Utbedre din første hendelse i Microsoft Defender XDR
Gjelder for:
- Microsoft Defender XDR
Microsoft Defender XDR tilbyr oppdagelses- og analysefunksjoner for å sikre oppdehering og utryddelse av trusler. Containment inkluderer trinn for å redusere virkningen av angrepet mens utryddelse sikrer at alle spor av angriperaktivitet fjernes fra nettverket.
Utbedring i Microsoft Defender XDR kan automatiseres eller gjennom manuelle handlinger som utføres av hendelsesrespondere. Utbedringshandlinger kan utføres på enheter, filer og identiteter.
Automatisk utbedring
Microsoft Defender XDR drar nytte av trusselintelligensen og signalene i nettverket for å bekjempe de mest forstyrrende angrepene. Løsepengevirus, e-postkompromisse for bedrifter (BEC) og phishing (adversary-in-the-middle) (AiTM) er noen av de mest komplekse angrepene som kan finnes umiddelbart gjennom funksjonen for automatisk angrepsavbrudd . Når et angrep har blitt forstyrret, kan hendelsesrespondere ta over og fullt ut undersøke et angrep og anvende den nødvendige utbedringen.
Finn ut hvordan automatisk angrepsforstyrrelse hjelper i hendelsesrespons:
I mellomtiden kan Microsoft Defender XDRs automatiserte undersøkelses- og svarfunksjoner automatisk undersøke og anvende utbedringshandlinger på ondsinnede og mistenkelige elementer. Disse funksjonene skalerer etterforskning og løsning på trusler, og frigjør hendelsesrespondere til å fokusere sin innsats på angrep med høy effekt.
Du kan konfigurere og administrere automatiserte undersøkelses- og svarfunksjoner. Du kan også vise alle tidligere og ventende handlinger gjennom handlingssenteret.
Obs!
Du kan angre automatiske handlinger etter gjennomgang.
Hvis du vil øke hastigheten på noen av undersøkelsesoppgavene dine, kan du triage varsler med Power Automate. I tillegg kan automatisert utbedring opprettes ved hjelp av automatisering og strategiplan. Microsoft har strategiplanmaler på GitHub for følgende scenarioer:
- Fjern sensitiv fildeling etter å ha bedt om brukervalidering
- Varsler om automatisk triagering av sjeldne land
- Forespørsel om lederhandling før du deaktiverer en konto
- Deaktivere skadelige innboksregler
Strategibøker bruker Power Automate til å opprette egendefinerte automatiseringsflyter for robotprosesser for å automatisere bestemte aktiviteter når bestemte kriterier er utløst. Organisasjoner kan opprette strategiplan enten fra eksisterende maler eller fra grunnen av. Playbooks kan også opprettes under gjennomgang etter hendelsen for å opprette utbedringshandlinger fra løste hendelser.
Finn ut hvordan Power Automate kan hjelpe deg med å automatisere svar på hendelser gjennom denne videoen:
Manuell utbedring
Under et angrep kan sikkerhetsteam dra nytte av portalens manuelle utbedringshandlinger for å hindre angrep fra ytterligere skade. Noen handlinger kan umiddelbart stoppe en trussel, mens andre bidrar til ytterligere rettsmedisinske analyser. Du kan bruke disse handlingene på en hvilken som helst enhet, avhengig av Defender-arbeidsbelastningene som er distribuert i organisasjonen.
Handlinger på enheter
Isolere enheten – isolerer en berørt enhet ved å koble enheten fra nettverket. Enheten forblir koblet til Defender for Endpoint-tjenesten for fortsatt overvåking.
Begrens kjøring av apper – begrenser et program ved å bruke en policy for kodeintegritet som bare tillater at filer kjøres hvis de er signert av et Microsoft-utstedt sertifikat.
Kjør antivirusskanning – starter en Defender Antivirus-skanning eksternt for en enhet. Skanningen kan kjøre sammen med andre antivirusløsninger, enten Defender Antivirus er den aktive antivirusløsningen eller ikke.
Samle inn undersøkelsespakke – du kan samle inn en undersøkelsespakke fra en enhet som en del av undersøkelses- eller responsprosessen. Ved å samle inn undersøkelsespakken kan du identifisere den gjeldende tilstanden til enheten og ytterligere forstå verktøyene og teknikkene som brukes av angriperen.
Start automatisert undersøkelse – starter en ny automatisert undersøkelse av generelle formål på enheten. Mens en undersøkelse pågår, vil alle andre varsler som genereres fra enheten, bli lagt til i en pågående automatisert undersøkelse til undersøkelsen er fullført. I tillegg, hvis den samme trusselen vises på andre enheter, legges disse enhetene til i undersøkelsen.
Start direkte respons – gir deg øyeblikkelig tilgang til en enhet ved hjelp av en ekstern skalltilkobling, slik at du kan gjøre dyptgående undersøkende arbeid og utføre umiddelbare responshandlinger for å raskt inneholde identifiserte trusler i sanntid. Direkte respons er utformet for å forbedre undersøkelser ved å gjøre det mulig for deg å samle inn rettsmedisinske data, kjøre skript, sende mistenkelige enheter for analyse, utbedre trusler og proaktivt jakte på nye trusler.
Spør Defender-eksperter – du kan kontakte en Microsoft Defender-ekspert for mer innsikt om potensielt kompromitterte eller allerede kompromitterte enheter. Microsoft Defender-eksperter kan engasjeres direkte fra portalen for å få et nøyaktig svar i tide. Denne handlingen er tilgjengelig for både enheter og filer.
Andre handlinger på enheter er tilgjengelige gjennom følgende opplæring:
Obs!
Du kan utføre handlinger på enheter direkte fra grafen i angrepshistorien.
Handlinger på filer
- Stopp- og karantenefil – omfatter å stoppe kjøring av prosesser, kvarantinere filer og slette vedvarende data som registernøkler.
- Legg til indikatorer for å blokkere eller tillate fil – hindrer at et angrep sprer seg videre ved å forby potensielt skadelige filer eller mistenkt skadelig programvare. Denne operasjonen hindrer at filen leses, skrives eller kjøres på enheter i organisasjonen.
- Last ned eller samle inn fil – lar analytikere laste ned en fil i en passordbeskyttet .zip arkivfil for videre analyse av organisasjonen.
- Dyp analyse – kjører en fil i et sikkert, fullstendig instrumentert skymiljø. Dype analyseresultater viser filens aktiviteter, observerte virkemåter og tilknyttede artefakter, for eksempel tapte filer, registerendringer og kommunikasjon med IP-adresser.
Utbedre andre angrep
Obs!
Disse opplæringene gjelder når andre Defender-arbeidsbelastninger er aktivert i miljøet ditt.
Følgende opplæringer lister opp trinn og handlinger som du kan bruke når du undersøker enheter eller svarer på spesifikke trusler:
- Svare på en kompromittert e-postkonto via Defender for Office 365
- Utbedre sårbarheter med Defender for Vulnerability Management
- Utbedringshandlinger for brukerkontoer via Defender for Identity
- Bruke policyer for å kontrollere apper med Defender for Cloud Apps
Neste trinn
- Simulere angrep gjennom angrepssimuleringstreningen
- Utforsk Microsoft Defender XDR gjennom Virtual Ninja-opplæringen
Se også
- Undersøk hendelser
- Lær portalens funksjoner gjennom Microsoft Defender XDR Ninja-opplæringen
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.