Les på engelsk

Del via


Hendelser og varsler i portalen Microsoft Defender

Den Microsoft Defender portalen samler et samlet sett med sikkerhetstjenester for å redusere eksponeringen for sikkerhetstrusler, forbedre organisasjonens sikkerhetsstilling, oppdage sikkerhetstrusler og undersøke og svare på brudd. Disse tjenestene samler inn og produserer signaler som vises i portalen. De to viktigste typene signaler er:

Varsler: Signaler som er et resultat av ulike trusselregistreringsaktiviteter. Disse signalene indikerer forekomsten av ondsinnede eller mistenkelige hendelser i miljøet ditt.

Hendelser: Beholdere som inkluderer samlinger av relaterte varsler og forteller hele historien om et angrep. Varslene i én enkelt hendelse kan komme fra alle Microsofts sikkerhets- og samsvarsløsninger, samt fra et stort antall eksterne løsninger samlet inn gjennom Microsoft Sentinel og Microsoft Defender for Cloud.

Hendelser for korrelasjon og undersøkelse

Selv om du kan undersøke og redusere truslene som individuelle varsler gjør deg oppmerksom på, er disse truslene i seg selv isolerte forekomster som ikke forteller deg noe om en bredere, kompleks angrepshistorie. Du kan søke etter, undersøke, undersøke og koordinere grupper med varsler som hører sammen i én enkelt angrepshistorie, men det vil koste deg mye tid, krefter og energi.

Korrelasjonsmotorene og algoritmene i Microsoft Defender-portalen aggregerer og korrelerer i stedet relaterte varsler automatisk for å danne hendelser som representerer disse større angrepshistoriene. Defender identifiserer flere signaler som tilhører den samme angrepshistorien, ved hjelp av AI for kontinuerlig å overvåke telemetrikildene og legge til flere bevis for allerede åpne hendelser. Hendelser inneholder alle varslene som anses å være relatert til hverandre og til den generelle angrepshistorien, og presenterer historien i ulike former:

  • Tidslinjer for varsler og råhendelser de er basert på
  • En liste over taktikkene som ble brukt
  • Lister av alle involverte og berørte brukere, enheter og andre ressurser
  • En visuell fremstilling av hvordan alle spillerne i historien samhandler
  • Logger over automatiske undersøkelses- og svarprosesser som Defender XDR startet og fullført
  • Samlinger av bevis som støtter angrepshistorien: dårlige aktørers brukerkontoer og enhetsinformasjon og adresse, ondsinnede filer og prosesser, relevant trusselintelligens og så videre
  • Et tekstsammendrag av angrepshistorien

Hendelser gir deg også et rammeverk for administrasjon og dokumentering av undersøkelser og trusselrespons. Hvis du vil ha mer informasjon om hendelsesfunksjonaliteten i denne forbindelse, kan du se Administrere hendelser i Microsoft Defender.

Varslingskilder og trusselregistrering

Varsler i Microsoft Defender-portalen kommer fra mange kilder. Disse kildene omfatter de mange tjenestene som er en del av Microsoft Defender XDR, samt andre tjenester med varierende grad av integrering med Microsoft Defender-portalen.

Når Microsoft Sentinel for eksempel er pålastet til Microsoft Defender-portalen, har korrelasjonsmotoren i Defender-portalen tilgang til alle rådataene som tas inn av Microsoft Sentinel, som du finner i Defenders avanserte jakttabeller.

Microsoft Defender XDR oppretter også varsler. Defender XDR unike korrelasjonsfunksjoner gir et annet lag med dataanalyse og trusselregistrering for alle ikke-Microsoft-løsningene i din digitale eiendom. Disse gjenkjenningene produserer Defender XDR varsler, i tillegg til varslene som allerede er levert av analysereglene til Microsoft Sentinel.

Innenfor hver av disse kildene finnes det én eller flere mekanismer for trusselregistrering som produserer varsler basert på reglene som er definert i hver mekanisme.

For eksempel har Microsoft Sentinel minst fire forskjellige motorer som produserer ulike typer varsler, hver med sine egne regler.

Verktøy og metoder for undersøkelse og svar

Den Microsoft Defender portalen inneholder verktøy og metoder for å automatisere eller på annen måte bistå i triage, undersøkelse og løsning av hendelser. Disse verktøyene vises i tabellen nedenfor:

Verktøy/metode Beskrivelse
Administrer og undersøk hendelser Sørg for at du prioriterer hendelsene i henhold til alvorsgrad, og arbeid deretter gjennom dem for å undersøke. Bruk avansert jakt til å søke etter trusler, og kom i forkant av nye trusler med trusselanalyse.
Undersøke og løse varsler automatisk Hvis dette er aktivert, kan Microsoft Defender XDR automatisk undersøke og løse varsler fra Microsoft 365- og Entra ID-kilder gjennom automatisering og kunstig intelligens.
Konfigurere handlinger for automatiske angrepsavbrudd Bruk signaler med høy konfidens som samles inn fra Microsoft Defender XDR og Microsoft Sentinel til automatisk å forstyrre aktive angrep i maskinhastighet, som inneholder trusselen og begrense virkningen.
Konfigurer Microsoft Sentinel automatiseringsregler Bruk automatiseringsregler til å automatisere triage, tildeling og behandling av hendelser, uavhengig av kilden. Hjelp teamets effektivitet enda mer ved å konfigurere reglene til å bruke koder på hendelser basert på innholdet, undertrykke støyende (falske positive) hendelser og lukke løste hendelser som oppfyller de riktige kriteriene, angi en årsak og legge til kommentarer.
Proaktivt jakt med avansert jakt Bruk Kusto Query Language (KQL) til proaktivt å undersøke hendelser i nettverket ved å spørre loggene som er samlet inn i Defender-portalen. Avansert jakt støtter en veiledet modus for brukere som ser etter bekvemmeligheten til et spørreverktøy.
Utnytt kunstig intelligens med Microsoft Copilot for sikkerhet Legg til kunstig intelligens for å støtte analytikere med komplekse og tidkrevende daglige arbeidsflyter. For eksempel kan Microsoft Copilot for Sikkerhet hjelpe med ende-til-ende hendelsesundersøkelse og respons ved å gi tydelig beskrevne angrepshistorier, trinnvis handlingsveiledning og hendelsesaktivitet oppsummerte rapporter, KQL-jakt på naturlig språk og ekspertkodeanalyse – optimalisering av SOC-effektivitet på tvers av data fra alle kilder.

Denne funksjonen er i tillegg til den andre AI-baserte funksjonaliteten som Microsoft Sentinel bringer til den enhetlige plattformen, på områdene bruker- og enhetsatferdsanalyse, avviksregistrering, flertrinns trusselregistrering og mer.

Hvis du vil lære mer om varslingskorrelasjon og sammenslåing av hendelser i Defender-portalen, kan du se Varsler, hendelser og korrelasjon i Microsoft Defender XDR