Zdarzenia i alerty w portalu Microsoft Defender
Portal Microsoft Defender łączy ujednolicony zestaw usług zabezpieczeń w celu zmniejszenia narażenia na zagrożenia bezpieczeństwa, poprawy stanu zabezpieczeń organizacji, wykrywania zagrożeń bezpieczeństwa oraz badania naruszeń i reagowania na nie. Te usługi zbierają i generują sygnały wyświetlane w portalu. Dwa główne rodzaje sygnałów to:
Alerty: sygnały, które wynikają z różnych działań wykrywania zagrożeń. Te sygnały wskazują na wystąpienie złośliwych lub podejrzanych zdarzeń w środowisku.
Incydenty: kontenery, które zawierają kolekcje powiązanych alertów i opowiadają pełną historię ataku. Alerty w jednym zdarzeniu mogą pochodzić ze wszystkich rozwiązań firmy Microsoft w zakresie zabezpieczeń i zgodności, a także z ogromnej liczby rozwiązań zewnętrznych zebranych za pośrednictwem Microsoft Sentinel i Microsoft Defender for Cloud.
Zdarzenia dotyczące korelacji i badania
Chociaż można badać i eliminować zagrożenia, na które zwracają uwagę poszczególne alerty, same w sobie są to pojedyncze zdarzenia, które nie mówią nic o szerszej, złożonej historii ataku. Możesz wyszukiwać, badać, badać i korelować grupy alertów, które należą do siebie w jednym scenariuszu ataku, ale będzie to kosztować dużo czasu, wysiłku i energii.
Zamiast tego aparaty korelacji i algorytmy w portalu Microsoft Defender automatycznie agregują i korelują powiązane alerty razem, tworząc zdarzenia reprezentujące te większe historie ataków. Usługa Defender identyfikuje wiele sygnałów jako należących do tej samej historii ataku, używając sztucznej inteligencji do ciągłego monitorowania źródeł telemetrii i dodawania kolejnych dowodów w celu otwarcia już otwartych zdarzeń. Zdarzenia zawierają wszystkie alerty uważane za powiązane ze sobą i z ogólną historią ataku oraz przedstawiają historię w różnych formach:
- Osie czasu alertów i nieprzetworzone zdarzenia, na których są oparte
- Lista zastosowanych taktyk
- Listy wszystkich zaangażowanych i dotkniętych użytkowników, urządzeń i innych zasobów
- Wizualna reprezentacja sposobu interakcji wszystkich graczy w historii
- Dzienniki procesów automatycznego badania i reagowania, które Defender XDR zainicjowane i zakończone
- Kolekcje dowodów potwierdzających historię ataku: konta użytkowników złych aktorów oraz informacje o urządzeniu i adres, złośliwe pliki i procesy, odpowiednia analiza zagrożeń itd.
- Tekstowe podsumowanie historii ataku
Incydenty zapewniają również strukturę do zarządzania badaniami i reagowania na nie oraz dokumentowania ich. Aby uzyskać więcej informacji na temat funkcji zdarzeń w tym zakresie, zobacz Zarządzanie zdarzeniami w Microsoft Defender.
Źródła alertów i wykrywanie zagrożeń
Alerty w portalu Microsoft Defender pochodzą z wielu źródeł. Źródła te obejmują wiele usług, które są częścią Microsoft Defender XDR, a także inne usługi o różnym stopniu integracji z portalem Microsoft Defender.
Na przykład po dołączeniu Microsoft Sentinel do portalu Microsoft Defender aparat korelacji w portalu usługi Defender ma dostęp do wszystkich pierwotnych danych pozyskanych przez Microsoft Sentinel, które można znaleźć w zaawansowanych tabelach wyszukiwania zagrożeń w usłudze Defender.
Microsoft Defender XDR tworzy również alerty. Unikatowe możliwości korelacji Defender XDR zapewniają kolejną warstwę analizy danych i wykrywania zagrożeń dla wszystkich rozwiązań innych niż Microsoft w twojej infrastrukturze cyfrowej. Te wykrycia generują alerty Defender XDR oprócz alertów już udostępnianych przez reguły analizy Microsoft Sentinel.
W każdym z tych źródeł istnieje co najmniej jeden mechanizm wykrywania zagrożeń, który generuje alerty na podstawie reguł zdefiniowanych w każdym mechanizmie.
Na przykład Microsoft Sentinel ma co najmniej cztery różne aparaty, które generują różne typy alertów, z których każdy ma własne reguły.
Narzędzia i metody badania i reagowania
Portal Microsoft Defender zawiera narzędzia i metody automatyzowania lub w inny sposób wspomagania klasyfikacji, badania i rozwiązywania zdarzeń. Te narzędzia przedstawiono w poniższej tabeli:
| Narzędzie/metoda | Opis |
|---|---|
| Zarządzanie zdarzeniami i badanie ich | Upewnij się, że priorytetyzujesz zdarzenia zgodnie z ważnością, a następnie przeprowadź ich analizę. Wyszukiwanie zagrożeń przy użyciu zaawansowanego wyszukiwania zagrożeń i wyprzedzanie pojawiających się zagrożeń za pomocą analizy zagrożeń. |
| Automatyczne badanie i rozwiązywanie alertów | Jeśli jest to włączone, Microsoft Defender XDR może automatycznie badać i rozwiązywać alerty ze źródeł usługi Microsoft 365 i Entra ID za pośrednictwem automatyzacji i sztucznej inteligencji. |
| Konfigurowanie automatycznych akcji zakłócania ataków | Używaj sygnałów o wysokim poziomie ufności zebranych z Microsoft Defender XDR i Microsoft Sentinel, aby automatycznie zakłócać aktywne ataki z prędkością maszyny, ograniczając zagrożenie i ograniczając wpływ. |
| Konfigurowanie reguł automatyzacji Microsoft Sentinel | Użyj reguł automatyzacji, aby zautomatyzować klasyfikację, przypisywanie i zarządzanie zdarzeniami, niezależnie od ich źródła. Jeszcze bardziej usprawnij wydajność zespołu, konfigurując reguły do stosowania tagów do zdarzeń na podstawie ich zawartości, pomijając głośne (fałszywie dodatnie) zdarzenia i zamykając rozwiązane zdarzenia spełniające odpowiednie kryteria, określając przyczynę i dodając komentarze. |
| Proaktywne polowanie z zaawansowanym wyszukiwaniem zagrożeń | Użyj język zapytań Kusto (KQL), aby proaktywnie sprawdzać zdarzenia w sieci, wykonując zapytania dotyczące dzienników zebranych w portalu usługi Defender. Zaawansowane wyszukiwanie zagrożeń obsługuje tryb z przewodnikiem dla użytkowników szukających wygody konstruktora zapytań. |
| Wykorzystanie sztucznej inteligencji za pomocą Microsoft Copilot for Security | Dodaj sztuczną inteligencję, aby obsługiwać analityków przy użyciu złożonych i czasochłonnych codziennych przepływów pracy. Na przykład Microsoft Copilot for Security może pomóc w kompleksowym badaniu i reagowaniu na zdarzenia, udostępniając jasno opisane scenariusze ataków, szczegółowe wskazówki dotyczące korygowania i podsumowane działania zdarzeń, wyszukiwanie kql w języku naturalnym i analizę kodu ekspertów — optymalizując wydajność SOC dla danych ze wszystkich źródeł. Ta funkcja jest dodatkiem do innych funkcji opartych na sztucznej inteligencji, które Microsoft Sentinel zapewnia ujednoliconą platformę, w obszarach analizy zachowań użytkowników i jednostek, wykrywania anomalii, wykrywania zagrożeń wieloetapowych i nie tylko. |
Elementy pokrewne
Aby dowiedzieć się więcej na temat korelacji alertów i scalania zdarzeń w portalu usługi Defender, zobacz Alerty, zdarzenia i korelacja w Microsoft Defender XDR