Geautomatiseerd onderzoek en antwoord in Microsoft Defender XDR
Artikel
Van toepassing op:
Microsoft Defender XDR
Als uw organisatie gebruikmaakt van Microsoft Defender XDR, ontvangt uw beveiligingsteam een waarschuwing in de Microsoft Defender portal wanneer er een schadelijke of verdachte activiteit of artefact wordt gedetecteerd. Gezien de schijnbaar oneindige stroom van bedreigingen die kunnen binnenkomen, staan beveiligingsteams vaak voor de uitdaging om het grote aantal waarschuwingen aan te pakken. Gelukkig bevat Microsoft Defender XDR mogelijkheden voor geautomatiseerd onderzoek en respons (AIR) waarmee uw beveiligingsteam bedreigingen efficiënter en effectiever kan aanpakken.
Dit artikel bevat een overzicht van AIR en koppelingen naar de volgende stappen en aanvullende bronnen.
Hoe geautomatiseerd onderzoek en zelfherstel werken
Wanneer beveiligingswaarschuwingen worden geactiveerd, is het aan uw beveiligingsteam om deze waarschuwingen te bekijken en stappen te ondernemen om uw organisatie te beschermen. Het prioriteren en onderzoeken van waarschuwingen kan erg tijdrovend zijn, vooral wanneer er nieuwe waarschuwingen binnenkomen terwijl er een onderzoek gaande is. Beveiligingsteams kunnen zich overweldigd voelen door het grote aantal bedreigingen dat ze moeten bewaken en waartegen ze zich moeten beschermen. Geautomatiseerde onderzoeks- en reactiemogelijkheden, met zelfherstel, in Microsoft Defender XDR kunnen helpen.
Bekijk de volgende video om te zien hoe zelfherstel werkt:
In Microsoft Defender XDR werken geautomatiseerde onderzoeken en reageren met mogelijkheden voor zelfherstel op al uw apparaten, e-mail & inhoud en identiteiten.
Stel dat u een virtuele analist hebt in uw beveiligingsteam op laag 1 of laag 2. De virtuele analist bootst de ideale stappen na die beveiligingsbewerkingen zouden moeten uitvoeren om bedreigingen te onderzoeken en te herstellen. De virtuele analist kan 24x7 werken, met onbeperkte capaciteit, en een aanzienlijke hoeveelheid onderzoeken en herstel van bedreigingen overnemen. Zo'n virtuele analist kan de reactietijd aanzienlijk verkorten, waardoor uw beveiligingsteam vrij komt voor andere belangrijke bedreigingen of strategische projecten. Als dit scenario klinkt als sciencefiction, is het niet! Een dergelijke virtuele analist maakt deel uit van uw Microsoft Defender XDR suite en de naam is geautomatiseerd onderzoek en antwoord.
Met geautomatiseerde onderzoeks- en reactiemogelijkheden kan uw beveiligingsteam de capaciteit van uw organisatie om beveiligingswaarschuwingen en -incidenten af te handelen aanzienlijk vergroten. Met geautomatiseerd onderzoek en respons kunt u de kosten voor het afhandelen van onderzoeks- en reactieactiviteiten verlagen en optimaal profiteren van uw bedreigingsbeveiligingspakket. Geautomatiseerde onderzoeks- en reactiemogelijkheden helpen uw beveiligingsteam door:
Bepalen of een bedreiging actie vereist.
Het nemen (of aanbevelen) van alle benodigde herstelacties.
Bepalen of en welke andere onderzoeken moeten plaatsvinden.
Het proces herhalen als dat nodig is voor andere waarschuwingen.
Het geautomatiseerde onderzoeksproces
Een waarschuwing maakt een incident, waardoor een geautomatiseerd onderzoek kan worden gestart. Het geautomatiseerde onderzoek resulteert in een uitspraak voor elk bewijsstuk. Vonnissen kunnen zijn:
Kwaadaardig
Verdachte
Er zijn geen bedreigingen gevonden
Herstelacties voor kwaadwillende of verdachte entiteiten worden geïdentificeerd. Voorbeelden van herstelacties zijn:
Terwijl een onderzoek wordt uitgevoerd, worden alle andere gerelateerde waarschuwingen die zich voordoen aan het onderzoek toegevoegd totdat het is voltooid. Als een betrokken entiteit ergens anders wordt gezien, wordt het bereik van het geautomatiseerde onderzoek uitgebreid met die entiteit en wordt het onderzoeksproces herhaald.
In Microsoft Defender XDR correleert elk geautomatiseerd onderzoek signalen tussen Microsoft Defender for Identity, Microsoft Defender voor Eindpunt en Microsoft Defender voor Office 365, zoals samengevat in de volgende tabel:
Entiteiten
Services voor bedreigingsbeveiliging
Apparaten (ook wel eindpunten of machines genoemd)
Niet elke waarschuwing activeert een geautomatiseerd onderzoek en niet elk onderzoek resulteert in geautomatiseerde herstelacties. Dit is afhankelijk van hoe geautomatiseerd onderzoek en antwoord is geconfigureerd voor uw organisatie. Zie Mogelijkheden voor geautomatiseerd onderzoek en respons configureren.
Een lijst met onderzoeken weergeven
Als u onderzoeken wilt bekijken, gaat u naar de pagina Incidenten . Selecteer een incident en selecteer vervolgens het tabblad Onderzoeken . Zie Details en resultaten van een geautomatiseerd onderzoek voor meer informatie.
Antwoordkaart voor geautomatiseerd onderzoek &
De nieuwe kaart Geautomatiseerd onderzoek & antwoord is beschikbaar in de Microsoft Defender portal (https://security.microsoft.com). Deze nieuwe kaart is zichtbaar voor het totale aantal beschikbare herstelacties. De kaart geeft ook een overzicht van alle waarschuwingen en de vereiste goedkeuringstijd voor elke waarschuwing.
Met behulp van de kaart Geautomatiseerd onderzoek & antwoord kan uw beveiligingsteam snel naar het actiecentrum navigeren door de koppeling Goedkeuren in actiecentrum te selecteren en vervolgens de juiste acties te ondernemen. Met de kaart kan uw beveiligingsteam effectiever acties beheren die wachten op goedkeuring.
Om deze referentie voor Microsoft Applied Skills te verdienen, laten cursisten zien hoe ze Microsoft Defender XDR kunnen gebruiken om cyberdreigingen te detecteren en erop te reageren. Kandidaten voor deze referentie moeten bekend zijn met het onderzoeken en verzamelen van bewijs over aanvallen op eindpunten. Ze moeten ook ervaring hebben met het gebruik van Microsoft Defender voor Eindpunt en Kusto-querytaal (KQL).