Badanie alertów zabezpieczeń usługi Defender for Identity w usłudze Microsoft Defender XDR

Uwaga

Usługa Defender for Identity nie jest przeznaczona do obsługi inspekcji ani rejestrowania rozwiązania, które przechwytuje każdą pojedynczą operację lub działanie na serwerach, na których zainstalowano czujnik. Przechwytuje tylko dane wymagane do ich mechanizmów wykrywania i rekomendacji.

W tym artykule wyjaśniono podstawy pracy z alertami zabezpieczeń usługi Microsoft Defender for Identity w usłudze Microsoft Defender XDR.

Alerty usługi Defender for Identity są natywnie zintegrowane z usługą Microsoft Defender XDR z dedykowanym formatem strony alertu tożsamości.

Strona Alert dotyczący tożsamości zapewnia klientom usługi Microsoft Defender for Identity lepsze wzbogacanie sygnałów między domenami i nowe funkcje automatycznego reagowania na tożsamości. Zapewnia bezpieczeństwo i pomaga zwiększyć wydajność operacji zabezpieczeń.

Jedną z zalet badania alertów za pośrednictwem usługi Microsoft Defender XDR jest to, że alerty usługi Microsoft Defender for Identity są dodatkowo skorelowane z informacjami uzyskanymi z każdego z innych produktów w pakiecie. Te rozszerzone alerty są zgodne z innymi formatami alertów XDR w usłudze Microsoft Defender pochodzącymi z Ochrona usługi Office 365 w usłudze Microsoft Defender i Ochrona punktu końcowego w usłudze Microsoft Defender. Nowa strona skutecznie eliminuje konieczność przejścia do innego portalu produktów w celu zbadania alertów skojarzonych z tożsamością.

Alerty pochodzące z usługi Defender for Identity mogą teraz wyzwalać funkcje zautomatyzowanego badania i reagowania (AIR) w usłudze Microsoft Defender XDR, w tym automatyczne korygowanie alertów oraz środki zaradcze narzędzi i procesów, które mogą przyczynić się do podejrzanych działań.

Ważne

W ramach zbieżności z usługą Microsoft Defender XDR niektóre opcje i szczegóły zostały zmienione z ich lokalizacji w portalu usługi Defender for Identity. Przeczytaj poniższe szczegóły, aby dowiedzieć się, gdzie znaleźć zarówno znane, jak i nowe funkcje.

Przeglądanie alertów zabezpieczeń

Dostęp do alertów można uzyskać z wielu lokalizacji, w tym strony Alerty , strony Incydenty , strony poszczególnych urządzeń i strony Zaawansowane wyszukiwanie zagrożeń . W tym przykładzie zapoznamy się ze stroną Alerty.

W usłudze Microsoft Defender XDR przejdź do pozycji Zdarzenia i alerty , a następnie wybierz pozycję Alerty.

Aby wyświetlić alerty z usługi Defender for Identity, w prawym górnym rogu wybierz pozycję Filtr, a następnie w obszarze Źródła usług wybierz pozycję Microsoft Defender for Identity, a następnie wybierz pozycję Zastosuj:

Alerty są wyświetlane z informacjami w następujących kolumnach: Nazwa alertu, Tagi, Ważność, Stan badania, Stan, Kategoria, Źródło wykrywania, Zasoby, których dotyczy, Pierwsze działanie i Ostatnie działanie.

Kategorie alertów zabezpieczeń

Alerty zabezpieczeń usługi Defender for Identity są podzielone na następujące kategorie lub fazy, takie jak fazy występujące w typowym łańcuchu zagrożeń cybernetycznych.

• Alerty rekonesansu
• Alerty poświadczeń z naruszonym naruszeniem
• Alerty dotyczące przenoszenia bocznego
• Alerty dotyczące dominacji domeny
• Alerty eksfiltracji

Zarządzanie alertami

Jeśli wybierzesz nazwę alertu dla jednego z alertów, przejdziesz do strony ze szczegółowymi informacjami o alercie. W okienku po lewej stronie zobaczysz podsumowanie Co się stało:

Nad polem What happened (Co się stało) znajdują się przyciski dla pozycji Konta, Host docelowy i Host źródłowy alertu. W przypadku innych alertów można zobaczyć przyciski, aby uzyskać szczegółowe informacje o dodatkowych hostach, kontach, adresach IP, domenach i grupach zabezpieczeń. Wybierz dowolną z nich, aby uzyskać więcej szczegółowych informacji o zaangażowanych jednostkach.

W okienku po prawej stronie zobaczysz szczegóły alertu. W tym miejscu można wyświetlić więcej szczegółów i wykonać kilka zadań:

• Klasyfikuj ten alert — w tym miejscu możesz wyznaczyć ten alert jako alert true lub false

  

• Stan alertu — w obszarze Ustaw klasyfikację można sklasyfikować alert jako True lub False. W obszarze Przypisane do możesz przypisać alert do siebie lub cofnąć jego przypisanie.

  

• Szczegóły alertu — w obszarze Szczegóły alertu możesz znaleźć więcej informacji na temat określonego alertu, skorzystać z linku do dokumentacji dotyczącej typu alertu, zobaczyć, z którym incydentem jest skojarzony alert, przejrzeć wszystkie zautomatyzowane badania związane z tym typem alertu i wyświetlić urządzenia i użytkowników, których dotyczy problem.

  

• Komentarze i historia — tutaj możesz dodać komentarze do alertu i wyświetlić historię wszystkich akcji skojarzonych z alertem.

  

• Zarządzanie alertem — jeśli wybierzesz pozycję Zarządzaj alertem, przejdziesz do okienka, w którym będzie można edytować następujące opcje:

  • Stan — możesz wybrać pozycję Nowe, Rozwiązane lub W toku.

  • Klasyfikacja — możesz wybrać opcję Prawdziwy alert lub Alert fałszu.

  • Komentarz — możesz dodać komentarz dotyczący alertu.

  • Jeśli wybierzesz trzy kropki obok pozycji Zarządzaj alertem, możesz połączyć alert z innym zdarzeniem, utworzyć regułę pomijania (dostępną tylko dla klientów w wersji zapoznawczej) lub zapytaj ekspertów usługi Defender.

    

    Alert można również wyeksportować do pliku programu Excel. W tym celu wybierz pozycję Eksportuj.

    Uwaga

    W pliku programu Excel dostępne są dwa linki: Wyświetl w usłudze Microsoft Defender for Identity i Wyświetl w usłudze Microsoft Defender XDR. Każdy link spowoduje wyświetlenie odpowiedniego portalu i podanie informacji o alercie.

Dostrajanie alertów

Dostosuj alerty, aby dostosować je i zoptymalizować, zmniejszając liczbę wyników fałszywie dodatnich. Dostrajanie alertów umożliwia zespołom SOC skoncentrowanie się na alertach o wysokim priorytcie i ulepszanie pokrycia wykrywania zagrożeń w całym systemie. W usłudze Microsoft Defender XDR utwórz warunki reguły na podstawie typów dowodów, a następnie zastosuj regułę dla dowolnego typu reguły zgodnego z warunkami.

Aby uzyskać więcej informacji, zobacz Dostosowywanie alertu.

Zobacz też

• Alerty zabezpieczeń usługi Microsoft Defender for Identity

Dowiedz się więcej

• Wypróbuj nasz interaktywny przewodnik: Wykrywanie podejrzanych działań i potencjalnych ataków za pomocą usługi Microsoft Defender for Identity