Del via


Svar på hendelser i Microsoft Defender-portalen

En hendelse i Microsoft Defender-portalen er en samling relaterte varsler og tilknyttede data som utgjør historien om et angrep. Det er også en saksfil som SOC kan bruke til å undersøke angrepet og administrere, implementere og dokumentere svaret på det.

Microsoft Sentinel- og Microsoft Defender-tjenestene oppretter varsler når de oppdager en mistenkelig eller ondsinnet hendelse eller aktivitet. Individuelle varsler gir verdifulle bevis på et fullført eller pågående angrep. Imidlertid bruker stadig mer utbredte og sofistikerte angrep vanligvis en rekke teknikker og vektorer mot ulike typer aktivaenheter, for eksempel enheter, brukere og postbokser. Resultatet er flere varsler, fra flere kilder, for flere aktivaenheter i den digitale eiendommen.

Fordi individuelle varsler forteller bare en del av historien, og fordi manuell gruppering av individuelle varsler sammen for å få innsikt i et angrep kan være utfordrende og tidkrevende, identifiserer plattformen for enhetlige sikkerhetsoperasjoner automatisk varsler som er relatert – både fra Microsoft Sentinel og Microsoft Defender XDR – og aggregerer dem og tilhørende informasjon til en hendelse.

Hvordan Microsoft Defender XDR korrelerer hendelser fra enheter til en hendelse.

Gruppering av relaterte varsler til en hendelse gir deg en omfattende oversikt over et angrep. Du kan for eksempel se:

  • Der angrepet startet.
  • Hvilken taktikk ble brukt.
  • Hvor langt angrepet har gått inn i din digitale eiendom.
  • Omfanget av angrepet, for eksempel hvor mange enheter, brukere og postbokser som ble påvirket.
  • Alle dataene som er knyttet til angrepet.

Plattformen for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen inneholder metoder for å automatisere og bistå i triage, undersøkelse og løsning av hendelser.

  • Microsoft Copilot i Defender utnytter KUNSTIG INTELLIGENS for å støtte analytikere med komplekse og tidkrevende daglige arbeidsflyter, inkludert ende-til-ende-hendelsesundersøkelse og respons med tydelig beskrevne angrepshistorier, trinnvis handlingsveiledning og hendelsesaktivitet oppsummerte rapporter, KQL-jakt på naturlig språk og ekspertkodeanalyse – optimalisering av SOC-effektivitet på tvers av Microsoft Sentinel- og Defender XDR-data.

    Denne funksjonen er i tillegg til den andre AI-baserte funksjonaliteten som Microsoft Sentinel bringer til den enhetlige plattformen, på områdene bruker- og enhetsatferdsanalyse, avviksregistrering, flertrinns trusselregistrering og mer.

  • Automatisert angrepsavbrudd bruker signaler med høy konfidens samlet inn fra Microsoft Defender XDR og Microsoft Sentinel til automatisk å forstyrre aktive angrep i maskinhastighet, som inneholder trusselen og begrense virkningen.

  • Hvis dette er aktivert, kan Microsoft Defender XDR automatisk undersøke og løse varsler fra Microsoft 365- og Entra ID-kilder gjennom automatisering og kunstig intelligens. Du kan også utføre flere utbedringstrinn for å løse angrepet.

  • Automatiseringsregler for Microsoft Sentinel kan automatisere triage, tilordning og administrasjon av hendelser, uavhengig av kilden. De kan bruke koder på hendelser basert på innholdet, undertrykke støyende (falske positive) hendelser og lukke løste hendelser som oppfyller de riktige kriteriene, angi en årsak og legge til kommentarer.

Viktig

Microsoft Sentinel er nå generelt tilgjengelig i Microsofts plattform for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel i Microsoft Defender-portalen.

Hendelser og varsler i Microsoft Defender-portalen

Du administrerer hendelser fra undersøkelse & responshendelser > & varsler hendelser > på hurtigstartlinjen i Microsoft Defender-portalen. Her er et eksempel:

Hendelser-siden i Microsoft Defender-portalen.

Hvis du velger et hendelsesnavn, vises hendelsessiden, som starter med hele angrepshistorien om hendelsen, inkludert:

  • Varslingsside i hendelsen: Omfanget av varsler knyttet til hendelsen og deres informasjon på samme fane.

  • Graf: En visuell fremstilling av angrepet som kobler sammen de ulike mistenkelige enhetene som er en del av angrepet, med aktivaenhetene som utgjør angrepets mål, for eksempel brukere, enheter, apper og postbokser.

Du kan vise aktivaet og andre enhetsdetaljer direkte fra grafen og behandle dem med svaralternativer som å deaktivere en konto, slette en fil eller isolere en enhet.

Skjermbilde som viser siden for angrepshistorie for en hendelse i Microsoft Defender-portalen.

Hendelsessiden består av følgende faner:

  • Angrepshistorie

    Denne fanen er nevnt ovenfor, og inkluderer tidslinjen for angrepet, inkludert alle varsler, aktivaenheter og utbedringshandlinger som er utført.

  • Varsler

    Alle varsler knyttet til hendelsen, deres kilder og informasjon.

  • Eiendeler

    Alle aktiva (beskyttede enheter som enheter, brukere, postbokser, apper og skyressurser) som er identifisert som en del av eller relatert til hendelsen.

  • Undersøkelser

    Alle de automatiserte undersøkelsene utløst av varsler i hendelsen, inkludert status for undersøkelsene og deres resultater.

  • Bevis og svar

    Alle mistenkelige enheter i varslene om hendelsen, som utgjør bevis som støtter angrepshistorien. Disse enhetene kan omfatte IP-adresser, filer, prosesser, nettadresser, registernøkler og verdier med mer.

  • Sammendrag

    En rask oversikt over de berørte ressursene som er knyttet til varsler.

Obs!

Hvis du ser varselstatusen varselstatus for varslingstypen som ikke støttes , betyr det at automatiserte undersøkelsesfunksjoner ikke kan hente varselet for å kjøre en automatisert undersøkelse. Du kan imidlertid undersøke disse varslene manuelt.

Eksempel på arbeidsflyt for hendelsesrespons i Microsoft Defender-portalen

Her er et eksempel på en arbeidsflyt for å svare på hendelser i Microsoft 365 med Microsoft Defender-portalen.

Et eksempel på en arbeidsflyt for hendelsesrespons for Microsoft Defender-portalen.

På løpende basis identifiserer du de høyest prioriterte hendelsene for analyse og løsning i hendelseskøen og gjør dem klare for respons. Dette er en kombinasjon av:

  • Triaging to determining the highest priority incidents through filtering and sorting of the incident queue.
  • Administrere hendelser ved å endre tittelen, tilordne dem til en analytiker og legge til merker og kommentarer.

Du kan bruke automatiseringsregler for Microsoft Sentinel til automatisk å triage og administrere (og til og med svare på) noen hendelser etter hvert som de opprettes, og fjerne de enkleste hendelsene fra å ta opp plass i køen.

Vurder disse trinnene for din egen arbeidsflyt for hendelsessvar:

Stadium Trinn
Start en angreps- og varslingsundersøkelse og -analyse for hver hendelse.
  1. Vis angrepshistorien om hendelsen for å forstå omfanget, alvorsgraden, gjenkjenningskilden og hvilke aktivaenheter som påvirkes.
  2. Begynn å analysere varslene for å forstå opprinnelsen, omfanget og alvorlighetsgraden med varselhistorien i hendelsen.
  3. Etter behov samler du inn informasjon om berørte enheter, brukere og postbokser med grafen. Velg en enhet for å åpne en undermeny med alle detaljene. Følg gjennom til enhetssiden for å få mer innsikt.
  4. Se hvordan Microsoft Defender XDR automatisk har løst noen varsler med Fanen Undersøkelser .
  5. Etter behov kan du bruke informasjon i datasettet for hendelsen for mer informasjon med bevis- og svarfanen .
Etter eller under analysen utfører du betenkning for å redusere eventuelle ytterligere påvirkninger av angrepet og utryddelsen av sikkerhetstrusselen. For eksempel,
  • Deaktiver kompromitterte brukere
  • Isolere berørte enheter
  • Blokker fiendtlige IP-adresser.
  • Så mye som mulig, gjenopprette fra angrepet ved å gjenopprette leierressurser til staten de var i før hendelsen.
    Løs hendelsen og dokumenter resultatene dine. Ta deg tid til å lære å gjøre følgende:
  • Forstå typen angrep og dens innvirkning.
  • Undersøk angrepet i Trusselanalyse og sikkerhetsfelleskapet for en trend for sikkerhetsangrep.
  • Kall tilbake arbeidsflyten du brukte til å løse hendelsen, og oppdater standard arbeidsflyter, prosesser, policyer og strategibøker etter behov.
  • Finn ut om det er behov for endringer i sikkerhetskonfigurasjonen, og implementer dem.
  • Hvis du ikke har brukt sikkerhetsanalyse før, kan du se innføringen i å svare på den første hendelsen for mer informasjon og gå gjennom en eksempelhendelse.

    Hvis du vil ha mer informasjon om hendelsesrespons på tvers av Microsoft-produkter, kan du se denne artikkelen.

    Integrere sikkerhetsoperasjoner i Microsoft Defender-portalen

    Her er et eksempel på integrering av sikkerhetsoperasjoner (SecOps)-prosesser i Microsoft Defender-portalen.

    Et eksempel på sikkerhetsoperasjoner for Microsoft Defender XDR

    Daglige oppgaver kan omfatte:

    Månedlige oppgaver kan omfatte:

    Kvartalsvise oppgaver kan inkludere en rapport og orientering av sikkerhetsresultater til Chief Information Security Officer (CISO).

    Årlige oppgaver kan omfatte å gjennomføre en større hendelse eller bruddøvelse for å teste ansatte, systemer og prosesser.

    Daglige, månedlige, kvartalsvise og årlige oppgaver kan brukes til å oppdatere eller begrense prosesser, policyer og sikkerhetskonfigurasjoner.

    Se Integrere Microsoft Defender XDR i sikkerhetsoperasjonene for mer informasjon.

    SecOps-ressurser på tvers av Microsoft-produkter

    Hvis du vil ha mer informasjon om SecOps på tvers av Microsofts produkter, kan du se disse ressursene:

    Hendelsesvarsler via e-post

    Du kan konfigurere Microsoft Defender-portalen til å varsle de ansatte med en e-postmelding om nye hendelser eller oppdateringer av eksisterende hendelser. Du kan velge å få varsler basert på:

    • Alvorsgrad for varsel
    • Varselkilder
    • Enhetsgruppe

    Hvis du vil konfigurere e-postvarsler for hendelser, kan du se få e-postvarsler om hendelser.

    Opplæring for sikkerhetsanalytikere

    Bruk denne læringsmodulen fra Microsoft Learn til å forstå hvordan du bruker Microsoft Defender XDR til å håndtere hendelser og varsler.

    Opplæring: Undersøke hendelser med Microsoft Defender XDR
    Undersøk hendelser med Microsoft Defender XDR-opplæringsikon. Microsoft Defender XDR unifies threat data from multiple services and uses AI to combine them into incidents and alerts. Finn ut hvordan du minimerer tiden mellom en hendelse og dens administrasjon for påfølgende respons og løsning.

    27 min - 6 enheter

    Neste trinn

    Bruk de oppførte trinnene basert på erfaringsnivået eller rollen din i sikkerhetsteamet.

    Opplevelsesnivå

    Følg denne tabellen for ditt erfaringsnivå med sikkerhetsanalyse og hendelsesrespons.

    Nivå Trinn
    Ny
    1. Se svar på din første hendelsesgjennomgang for å få en veiledet innføring i en typisk prosess for analyse, utbedring og gjennomgang etter hendelsen i Microsoft Defender-portalen med et eksempelangrep.
    2. Se hvilke hendelser som bør prioriteres basert på alvorsgrad og andre faktorer.
    3. Administrer hendelser, som inkluderer å gi nytt navn til, tilordne, klassifisere og legge til merker og kommentarer basert på arbeidsflyten for hendelsesbehandling.
    Erfaren
    1. Kom i gang med hendelseskøen fra Hendelser-siden i Microsoft Defender-portalen. Herfra kan du:
      • Se hvilke hendelser som bør prioriteres basert på alvorsgrad og andre faktorer.
      • Administrer hendelser, som inkluderer å gi nytt navn til, tilordne, klassifisere og legge til merker og kommentarer basert på arbeidsflyten for hendelsesbehandling.
      • Utfør undersøkelser av hendelser.
    2. Spor og svar på nye trusler med trusselanalyse.
    3. Proaktivt jakte på trusler med avansert trusseljakt.
    4. Se disse strategiplanene for hendelsesrespons for detaljert veiledning for phishing, passordspray og appsamtykkeangrep.

    Rolle i sikkerhetsteam

    Følg denne tabellen basert på sikkerhetsteamrollen.

    Rolle Trinn
    Hendelsesresponder (nivå 1) Kom i gang med hendelseskøen fra Hendelser-siden i Microsoft Defender-portalen. Herfra kan du:
    • Se hvilke hendelser som bør prioriteres basert på alvorsgrad og andre faktorer.
    • Administrer hendelser, som inkluderer å gi nytt navn til, tilordne, klassifisere og legge til merker og kommentarer basert på arbeidsflyten for hendelsesbehandling.
    Sikkerhetsetterforsker eller analytiker (Nivå 2)
    1. Utfør undersøkelser av hendelser fra Hendelser-siden i Microsoft Defender-portalen.
    2. Se disse strategiplanene for hendelsesrespons for detaljert veiledning for phishing, passordspray og appsamtykkeangrep.
    Avansert sikkerhetsanalytiker eller trusseljeger (nivå 3)
    1. Utfør undersøkelser av hendelser fra Hendelser-siden i Microsoft Defender-portalen.
    2. Spor og svar på nye trusler med trusselanalyse.
    3. Proaktivt jakte på trusler med avansert trusseljakt.
    4. Se disse strategiplanene for hendelsesrespons for detaljert veiledning for phishing, passordspray og appsamtykkeangrep.
    SOC-leder Se hvordan du integrerer Microsoft Defender XDR i sikkerhetsoperasjonssenteret (SOC).

    Tips

    Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.