Del via

Administrert gjenkjenning og svar

  • Artikkel

Gjelder for:

Hvis du vil ha instruksjoner for administrert gjenkjenning og svar, kan du se denne korte videoen.

Gjennom en kombinasjon av automatisering og menneskelig ekspertise triagerer Microsoft Defender Experts for XDR Microsoft Defender XDR-hendelser, prioriterer dem på dine vegne, filtrerer ut støyen, utfører detaljerte undersøkelser og gir handlingsrettet administrert respons til sikkerhetsoperasjonssenteret (SOC)-teamene dine.

Hendelsesoppdateringer

Når ekspertene våre begynner å undersøke en hendelse, oppdateres feltene Tilordnet til og Status til henholdsvis Defender-eksperter og pågår.

Når våre eksperter avslutter sin undersøkelse av en hendelse, oppdateres hendelsens klassifiseringsfelt til et av følgende, avhengig av ekspertenes funn:

  • Sann positiv
  • Usann positiv
  • Informasjon, forventet aktivitet

Bestemmelsesfeltet som tilsvarer hver klassifisering, oppdateres også for å gi mer innsikt i funnene som fikk ekspertene våre til å bestemme den nevnte klassifiseringen.

Skjermbilde av Hendelser-siden som viser feltene Koder, Status, Tilordnet til, Klassifisering og Bestemmelse.

Hvis en hendelse klassifiseres som falsk positiv eller informasjonsmessig, forventet aktivitet, oppdateres statusfeltet for hendelsen til Løst. Våre eksperter avslutter deretter sitt arbeid med denne hendelsen, og Tildelt til-feltet blir oppdatert til Ikke-tilordnet. Våre eksperter kan dele oppdateringer fra sin undersøkelse og sin konklusjon når de løser en hendelse. Disse oppdateringene er lagt ut under Undersøkelsessammendrag i hendelsens undermenypanel for administrert respons .

Ellers, hvis en hendelse klassifiseres som Sann positiv, identifiserer våre eksperter de nødvendige responshandlingene som må utføres. Metoden som handlingene utføres i, avhenger av tillatelsene og tilgangsnivåene du har gitt Defender Experts for XDR-tjenesten. Finn ut mer om å gi tillatelser til ekspertene våre.

  • Hvis du har gitt Defender-eksperter for XDR de anbefalte tilgangstillatelsene til sikkerhetsoperatøren, kan ekspertene våre utføre de nødvendige svarhandlingene på hendelsen på dine vegne. Disse handlingene, sammen med et undersøkelsessammendrag, vises i undermenyen for administrert respons for hendelsen i Microsoft Defender-portalen, slik at du eller SOC-teamet kan se gjennom. Alle handlinger som fullføres av Defender Experts for XDR, vises under delen Fullførte handlinger . Alle ventende handlinger som krever at du eller soc-teamet må fullføres, er oppført under delen Ventende handlinger . Hvis du vil ha mer informasjon, kan du se Handlinger-delen . Når ekspertene våre har utført alle nødvendige handlinger på hendelsen, oppdateres Status-feltet til Løst , og Tilordnet til-feltetoppdateres til Kunde.

  • Hvis du har gitt Defender-eksperter for XDR standard tilgang til sikkerhetsleser, vises de nødvendige svarhandlingene, sammen med et undersøkelsessammendrag, i undermenyen for administrert svar for hendelsen under delen Ventende handlinger i Microsoft Defender-portalen, slik at du eller SOC-teamet kan utføre. Hvis du vil ha mer informasjon, kan du se Handlinger-delen . Hvis du vil identifisere denne overleveringen, oppdateres hendelsens Status-felt til Venter på kundehandling , og Tilordnet til-feltet oppdateres til Kunde.

Du kan kontrollere antall hendelser som krever at du gjør noe i Defender Experts-banneret øverst på Microsoft Defender-hjemmesiden.

Skjermbilde av Defender Experts-kortet i Microsoft Defender-portalen som viser antall hendelser som venter på kundehandling.

Du kan vise hendelser relatert til Defender-eksperter ved å filtrere hendelseskøen i Microsoft Defender-portalen ved hjelp av flere filtersett. Finn ut mer om hvordan du legger til filtre for hendelseskø

  • Hvis du vil se hendelsene ekspertene våre undersøker for øyeblikket, kan du bruke hendelsesoppgavefilteret og velge Tilordnet til Defender-eksperter.

  • For å se hendelsene våre eksperter har undersøkt og overlevert til teamet ditt for å handle på ventende utbedringshandlinger, ved hjelp av hendelsestildelingsfilteret , velger du Tilordnet til kundeteam.

    Skjermbilde av Hendelser-køen filtrert for å bare vise de med merket Tilordnet til Defender-eksperter.

  • Hvis du vil se hendelsene våre eksperter har undersøkt og overlevert til teamet ditt for å handle på ventende utbedringshandlinger ved hjelp av Status-filteret, velger du Avventer kundehandling.

    Skjermbilde av Hendelser-køen i Microsoft Defender-portalen filtrert for å bare vise de med handlingskoden Venter på kunde.

  • For å se hendelsene våre eksperter har fullført sin undersøkelse på (og enten direkte løst eller tilordnet til teamet ditt for ventende utbedringshandlinger), ved hjelp av Tags-filteret , velger du Defender-eksperter.

    Skjermbilde av Hendelser-køen i Microsoft Defender-portalen filtrert for å bare vise Defender Experts-koden.

Slik bruker du administrert svar i Microsoft Defender XDR

I Microsoft Defender-portalen har en hendelse som krever din oppmerksomhet ved hjelp av administrert svar , statusfeltet satt til Venter på kundehandling, Tilordnet til-feltet satt til Kunde og et oppgavekort øverst i Hendelser-ruten . Dine angitte hendelseskontakter mottar også et tilsvarende e-postvarsel med en kobling til Defender-portalen for å vise hendelsen. Finn ut mer om varslingskontakter. Du vil også motta et Teams-varsel som informerer deg om oppdateringene. Finn ut mer om hvordan du konfigurerer Teams

Velg Vis administrert svar på oppgavekortet eller øverst på portalsiden (fanen Administrert svar ) for å åpne et undermenypanel der du kan lese undersøkelsessammendraget til ekspertene våre, fullføre ventende handlinger som identifiseres av ekspertene våre, eller kommunisere med dem via chat.

Undersøkelsessammendrag

Delen undersøkelsessammendrag gir deg mer kontekst om hendelsen som analyseres av ekspertene våre, for å gi deg synlighet om alvorlighetsgraden og den potensielle virkningen hvis den ikke håndteres umiddelbart. Det kan omfatte enhetens tidslinje, indikatorer for angrep og indikatorer for kompromiss (IOCer) som er observert, og andre detaljer.

Skjermbilde av sammendrag av administrert responsundersøkelse.

Handlinger

Handlinger-fanen viser oppgavekort som inneholder svarhandlinger anbefalt av ekspertene våre.

Defender Experts for XDR støtter for øyeblikket følgende handlinger for administrert svar med ett klikk:

Handling Beskrivelse
Isolere enhet Isolerer en enhet, som bidrar til å hindre at en angriper kontrollerer den og utfører ytterligere aktiviteter som dataeksfiltrering og sidebevegelse. Den isolerte enheten vil fortsatt være koblet til Microsoft Defender for endepunkt.
Karantenefil Stopper kjøring av prosesser, setter filene i karantene og sletter faste data, for eksempel registernøkler.
Begrens appkjøring Begrenser kjøringen av potensielt skadelige programmer og låser enheten for å forhindre ytterligere forsøk.
Frigi fra isolasjon Angrer isolering av en enhet.
Fjern appbegrensning Angrer frigivelse fra isolasjon.

Bortsett fra disse handlingene med ett klikk, kan du også motta administrerte svar fra ekspertene våre som du må utføre manuelt.

Obs!

Før du utfører noen av de anbefalte handlingene for administrert svar, må du kontrollere at de ikke allerede er behandlet av dine automatiserte undersøkelses- og svarkonfigurasjoner. Finn ut mer om automatiserte undersøkelses- og svarfunksjoner i Microsoft Defender XDR.

Slik viser og utfører du handlinger for administrert svar:

  1. Velg pilknappene i et handlingskort for å utvide det og lese mer informasjon om den nødvendige handlingen.

    Skjermbilde av handlingen administrert svar for å isolere enhetens prod-server.

  2. Velg den nødvendige handlingen for kort med svarhandlinger med ett klikk. Handlingsstatusen på kortet endres til Pågår, deretter til Mislykket eller Fullført, avhengig av handlingens resultat.

    Skjermbilde av handlingen for administrert respons som viser pågående for å isolere enhetens prod-server.

Tips

Du kan også overvåke statusen for svarhandlinger i portalen i handlingssenteret. Hvis en svarhandling mislykkes, kan du prøve å gjøre det på nytt fra siden Vis enhetsdetaljer eller starte en chat med Defender-eksperter.

  1. For kort med nødvendige handlinger som du må utføre manuelt, velger du At jeg har fullført denne handlingen når du har utført dem, og deretter velger jeg Ja, jeg har gjort det i bekreftelsesdialogboksen som vises.

    Skjermbilde av handlingen for administrert svar for å bekrefte fullføring av handlingen.

  2. Hvis du ikke vil fullføre en nødvendig handling umiddelbart, velger du Hopp over, og deretter velger du Ja, hopper over denne handlingen i bekreftelsesdialogboksen som vises.

Viktig

Hvis du legger merke til at noen av knappene på handlingskortene er nedtonet, kan det indikere at du ikke har de nødvendige tillatelsene til å utføre handlingen. Kontroller at du er logget på Microsoft Defender XDR-portalen med de nødvendige tillatelsene. De fleste handlinger for administrert svar krever at du i det minste har tilgang til sikkerhetsoperatøren. Hvis du fortsatt støter på dette problemet selv med de nødvendige tillatelsene, går du til Vis enhetsdetaljer og fullfører trinnene derfra.

Få innsyn i Defender Experts-undersøkelser i SIEM- eller ITSM-programmet

Når Defender Experts for XDR undersøker hendelser og kommer opp med utbedringshandlinger, kan du ha innsyn i deres arbeid med hendelser i siem-programmene (security information and event management) og IT-tjenesteadministrasjon (ITSM), inkludert programmer som er tilgjengelige utenfor boksen.

Microsoft Sentinel

Du kan få synlighet for hendelser i Microsoft Sentinel ved å slå på den forhåndsdefinerte Microsoft Defender XDR-datakoblingen. Finn ut mer.

Når du har aktivert koblingen, vises oppdateringer av Defender-eksperter til feltene Status, Tilordnet til, Klassifisering og Besluttsomhet i Microsoft Defender XDR i de tilsvarende feltene Status, Eier og Årsak til lukking i Sentinel.

Obs!

Statusen for hendelser som undersøkes av Defender-eksperter i Microsoft Defender XDR, går vanligvis over fra Aktiv til Pågår til Venter på kundehandling som skal løses, mens i Sentinel følger den den nye til aktive til løste banen. Microsoft Defender XDR-status som venter på kundehandling , har ikke et tilsvarende felt i Sentinel. I stedet vises den som et merke i en hendelse i Sentinel.

Følgende avsnitt beskriver hvordan en hendelse som håndteres av våre eksperter, oppdateres i Sentinel etter hvert som den utvikler seg gjennom undersøkelsesreisen:

  1. En hendelse som undersøkes av ekspertene våre, har statusen oppført som aktiv og eieren oppført som Defender-eksperter.

  2. En hendelse som våre eksperter har bekreftet som en Sann positiv har et administrert svar lagt ut i Microsoft Defender XDR, og en kodesom venter på kundehandling og eieren er oppført som kunde. Du må gjøre noe med hendelsen basert på bruk av det angitte administrerte svaret i Defender-portalen.

  3. En hendelse som våre eksperter har bekreftet som en sann positiv, med alle utbedringstiltak tatt av Defender Experts, har hendelsens Status oppdatert til Løst og eieren er oppført som kunde. Du kan se gjennom handlingene som er fullført for hendelsen ved hjelp av det angitte administrerte svaret i Defender-portalen.

  4. Når ekspertene våre har avsluttet etterforskningen og avsluttet en hendelse som falsk positiv eller informasjonsmessig, forventet aktivitet, oppdateres hendelsens status til Løst, eieren oppdateres til Ikke-tilordnet, og en årsak til lukking er angitt.

    Skjermbilde av Microsoft Sentinel-hendelser.

Andre programmer

Du kan få innsyn i hendelser i SIEM- eller ITSM-programmet ved hjelp av Microsoft Defender XDR-API eller koblinger i Sentinel.

Når du har konfigurert en kobling, kan oppdateringene fra Defender Experts til feltene Status, Tilordnet til, Klassifisering og Besluttsomhet i Microsoft Defender XDR synkroniseres med tredjeparts SIEM- eller ITSM-programmer, avhengig av hvordan felttilordningen er implementert. For å illustrere kan du ta en titt på koblingen som er tilgjengelig fra Sentinel til ServiceNow.

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.