Incidenten en waarschuwingen in de Microsoft Defender-portal
De Microsoft Defender portal brengt een geïntegreerde set beveiligingsservices samen om uw blootstelling aan beveiligingsrisico's te verminderen, uw organisatiebeveiligingspostuur te verbeteren, beveiligingsrisico's te detecteren en schendingen te onderzoeken en erop te reageren. Deze services verzamelen en produceren signalen die worden weergegeven in de portal. De twee belangrijkste soorten signalen zijn:
Waarschuwingen: signalen die het resultaat zijn van verschillende activiteiten voor het detecteren van bedreigingen. Deze signalen duiden op het optreden van schadelijke of verdachte gebeurtenissen in uw omgeving.
Incidenten: containers die verzamelingen gerelateerde waarschuwingen bevatten en het volledige verhaal van een aanval vertellen. De waarschuwingen in één incident kunnen afkomstig zijn van alle beveiligings- en nalevingsoplossingen van Microsoft, evenals van een groot aantal externe oplossingen die zijn verzameld via Microsoft Sentinel en Microsoft Defender voor cloud.
Hoewel u de bedreigingen die afzonderlijke waarschuwingen onder uw aandacht brengen, kunt onderzoeken en beperken, zijn deze bedreigingen op zichzelf geïsoleerde gebeurtenissen die u niets vertellen over een breder, complex aanvalsverhaal. U kunt groepen waarschuwingen zoeken, onderzoeken, onderzoeken en correleren in één aanvalsverhaal, maar dat kost u veel tijd, moeite en energie.
In plaats daarvan aggregeren en correleren de correlatie-engines en algoritmen in de Microsoft Defender portal automatisch gerelateerde waarschuwingen om incidenten te vormen die deze grotere aanvalsverhalen vertegenwoordigen. Defender identificeert meerdere signalen als behorend tot hetzelfde aanvalsverhaal, waarbij AI wordt gebruikt om de telemetriebronnen voortdurend te bewaken en meer bewijs toe te voegen aan al geopende incidenten. Incidenten bevatten alle waarschuwingen die worden beschouwd als gerelateerd aan elkaar en aan het algehele aanvalsverhaal, en presenteren het verhaal in verschillende vormen:
- Tijdlijnen van waarschuwingen en de onbewerkte gebeurtenissen waarop ze zijn gebaseerd
- Een lijst met de gebruikte tactieken
- Lijsten van alle betrokken en betrokken gebruikers, apparaten en andere resources
- Een visuele weergave van de interactie tussen alle spelers in het verhaal
- Logboeken van automatische onderzoeks- en reactieprocessen die Defender XDR geïnitieerd en voltooid
- Verzamelingen bewijsmateriaal dat het aanvalsverhaal ondersteunt: gebruikersaccounts en apparaatgegevens en -adres van slechte actoren, schadelijke bestanden en processen, relevante bedreigingsinformatie, enzovoort
- Een tekstuele samenvatting van het aanvalsverhaal
Incidenten bieden u ook een framework voor het beheren en documenteren van uw onderzoeken en reactie op bedreigingen. Zie Incidenten beheren in Microsoft Defender voor meer informatie over de functionaliteit van incidenten in dit verband.
Waarschuwingen in de Microsoft Defender portal zijn afkomstig van veel bronnen. Deze bronnen omvatten de vele services die deel uitmaken van Microsoft Defender XDR, evenals andere services met verschillende mate van integratie met de Microsoft Defender portal.
Wanneer Microsoft Sentinel bijvoorbeeld wordt toegevoegd aan de Microsoft Defender-portal, heeft de correlatie-engine in de Defender-portal toegang tot alle onbewerkte gegevens die worden opgenomen door Microsoft Sentinel, die u kunt vinden in de geavanceerde opsporingstabellen van Defender.
Microsoft Defender XDR zelf ook waarschuwingen maakt. de unieke correlatiemogelijkheden van Defender XDR bieden een andere laag van gegevensanalyse en detectie van bedreigingen voor alle niet-Microsoft-oplossingen in uw digitale activa. Deze detecties produceren Defender XDR waarschuwingen, naast de waarschuwingen die al worden geleverd door de analyseregels van Microsoft Sentinel.
Binnen elk van deze bronnen zijn er een of meer mechanismen voor bedreigingsdetectie die waarschuwingen produceren op basis van de regels die in elk mechanisme zijn gedefinieerd.
Microsoft Sentinel heeft bijvoorbeeld ten minste vier verschillende engines die verschillende soorten waarschuwingen produceren, elk met eigen regels.
De Microsoft Defender portal bevat hulpprogramma's en methoden om incidenten te automatiseren of anderszins te helpen bij het opsporen, onderzoeken en oplossen van incidenten. Deze hulpprogramma's worden weergegeven in de volgende tabel:
Hulpprogramma/methode | Beschrijving |
---|---|
Incidenten beheren en onderzoeken | Zorg ervoor dat u prioriteit geeft aan uw incidenten op basis van ernst en dat u deze vervolgens doorwerkt om dit te onderzoeken. Gebruik geavanceerde opsporing om bedreigingen te zoeken en opkomende bedreigingen voor te blijven met bedreigingsanalyse. |
Waarschuwingen automatisch onderzoeken en oplossen | Als dit is ingeschakeld, kunt Microsoft Defender XDR automatisch waarschuwingen van Microsoft 365- en Entra ID-bronnen onderzoeken en oplossen via automatisering en kunstmatige intelligentie. |
Automatische aanvalsonderbrekingsacties configureren | Gebruik signalen met hoge betrouwbaarheid die zijn verzameld van Microsoft Defender XDR en Microsoft Sentinel om actieve aanvallen automatisch met machinesnelheid te verstoren, waardoor de bedreiging wordt onderbroken en de impact wordt beperkt. |
Automatiseringsregels voor Microsoft Sentinel configureren | Gebruik automatiseringsregels om de triage, toewijzing en het beheer van incidenten te automatiseren, ongeacht de bron. Help de efficiëntie van uw team nog meer door uw regels te configureren om tags toe te passen op incidenten op basis van hun inhoud, luidruchtige (fout-positieve) incidenten te onderdrukken en opgeloste incidenten te sluiten die voldoen aan de juiste criteria, een reden op te geven en opmerkingen toe te voegen. |
Proactief jagen met geavanceerde opsporing | Gebruik Kusto-querytaal (KQL) om proactief gebeurtenissen in uw netwerk te inspecteren door een query uit te voeren op de logboeken die zijn verzameld in de Defender-portal. Geavanceerde opsporing ondersteunt een begeleide modus voor gebruikers die op zoek zijn naar het gemak van een opbouwfunctie voor query's. |
AI gebruiken met Microsoft Copilot voor beveiliging | Voeg AI toe om analisten te ondersteunen met complexe en tijdrovende dagelijkse werkstromen. Microsoft Copilot voor beveiliging kan bijvoorbeeld helpen bij end-to-end incidentonderzoek en -reactie door duidelijk beschreven aanvalsverhalen, stapsgewijze richtlijnen voor herstel en overzichtsrapporten van incidentactiviteiten, KQL-opsporing in natuurlijke taal en analyse van deskundige code op te geven, waarbij de SOC-efficiëntie voor gegevens uit alle bronnen wordt geoptimaliseerd. Deze mogelijkheid is een aanvulling op de andere op AI gebaseerde functionaliteit die Microsoft Sentinel biedt aan het geïntegreerde platform, op het gebied van analyse van gebruikers- en entiteitsgedrag, anomaliedetectie, detectie van bedreigingen met meerdere fasen en meer. |
Zie Waarschuwingen, incidenten en correlatie in Microsoft Defender XDR voor meer informatie over de correlatie van waarschuwingen en het samenvoegen van incidenten in de Defender-portal