Udostępnij za pośrednictwem

Wykrywanie zarządzane i reagowanie

  • Artykuł

Dotyczy:

Aby uzyskać instrukcje dotyczące wykrywania zarządzanego i odpowiedzi, zapoznaj się z tym krótkim filmem wideo.

Dzięki połączeniu automatyzacji i ludzkiej wiedzy eksperci ds. usługi Microsoft Defender dla XDR klasyfikowają zdarzenia XDR usługi Microsoft Defender, ustalają ich priorytety w Twoim imieniu, filtrują szum, przeprowadzają szczegółowe badania i udostępniają zarządzaną reakcję z możliwością działania zespołom centrum operacji zabezpieczeń (SOC).

Aktualizacje zdarzeń

Gdy nasi eksperci rozpoczną badanie incydentu, pola Przypisane do zdarzenia i Stan zostaną zaktualizowane odpowiednio do ekspertów usługi Defender i w toku.

Gdy nasi eksperci zakończą dochodzenie w sprawie incydentu, pole Klasyfikacja incydentu zostanie zaktualizowane do jednego z następujących, w zależności od ustaleń ekspertów:

  • Prawdziwie dodatnie
  • Wynik fałszywie dodatni
  • Działanie informacyjne, oczekiwane

Pole Determinacja odpowiadające każdej klasyfikacji jest również aktualizowane, aby zapewnić więcej szczegółowych informacji na temat ustaleń, które doprowadziły naszych ekspertów do określenia wspomnianej klasyfikacji.

Zrzut ekranu przedstawiający stronę Zdarzenia z polami Tagi, Stan, Przypisane do, Klasyfikacja i Określanie.

Jeśli zdarzenie jest klasyfikowane jako fałszywie dodatnie lub informacyjne, oczekiwane działanie, pole Stan zdarzenia zostanie zaktualizowane do rozwiązanego. Następnie nasi eksperci kończą pracę nad tym incydentem, a pole Przypisane do zostaje zaktualizowane do nieprzypisanych. Nasi eksperci mogą udostępniać aktualizacje z badania i ich wnioski podczas rozwiązywania incydentu. Te aktualizacje są publikowane w panelu wysuwanym Komentarze i historia zdarzenia.

Uwaga

Komentarze do incydentów to wpisy jednokierunkowe. Eksperci usługi Defender nie mogą odpowiedzieć na żadne komentarze ani pytania dodane w panelu Komentarze i historia . Aby uzyskać więcej informacji o tym, jak odpowiadać naszym ekspertom, zobacz Komunikacja z ekspertami w usłudze Microsoft Defender Experts for XDR.

W przeciwnym razie, jeśli zdarzenie zostanie sklasyfikowane jako prawdziwie pozytywne, nasi eksperci zidentyfikują wymagane akcje reagowania, które należy wykonać. Metoda, w której są wykonywane akcje, zależy od uprawnień i poziomów dostępu udzielonych usłudze Defender Experts for XDR. Dowiedz się więcej na temat udzielania uprawnień naszym ekspertom.

  • Jeśli udzielono ekspertom usługi Defender dla XDR zalecanych uprawnień dostępu operatora zabezpieczeń, nasi eksperci mogą wykonać wymagane akcje reagowania na zdarzenie w Twoim imieniu. Te akcje wraz z podsumowaniem badania są wyświetlane w panelu wysuwanym Zarządzana odpowiedź incydentu w portalu usługi Microsoft Defender, który należy przejrzeć dla Ciebie lub Twojego zespołu SOC. Wszystkie akcje, które są wykonywane przez ekspertów usługi Defender dla XDR, są wyświetlane w sekcji Ukończone akcje . Wszystkie oczekujące akcje, które wymagają ukończenia przez Ciebie lub Ciebie zespołu SOC, są wymienione w sekcji Oczekujące akcje . Aby uzyskać więcej informacji, zobacz sekcję Akcje . Gdy nasi eksperci wykonali wszystkie niezbędne akcje dotyczące zdarzenia, jego pole Stan zostanie zaktualizowane do pozycji Rozwiązano , a pole Przypisane do zostanie zaktualizowane do wartości Nieprzypisane.

  • Jeśli przyznano ekspertom usługi Defender dla XDR domyślny dostęp czytelnika zabezpieczeń, wymagane akcje odpowiedzi wraz z podsumowaniem badania są wyświetlane w panelu wysuwanym Zarządzana odpowiedź incydentu w sekcji Oczekujące akcje w portalu usługi Microsoft Defender, aby wykonać to ty lub twój zespół SOC. Aby uzyskać więcej informacji, zobacz sekcję Akcje . Aby zidentyfikować to przekazanie, pole Stan zdarzenia zostanie zaktualizowane do pozycji Oczekiwanie na akcję klienta , a pole Przypisane do zostanie zaktualizowane do klienta.

Liczbę zdarzeń, które wymagają akcji, możesz sprawdzić na banerze Defender Experts w górnej części strony głównej usługi Microsoft Defender.

Zrzut ekranu przedstawiający kartę Eksperci usługi Defender w portalu usługi Microsoft Defender pokazującą liczbę zdarzeń oczekujących na działanie klienta.

Aby wyświetlić zdarzenia, które nasi eksperci zbadali lub obecnie badają, przefiltruj kolejkę zdarzeń w portalu usługi Microsoft Defender przy użyciu tagu Defender Experts .

Zrzut ekranu przedstawiający kolejkę zdarzeń w portalu usługi Microsoft Defender odfiltrowanym w celu wyświetlenia tylko tych z tagiem Defender Experts.

Jak używać odpowiedzi zarządzanej w usłudze Microsoft Defender XDR

W portalu usługi Microsoft Defender zdarzenie wymagające uwagi przy użyciu odpowiedzi zarządzanej ma pole Stan ustawione na Oczekiwanie na akcję klienta, pole Przypisane do ustawione na Klient i kartę zadania w okienku Zdarzenia . Wyznaczone kontakty dotyczące incydentów otrzymują również odpowiednie powiadomienie e-mail z linkiem do portalu usługi Defender w celu wyświetlenia zdarzenia. Dowiedz się więcej o kontaktach powiadomień. Otrzymasz również powiadomienie usługi Teams z informacją o aktualizacjach. Dowiedz się więcej o konfigurowaniu aplikacji Teams

Wybierz pozycję Wyświetl odpowiedź zarządzaną na karcie zadania lub w górnej części strony portalu (karta Zarządzana odpowiedź ), aby otworzyć panel wysuwany, w którym możesz przeczytać podsumowanie badania naszych ekspertów, ukończyć oczekujące akcje zidentyfikowane przez naszych ekspertów lub skontaktować się z nimi za pośrednictwem czatu.

Podsumowanie badania

Sekcja Podsumowanie badania zawiera więcej kontekstu dotyczącego incydentu analizowanego przez naszych ekspertów w celu zapewnienia wglądu w jego ważność i potencjalny wpływ, jeśli nie zostanie rozwiązany natychmiast. Może ona obejmować oś czasu urządzenia, wskaźniki ataku i wskaźniki zaobserwowanego naruszenia zabezpieczeń (IOC) oraz inne szczegóły.

Zrzut ekranu przedstawiający podsumowanie badania zarządzanej odpowiedzi.

Działania

Na karcie Akcje są wyświetlane karty zadań zawierające akcje odpowiedzi zalecane przez naszych ekspertów.

Usługa Defender Experts for XDR obsługuje obecnie następujące akcje odpowiedzi zarządzanej jednym kliknięciem:

Akcja Opis
Izolowanie urządzenia Izoluje urządzenie, co pomaga uniemożliwić osobie atakującej kontrolowanie go i wykonywanie dalszych działań, takich jak eksfiltracja danych i przenoszenie boczne. Izolowane urządzenie nadal będzie połączone z usługą Microsoft Defender for Endpoint.
Plik kwarantanny Zatrzymuje uruchamianie procesów, kwarantannę plików i usuwa trwałe dane, takie jak klucze rejestru.
Ogranicz wykonanie aplikacji Ogranicza wykonywanie potencjalnie złośliwych programów i blokuje urządzenie, aby zapobiec dalszym próbom.
Zwolnienie z izolacji Cofa izolację urządzenia.
Usuń restrykcję aplikacji Cofa zwolnienie z izolacji.

Oprócz tych akcji jednym kliknięciem możesz również otrzymywać zarządzane odpowiedzi od naszych ekspertów, które należy wykonać ręcznie.

Uwaga

Przed wykonaniem dowolnej z zalecanych zarządzanych akcji odpowiedzi upewnij się, że nie są one jeszcze rozwiązywane przez konfiguracje zautomatyzowanego badania i odpowiedzi. Dowiedz się więcej o możliwościach zautomatyzowanego badania i reagowania w usłudze Microsoft Defender XDR.

Aby wyświetlić i wykonać akcje odpowiedzi zarządzanej:

  1. Wybierz przyciski strzałek na karcie akcji, aby ją rozwinąć i przeczytać więcej informacji o wymaganej akcji.

Zrzut ekranu przedstawiający akcję zarządzanej odpowiedzi w celu odizolowania serwera prod urządzenia.

  1. W przypadku kart z akcjami odpowiedzi jednym kliknięciem wybierz wymaganą akcję. Stan akcji na karcie zmienia się na W toku, a następnie na Wartość Niepowodzenie lub Ukończono, w zależności od wyniku akcji.

Zrzut ekranu przedstawiający akcję zarządzanej odpowiedzi pokazującą postęp izolowania serwera prod urządzenia.

Porada

Możesz również monitorować stan akcji odpowiedzi w portalu w Centrum akcji. Jeśli akcja odpowiedzi zakończy się niepowodzeniem, spróbuj zrobić to ponownie na stronie Wyświetl szczegóły urządzenia lub zainicjuj czat z ekspertami usługi Defender.

  1. W przypadku kart z wymaganymi akcjami, które należy wykonać ręcznie, wybierz pozycję Zakończono tę akcję po ich wykonaniu, a następnie wybierz pozycję Tak, zrobiłem to w wyświetlonym oknie dialogowym potwierdzenia.

Zrzut ekranu przedstawiający akcję zarządzanej odpowiedzi w celu potwierdzenia ukończenia akcji.

  1. Jeśli nie chcesz od razu ukończyć wymaganej akcji, wybierz pozycję Pomiń, a następnie wybierz pozycję Tak, pomiń tę akcję w wyświetlonym oknie dialogowym potwierdzenia.

Ważna

Jeśli zauważysz, że którykolwiek z przycisków na kartach akcji jest wyszarzona, może to oznaczać, że nie masz uprawnień niezbędnych do wykonania akcji. Upewnij się, że zalogowano się do portalu XDR usługi Microsoft Defender z odpowiednimi uprawnieniami. Większość zarządzanych akcji reagowania wymaga co najmniej dostępu operatora zabezpieczeń. Jeśli ten problem nadal występuje nawet z odpowiednimi uprawnieniami, przejdź do pozycji Wyświetl szczegóły urządzenia i wykonaj kroki z tego miejsca.

Uzyskiwanie wglądu w badania ekspertów usługi Defender w aplikacji SIEM lub ITSM

Ponieważ eksperci usługi Defender dla XDR badają zdarzenia i wykonują akcje korygowania, możesz mieć wgląd w ich pracę nad zdarzeniami w aplikacjach do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) oraz zarządzania usługami IT (ITSM), w tym aplikacjami, które są dostępne od samego końca.

Microsoft Sentinel

Możesz uzyskać wgląd w zdarzenia w usłudze Microsoft Sentinel, włączając jego wbudowany łącznik danych XDR usługi Microsoft Defender. Dowiedz się więcej.

Po włączeniu łącznika aktualizacje pól Status, Assigned to, Classification i Determination w usłudze Microsoft Defender XDR będą wyświetlane w odpowiednich polach Stan, Właściciel i Przyczyna zamknięcia w usłudze Sentinel.

Uwaga

Stan zdarzeń badanych przez ekspertów usługi Defender w usłudze Microsoft Defender XDR zwykle przechodzi z aktywnego do w toku do oczekującego działania klienta na rozwiązane, podczas gdy w usłudze Sentinel jest on zgodny ze ścieżką Nowy do aktywnego do rozwiązania . Akcja Microsoft Defender XDR Status Awaiting Customer Action nie ma równoważnego pola w usłudze Sentinel. Zamiast tego jest on wyświetlany jako tag w zdarzeniu w usłudze Sentinel.

W poniższej sekcji opisano, jak zdarzenie obsługiwane przez naszych ekspertów jest aktualizowane w usłudze Sentinel w miarę postępów w drodze do badania:

  1. Zdarzenie badane przez naszych ekspertów ma stan wymieniony jako Aktywny i Właściciel wymieniony jako Eksperci usługi Defender.
  2. Zdarzenie, które nasi eksperci potwierdzili jako prawdziwie pozytywne , ma zarządzaną odpowiedź opublikowaną w usłudze Microsoft Defender XDR, a tagOczekujący na działanie klienta i właściciel jest wymieniony jako Klient. Należy podjąć działania w oparciu o zdarzenie w oparciu o podaną odpowiedź zarządzaną.
  3. Gdy nasi eksperci zakończą dochodzenie i zamkną zdarzenie jako fałszywie dodatnie lub informacyjne, oczekiwane działanie, stan zdarzenia zostanie zaktualizowany do rozwiązanego, właściciel zostanie zaktualizowany do nieprzypisanego i zostanie podany powód zamknięcia .

Zrzut ekranu przedstawiający zdarzenia usługi Microsoft Sentinel.

Inne aplikacje

Możesz uzyskać wgląd w zdarzenia w aplikacji SIEM lub ITSM przy użyciu interfejsu API XDR usługi Microsoft Defender lub łączników w usłudze Sentinel.

Po skonfigurowaniu łącznika można zsynchronizować aktualizacje pól Status, Assigned to, Classification i Determination w usłudze Microsoft Defender XDR z aplikacjami SIEM lub ITSM innych firm w zależności od sposobu zaimplementowania mapowania pól. Aby to zilustrować, możesz zapoznać się z łącznikiem dostępnym od usługi Sentinel do usługi ServiceNow.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.