Wykrywanie zarządzane i reagowanie
Dotyczy:
Aby uzyskać instrukcje dotyczące wykrywania zarządzanego i odpowiedzi, zapoznaj się z tym krótkim filmem wideo.
Dzięki połączeniu automatyzacji i ludzkiej wiedzy eksperci ds. usługi Microsoft Defender dla XDR klasyfikowają zdarzenia XDR usługi Microsoft Defender, ustalają ich priorytety w Twoim imieniu, filtrują szum, przeprowadzają szczegółowe badania i udostępniają zarządzaną reakcję z możliwością działania zespołom centrum operacji zabezpieczeń (SOC).
Aktualizacje zdarzeń
Gdy nasi eksperci rozpoczną badanie incydentu, pola Przypisane do zdarzenia i Stan zostaną zaktualizowane odpowiednio do ekspertów usługi Defender i w toku.
Gdy nasi eksperci zakończą dochodzenie w sprawie incydentu, pole Klasyfikacja incydentu zostanie zaktualizowane do jednego z następujących, w zależności od ustaleń ekspertów:
- Prawdziwie dodatnie
- Wynik fałszywie dodatni
- Działanie informacyjne, oczekiwane
Pole Determinacja odpowiadające każdej klasyfikacji jest również aktualizowane, aby zapewnić więcej szczegółowych informacji na temat ustaleń, które doprowadziły naszych ekspertów do określenia wspomnianej klasyfikacji.
Jeśli zdarzenie jest klasyfikowane jako fałszywie dodatnie lub informacyjne, oczekiwane działanie, pole Stan zdarzenia zostanie zaktualizowane do rozwiązanego. Następnie nasi eksperci kończą pracę nad tym incydentem, a pole Przypisane do zostaje zaktualizowane do nieprzypisanych. Nasi eksperci mogą udostępniać aktualizacje z badania i ich wnioski podczas rozwiązywania incydentu. Te aktualizacje są publikowane w obszarze Podsumowanie badania w panelu wysuwanej odpowiedzi zarządzanej zdarzenia.
W przeciwnym razie, jeśli zdarzenie zostanie sklasyfikowane jako prawdziwie pozytywne, nasi eksperci zidentyfikują wymagane akcje reagowania, które należy wykonać. Metoda, w której są wykonywane akcje, zależy od uprawnień i poziomów dostępu udzielonych usłudze Defender Experts for XDR. Dowiedz się więcej na temat udzielania uprawnień naszym ekspertom.
Jeśli udzielono ekspertom usługi Defender dla XDR zalecanych uprawnień dostępu operatora zabezpieczeń, nasi eksperci mogą wykonać wymagane akcje reagowania na zdarzenie w Twoim imieniu. Te akcje wraz z podsumowaniem badania są wyświetlane w panelu wysuwanym Zarządzana odpowiedź incydentu w portalu usługi Microsoft Defender, który należy przejrzeć dla Ciebie lub Twojego zespołu SOC. Wszystkie akcje, które są wykonywane przez ekspertów usługi Defender dla XDR, są wyświetlane w sekcji Ukończone akcje . Wszystkie oczekujące akcje, które wymagają ukończenia przez Ciebie lub Ciebie zespołu SOC, są wymienione w sekcji Oczekujące akcje . Aby uzyskać więcej informacji, zobacz sekcję Akcje . Gdy nasi eksperci wykonali wszystkie niezbędne działania dotyczące zdarzenia, jego pole Stan zostanie zaktualizowane do pozycji Rozwiązano , a pole Przypisane do zostanie zaktualizowane do klienta.
Jeśli przyznano ekspertom usługi Defender dla XDR domyślny dostęp czytelnika zabezpieczeń, wymagane akcje odpowiedzi wraz z podsumowaniem badania są wyświetlane w panelu wysuwanym Zarządzana odpowiedź incydentu w sekcji Oczekujące akcje w portalu usługi Microsoft Defender, aby wykonać to ty lub twój zespół SOC. Aby uzyskać więcej informacji, zobacz sekcję Akcje . Aby zidentyfikować to przekazanie, pole Stan zdarzenia zostanie zaktualizowane do pozycji Oczekiwanie na akcję klienta , a pole Przypisane do zostanie zaktualizowane do klienta.
Liczbę zdarzeń, które wymagają akcji, możesz sprawdzić na banerze Defender Experts w górnej części strony głównej usługi Microsoft Defender.
Zdarzenia związane z ekspertami usługi Defender można wyświetlić, filtrując kolejkę zdarzeń w portalu usługi Microsoft Defender przy użyciu kilku zestawów filtrów. Dowiedz się więcej o dodawaniu filtrów kolejki zdarzeń
Aby wyświetlić zdarzenia, które obecnie badają nasi eksperci, użyj filtru Przypisania incydentu , wybierz pozycję Przypisano do ekspertów usługi Defender.
Aby wyświetlić zdarzenia, które nasi eksperci zbadali i przekazali twojemu zespołowi w celu podjęcia działań w celu podjęcia oczekujących działań korygujących, korzystając z filtru Przypisania zdarzenia , wybierz pozycję Przypisano do zespołu klienta.
Aby wyświetlić zdarzenia, które nasi eksperci zbadali i przekazali twojemu zespołowi w celu podjęcia działań w oczekiwaniu na akcje korygujące, korzystając z filtru Stan , wybierz pozycję Oczekiwanie na akcję klienta.
Aby wyświetlić zdarzenia, które nasi eksperci zakończyli badanie (i bezpośrednio rozwiązali lub przypisani do zespołu w celu oczekiwania na akcje korygowania), korzystając z filtru Tagi , wybierz pozycję Defender Experts.
Jak używać odpowiedzi zarządzanej w usłudze Microsoft Defender XDR
W portalu usługi Microsoft Defender zdarzenie wymagające uwagi przy użyciu odpowiedzi zarządzanej ma pole Stan ustawione na Oczekiwanie na akcję klienta, pole Przypisane do ustawione na Klient i kartę zadania w okienku Zdarzenia . Wyznaczone kontakty dotyczące incydentów otrzymują również odpowiednie powiadomienie e-mail z linkiem do portalu usługi Defender w celu wyświetlenia zdarzenia. Dowiedz się więcej o kontaktach powiadomień. Otrzymasz również powiadomienie usługi Teams z informacją o aktualizacjach. Dowiedz się więcej o konfigurowaniu aplikacji Teams
Wybierz pozycję Wyświetl odpowiedź zarządzaną na karcie zadania lub w górnej części strony portalu (karta Zarządzana odpowiedź ), aby otworzyć panel wysuwany, w którym możesz przeczytać podsumowanie badania naszych ekspertów, ukończyć oczekujące akcje zidentyfikowane przez naszych ekspertów lub skontaktować się z nimi za pośrednictwem czatu.
Podsumowanie badania
Sekcja Podsumowanie badania zawiera więcej kontekstu dotyczącego incydentu analizowanego przez naszych ekspertów w celu zapewnienia wglądu w jego ważność i potencjalny wpływ, jeśli nie zostanie rozwiązany natychmiast. Może ona obejmować oś czasu urządzenia, wskaźniki ataku i wskaźniki zaobserwowanego naruszenia zabezpieczeń (IOC) oraz inne szczegóły.
Akcje
Na karcie Akcje są wyświetlane karty zadań zawierające akcje odpowiedzi zalecane przez naszych ekspertów.
Usługa Defender Experts for XDR obsługuje obecnie następujące akcje odpowiedzi zarządzanej jednym kliknięciem:
Akcja | Opis |
---|---|
Izolowanie urządzenia | Izoluje urządzenie, co pomaga uniemożliwić osobie atakującej kontrolowanie go i wykonywanie dalszych działań, takich jak eksfiltracja danych i przenoszenie boczne. Izolowane urządzenie nadal będzie połączone z usługą Microsoft Defender for Endpoint. |
Plik kwarantanny | Zatrzymuje uruchamianie procesów, kwarantannę plików i usuwa trwałe dane, takie jak klucze rejestru. |
Ogranicz wykonanie aplikacji | Ogranicza wykonywanie potencjalnie złośliwych programów i blokuje urządzenie, aby zapobiec dalszym próbom. |
Zwolnienie z izolacji | Cofa izolację urządzenia. |
Usuń restrykcję aplikacji | Cofa zwolnienie z izolacji. |
Wyłączanie użytkownika | Wyłącz dostęp do sieci i różnych punktów końcowych tożsamości. |
Oprócz tych akcji jednym kliknięciem możesz również otrzymywać zarządzane odpowiedzi od naszych ekspertów, które należy wykonać ręcznie.
Uwaga
Przed wykonaniem dowolnej z zalecanych zarządzanych akcji odpowiedzi upewnij się, że nie są one jeszcze rozwiązywane przez konfiguracje zautomatyzowanego badania i odpowiedzi. Dowiedz się więcej o możliwościach zautomatyzowanego badania i reagowania w usłudze Microsoft Defender XDR.
Aby wyświetlić i wykonać akcje odpowiedzi zarządzanej:
Wybierz przyciski strzałek na karcie akcji, aby ją rozwinąć i przeczytać więcej informacji o wymaganej akcji.
W przypadku kart z akcjami odpowiedzi jednym kliknięciem wybierz wymaganą akcję. Stan akcji na karcie zmienia się na W toku, a następnie na Wartość Niepowodzenie lub Ukończono, w zależności od wyniku akcji.
Porada
Możesz również monitorować stan akcji odpowiedzi w portalu w Centrum akcji. Jeśli akcja odpowiedzi zakończy się niepowodzeniem, spróbuj zrobić to ponownie na stronie Wyświetl szczegóły urządzenia lub zainicjuj czat z ekspertami usługi Defender.
W przypadku kart z wymaganymi akcjami, które należy wykonać ręcznie, wybierz pozycję Zakończono tę akcję po ich wykonaniu, a następnie wybierz pozycję Tak, zrobiłem to w wyświetlonym oknie dialogowym potwierdzenia.
Jeśli nie chcesz od razu ukończyć wymaganej akcji, wybierz pozycję Pomiń, a następnie wybierz pozycję Tak, pomiń tę akcję w wyświetlonym oknie dialogowym potwierdzenia.
Ważna
Jeśli zauważysz, że którykolwiek z przycisków na kartach akcji jest wyszarzona, może to oznaczać, że nie masz uprawnień niezbędnych do wykonania akcji. Upewnij się, że zalogowano się do portalu XDR usługi Microsoft Defender z odpowiednimi uprawnieniami. Większość zarządzanych akcji reagowania wymaga co najmniej dostępu operatora zabezpieczeń. Jeśli ten problem nadal występuje nawet z odpowiednimi uprawnieniami, przejdź do pozycji Wyświetl szczegóły urządzenia i wykonaj kroki z tego miejsca.
Uzyskiwanie wglądu w badania ekspertów usługi Defender w aplikacji SIEM lub ITSM
Ponieważ eksperci usługi Defender dla XDR badają zdarzenia i wykonują akcje korygowania, możesz mieć wgląd w ich pracę nad zdarzeniami w aplikacjach do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) oraz zarządzania usługami IT (ITSM), w tym aplikacjami, które są dostępne od samego końca.
Microsoft Sentinel
Możesz uzyskać wgląd w zdarzenia w usłudze Microsoft Sentinel, włączając jego wbudowany łącznik danych XDR usługi Microsoft Defender. Dowiedz się więcej.
Po włączeniu łącznika aktualizacje pól Status, Assigned to, Classification i Determination w usłudze Microsoft Defender XDR będą wyświetlane w odpowiednich polach Stan, Właściciel i Przyczyna zamknięcia w usłudze Sentinel.
Uwaga
Stan zdarzeń badanych przez ekspertów usługi Defender w usłudze Microsoft Defender XDR zwykle przechodzi z aktywnego do w toku do oczekującego działania klienta na rozwiązane, podczas gdy w usłudze Sentinel jest on zgodny ze ścieżką Nowy do aktywnego do rozwiązania . Akcja Microsoft Defender XDR Status Awaiting Customer Action nie ma równoważnego pola w usłudze Sentinel. Zamiast tego jest on wyświetlany jako tag w zdarzeniu w usłudze Sentinel.
W poniższej sekcji opisano, jak zdarzenie obsługiwane przez naszych ekspertów jest aktualizowane w usłudze Sentinel w miarę postępów w drodze do badania:
Zdarzenie badane przez naszych ekspertów ma stan wymieniony jako Aktywny i Właściciel wymieniony jako Eksperci usługi Defender.
Zdarzenie, które nasi eksperci potwierdzili jako prawdziwie pozytywne , ma zarządzaną odpowiedź opublikowaną w usłudze Microsoft Defender XDR, a tagOczekujący na działanie klienta i właściciel jest wymieniony jako Klient. Należy podjąć działania w oparciu o zdarzenie, korzystając z udostępnionej odpowiedzi zarządzanej w portalu usługi Defender.
Zdarzenie, które nasi eksperci potwierdzili jako prawdziwie pozytywne, ze wszystkimi działaniami naprawczymi podjętymi przez ekspertów w usłudze Defender, ma stan zdarzenia zaktualizowany do rozwiązanego , a właściciel jest wymieniony jako Klient. Akcje zakończone w zdarzeniu można przejrzeć, korzystając z udostępnionej odpowiedzi zarządzanej w portalu usługi Defender.
Gdy nasi eksperci zakończą dochodzenie i zamkną zdarzenie jako fałszywie dodatnie lub informacyjne, oczekiwane działanie, stan zdarzenia zostanie zaktualizowany do rozwiązanego, właściciel zostanie zaktualizowany do nieprzypisanego i zostanie podany powód zamknięcia .
Inne aplikacje
Możesz uzyskać wgląd w zdarzenia w aplikacji SIEM lub ITSM przy użyciu interfejsu API XDR usługi Microsoft Defender lub łączników w usłudze Sentinel.
Po skonfigurowaniu łącznika można zsynchronizować aktualizacje pól Status, Assigned to, Classification i Determination w usłudze Microsoft Defender XDR z aplikacjami SIEM lub ITSM innych firm w zależności od sposobu zaimplementowania mapowania pól. Aby to zilustrować, możesz zapoznać się z łącznikiem dostępnym od usługi Sentinel do usługi ServiceNow.
Zobacz też
- Omówienie powiadomień o zdarzeniach XDR i zarządzanie nimi
- Omówienie odpowiedzi zarządzanej
- Uzyskiwanie wglądu w czasie rzeczywistym za pomocą raportów usługi Defender Experts for XDR
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.