Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Kolejka alertów zawiera listę alertów, które zostały oflagowane z tożsamości w sieci. Domyślnie kolejka wyświetla alerty widoczne w ciągu ostatnich siedmiu dni w widoku zgrupowanym. Najnowsze alerty są wyświetlane w górnej części listy, co ułatwia wyświetlanie najnowszych alertów w pierwszej kolejności.
Wyświetlanie kolejki alertów
W portalu Microsoft Defender przejdź do obszaru Zdarzenia & alerty, a następnie do pozycji Alerty.
Alerty z ostatnich siedmiu dni są wyświetlane z następującymi informacjami:
- Nazwa alertu
- Tagi
- Waga
- Stan badania
- Stan
- Kategoria
- Źródło wykrywania
- Zasoby, których dotyczy problem
- Pierwsze działanie
- Ostatnie działanie
Dostosowywanie widoku kolejki alertów
Widok kolejki alertów można dostosować na kilka sposobów. Korzystając z narzędzi w górnej części strony, możesz:
- Dostosuj widok, aby dodać lub usunąć kolumny.
- Zastosuj filtry.
- Dostosuj czas trwania. Wyświetl alerty dla określonego czasu trwania, takiego jak 1 dzień, 3 dni, 1 tydzień, 30 dni i 6 miesięcy.
- Wyeksportuj szczegółowy raport programu Excel do analizy.
Filtrowanie widoku alertów
Aby uzyskać bardziej skoncentrowany widok alertów, można zastosować następujące filtry.
Alert | Opis |
---|---|
Dotkliwość | Ważność alertu zależy od kilku czynników, w tym ilości dostępu osoby atakującej, potencjalnego wpływu, jeśli atak zakończy się pomyślnie, oraz prawdopodobieństwa, że alert będzie prawdziwie pozytywny. Aby uzyskać pełną listę typów alertów i przypisanych im poziomów ważności, zobacz Mapowanie nazw alertów zabezpieczeń i unikatowe identyfikatory zewnętrzne |
Stan | Możesz filtrować listę alertów na podstawie ich stanu. Na przykład można filtrować, aby wyświetlić tylko alerty, które są nowe, w toku lub rozwiązane. |
Źródła wykrywania | Alerty można filtrować na podstawie następujących źródeł wykrywania: Microsoft Defender for Identity lub Microsoft Defender XDR |
Tagi | Alerty można filtrować na podstawie tagów przypisanych do alertów. |
Wyświetlanie alertu
Możesz uzyskać dostęp do poszczególnych alertów z wielu lokalizacji, wybierając nazwę alertu z dowolnego z następujących:
- Strona Alerty
- Strona Zdarzenia
- Strona Tożsamości
- Strony poszczególnych urządzeń
- Strona Zaawansowane wyszukiwanie zagrożeń
Strona alertów
Strona alertów zawiera kontekst alertu, łącząc sygnały ataku i alerty związane z wybranym alertem w celu utworzenia szczegółowego scenariusza alertu. Strona alertów pomaga szybko klasyfikować, badać i podejmować skuteczne działania w przypadku alertów.
Uwaga
Microsoft Defender for Identity alerty są obecnie wyświetlane w dwóch różnych układach w portalu Microsoft Defender XDR. Widoki alertów pokazują różne informacje, ale wszystkie alerty są oparte na wykrywaniu z czujników usługi Defender for Identity. Wyświetlane różnice w układzie i informacjach są częścią trwającego przejścia do ujednoliconego środowiska alertów w Microsoft Defender produktach.
Aby wyświetlić alerty z usługi Defender for Identity i Defender XDR, wybierz pozycję Filtruj, a następnie w obszarze Źródła usług wybierz pozycję Microsoft Defender for Identity i Defender XDR, a następnie wybierz pozycję Zastosuj:
alerty Microsoft Defender for Identity
W górnej części strony znajdują się sekcje dotyczące kont, hosta docelowego i hosta źródłowego alertu. W zależności od alertu mogą zostać wyświetlone szczegółowe informacje o dodatkowych hostach, kontach, adresach IP, domenach i grupach zabezpieczeń. Wybierz dowolną z nich, aby uzyskać więcej szczegółów na temat zaangażowanych jednostek.
- Sekcja Historia alertu zawiera informacje umożliwiające przedstawienie pełnej historii ze szczegółami alertu. Historia alertu jest podzielona na dwie sekcje:
- To, co się stało , obejmuje oś czasu alertu i jednostki biorące udział w alercie.
- Wykres alertów zawiera wizualną reprezentację alertu, w tym jednostki biorące udział w alercie i ich relacje. Wykres pomaga zrozumieć, w jaki sposób jednostki są połączone i jak odnoszą się do alertu.
- Ważne informacje zawierają kontekst techniczny, który obsługuje badanie alertów. Te informacje umożliwiają sprawdzenie, czy działanie było oczekiwane, czy podejrzane, i podjęcie decyzji o tym, jakie akcje należy podjąć w celu powstrzymania lub eskalacji zdarzenia.
- Szczegóły działania zawierają szczegółowe informacje, w tym sygnaturę czasową, obiekt podstawowy, zakres wyszukiwania i inne szczegóły dotyczące alertu.
-
Okienko szczegółów po prawej stronie zawiera dodatkowe informacje o alercie, w tym szczegóły alertu, komentarze & historii. Okienko szczegółów zawiera również dodatkowe opcje, takie jak:
- Zarządzanie alertem
- Eksportowanie alertu
- Przenoszenie alertu do innego incydentu
- Klasyfikowanie alertu
alerty Microsoft Defender XDR
W górnej części strony znajdują się sekcje dotyczące kont, hosta docelowego i hosta źródłowego alertu. W zależności od alertu mogą zostać wyświetlone przyciski, aby uzyskać szczegółowe informacje o dodatkowych hostach, kontach, adresach IP, domenach i grupach zabezpieczeń. Wybierz dowolną z nich, aby uzyskać więcej szczegółów na temat zaangażowanych jednostek.
- Sekcja Historia alertu zawiera informacje umożliwiające przedstawienie pełnej historii ze szczegółami alertu. Historia alertu jest podzielona na dwie sekcje:
- To, co się stało , obejmuje oś czasu alertu i jednostki biorące udział w alercie.
-
Okienko szczegółów po prawej stronie zawiera dodatkowe informacje o alercie, w tym szczegóły alertu, komentarze & historii. Okienko szczegółów zawiera również dodatkowe opcje, takie jak:
- Zarządzanie alertem
- Przenoszenie alertu do innego incydentu
- Klasyfikowanie alertu
Zarządzanie alertami dotyczącymi zabezpieczeń
Wybranie alertu powoduje otwarcie okienka zarządzania alertami, w którym można wykonać następujące akcje:
Zmienianie stanu alertu
Alerty można kategoryzować jako Nowe, W toku lub Rozwiązane, zmieniając ich stan w miarę postępu badania. Ułatwia to organizowanie i zarządzanie sposobem reagowania zespołu na alerty. Na przykład lider zespołu może przejrzeć wszystkie nowe alerty i podjąć decyzję o przypisaniu ich do kolejki W toku w celu dalszej analizy. Lider zespołu może przypisać alert do rozwiązanej kolejki, jeśli wie, że alert jest niegroźny lub pochodzi z urządzenia, które nie ma znaczenia (np. należącego do administratora zabezpieczeń) lub jest rozpatrywane za pośrednictwem wcześniejszego alertu.
Przenoszenie alertu do innego incydentu
Możesz utworzyć nowe zdarzenie z poziomu alertu lub utworzyć link do istniejącego incydentu.
Przypisywanie alertów
Jeśli alert nie został jeszcze przypisany, możesz wybrać pozycję Przypisz do mnie, aby przypisać alert do siebie.
Dodawanie komentarzy do alertu
Możesz dodać komentarze do alertu, aby podać dodatkowy kontekst lub informacje. Jest to przydatne w przypadku udostępniania szczegółowych informacji zespołowi lub dokumentowania procesu badania. Za każdym razem, gdy zostanie wprowadzona zmiana lub komentarz do alertu, zostanie ona zarejestrowana w sekcji Komentarze i historia.
Klasyfikowanie alertów zabezpieczeń
Dla każdego alertu zadawaj następujące pytania, aby określić klasyfikację alertów i pomóc w podjęciu decyzji, co należy zrobić dalej:
- Czy alert zabezpieczeń to TP, B-TP czy FP?
- Jak często występuje ten konkretny alert zabezpieczeń w twoim środowisku?
- Czy alert został wyzwolony przez te same typy komputerów lub użytkowników? Na przykład serwery z tą samą rolą lub użytkownikami z tej samej grupy/działu? Jeśli komputery lub użytkownicy byli podobni, możesz zdecydować się go wykluczyć, aby uniknąć dodatkowych przyszłych alertów fp.
Po odpowiednim zbadaniu wszystkie alerty zabezpieczeń usługi Defender for Identity można sklasyfikować jako jeden z następujących typów działań:
Prawdziwie dodatnie (TP): złośliwa akcja wykryta przez usługę Defender for Identity.
Niegroźny wynik prawdziwie dodatni (B-TP): akcja wykryta przez usługę Defender for Identity, która jest prawdziwa, ale nie złośliwa, na przykład test penetrowy lub znane działanie wygenerowane przez zatwierdzoną aplikację.
Fałszywie dodatni (FP): fałszywy alarm, co oznacza, że działanie nie miało miejsca.
Uwaga
Wzrost liczby alertów o dokładnie tym samym typie zwykle zmniejsza poziom podejrzanego/ważnego alertu. W przypadku powtarzających się alertów sprawdź konfiguracje i użyj szczegółów i definicji alertów zabezpieczeń, aby dokładnie zrozumieć, co się dzieje, co powoduje powtórzenie.
Dostrajanie alertów
Dostosuj alerty, aby je dostosować i zoptymalizować, zmniejszając liczbę wyników fałszywie dodatnich. Dostrajanie alertów umożliwia zespołom SOC skupienie się na alertach o wysokim priorytecie i zwiększenie zasięgu wykrywania zagrożeń w całym systemie. W Microsoft Defender XDR utwórz warunki reguły na podstawie typów dowodów, a następnie zastosuj regułę do dowolnego typu reguły zgodnego z warunkami.
Aby uzyskać więcej informacji, zobacz Dostrajanie alertu.