Reagowanie na zdarzenia za pomocą Microsoft 365 Defender
Uwaga
Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.
Dotyczy:
- Microsoft 365 Defender
Zdarzenie w Microsoft 365 Defender to kolekcja skorelowanych alertów i skojarzonych danych, które składają się na historię ataku.
Usługi i aplikacje platformy Microsoft 365 tworzą alerty w przypadku wykrycia podejrzanego lub złośliwego zdarzenia lub działania. Poszczególne alerty dostarczają cennych wskazówek dotyczących zakończonego lub trwającego ataku. Jednak ataki zwykle stosują różne techniki względem różnych typów jednostek, takich jak urządzenia, użytkownicy i skrzynki pocztowe. Wynikiem jest wiele alertów dla wielu jednostek w dzierżawie.
Ponieważ łączenie poszczególnych alertów w celu uzyskania wglądu w atak może być trudne i czasochłonne, Microsoft 365 Defender automatycznie agreguje alerty i skojarzone z nimi informacje w zdarzeniu.
Grupowanie powiązanych alertów w zdarzeniu zapewnia kompleksowy wgląd w atak. Możesz na przykład zobaczyć:
- Gdzie rozpoczął się atak.
- Jakiej taktyki użyto.
- Jak daleko atak przeszedł do dzierżawy.
- Zakres ataku, taki jak liczba urządzeń, użytkowników i skrzynek pocztowych, które zostały naruszone.
- Wszystkie dane związane z atakiem.
Jeśli ta opcja jest włączona, Microsoft 365 Defender może automatycznie badać i rozwiązywać alerty za pośrednictwem automatyzacji i sztucznej inteligencji. Możesz również wykonać dodatkowe kroki korygowania, aby rozwiązać problem z atakiem.
Zdarzenia i alerty w portalu Microsoft 365 Defender
Zdarzeniami można zarządzać w witrynie Incidents & alerts > Incidents przy szybkim uruchomieniu portalu Microsoft 365 Defender. Oto przykład.
Wybranie nazwy zdarzenia powoduje wyświetlenie całej historii ataku zdarzenia, w tym:
- Strona alertu w zdarzeniu: zakres alertów związanych ze zdarzeniem i ich informacje na tej samej karcie.
- Graf: wizualna reprezentacja ataku łącząca różne podejrzane jednostki, które są częścią ataku, z powiązanymi zasobami, takimi jak użytkownicy, urządzenia i skrzynki pocztowe.
Szczegóły jednostki można wyświetlić bezpośrednio z wykresu i działać na nich za pomocą opcji odpowiedzi, takich jak usuwanie pliku lub izolacja urządzenia.
Dodatkowe karty dotyczące zdarzenia to:
Historia ataku
Pełna historia ataku, w tym wszystkie alerty, zasoby i podjęte działania korygowania.
Alerty
Wszystkie alerty związane ze zdarzeniem i ich informacjami.
Aktywów
Wszystkie zasoby (urządzenia, użytkownicy, skrzynki pocztowe i aplikacje), które zostały zidentyfikowane jako część zdarzenia lub związane z tym zdarzeniem.
Dochodzenia
Wszystkie zautomatyzowane badania wyzwalane przez alerty w zdarzeniu.
Dowody i odpowiedź
Wszystkie obsługiwane zdarzenia i podejrzane jednostki w alertach zdarzenia.
Podsumowanie
Szybki przegląd elementów zawartości, których dotyczy problem, skojarzonych z alertami.
Uwaga
Jeśli widzisz stan alertu Nieobsługiwany typ alertu , oznacza to, że funkcje zautomatyzowanego badania nie mogą odebrać tego alertu w celu uruchomienia zautomatyzowanego badania. Można jednak zbadać te alerty ręcznie.
Przykładowy przepływ pracy reagowania na zdarzenia dla Microsoft 365 Defender
Oto przykładowy przepływ pracy umożliwiający reagowanie na zdarzenia w usłudze Microsoft 365 przy użyciu portalu Microsoft 365 Defender.
Na bieżąco zidentyfikuj zdarzenia o najwyższym priorytecie do analizy i rozwiązania w kolejce zdarzeń i przygotuj je do odpowiedzi. Jest to kombinacja następujących elementów:
- Klasyfikowanie do określania zdarzeń o najwyższym priorytecie poprzez filtrowanie i sortowanie kolejki zdarzeń.
- Zarządzanie zdarzeniami przez modyfikowanie ich tytułu, przypisywanie ich do analityka oraz dodawanie tagów i komentarzy.
Rozważ następujące kroki dla własnego przepływu pracy reagowania na zdarzenia:
Dla każdego incydentu rozpocznij badanie i analizę ataków i alertów:
Wyświetl historię ataku zdarzenia, aby zrozumieć jego zakres, ważność, źródło wykrywania i jednostki, których dotyczy problem.
Rozpocznij analizowanie alertów w celu zrozumienia ich pochodzenia, zakresu i ważności przy użyciu historii alertu w zdarzeniu.
W razie potrzeby zbierz informacje na temat urządzeń, użytkowników i skrzynek pocztowych, których dotyczy problem, za pomocą wykresu. Kliknij prawym przyciskiem myszy dowolną jednostkę, aby otworzyć okno wysuwane ze wszystkimi szczegółami.
Zobacz, jak Microsoft 365 Defender automatycznie rozwiązało niektóre alerty za pomocą karty Badania.
W razie potrzeby użyj informacji w zestawie danych dla zdarzenia, aby uzyskać więcej informacji na karcie Dowody i odpowiedź .
Po lub w trakcie analizy wykonaj hermetyzację w celu zmniejszenia dodatkowego wpływu ataku i wyeliminowania zagrożenia bezpieczeństwa.
Jak najwięcej, odzyskaj sprawę po ataku, przywracając zasoby dzierżawy do stanu, w jakim znajdowały się przed incydentem.
Rozwiąż zdarzenie i poświęć czas na uczenie się po zdarzeniu:
- Informacje o typie ataku i jego wpływie.
- Zbadaj atak w usłudze Threat Analytics i społeczności zabezpieczeń pod kątem trendu ataku na zabezpieczenia.
- Przypomnij sobie przepływ pracy używany do rozwiązania zdarzenia i zaktualizowania standardowych przepływów pracy, procesów, zasad i podręczników w razie potrzeby.
- Określ, czy potrzebne są zmiany w konfiguracji zabezpieczeń i zaimplementuj je.
Jeśli jesteś nowym użytkownikiem analizy zabezpieczeń, zapoznaj się z wprowadzeniem do reagowania na pierwsze zdarzenie, aby uzyskać dodatkowe informacje i przejść przez przykładowe zdarzenie.
Aby uzyskać więcej informacji na temat reagowania na zdarzenia w produktach firmy Microsoft, zobacz ten artykuł.
Przykładowe operacje zabezpieczeń dla Microsoft 365 Defender
Oto przykład operacji zabezpieczeń (SecOps) dla Microsoft 365 Defender.
Codzienne zadania mogą obejmować:
- Zarządzanie zdarzeniami
- Przeglądanie zautomatyzowanych akcji badania i reagowania (AIR) w centrum akcji
- Przeglądanie najnowszej analizy zagrożeń
- Reagowanie na zdarzenia
Zadania miesięczne mogą obejmować:
- Przeglądanie ustawień air
- Przeglądanie wskaźnika bezpieczeństwa i Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
- Raportowanie do łańcucha zarządzania zabezpieczeniami IT
Zadania kwartalne mogą obejmować raport i informacje o wynikach zabezpieczeń dla dyrektora ds. zabezpieczeń informacji (CISO).
Zadania roczne mogą obejmować przeprowadzenie poważnego zdarzenia lub naruszenia zabezpieczeń w celu przetestowania personelu, systemów i procesów.
Codzienne, miesięczne, kwartalne i roczne zadania mogą służyć do aktualizowania lub uściślania procesów, zasad i konfiguracji zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Integrowanie Microsoft 365 Defender z operacjami zabezpieczeń.
Zasoby usługi SecOps w produktach firmy Microsoft
Aby uzyskać więcej informacji o usłudze SecOps w produktach firmy Microsoft, zobacz następujące zasoby:
Pobieranie powiadomień o zdarzeniach pocztą e-mail
Możesz skonfigurować Microsoft 365 Defender, aby powiadomić pracowników pocztą e-mail o nowych zdarzeniach lub aktualizacjach istniejących zdarzeń. Możesz wybrać opcję otrzymywania powiadomień na podstawie:
- Ważność alertu
- Źródła alertów
- Grupa urządzeń
Wybierz opcję otrzymywania powiadomień e-mail tylko dla określonego źródła usługi: możesz łatwo wybrać określone źródła usług, dla których chcesz otrzymywać powiadomienia e-mail.
Uzyskaj większy stopień szczegółowości z określonymi źródłami wykrywania: powiadomienia można otrzymywać tylko dla określonego źródła wykrywania.
Ustaw ważność na wykrywanie lub źródło usługi: możesz otrzymywać powiadomienia e-mail tylko o określonych ważnościach na źródło. Można na przykład otrzymywać powiadomienia o alertach średnich i wysokich dla EDR oraz o wszystkich ważnościach dla ekspertów Microsoft Defender.
Powiadomienie e-mail zawiera między innymi ważne szczegóły dotyczące zdarzenia, takie jak nazwa zdarzenia, ważność i kategorie. Możesz również przejść bezpośrednio do zdarzenia i od razu rozpocząć analizę. Aby uzyskać więcej informacji, zobacz Badanie zdarzeń.
W powiadomieniach e-mail można dodawać lub usuwać adresatów. Nowi adresaci otrzymują powiadomienia o zdarzeniach po ich dodaniu.
Uwaga
Aby skonfigurować ustawienia powiadomień e-mail, potrzebne jest uprawnienie Zarządzanie ustawieniami zabezpieczeń . Jeśli wybrano użycie podstawowego zarządzania uprawnieniami, użytkownicy z rolami administratora zabezpieczeń lub administratora globalnego mogą konfigurować powiadomienia e-mail.
Podobnie, jeśli organizacja korzysta z kontroli dostępu opartej na rolach (RBAC), możesz tworzyć, edytować, usuwać i odbierać powiadomienia na podstawie grup urządzeń, które mogą być zarządzane.
Tworzenie reguły dla powiadomień e-mail
Wykonaj następujące kroki, aby utworzyć nową regułę i dostosować ustawienia powiadomień e-mail.
Przejdź do Microsoft 365 Defender w okienku nawigacji, wybierz pozycję Ustawienia > Microsoft 365 Defender > powiadomienia e-mail o zdarzeniach.
Wybierz pozycję Dodaj element.
Na stronie Podstawy wpisz nazwę reguły i opis, a następnie wybierz pozycję Dalej.
Na stronie Ustawienia powiadomień skonfiguruj:
- Ważność alertu — wybierz ważność alertów, które będą wyzwalać powiadomienie o zdarzeniu. Jeśli na przykład chcesz mieć tylko informacje o zdarzeniach o wysokiej ważności, wybierz pozycję Wysoki.
- Zakres grupy urządzeń — możesz określić wszystkie grupy urządzeń lub wybrać z listy grup urządzeń w dzierżawie.
- Wyślij tylko jedno powiadomienie na zdarzenie — wybierz, czy chcesz mieć jedno powiadomienie na zdarzenie.
- Dołącz nazwę organizacji do wiadomości e-mail — wybierz, czy nazwa organizacji ma być wyświetlana w powiadomieniu e-mail.
- Dołącz link do portalu specyficznego dla dzierżawy — wybierz, czy chcesz dodać link z identyfikatorem dzierżawy w powiadomieniu e-mail w celu uzyskania dostępu do określonej dzierżawy platformy Microsoft 365.
Wybierz pozycję Dalej. Na stronie Adresaci dodaj adresy e-mail, które będą otrzymywać powiadomienia o zdarzeniu. Wybierz pozycję Dodaj po wpisaniu każdego nowego adresu e-mail. Aby przetestować powiadomienia i upewnić się, że adresaci otrzymają je w skrzynkach odbiorczych, wybierz pozycję Wyślij testowy adres e-mail.
Wybierz pozycję Dalej. Na stronie Przejrzyj regułę przejrzyj ustawienia reguły, a następnie wybierz pozycję Utwórz regułę. Adresaci zaczną otrzymywać powiadomienia o zdarzeniach za pośrednictwem poczty e-mail na podstawie ustawień.
Aby edytować istniejącą regułę, wybierz ją z listy reguł. W okienku o nazwie reguły wybierz pozycję Edytuj regułę i wprowadź zmiany na stronach Podstawy, Ustawienia powiadomień i Adresaci .
Aby usunąć regułę, wybierz ją z listy reguł. W okienku o nazwie reguły wybierz pozycję Usuń.
Po otrzymaniu powiadomienia możesz przejść bezpośrednio do zdarzenia i od razu rozpocząć dochodzenie. Aby uzyskać więcej informacji na temat badania zdarzeń, zobacz Badanie zdarzeń w Microsoft 365 Defender.
Szkolenia dla analityków zabezpieczeń
Skorzystaj z tego modułu szkoleniowego z usługi Microsoft Learn, aby dowiedzieć się, jak używać Microsoft 365 Defender do zarządzania zdarzeniami i alertami.
| Szkolenia: | Badanie zdarzeń za pomocą Microsoft 365 Defender |
|---|---|
 |
Microsoft 365 Defender ujednolica dane zagrożeń z wielu usług i używa sztucznej inteligencji do łączenia ich w zdarzenia i alerty. Dowiedz się, jak zminimalizować czas między zdarzeniem a jego zarządzaniem w celu późniejszego reagowania i rozwiązywania problemów. 27 min — 6 jednostek |
Następne kroki
Wykonaj wymienione kroki na podstawie poziomu doświadczenia lub roli w zespole ds. zabezpieczeń.
Poziom doświadczenia
Postępuj zgodnie z tą tabelą, aby uzyskać poziom doświadczenia w zakresie analizy zabezpieczeń i reagowania na zdarzenia.
| Poziom | Kroki |
|---|---|
| Nowy |
|
| Doświadczonych |
|
Rola zespołu ds. zabezpieczeń
Postępuj zgodnie z tą tabelą w oparciu o rolę zespołu ds. zabezpieczeń.
| Rola | Kroki |
|---|---|
| Osoba reagująca na zdarzenia (warstwa 1) | Rozpocznij pracę z kolejką zdarzeń na stronie Zdarzenia w portalu Microsoft 365 Defender. W tym miejscu można wykonywać następujące czynności:
|
| Badacz zabezpieczeń lub analityk (warstwa 2) |
|
| Zaawansowany analityk zabezpieczeń lub łowca zagrożeń (warstwa 3) |
|
| Menedżer SOC | Zobacz, jak zintegrować Microsoft 365 Defender z centrum operacji zabezpieczeń (SOC). |
Porada
Czy chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością microsoft security w naszej społeczności technicznej: Microsoft 365 Defender Tech Community.