Badanie i reagowanie za pomocą Microsoft Defender XDR

Poniżej przedstawiono podstawowe zadania badania i reagowania dla Microsoft Defender XDR:

• Reagowanie na zdarzenia
• Przeglądanie i zatwierdzanie akcji automatycznego korygowania
• Search znanych zagrożeń w danych
• Omówienie najnowszych cyberataków

Reagowanie na zdarzenia

Usługi i aplikacje platformy Microsoft 365 tworzą alerty w przypadku wykrycia podejrzanego lub złośliwego zdarzenia lub działania. Poszczególne alerty dostarczają cennych wskazówek dotyczących zakończonego lub trwającego ataku. Jednak ataki zwykle stosują różne techniki względem różnych typów jednostek, takich jak urządzenia, użytkownicy i skrzynki pocztowe. Wynikiem jest wiele alertów dla wielu jednostek w dzierżawie. Ponieważ łączenie poszczególnych alertów w celu uzyskania wglądu w atak może być trudne i czasochłonne, Microsoft Defender XDR automatycznie agreguje alerty i skojarzone z nimi informacje w zdarzeniu.

Na bieżąco należy zidentyfikować zdarzenia o najwyższym priorytecie do analizy i rozwiązania w kolejce zdarzeń i przygotować je do odpowiedzi. Jest to kombinacja następujących elementów:

• Priorytetyzowanie do określania zdarzeń o najwyższym priorytecie poprzez filtrowanie i sortowanie kolejki zdarzeń. Jest to również nazywane klasyfikacją.
• Zarządzanie zdarzeniami przez modyfikowanie ich tytułu, przypisywanie ich do analityka, dodawanie tagów i komentarzy oraz po ich rozwiązaniu, klasyfikowanie ich.

W przypadku każdego zdarzenia użyj przepływu pracy reagowania na zdarzenia, aby przeanalizować zdarzenie oraz jego alerty i dane, aby powstrzymać atak, wyeliminować zagrożenie, odzyskać sprawę po ataku i wyciągnąć z niego wnioski. Zobacz ten przykład, aby uzyskać Microsoft Defender XDR.

Zautomatyzowane badanie i korygowanie

Jeśli Organizacja używa Microsoft Defender XDR, zespół ds. operacji zabezpieczeń otrzymuje alert w portalu Microsoft Defender za każdym razem, gdy zostanie wykryte złośliwe lub podejrzane działanie lub artefakt. Biorąc pod uwagę niekończący się przepływ zagrożeń, które mogą wystąpić, zespoły ds. zabezpieczeń często stoją przed wyzwaniem rozwiązania problemu dużej liczby alertów. Na szczęście Microsoft Defender XDR obejmuje możliwości zautomatyzowanego badania i reagowania (AIR), które mogą pomóc zespołowi ds. operacji zabezpieczeń w wydajniejszym i wydajniejszym reagowaniu na zagrożenia.

Po zakończeniu zautomatyzowanego dochodzenia zostaje osiągnięty werdykt dla każdego dowodu zdarzenia. W zależności od werdyktu są identyfikowane akcje korygowania. W niektórych przypadkach akcje korygowania są wykonywane automatycznie; W innych przypadkach akcje korygowania oczekują na zatwierdzenie za pośrednictwem centrum Microsoft Defender XDR Action Center.

Aby uzyskać więcej informacji, zobacz Zautomatyzowane badanie i reagowanie w Microsoft Defender XDR.

Proaktywne wyszukiwanie zagrożeń z zaawansowanym wyszukiwaniem zagrożeń

Nie wystarczy reagować na ataki w miarę ich występowania. W przypadku rozszerzonych, wielofazowych ataków, takich jak oprogramowanie wymuszające okup, należy aktywnie wyszukiwać dowody na atak w toku i podjąć działania, aby go zatrzymać przed jego zakończeniem.

Zaawansowane wyszukiwanie zagrożeń to oparte na zapytaniach narzędzie do wyszukiwania zagrożeń w Microsoft Defender XDR, które umożliwia eksplorowanie nieprzetworzonych danych przez maksymalnie 30 dni. Możesz proaktywnie sprawdzać zdarzenia w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Ten elastyczny dostęp do danych Microsoft Defender XDR umożliwia nieograniczone wyszukiwanie zagrożeń zarówno znanych, jak i potencjalnych.

Możesz użyć tych samych zapytań wyszukiwania zagrożeń, aby utworzyć niestandardowe reguły wykrywania. Te reguły są uruchamiane automatycznie w celu sprawdzania, a następnie reagowania na podejrzenie naruszenia zabezpieczeń, nieprawidłowo skonfigurowane maszyny i inne ustalenia.

Aby uzyskać więcej informacji, zobacz Aktywne wyszukiwanie zagrożeń z zaawansowanym wyszukiwaniem zagrożeń w Microsoft Defender XDR.

Wyprzedzanie pojawiających się zagrożeń za pomocą analizy zagrożeń

Analiza zagrożeń to funkcja analizy zagrożeń w Microsoft Defender XDR zaprojektowana tak, aby pomóc zespołowi ds. zabezpieczeń być jak najbardziej wydajnym w obliczu pojawiających się zagrożeń. Zawiera ona szczegółową analizę i informacje na temat:

• Aktywni aktorzy zagrożeń i ich kampanie
• Popularne i nowe techniki ataków
• Krytyczne luki w zabezpieczeniach
• Typowe powierzchnie ataków
• Powszechnie stosowane złośliwe oprogramowanie

Analiza zagrożeń obejmuje również informacje o powiązanych zdarzeniach i zasobach, których dotyczy problem w ramach dzierżawy usługi Microsoft 365, dla każdego zidentyfikowanego zagrożenia.

Każde zidentyfikowane zagrożenie obejmuje raport analityków, kompleksową analizę zagrożenia napisaną przez badaczy zabezpieczeń firmy Microsoft, którzy są w czołówce wykrywania i analizy cyberbezpieczeństwa. Te raporty mogą również dostarczać informacji na temat sposobu, w jaki ataki pojawiają się w Microsoft Defender XDR.

Aby uzyskać więcej informacji, zobacz Analiza zagrożeń w Microsoft Defender XDR.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.