Automatisert undersøkelse og respons i Microsoft Defender XDR
Artikkel
Gjelder for:
Microsoft Defender XDR
Hvis organisasjonen bruker Microsoft Defender XDR, mottar sikkerhetsoperasjonsteamet et varsel i Microsoft Defender-portalen når en ondsinnet eller mistenkelig aktivitet eller artefakt oppdages. Gitt den tilsynelatende uendelige strømmen av trusler som kan komme inn, står sikkerhetsteamene ofte overfor utfordringen med å håndtere det høye volumet av varsler. Heldigvis inkluderer Microsoft Defender XDR automatiserte undersøkelses- og responsfunksjoner (AIR) som kan hjelpe sikkerhetsoperasjonsteamet med å håndtere trusler mer effektivt og mer effektivt.
Denne artikkelen gir en oversikt over AIR og inneholder koblinger til de neste trinnene og flere ressurser.
Slik fungerer automatisert undersøkelse og selvhelbredelse
Når sikkerhetsvarsler utløses, er det opp til sikkerhetsoperasjonsteamet å se på disse varslene og ta skritt for å beskytte organisasjonen. Det kan være svært tidkrevende å prioritere og undersøke varsler, spesielt når nye varsler fortsetter å komme inn mens en undersøkelse pågår. Sikkerhetsoperasjonsteam kan føle seg overveldet av det store volumet av trusler de må overvåke og beskytte mot. Automatiserte undersøkelses- og responsfunksjoner, med selvhelbredelse, i Microsoft Defender XDR kan hjelpe.
Se følgende video for å se hvordan selvhelbredelse fungerer:
I Microsoft Defender XDR fungerer automatisert undersøkelse og respons med selvhelbredende funksjoner på tvers av enheter, e-post & innhold og identiteter.
Tenk deg å ha en virtuell analytiker i sikkerhetsoperasjonsteamet på nivå 1 eller nivå 2. Den virtuelle analytikeren etterligner de ideelle trinnene som sikkerhetsoperasjoner ville ta for å undersøke og utbedre trusler. Den virtuelle analytikeren kan jobbe 24x7, med ubegrenset kapasitet, og ta på seg en betydelig belastning av undersøkelser og trusselutbedring. En slik virtuell analytiker kan redusere tiden til å svare betydelig, og frigjøre sikkerhetsoperasjonsteamet for andre viktige trusler eller strategiske prosjekter. Hvis dette scenarioet høres ut som science fiction, er det ikke! En slik virtuell analytiker er en del av Microsoft Defender XDR-programserien, og navnet er automatisert undersøkelse og respons.
Automatiserte undersøkelses- og svarfunksjoner gjør det mulig for sikkerhetsoperasjonsteamet å øke organisasjonens kapasitet dramatisk for å håndtere sikkerhetsvarsler og hendelser. Med automatisert undersøkelse og respons kan du redusere kostnadene ved å håndtere undersøkelses- og responsaktiviteter og få mest mulig ut av trusselbeskyttelsespakken. Automatiserte undersøkelses- og svarfunksjoner hjelper sikkerhetsoperasjonsteamet ved å:
Fastslå om og hvilke andre undersøkelser som skal forekomme.
Gjentar prosessen etter behov for andre varsler.
Den automatiserte undersøkelsesprosessen
Et varsel oppretter en hendelse, som kan starte en automatisert undersøkelse. Den automatiserte undersøkelsen resulterer i en dom for hvert bevis. Dommer kan være:
Skadelig
Mistenkelig
Finner ingen trusler
Utbedringshandlinger for ondsinnede eller mistenkelige enheter identifiseres. Eksempler på utbedringshandlinger inkluderer:
Mens en undersøkelse pågår, legges eventuelle andre relaterte varsler som oppstår, til undersøkelsen til den fullføres. Hvis en berørt enhet vises et annet sted, utvider den automatiserte undersøkelsen omfanget til å inkludere denne enheten, og undersøkelsesprosessen gjentas.
I Microsoft Defender XDR korrelerer hver automatiserte undersøkelse signaler på tvers av Microsoft Defender for identitet, Microsoft Defender for endepunkt og Microsoft Defender for Office 365, som oppsummert i tabellen nedenfor:
Ikke alle varsler utløser en automatisert undersøkelse, og ikke alle undersøkelser resulterer i automatiserte utbedringshandlinger. Det avhenger av hvordan automatisert undersøkelse og svar er konfigurert for organisasjonen. Se Konfigurere automatiserte undersøkelses- og svarfunksjoner.
Den nye automatiserte undersøkelsen & svarkort er tilgjengelig i Microsoft Defender-portalen (https://security.microsoft.com). Dette nye kortet er synlig for det totale antallet tilgjengelige utbedringshandlinger. Kortet gir også en oversikt over alle varslene og nødvendig godkjenningstid for hvert varsel.
Ved hjelp av det automatiserte & responskortet, kan sikkerhetsoperasjonsteamet raskt navigere til handlingssenteret ved å velge koblingen Godkjenn i handlingssenteret og deretter utføre nødvendige handlinger. Kortet gjør det mulig for sikkerhetsoperasjonsteamet å administrere handlinger som venter på godkjenning, mer effektivt.
To earn this Microsoft Applied Skills credential, learners demonstrate the ability to use Microsoft Defender XDR to detect and respond to cyberthreats. Candidates for this credential should be familiar with investigating and gathering evidence about attacks on endpoints. They should also have experience using Microsoft Defender for Endpoint and Kusto Query Language (KQL).