Udostępnij za pośrednictwem


Wyświetlanie alertów zabezpieczeń i zarządzanie nimi

Kolejka alertów zawiera listę alertów, które zostały oflagowane z tożsamości w sieci. Domyślnie kolejka wyświetla alerty widoczne w ciągu ostatnich siedmiu dni w widoku zgrupowanym. Najnowsze alerty są wyświetlane w górnej części listy, co ułatwia wyświetlanie najnowszych alertów w pierwszej kolejności.

Wyświetlanie kolejki alertów

W portalu Microsoft Defender przejdź do obszaru Zdarzenia & alerty, a następnie do pozycji Alerty.

Alerty z ostatnich siedmiu dni są wyświetlane z następującymi informacjami:

  • Nazwa alertu
  • Tagi
  • Waga
  • Stan badania
  • Stan
  • Kategoria
  • Źródło wykrywania
  • Zasoby, których dotyczy problem
  • Pierwsze działanie
  • Ostatnie działanie

Zrzut ekranu przedstawiający stronę Alerty w portalu usługi Defender. Dwa alerty o nazwie Podejrzany atak siłowy są wyświetlane z pełnymi szczegółami alertu.

Dostosowywanie widoku kolejki alertów

Widok kolejki alertów można dostosować na kilka sposobów. Korzystając z narzędzi w górnej części strony, możesz:

  • Dostosuj widok, aby dodać lub usunąć kolumny.
  • Zastosuj filtry.
  • Dostosuj czas trwania. Wyświetl alerty dla określonego czasu trwania, takiego jak 1 dzień, 3 dni, 1 tydzień, 30 dni i 6 miesięcy.
  • Wyeksportuj szczegółowy raport programu Excel do analizy.

Filtrowanie widoku alertów

Aby uzyskać bardziej skoncentrowany widok alertów, można zastosować następujące filtry.

Alert Opis
Dotkliwość Ważność alertu zależy od kilku czynników, w tym ilości dostępu osoby atakującej, potencjalnego wpływu, jeśli atak zakończy się pomyślnie, oraz prawdopodobieństwa, że alert będzie prawdziwie pozytywny. Aby uzyskać pełną listę typów alertów i przypisanych im poziomów ważności, zobacz Mapowanie nazw alertów zabezpieczeń i unikatowe identyfikatory zewnętrzne
Stan Możesz filtrować listę alertów na podstawie ich stanu. Na przykład można filtrować, aby wyświetlić tylko alerty, które są nowe, w toku lub rozwiązane.
Źródła wykrywania Alerty można filtrować na podstawie następujących źródeł wykrywania: Microsoft Defender for Identity lub Microsoft Defender XDR
Tagi Alerty można filtrować na podstawie tagów przypisanych do alertów.

Wyświetlanie alertu

Możesz uzyskać dostęp do poszczególnych alertów z wielu lokalizacji, wybierając nazwę alertu z dowolnego z następujących:

  • Strona Alerty
  • Strona Zdarzenia
  • Strona Tożsamości
  • Strony poszczególnych urządzeń
  • Strona Zaawansowane wyszukiwanie zagrożeń

Strona alertów

Strona alertów zawiera kontekst alertu, łącząc sygnały ataku i alerty związane z wybranym alertem w celu utworzenia szczegółowego scenariusza alertu. Strona alertów pomaga szybko klasyfikować, badać i podejmować skuteczne działania w przypadku alertów.

Uwaga

Microsoft Defender for Identity alerty są obecnie wyświetlane w dwóch różnych układach w portalu Microsoft Defender XDR. Widoki alertów pokazują różne informacje, ale wszystkie alerty są oparte na wykrywaniu z czujników usługi Defender for Identity. Wyświetlane różnice w układzie i informacjach są częścią trwającego przejścia do ujednoliconego środowiska alertów w Microsoft Defender produktach.

Aby wyświetlić alerty z usługi Defender for Identity i Defender XDR, wybierz pozycję Filtruj, a następnie w obszarze Źródła usług wybierz pozycję Microsoft Defender for Identity i Defender XDR, a następnie wybierz pozycję Zastosuj:

Zrzut ekranu przedstawiający menu filtru alertów dla usługi.

alerty Microsoft Defender for Identity

W górnej części strony znajdują się sekcje dotyczące kont, hosta docelowego i hosta źródłowego alertu. W zależności od alertu mogą zostać wyświetlone szczegółowe informacje o dodatkowych hostach, kontach, adresach IP, domenach i grupach zabezpieczeń. Wybierz dowolną z nich, aby uzyskać więcej szczegółów na temat zaangażowanych jednostek.

  • Sekcja Historia alertu zawiera informacje umożliwiające przedstawienie pełnej historii ze szczegółami alertu. Historia alertu jest podzielona na dwie sekcje:
    • To, co się stało , obejmuje oś czasu alertu i jednostki biorące udział w alercie.
    • Wykres alertów zawiera wizualną reprezentację alertu, w tym jednostki biorące udział w alercie i ich relacje. Wykres pomaga zrozumieć, w jaki sposób jednostki są połączone i jak odnoszą się do alertu.
  • Ważne informacje zawierają kontekst techniczny, który obsługuje badanie alertów. Te informacje umożliwiają sprawdzenie, czy działanie było oczekiwane, czy podejrzane, i podjęcie decyzji o tym, jakie akcje należy podjąć w celu powstrzymania lub eskalacji zdarzenia.
  • Szczegóły działania zawierają szczegółowe informacje, w tym sygnaturę czasową, obiekt podstawowy, zakres wyszukiwania i inne szczegóły dotyczące alertu.
  • Okienko szczegółów po prawej stronie zawiera dodatkowe informacje o alercie, w tym szczegóły alertu, komentarze & historii. Okienko szczegółów zawiera również dodatkowe opcje, takie jak:
    • Zarządzanie alertem
    • Eksportowanie alertu
    • Przenoszenie alertu do innego incydentu
    • Klasyfikowanie alertu

Zrzut ekranu przedstawiający strukturę alertów usługi Defender for Identity.

alerty Microsoft Defender XDR

W górnej części strony znajdują się sekcje dotyczące kont, hosta docelowego i hosta źródłowego alertu. W zależności od alertu mogą zostać wyświetlone przyciski, aby uzyskać szczegółowe informacje o dodatkowych hostach, kontach, adresach IP, domenach i grupach zabezpieczeń. Wybierz dowolną z nich, aby uzyskać więcej szczegółów na temat zaangażowanych jednostek.

  • Sekcja Historia alertu zawiera informacje umożliwiające przedstawienie pełnej historii ze szczegółami alertu. Historia alertu jest podzielona na dwie sekcje:
    • To, co się stało , obejmuje oś czasu alertu i jednostki biorące udział w alercie.
  • Okienko szczegółów po prawej stronie zawiera dodatkowe informacje o alercie, w tym szczegóły alertu, komentarze & historii. Okienko szczegółów zawiera również dodatkowe opcje, takie jak:
    • Zarządzanie alertem
    • Przenoszenie alertu do innego incydentu
    • Klasyfikowanie alertu

Zrzut ekranu przedstawiający strukturę alertów usługi Defender for XDR

Zarządzanie alertami dotyczącymi zabezpieczeń

Wybranie alertu powoduje otwarcie okienka zarządzania alertami, w którym można wykonać następujące akcje:

Zmienianie stanu alertu

Alerty można kategoryzować jako Nowe, W toku lub Rozwiązane, zmieniając ich stan w miarę postępu badania. Ułatwia to organizowanie i zarządzanie sposobem reagowania zespołu na alerty. Na przykład lider zespołu może przejrzeć wszystkie nowe alerty i podjąć decyzję o przypisaniu ich do kolejki W toku w celu dalszej analizy. Lider zespołu może przypisać alert do rozwiązanej kolejki, jeśli wie, że alert jest niegroźny lub pochodzi z urządzenia, które nie ma znaczenia (np. należącego do administratora zabezpieczeń) lub jest rozpatrywane za pośrednictwem wcześniejszego alertu.

Przenoszenie alertu do innego incydentu

Możesz utworzyć nowe zdarzenie z poziomu alertu lub utworzyć link do istniejącego incydentu.

Zrzut ekranu przedstawiający opcję przeniesienia alertu do innego zdarzenia.

Przypisywanie alertów

Jeśli alert nie został jeszcze przypisany, możesz wybrać pozycję Przypisz do mnie, aby przypisać alert do siebie.

Zrzut ekranu przedstawiający sposób przypisywania alertu do siebie.

Dodawanie komentarzy do alertu

Możesz dodać komentarze do alertu, aby podać dodatkowy kontekst lub informacje. Jest to przydatne w przypadku udostępniania szczegółowych informacji zespołowi lub dokumentowania procesu badania. Za każdym razem, gdy zostanie wprowadzona zmiana lub komentarz do alertu, zostanie ona zarejestrowana w sekcji Komentarze i historia.

Zrzut ekranu przedstawiający sekcję Komentarze & historii w portalu Microsoft Defender. Do wprowadzania komentarzy jest podane pole tekstowe.

Klasyfikowanie alertów zabezpieczeń

Dla każdego alertu zadawaj następujące pytania, aby określić klasyfikację alertów i pomóc w podjęciu decyzji, co należy zrobić dalej:

  1. Czy alert zabezpieczeń to TP, B-TP czy FP?
  2. Jak często występuje ten konkretny alert zabezpieczeń w twoim środowisku?
  3. Czy alert został wyzwolony przez te same typy komputerów lub użytkowników? Na przykład serwery z tą samą rolą lub użytkownikami z tej samej grupy/działu? Jeśli komputery lub użytkownicy byli podobni, możesz zdecydować się go wykluczyć, aby uniknąć dodatkowych przyszłych alertów fp.

Po odpowiednim zbadaniu wszystkie alerty zabezpieczeń usługi Defender for Identity można sklasyfikować jako jeden z następujących typów działań:

  • Prawdziwie dodatnie (TP): złośliwa akcja wykryta przez usługę Defender for Identity.

  • Niegroźny wynik prawdziwie dodatni (B-TP): akcja wykryta przez usługę Defender for Identity, która jest prawdziwa, ale nie złośliwa, na przykład test penetrowy lub znane działanie wygenerowane przez zatwierdzoną aplikację.

  • Fałszywie dodatni (FP): fałszywy alarm, co oznacza, że działanie nie miało miejsca.

Zrzut ekranu przedstawiający sposób klasyfikowania alertu jako alertu prawdziwego lub fałszywego.

Uwaga

Wzrost liczby alertów o dokładnie tym samym typie zwykle zmniejsza poziom podejrzanego/ważnego alertu. W przypadku powtarzających się alertów sprawdź konfiguracje i użyj szczegółów i definicji alertów zabezpieczeń, aby dokładnie zrozumieć, co się dzieje, co powoduje powtórzenie.

Dostrajanie alertów

Dostosuj alerty, aby je dostosować i zoptymalizować, zmniejszając liczbę wyników fałszywie dodatnich. Dostrajanie alertów umożliwia zespołom SOC skupienie się na alertach o wysokim priorytecie i zwiększenie zasięgu wykrywania zagrożeń w całym systemie. W Microsoft Defender XDR utwórz warunki reguły na podstawie typów dowodów, a następnie zastosuj regułę do dowolnego typu reguły zgodnego z warunkami.

Aby uzyskać więcej informacji, zobacz Dostrajanie alertu.