Strategibøker for varslingsklassifisering
Gjelder for:
- Microsoft Defender XDR
Med spillbøker for varslingsklassifisering kan du metodisk se gjennom og raskt klassifisere varslene for velkjente angrep og utføre anbefalte tiltak for å utbedre angrepet og beskytte nettverket. Varslingsklassifisering vil også bidra til riktig klassifisering av den generelle hendelsen.
Som sikkerhetsforsker eller sikkerhetsoperasjonssenteranalytiker (SOC) må du ha tilgang til Microsoft Defender-portalen, slik at du kan:
- Vurder og se gjennom de genererte varslene og tilknyttede hendelser. Se undersøke varsler.
- Søk leierens sikkerhetssignaldata og se etter potensielle trusler og mistenkelige aktiviteter. Se avansert jakt.
Obs!
Du kan gi tilbakemelding til Microsoft om varsler om sanne positive og falske positiver, ikke bare på slutten av undersøkelsen, men også under undersøkelsesprosessen. Dette kan hjelpe Microsoft med fremtidig analyse og klassifisering av sikkerhetshendelser.
Microsoft Defender for Office 365
Microsoft Defender for Office 365 beskytter organisasjonen mot skadelige trusler fra e-postmeldinger, koblinger og samarbeidsverktøy. Defender for Office 365 omfatter:
Policyer for trusselbeskyttelse
Definer policyer for trusselbeskyttelse for å angi riktig beskyttelsesnivå for organisasjonen.
Rapporter
Vis rapporter i sanntid for å overvåke Defender for Office 365 ytelse i organisasjonen.
Trusselundersøkelser og svarfunksjoner
Bruk ledende verktøy til å undersøke, forstå, simulere og forhindre trusler.
Automatiserte undersøkelses- og svarfunksjoner
Spar tid og krefter på å undersøke og redusere trusler.
Defender for Office 365 varsler kan klassifiseres som:
- Sann positiv (TP) for bekreftet ondsinnet aktivitet.
- Usann positiv (FP) for bekreftet ikke-skadelig aktivitet.
Obs!
Microsoft Defender portal samler https://security.microsoft.com funksjonalitet fra eksisterende Microsoft-sikkerhetsportaler. Portalen Microsoft Defender fremhever rask tilgang til informasjon, enklere oppsett og samler relatert informasjon for enklere bruk.
Microsoft Defender for skyapper
Microsoft Defender for Cloud Apps er en Cloud Access Security Broker (CASB) som støtter ulike distribusjonsmoduser, inkludert logginnsamling, API-koblinger og omvendt proxy. Den gir omfattende synlighet, kontroll over datareiser og avanserte analyser for å identifisere og bekjempe netttrusler på tvers av alle Microsoft- og tredjeparts skytjenester.
Defender for Cloud Apps integreres opprinnelig med ledende Microsoft-løsninger og er utformet med tanke på sikkerhetspersonell. Den gir enkel distribusjon, sentralisert administrasjon og innovative automatiseringsfunksjoner.
Rammeverket Defender for Cloud Apps inkluderer muligheten til å beskytte nettverket mot netttrusler og avvik, oppdager uvanlig oppførsel på tvers av skyapper for å identifisere løsepengevirus, kompromitterte brukere eller useriøse programmer. Den muliggjør analyse av bruk med høy risiko og kan utbedre automatisk for å begrense risikoen for organisasjonen.
Varsler om Defender for skyapper kan klassifiseres som:
- TP for bekreftet ondsinnet aktivitet.
- Godartet sann positiv (B-TP) for mistenkelig, men ikke ondsinnet aktivitet, for eksempel en penetrasjonstest eller annen autorisert mistenkelig handling.
- FP for bekreftet ikke-skadelig aktivitet.
Strategibøker for varslingsklassifisering
Se disse strategiplanene for trinn for raskere å klassifisere varsler for følgende trusler:
- Mistenkelig videresendingsaktivitet for e-post
- Mistenkelige regler for innboksmanipulering
- Mistenkelige innboks-videresendingsregler
- Mistenkelige IP-adresser relatert til passordsprayaktivitet
- Passordsprayangrep
Se Undersøk varsler for informasjon om hvordan du undersøker varsler med Microsoft Defender-portalen.
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.