Undersøke og svare med Microsoft Defender XDR
Her er hovedoppgavene for å undersøke og svare på Microsoft Defender XDR:
- Svare på hendelser
- Se gjennom og godkjenne automatiske utbedringshandlinger
- Søk for kjente trusler i dataene dine
- Forstå de nyeste cyberangrepene
Hendelsesrespons
Microsoft 365-tjenester og -apper oppretter varsler når de oppdager en mistenkelig eller ondsinnet hendelse eller aktivitet. Individuelle varsler gir verdifulle ledetråder om et fullført eller pågående angrep. Angrep bruker imidlertid vanligvis ulike teknikker mot ulike typer enheter, for eksempel enheter, brukere og postbokser. Resultatet er flere varsler for flere enheter i leieren. Siden det kan være utfordrende og tidkrevende å sette sammen de enkelte varslene for å få innsikt i et angrep, aggregerer Microsoft Defender XDR automatisk varslene og tilhørende informasjon til en hendelse.
På løpende basis må du identifisere de høyest prioriterte hendelsene for analyse og løsning i hendelseskøen og gjøre dem klare for respons. Dette er en kombinasjon av:
- Prioritere å bestemme hendelser med høyest prioritet gjennom filtrering og sortering av hendelseskøen. Dette er også kjent som triaging.
- Administrer hendelser ved å endre tittelen, tilordne dem til en analytiker, legge til merker og kommentarer, og når de løses, klassifiserer de dem.
For hver hendelse kan du bruke arbeidsflyten for hendelsesrespons til å analysere hendelsen og dens varsler og data for å inneholde angrepet, utrydde trusselen, gjenopprette fra angrepet og lære av den. Se dette eksemplet for Microsoft Defender XDR.
Automatisert undersøkelse og utbedring
Hvis organisasjonen bruker Microsoft Defender XDR, mottar sikkerhetsoperasjonsteamet et varsel i Microsoft Defender-portalen når en ondsinnet eller mistenkelig aktivitet eller artefakt oppdages. Med tanke på den uendelige strømmen av trusler som kan komme inn, står sikkerhetsteamene ofte overfor utfordringen med å håndtere det høye volumet av varsler. Heldigvis inkluderer Microsoft Defender XDR automatiserte undersøkelses- og responsfunksjoner (AIR) som kan hjelpe sikkerhetsoperasjonsteamet med å håndtere trusler mer effektivt og mer effektivt.
Når en automatisert undersøkelse er fullført, er det nådd en dom for hvert bevis på en hendelse. Avhengig av dommen identifiseres utbedringshandlinger. I noen tilfeller utføres utbedringshandlinger automatisk. i andre tilfeller venter utbedringshandlinger på godkjenning gjennom Microsoft Defender XDR Handlingssenter.
Hvis du vil ha mer informasjon, kan du se Automatisert undersøkelse og svar i Microsoft Defender XDR.
Proaktivt søk etter trusler med avansert jakt
Det er ikke nok å svare på angrep når de oppstår. For utvidede, flerfasede angrep som løsepengevirus, må du proaktivt søke etter bevis på et angrep som pågår, og iverksette tiltak for å stoppe det før det fullføres.
Avansert jakt er et spørringsbasert verktøy for trusseljakt i Microsoft Defender XDR som lar deg utforske opptil 30 dager med rådata. Du kan proaktivt undersøke hendelser i nettverket for å finne trusselindikatorer og enheter. Denne fleksible tilgangen til Microsoft Defender XDR-data muliggjør ubegrenset jakt etter både kjente og potensielle trusler.
Du kan bruke de samme trusseljaktspørringene til å bygge egendefinerte gjenkjenningsregler. Disse reglene kjøres automatisk for å se etter og deretter svare på mistanke om bruddaktivitet, feilkonfigurerte maskiner og andre funn.
Se proaktivt jakte på trusler med avansert jakt i Microsoft Defender XDR for mer informasjon.
Kom i forkant av nye trusler med trusselanalyse
Trusselanalyse er en trusselintelligensfunksjonalitet i Microsoft Defender XDR utformet for å hjelpe sikkerhetsteamet med å være så effektiv som mulig, samtidig som de står overfor nye trusler. Den inneholder detaljert analyse og informasjon om:
- Aktive trusselaktører og deres kampanjer
- Populære og nye angrepsteknikker
- Kritiske sårbarheter
- Vanlige angrepsoverflater
- Utbredt skadelig programvare
Trusselanalyse inkluderer også informasjon om relaterte hendelser og berørte ressurser i Microsoft 365-leieren for hver identifiserte trussel.
Hver identifiserte trussel inkluderer en analytikerrapport, en omfattende analyse av trusselen skrevet av Microsofts sikkerhetsforskere som er i forkant av oppdagelse og analyse av cybersikkerhet. Disse rapportene kan også gi informasjon om hvordan angrepene vises i Microsoft Defender XDR.
Hvis du vil ha mer informasjon, kan du se Trusselanalyse i Microsoft Defender XDR.
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.