning - Microsoft Defender for identitet
Denne artikkelen tar for seg Microsoft Defender for identitet aktiviteter vi anbefaler for teamet på daglig basis.
Se gjennom ITDR-instrumentbordet
Hvor: I Microsoft Defender XDR, under velg Identiteter>Instrumentbord.
Identitet: SOC-analytikere, sikkerhetsadministratorer, identitets- og tilgangsadministrasjonsadministratorer
Bruk Defender for identitetens instrumentbordside til å vise kritisk innsikt og sanntidsdata om identitetstrusselregistrering og respons (ITDR). På daglig basis anbefaler vi at du fokuserer på topinnsikt, identitetsrelatertehendelser og entra-ID-brukere med risikokontrollprogrammer .
Hvis du vil ha mer informasjon, kan du se Arbeide med Defender for Identitys ITDR-instrumentbord (forhåndsvisning).
Triage hendelser etter prioritet
Hvor: I Microsoft Defender XDR velger du Hendelser & varsler
Persona: SOC-analytikere
Ved sortering av hendelser:
Filtrer etter følgende elementer i hendelsesinstrumentbordet:
Filter Verdier Status Ny, pågår Alvorlighetsgraden Høy, middels, lav Tjenestekilde La alle tjenestekilder være kontrollert. Dette valget bør vise varsler med mest gjengivelse, med korrelasjon på tvers av andre Microsoft XDR-arbeidsbelastninger. Velg Defender for identitet for å vise elementer som kommer spesifikt fra Defender for Identity. Velg hver hendelse for å se gjennom alle detaljer. Se gjennom alle fanene i hendelsen, aktivitetsloggen og avansert jakt.
Velg hvert beviselement i hendelsens bevis- og svarfane . Velg Alternativer-menyen >Undersøk , og velg deretter Aktivitetslogg eller Gå på jakt etter behov.
Triage hendelsene dine. Velg Administrer hendelse for hver hendelse, og velg deretter ett av følgende alternativer:
- Sann positiv
- Falsk positiv
- Informasjon, forventet aktivitet
For sanne varsler angir du trusseltypen for å hjelpe sikkerhetsteamet med å se trusselmønstre og forsvare organisasjonen mot risiko.
Når du er klar til å starte den aktive etterforskningen, tilordner du hendelsen til en bruker og oppdaterer hendelsesstatusen til Pågår.
Når hendelsen utbedres, kan du løse den for å løse alle koblede og relaterte aktive varsler og angi en klassifisering.
Undersøke brukere med høy undersøkelsespoengsum
Hvor: I Microsoft Defender XDR og i Microsoft Entra.
I Microsoft Defender XDR:
Kontroller miniprogrammet Brukere med risiko på hjemmesiden eller entra-ID-brukere som er i fare sonen på siden identitetsinstrumentbord>.
Hvis du har brukere oppført med høy risiko:
- Velg Vis alle brukere for å se gjennom identiteter med høy risiko i Microsoft Entra.
- Gå til Identiteter-siden, og sorter rutenettet for å vise brukere med høy undersøkelsesprioritet øverst. Velg en identitet for å vise siden for identitetsdetaljer, inkludert flere detaljer i kontrollprogrammet for undersøkelsesprioritet .
Kontrollprogrammet for undersøkelsesprioritet inkluderer analyse av prioritetspoengsum for beregnet undersøkelse og en to ukers trend for en identitet, inkludert om identitetspoengsummen er på den høye persentilen for denne leieren.
Finn mer identitetsrelatert informasjon om:
- Sider for individuelle varsler eller hendelsesdetaljer
- Sider med enhetsdetaljer
- Avanserte jaktspørringer
- Handlingssenter-siden
Persona: SOC-analytikere
Hvis du vil ha mer informasjon, kan du se:
- Undersøke brukere i Microsoft Defender XDR
- Undersøk aktiva
- Arbeide med Defender for Identitetens ITDR-instrumentbord (forhåndsvisning)
Konfigurer justeringsregler for godartede sanne positiver / falske positive varsler
Hvor: I Microsoft Defender XDR velger du Jakt > avansert jakt
Identitet: Sikkerhets- og samsvarsadministratorer, SOC-analytikere
Hvis du finner enten godartede sanne positiver eller direkte falske positiver, anbefaler vi at du justerer varslene for å redusere antall varsler du trenger for å matche risikoappetitten. Justeringsvarsler løser varsler automatisk basert på konfigurasjoner og regelbetingelser.
Vi anbefaler at du oppretter nye regler etter behov etter hvert som nettverket vokser for å sikre at varslingsjusteringen forblir relevant og effektiv.
Hvis du vil ha mer informasjon, kan du se Justere et varsel.
Proaktivt jakte
Hvor: I Microsoft Defender XDR velger du Jakt > avansert jakt.
Persona: SOC-analytikere
Det kan være lurt å proaktivt jakte daglig eller ukentlig, avhengig av nivået ditt som SOC-analytiker.
Bruk Microsoft Defender XDR avansert jakt til proaktivt å utforske gjennom de siste 30 dagene med rådata, inkludert Defender for Identity-data som er korrelert med datastrømming fra andre Microsoft Defender XDR-tjenester.
Undersøk hendelser i nettverket for å finne trusselindikatorer og enheter, inkludert både kjente og potensielle trusler.
Vi anbefaler at nybegynnere bruker veiledet avansert jakt, som gir et spørreverktøy. Hvis du er fortrolig med å bruke Kusto Query Language (KQL), kan du bygge spørringer fra grunnen av etter behov for undersøkelsene dine.
For mer informasjon, se Proaktivt jakten på trusler med avansert jakt i Microsoft Defender XDR.
Se gjennom Defender for identitetsproblemer
Hvor: Velg identitetstilstandsproblemer >i Microsoft Defender XDR.
Identitet: Sikkerhetsadministratorer, Active Directory-administratorer
Vi anbefaler at du regelmessig sjekker siden for helseproblemer for å se etter eventuelle problemer i Defender for Identity-distribusjonen, for eksempel tilkoblings- eller sensorproblemer. Pass på at du kontrollerer både globale faner og sensorfaner for å vise begge typer problemer.
Vi anbefaler også å konfigurere e-postvarsler for tjenesteproblemer, slik at du kan fange opp problemer mens de oppstår.
Hvis du vil ha mer informasjon, kan du se Microsoft Defender for identitet ogkonfigurere e-postvarsler.
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se:
- Microsoft Defender XDR Oversikt over sikkerhetsoperasjoner
- Microsoft Defender for identitet driftsveiledning
- Ukentlig driftsveiledning - Microsoft Defender for identitet
- Månedlig driftsveiledning - Microsoft Defender for identitet
- Kvartalsvis / Ad hoc driftsveiledning - Microsoft Defender for identitet