Udostępnij za pośrednictwem


Reagowanie na zdarzenia w portalu usługi Microsoft Defender

Zdarzenie w portalu usługi Microsoft Defender to kolekcja powiązanych alertów i skojarzonych danych, które składają się na historię ataku. Jest to również plik sprawy, którego usługa SOC może użyć do zbadania tego ataku oraz zarządzania nim, implementowania i dokumentowania odpowiedzi na ten atak.

Usługi Microsoft Sentinel i Microsoft Defender tworzą alerty w przypadku wykrycia podejrzanego lub złośliwego zdarzenia lub działania. Poszczególne alerty dostarczają cennych dowodów na ukończony lub trwający atak. Jednak coraz bardziej rozpowszechnione i zaawansowane ataki zwykle stosują różne techniki i wektory względem różnych typów jednostek zasobów, takich jak urządzenia, użytkownicy i skrzynki pocztowe. Rezultatem jest wiele alertów z wielu źródeł dla wielu jednostek zasobów w majątku cyfrowym.

Ponieważ poszczególne alerty informują tylko część historii, a ręczne grupowanie pojedynczych alertów w celu uzyskania wglądu w atak może być trudne i czasochłonne, ujednolicona platforma operacji zabezpieczeń automatycznie identyfikuje powiązane alerty — zarówno z usługi Microsoft Sentinel, jak i usługi Microsoft Defender XDR — i agreguje je i skojarzone z nimi informacje w zdarzeniu.

Jak usługa Microsoft Defender XDR koreluje zdarzenia z jednostek w zdarzeniu.

Grupowanie powiązanych alertów w zdarzeniu zapewnia kompleksowy wgląd w atak. Możesz na przykład zobaczyć:

  • Gdzie rozpoczął się atak.
  • Jakiej taktyki użyto.
  • Jak daleko atak poszedł do twojej majątku cyfrowego.
  • Zakres ataku, taki jak liczba urządzeń, użytkowników i skrzynek pocztowych, które zostały naruszone.
  • Wszystkie dane związane z atakiem.

Ujednolicona platforma operacji zabezpieczeń w portalu usługi Microsoft Defender obejmuje metody automatyzacji i pomocy w klasyfikowaniu, badaniu i rozwiązywaniu zdarzeń.

  • Rozwiązanie Microsoft Copilot w usłudze Defender wykorzystuje sztuczną inteligencję do obsługi analityków ze złożonymi i czasochłonnymi codziennymi przepływami pracy, w tym kompleksowym badaniem incydentów i reagowaniem na nie za pomocą jasno opisanych historii ataków, szczegółowych wskazówek dotyczących korygowania i podsumowanych działań związanych z zdarzeniami, wyszukiwania zagrożeń WQL w języku naturalnym i analizy kodu ekspertów — optymalizacji wydajności SOC w danych usługi Microsoft Sentinel i Defender XDR.

    Ta funkcja jest dodatkiem do innych funkcji opartych na sztucznej inteligencji, które usługa Microsoft Sentinel zapewnia na ujednoliconej platformie, w obszarach analizy zachowań użytkowników i jednostek, wykrywania anomalii, wykrywania zagrożeń wieloetapowych i nie tylko.

  • Automatyczne zakłócenie ataków używa sygnałów o wysokim poziomie ufności zebranych z usług Microsoft Defender XDR i Microsoft Sentinel, aby automatycznie zakłócać aktywne ataki z prędkością maszyny, ograniczając zagrożenie i ograniczając jego wpływ.

  • Jeśli ta opcja jest włączona, usługa Microsoft Defender XDR może automatycznie badać i rozwiązywać alerty ze źródeł microsoft 365 i Entra ID za pośrednictwem automatyzacji i sztucznej inteligencji. Możesz również wykonać dodatkowe kroki korygowania, aby rozwiązać problem z atakiem.

  • Reguły automatyzacji usługi Microsoft Sentinel mogą automatyzować klasyfikację, przypisywanie i zarządzanie zdarzeniami, niezależnie od ich źródła. Mogą stosować tagi do zdarzeń na podstawie ich zawartości, pomijać hałaśliwe (fałszywie dodatnie) zdarzenia i zamykać rozwiązane zdarzenia spełniające odpowiednie kryteria, określając przyczynę i dodając komentarze.

Ważna

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie ujednoliconych operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Zdarzenia i alerty w portalu usługi Microsoft Defender

Zdarzeniami można zarządzać w witrynie Investigation & response Incidents & alerts Incidents on the quick launch of the Microsoft Defender portal (Badanie & reagowania > na zdarzenia & alerty > — zdarzenia podczas szybkiego uruchamiania portalu usługi Microsoft Defender. Oto przykład:

Strona Zdarzenia w portalu usługi Microsoft Defender.

Wybranie nazwy zdarzenia powoduje wyświetlenie strony zdarzenia, począwszy od całej historii ataku zdarzenia, w tym:

  • Strona alertu w zdarzeniu: zakres alertów związanych ze zdarzeniem i ich informacje na tej samej karcie.

  • Graf: wizualna reprezentacja ataku łącząca różne podejrzane jednostki będące częścią ataku z jednostkami zasobów, które tworzą cele ataku, takimi jak użytkownicy, urządzenia, aplikacje i skrzynki pocztowe.

Możesz wyświetlić element zawartości i inne szczegóły jednostki bezpośrednio z wykresu i działać na nich za pomocą opcji odpowiedzi, takich jak wyłączenie konta, usunięcie pliku lub odizolowanie urządzenia.

Zrzut ekranu przedstawiający stronę scenariusza ataku dla zdarzenia w portalu usługi Microsoft Defender.

Strona zdarzenia składa się z następujących kart:

  • Historia ataku

    Wspomniana powyżej karta zawiera oś czasu ataku, w tym wszystkie alerty, jednostki zasobów i podjęte akcje korygowania.

  • Alerty

    Wszystkie alerty związane ze zdarzeniem, ich źródłami i informacjami.

  • Aktywa

    Wszystkie zasoby (chronione jednostki, takie jak urządzenia, użytkownicy, skrzynki pocztowe, aplikacje i zasoby w chmurze), które zostały zidentyfikowane jako część zdarzenia lub związane z tym zdarzeniem.

  • Dochodzenia

    Wszystkie zautomatyzowane badania wyzwalane przez alerty w zdarzeniu, w tym stan dochodzeń i ich wyniki.

  • Dowody i odpowiedź

    Wszystkie podejrzane jednostki w alertach zdarzenia, które stanowią dowody potwierdzające historię ataku. Te jednostki mogą obejmować adresy IP, pliki, procesy, adresy URL, klucze rejestru i wartości i nie tylko.

  • Podsumowanie

    Szybki przegląd elementów zawartości, których dotyczy problem, skojarzonych z alertami.

Uwaga

Jeśli widzisz stan alertu Nieobsługiwany typ alertu , oznacza to, że funkcje zautomatyzowanego badania nie mogą odebrać tego alertu w celu uruchomienia zautomatyzowanego badania. Można jednak zbadać te alerty ręcznie.

Przykład przepływu pracy reagowania na zdarzenia w portalu usługi Microsoft Defender

Oto przykład przepływu pracy na potrzeby reagowania na zdarzenia w usłudze Microsoft 365 za pomocą portalu usługi Microsoft Defender.

Przykład przepływu pracy reagowania na zdarzenia dla portalu usługi Microsoft Defender.

Na bieżąco zidentyfikuj zdarzenia o najwyższym priorytecie do analizy i rozwiązania w kolejce zdarzeń i przygotuj je do odpowiedzi. Jest to kombinacja następujących elementów:

  • Klasyfikowanie do określania zdarzeń o najwyższym priorytecie poprzez filtrowanie i sortowanie kolejki zdarzeń.
  • Zarządzanie zdarzeniami przez modyfikowanie ich tytułu, przypisywanie ich do analityka oraz dodawanie tagów i komentarzy.

Reguły automatyzacji usługi Microsoft Sentinel umożliwiają automatyczne klasyfikowanie niektórych zdarzeń i zarządzanie nimi (a nawet reagowanie na nie) podczas ich tworzenia, co eliminuje najłatwiejsze do obsługi zdarzenia z zajmowania miejsca w kolejce.

Rozważ następujące kroki dla własnego przepływu pracy reagowania na zdarzenia:

Scena Kroki
Dla każdego incydentu rozpocznij badanie i analizę ataków i alertów.
  1. Wyświetl historię ataku zdarzenia, aby zrozumieć jego zakres, ważność, źródło wykrywania i jednostki zasobów, których dotyczy problem.
  2. Rozpocznij analizowanie alertów w celu zrozumienia ich pochodzenia, zakresu i ważności przy użyciu historii alertu w zdarzeniu.
  3. W razie potrzeby zbierz informacje na temat urządzeń, użytkowników i skrzynek pocztowych, których dotyczy problem, za pomocą wykresu. Wybierz dowolną jednostkę, aby otworzyć wysuwany element ze wszystkimi szczegółami. Przejdź do strony jednostki, aby uzyskać więcej szczegółowych informacji.
  4. Zobacz, jak usługa Microsoft Defender XDR automatycznie rozwiązała niektóre alerty za pomocą karty Badania .
  5. W razie potrzeby użyj informacji w zestawie danych dla zdarzenia, aby uzyskać więcej informacji na karcie Dowody i odpowiedź .
Po lub w trakcie analizy wykonaj hermetyzację w celu zmniejszenia dodatkowego wpływu ataku i wyeliminowania zagrożenia bezpieczeństwa. Na przykład:
  • Wyłączanie użytkowników z naruszonymi zabezpieczeniami
  • Izolowanie urządzeń, na które ma wpływ problem
  • Blokuj wrogie adresy IP.
  • Jak najwięcej, odzyskaj sprawę po ataku, przywracając zasoby dzierżawy do stanu, w jakim znajdowały się przed incydentem.
    Rozwiąż zdarzenie i udokumentowaj swoje ustalenia. Poświęć trochę czasu na uczenie się po zdarzeniu:
  • Informacje o typie ataku i jego wpływie.
  • Zbadaj atak w usłudze Threat Analytics i społeczności zabezpieczeń pod kątem trendu ataku na zabezpieczenia.
  • Przypomnij sobie przepływ pracy używany do rozwiązania zdarzenia i zaktualizowania standardowych przepływów pracy, procesów, zasad i podręczników w razie potrzeby.
  • Określ, czy potrzebne są zmiany w konfiguracji zabezpieczeń i zaimplementuj je.
  • Jeśli jesteś nowym użytkownikiem analizy zabezpieczeń, zapoznaj się z wprowadzeniem do reagowania na pierwsze zdarzenie, aby uzyskać dodatkowe informacje i przejść przez przykładowe zdarzenie.

    Aby uzyskać więcej informacji na temat reagowania na zdarzenia w produktach firmy Microsoft, zobacz ten artykuł.

    Integrowanie operacji zabezpieczeń w portalu usługi Microsoft Defender

    Oto przykład integrowania procesów operacji zabezpieczeń (SecOps) w portalu usługi Microsoft Defender.

    Przykład operacji zabezpieczeń dla usługi Microsoft Defender XDR

    Codzienne zadania mogą obejmować:

    Zadania miesięczne mogą obejmować:

    Zadania kwartalne mogą obejmować raport i informacje o wynikach zabezpieczeń dla dyrektora ds. zabezpieczeń informacji (CISO).

    Zadania roczne mogą obejmować przeprowadzenie poważnego zdarzenia lub naruszenia zabezpieczeń w celu przetestowania personelu, systemów i procesów.

    Codzienne, miesięczne, kwartalne i roczne zadania mogą służyć do aktualizowania lub uściślania procesów, zasad i konfiguracji zabezpieczeń.

    Aby uzyskać więcej informacji , zobacz Integrowanie usługi Microsoft Defender XDR z operacjami zabezpieczeń .

    Zasoby usługi SecOps w produktach firmy Microsoft

    Aby uzyskać więcej informacji o usłudze SecOps w produktach firmy Microsoft, zobacz następujące zasoby:

    Powiadomienia o zdarzeniach pocztą e-mail

    Możesz skonfigurować portal usługi Microsoft Defender, aby powiadomić pracowników pocztą e-mail o nowych zdarzeniach lub aktualizacjach istniejących zdarzeń. Możesz wybrać opcję otrzymywania powiadomień na podstawie:

    • Ważność alertu
    • Źródła alertów
    • Grupa urządzeń

    Aby skonfigurować powiadomienia e-mail dotyczące zdarzeń, zobacz Pobieranie powiadomień e-mail dotyczących zdarzeń.

    Szkolenia dla analityków zabezpieczeń

    Skorzystaj z tego modułu szkoleniowego z usługi Microsoft Learn, aby dowiedzieć się, jak zarządzać zdarzeniami i alertami za pomocą usługi Microsoft Defender XDR.

    Szkolenie: Badanie zdarzeń za pomocą usługi Microsoft Defender XDR
    Badanie zdarzeń za pomocą ikony trenowania XDR usługi Microsoft Defender. Usługa Microsoft Defender XDR ujednolica dane zagrożeń z wielu usług i używa sztucznej inteligencji do łączenia ich w zdarzenia i alerty. Dowiedz się, jak zminimalizować czas między zdarzeniem a jego zarządzaniem w celu późniejszego reagowania i rozwiązywania problemów.

    27 min — 6 jednostek

    Następne kroki

    Wykonaj wymienione kroki na podstawie poziomu doświadczenia lub roli w zespole ds. zabezpieczeń.

    Poziom doświadczenia

    Postępuj zgodnie z tą tabelą, aby uzyskać poziom doświadczenia w zakresie analizy zabezpieczeń i reagowania na zdarzenia.

    Poziom Kroki
    Nowy
    1. Zapoznaj się z przewodnikiem Reagowanie na pierwsze zdarzenie , aby zapoznać się z przewodnikiem po typowym procesie analizy, korygowania i przeglądu po zdarzeniu w portalu usługi Microsoft Defender z przykładem ataku.
    2. Sprawdź, które zdarzenia powinny być traktowane priorytetowo na podstawie ważności i innych czynników.
    3. Zarządzanie zdarzeniami, które obejmują zmianę nazwy, przypisywanie, klasyfikowanie i dodawanie tagów i komentarzy na podstawie przepływu pracy zarządzania zdarzeniami.
    Doświadczony
    1. Rozpocznij pracę z kolejką zdarzeń na stronie Zdarzenia w portalu usługi Microsoft Defender. W tym miejscu można wykonywać następujące czynności:
    2. Śledzenie pojawiających się zagrożeń i reagowanie na nie przy użyciu analizy zagrożeń.
    3. Proaktywne wyszukiwanie zagrożeń przy użyciu zaawansowanego wyszukiwania zagrożeń.
    4. Zapoznaj się z tymi podręcznikami reagowania na zdarzenia, aby uzyskać szczegółowe wskazówki dotyczące wyłudzania informacji, sprayu haseł i ataków udzielania zgody aplikacji.

    Rola zespołu ds. zabezpieczeń

    Postępuj zgodnie z tą tabelą w oparciu o rolę zespołu ds. zabezpieczeń.

    Rola Kroki
    Osoba reagująca na zdarzenia (warstwa 1) Rozpocznij pracę z kolejką zdarzeń na stronie Zdarzenia w portalu usługi Microsoft Defender. W tym miejscu można wykonywać następujące czynności:
    • Sprawdź, które zdarzenia powinny być traktowane priorytetowo na podstawie ważności i innych czynników.
    • Zarządzanie zdarzeniami, które obejmują zmianę nazwy, przypisywanie, klasyfikowanie i dodawanie tagów i komentarzy na podstawie przepływu pracy zarządzania zdarzeniami.
    Badacz zabezpieczeń lub analityk (warstwa 2)
    1. Przeprowadź badania zdarzeń na stronie Zdarzenia w portalu usługi Microsoft Defender.
    2. Zapoznaj się z tymi podręcznikami reagowania na zdarzenia, aby uzyskać szczegółowe wskazówki dotyczące wyłudzania informacji, sprayu haseł i ataków udzielania zgody aplikacji.
    Zaawansowany analityk zabezpieczeń lub łowca zagrożeń (warstwa 3)
    1. Przeprowadź badania zdarzeń na stronie Zdarzenia w portalu usługi Microsoft Defender.
    2. Śledzenie pojawiających się zagrożeń i reagowanie na nie przy użyciu analizy zagrożeń.
    3. Proaktywne wyszukiwanie zagrożeń przy użyciu zaawansowanego wyszukiwania zagrożeń.
    4. Zapoznaj się z tymi podręcznikami reagowania na zdarzenia, aby uzyskać szczegółowe wskazówki dotyczące wyłudzania informacji, sprayu haseł i ataków udzielania zgody aplikacji.
    Menedżer SOC Zobacz, jak zintegrować usługę Microsoft Defender XDR z centrum operacji zabezpieczeń (SOC).

    Porada

    Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.