Podręczniki klasyfikacji alertów
Dotyczy:
- Microsoft Defender XDR
Podręczniki klasyfikacji alertów umożliwiają metodyczne przeglądanie i szybkie klasyfikowanie alertów pod kątem dobrze znanych ataków oraz podjęcie zalecanych działań w celu skorygowania ataku i ochrony sieci. Klasyfikacja alertów pomoże również w prawidłowym sklasyfikowaniu ogólnego zdarzenia.
Jako badacz zabezpieczeń lub analityk centrum operacji zabezpieczeń (SOC) musisz mieć dostęp do portalu Microsoft Defender, aby umożliwić:
- Oceń i przejrzyj wygenerowane alerty i skojarzone zdarzenia. Zobacz badanie alertów.
- Search dane sygnału bezpieczeństwa dzierżawy i sprawdź potencjalne zagrożenia i podejrzane działania. Zobacz zaawansowane wyszukiwanie zagrożeń.
Uwaga
Możesz przekazać firmie Microsoft opinię na temat alertów prawdziwie dodatnich i fałszywie dodatnich, nie tylko po zakończeniu badania, ale także podczas procesu badania. Może to pomóc firmie Microsoft w przyszłej analizie i klasyfikacji zdarzeń zabezpieczeń.
Ochrona usługi Office 365 w usłudze Microsoft Defender
Ochrona usługi Office 365 w usłudze Microsoft Defender chroni organizację przed złośliwymi zagrożeniami związanymi z wiadomościami e-mail, linkami (adresami URL) i narzędziami do współpracy. Ochrona usługi Office 365 w usłudze Defender obejmuje:
Zasady ochrony przed zagrożeniami
Zdefiniuj zasady ochrony przed zagrożeniami, aby ustawić odpowiedni poziom ochrony organizacji.
Raporty
Wyświetlanie raportów w czasie rzeczywistym w celu monitorowania wydajności Ochrona usługi Office 365 w usłudze Defender w organizacji.
Możliwości badania zagrożeń i reagowania na nie
Użyj wiodących narzędzi do badania, zrozumienia, symulowania i zapobiegania zagrożeniom.
Możliwości zautomatyzowanego badania i reagowania
Oszczędzaj czas i nakład pracy na badanie i ograniczanie zagrożeń.
Ochrona usługi Office 365 w usłudze Defender alerty można sklasyfikować jako:
- Wynik prawdziwie dodatni (TP) dla potwierdzonego złośliwego działania.
- Wynik fałszywie dodatni (FP) dla potwierdzonej niezłośliwej aktywności.
Uwaga
Microsoft Defender portal https://security.microsoft.com łączy funkcje z istniejących portali zabezpieczeń firmy Microsoft. Portal Microsoft Defender podkreśla szybki dostęp do informacji, prostsze układy i łączenie powiązanych informacji w celu łatwiejszego użycia.
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps jest brokerem zabezpieczeń dostępu do chmury (CASB), który obsługuje różne tryby wdrażania, w tym zbieranie dzienników, łączniki interfejsu API i zwrotny serwer proxy. Zapewnia rozbudowaną widoczność, kontrolę nad podróżami po danych oraz zaawansowane analizy umożliwiające identyfikowanie i zwalczanie zagrożeń cybernetycznych we wszystkich usługach firmy Microsoft i innych firm w chmurze.
Usługa Defender for Cloud Apps natywnie integruje się z wiodącymi rozwiązaniami firmy Microsoft i została zaprojektowana z myślą o specjalistach ds. zabezpieczeń. Zapewnia proste wdrażanie, scentralizowane zarządzanie i innowacyjne możliwości automatyzacji.
Platforma Defender for Cloud Apps obejmuje możliwość ochrony sieci przed cyberzagrożeniami i anomaliami, wykrywania nietypowych zachowań w aplikacjach w chmurze w celu identyfikowania oprogramowania wymuszającego okup, naruszeń zabezpieczeń użytkowników lub nieautoryzowanych aplikacji. Umożliwia to analizę użycia wysokiego ryzyka i umożliwia automatyczne korygowanie w celu ograniczenia ryzyka dla organizacji.
Alerty usługi Defender for Cloud Apps można sklasyfikować jako:
- TP dla potwierdzonego złośliwego działania.
- Niegroźny wynik prawdziwie dodatni (B-TP) dla podejrzanych, ale nie złośliwych działań, takich jak test penetrowy lub inne autoryzowane podejrzane działanie.
- FP dla potwierdzonego działania niezłośliwego.
Podręczniki klasyfikacji alertów
Zapoznaj się z tymi podręcznikami, aby uzyskać instrukcje umożliwiające dokładniejsze klasyfikowanie alertów dla następujących zagrożeń:
- Podejrzane działania w zakresie przesyłania dalej wiadomości e-mail
- Podejrzane reguły manipulowania skrzynką odbiorczą
- Podejrzane reguły przesyłania dalej w skrzynce odbiorczej
- Podejrzane adresy IP związane z działaniem natrysku haseł
- Atak z replikacją hasła
Zobacz Badanie alertów, aby uzyskać informacje na temat sposobu sprawdzania alertów za pomocą portalu Microsoft Defender.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.