Wykrywanie zarządzane i reagowanie
Dotyczy:
Porada
Aby uzyskać instrukcje dotyczące wykrywania zarządzanego i odpowiedzi, zapoznaj się z tym krótkim filmem wideo: https://www.youtube.com/watch?v=fYzquW2hE5I
Dzięki połączeniu automatyzacji i ludzkiej wiedzy eksperci Microsoft Defender eksperci ds. klasyfikacji XDR Microsoft Defender XDR incydentów, ustalają ich priorytety w Twoim imieniu, filtrują szum, przeprowadzają szczegółowe badania i udostępniają zarządzaną reakcję na działania zespołów centrum operacji zabezpieczeń (SOC).
Aktualizacje zdarzeń
Gdy nasi eksperci rozpoczną badanie incydentu, pola Przypisane do zdarzenia i Stan zostaną zaktualizowane odpowiednio do ekspertów usługi Defender i w toku.
Gdy nasi eksperci zakończą dochodzenie w sprawie incydentu, pole Klasyfikacja incydentu zostanie zaktualizowane do jednego z następujących, w zależności od ustaleń ekspertów:
- Prawdziwie dodatnie
- Wynik fałszywie dodatni
- Działanie informacyjne, oczekiwane
Pole Determinacja odpowiadające każdej klasyfikacji jest również aktualizowane, aby zapewnić więcej szczegółowych informacji na temat ustaleń, które doprowadziły naszych ekspertów do określenia wspomnianej klasyfikacji.
Jeśli zdarzenie jest klasyfikowane jako fałszywie dodatnie lub informacyjne, oczekiwane działanie, pole Stan zdarzenia zostanie zaktualizowane do rozwiązanego. Następnie nasi eksperci kończą pracę nad tym incydentem, a pole Przypisane do zostaje zaktualizowane do nieprzypisanych. Nasi eksperci mogą udostępniać aktualizacje z badania i ich wnioski podczas rozwiązywania incydentu. Te aktualizacje są publikowane w panelu wysuwanym Komentarze i historia zdarzenia.
Uwaga
Komentarze do incydentów to wpisy jednokierunkowe. Eksperci usługi Defender nie mogą odpowiedzieć na żadne komentarze ani pytania dodane w panelu Komentarze i historia . Aby uzyskać więcej informacji o tym, jak odpowiadać naszym ekspertom, zobacz Komunikacja z ekspertami w usłudze Microsoft Defender Experts for XDR.
W przeciwnym razie, jeśli zdarzenie zostanie sklasyfikowane jako prawdziwie pozytywne, nasi eksperci zidentyfikują wymagane akcje reagowania, które należy wykonać. Metoda, w której są wykonywane akcje, zależy od uprawnień i poziomów dostępu udzielonych usłudze Defender Experts for XDR. Dowiedz się więcej na temat udzielania uprawnień naszym ekspertom.
Jeśli udzielono ekspertom usługi Defender dla XDR zalecanych uprawnień dostępu operatora zabezpieczeń, nasi eksperci mogą wykonać wymagane akcje reagowania na zdarzenie w Twoim imieniu. Te akcje wraz z podsumowaniem badania są wyświetlane w panelu wysuwanym Zarządzana odpowiedź incydentu w portalu Microsoft Defender, aby można było przejrzeć Tobie lub Zespołowi SOC. Wszystkie akcje, które są wykonywane przez ekspertów usługi Defender dla XDR, są wyświetlane w sekcji Ukończone akcje . Wszystkie oczekujące akcje, które wymagają ukończenia przez Ciebie lub Ciebie zespołu SOC, są wymienione w sekcji Oczekujące akcje . Aby uzyskać więcej informacji, zobacz sekcję Akcje . Gdy nasi eksperci wykonali wszystkie niezbędne akcje dotyczące zdarzenia, jego pole Stan zostanie zaktualizowane do pozycji Rozwiązano , a pole Przypisane do zostanie zaktualizowane do wartości Nieprzypisane.
Jeśli przyznano ekspertom usługi Defender dla XDR domyślny dostęp czytelnika zabezpieczeń, wymagane akcje odpowiedzi wraz z podsumowaniem badania są wyświetlane w panelu wysuwanym Zarządzana odpowiedź incydentu w sekcji Oczekujące akcje w portalu Microsoft Defender dla Ciebie lub zespołu SOC do wykonania. Aby uzyskać więcej informacji, zobacz sekcję Akcje . Aby zidentyfikować to przekazanie, pole Stan zdarzenia zostanie zaktualizowane do pozycji Oczekiwanie na akcję klienta , a pole Przypisane do zostanie zaktualizowane do klienta.
Możesz sprawdzić liczbę zdarzeń, które wymagają twojej akcji, na banerze Defender Experts w górnej części strony głównej Microsoft Defender.
Aby wyświetlić zdarzenia, które nasi eksperci zbadali lub obecnie badają, przefiltruj kolejkę zdarzeń w portalu Microsoft Defender przy użyciu tagu Defender Experts.
Jak używać odpowiedzi zarządzanej w Microsoft Defender XDR
W portalu Microsoft Defender zdarzenie wymagające uwagi przy użyciu odpowiedzi zarządzanej ma pole Stan ustawione na Oczekiwanie na akcję klienta, pole Przypisane do ustawione na Klient i kartę zadania w okienku Zdarzenia. Wyznaczone kontakty dotyczące incydentów otrzymują również odpowiednie powiadomienie e-mail z linkiem do portalu usługi Defender w celu wyświetlenia zdarzenia. Dowiedz się więcej o kontaktach powiadomień. Otrzymasz również powiadomienie usługi Teams z informacją o aktualizacjach. Dowiedz się więcej o konfigurowaniu aplikacji Teams
Wybierz pozycję Wyświetl odpowiedź zarządzaną na karcie zadania lub w górnej części strony portalu (karta Zarządzana odpowiedź ), aby otworzyć panel wysuwany, w którym możesz przeczytać podsumowanie badania naszych ekspertów, ukończyć oczekujące akcje zidentyfikowane przez naszych ekspertów lub skontaktować się z nimi za pośrednictwem czatu.
Podsumowanie badania
Sekcja Podsumowanie badania zawiera więcej kontekstu dotyczącego incydentu analizowanego przez naszych ekspertów w celu zapewnienia wglądu w jego ważność i potencjalny wpływ, jeśli nie zostanie rozwiązany natychmiast. Może ona obejmować oś czasu urządzenia, wskaźniki ataku i wskaźniki zaobserwowanego naruszenia zabezpieczeń (IOC) oraz inne szczegóły.
Działania
Na karcie Akcje są wyświetlane karty zadań zawierające akcje odpowiedzi zalecane przez naszych ekspertów.
Usługa Defender Experts for XDR obsługuje obecnie następujące akcje odpowiedzi zarządzanej jednym kliknięciem:
| Akcja | Opis |
|---|---|
| Izolowanie urządzenia | Izoluje urządzenie, co pomaga uniemożliwić osobie atakującej kontrolowanie go i wykonywanie dalszych działań, takich jak eksfiltracja danych i przenoszenie boczne. Izolowane urządzenie nadal będzie połączone z Ochrona punktu końcowego w usłudze Microsoft Defender. |
| Plik kwarantanny | Zatrzymuje uruchamianie procesów, kwarantannę plików i usuwa trwałe dane, takie jak klucze rejestru. |
| Ogranicz wykonanie aplikacji | Ogranicza wykonywanie potencjalnie złośliwych programów i blokuje urządzenie, aby zapobiec dalszym próbom. |
| Zwolnienie z izolacji | Cofa izolację urządzenia. |
| Usuń restrykcję aplikacji | Cofa zwolnienie z izolacji. |
Oprócz tych akcji jednym kliknięciem możesz również otrzymywać zarządzane odpowiedzi od naszych ekspertów, które należy wykonać ręcznie.
Uwaga
Przed wykonaniem dowolnej z zalecanych zarządzanych akcji odpowiedzi upewnij się, że nie są one jeszcze rozwiązywane przez konfiguracje zautomatyzowanego badania i odpowiedzi. Dowiedz się więcej o możliwościach zautomatyzowanego badania i reagowania w Microsoft Defender XDR.
Aby wyświetlić i wykonać akcje odpowiedzi zarządzanej:
- Wybierz przyciski strzałek na karcie akcji, aby ją rozwinąć i przeczytać więcej informacji o wymaganej akcji.
- W przypadku kart z akcjami odpowiedzi jednym kliknięciem wybierz wymaganą akcję. Stan akcji na karcie zmienia się na W toku, a następnie na Wartość Niepowodzenie lub Ukończono, w zależności od wyniku akcji.
Porada
Możesz również monitorować stan akcji odpowiedzi w portalu w Centrum akcji. Jeśli akcja odpowiedzi zakończy się niepowodzeniem, spróbuj zrobić to ponownie na stronie Wyświetl szczegóły urządzenia lub zainicjuj czat z ekspertami usługi Defender.
- W przypadku kart z wymaganymi akcjami, które należy wykonać ręcznie, wybierz pozycję Zakończono tę akcję po ich wykonaniu, a następnie wybierz pozycję Tak, zrobiłem to w wyświetlonym oknie dialogowym potwierdzenia.
- Jeśli nie chcesz od razu ukończyć wymaganej akcji, wybierz pozycję Pomiń, a następnie wybierz pozycję Tak, pomiń tę akcję w wyświetlonym oknie dialogowym potwierdzenia.
Ważna
Jeśli zauważysz, że którykolwiek z przycisków na kartach akcji jest wyszarzona, może to oznaczać, że nie masz uprawnień niezbędnych do wykonania akcji. Upewnij się, że zalogowano się do portalu Microsoft Defender XDR przy użyciu odpowiednich uprawnień. Większość zarządzanych akcji reagowania wymaga co najmniej dostępu operatora zabezpieczeń. Jeśli ten problem nadal występuje nawet z odpowiednimi uprawnieniami, przejdź do pozycji Wyświetl szczegóły urządzenia i wykonaj kroki z tego miejsca.
Uzyskiwanie wglądu w badania ekspertów usługi Defender w aplikacji SIEM lub ITSM
Ponieważ eksperci usługi Defender dla XDR badają zdarzenia i wykonują akcje korygowania, możesz mieć wgląd w ich pracę nad zdarzeniami w aplikacjach do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) oraz zarządzania usługami IT (ITSM), w tym aplikacjami, które są dostępne od samego końca.
Microsoft Sentinel
Możesz uzyskać wgląd w zdarzenia w usłudze Microsoft Sentinel, włączając jego wbudowany łącznik Microsoft Defender XDR danych. Dowiedz się więcej.
Po włączeniu łącznika w odpowiednich polach Stan, Właściciel i Przyczyna zamknięcia w usłudze Sentinel zostaną wyświetlone aktualizacje pól Stan,Właściciel i Przyczyna zamknięcia przez ekspertów usługi Defender w Microsoft Defender XDR.
Uwaga
Stan zdarzeń badanych przez ekspertów w usłudze Defender w Microsoft Defender XDR zwykle przechodzi z aktywnego do w toku do oczekującego działania klienta na rozwiązane, a w usłudze Sentinel jest zgodny ze ścieżką Nowy do aktywnego do rozwiązania. Akcja Microsoft Defender XDR Status Awaiting Customer Action nie ma równoważnego pola w usłudze Sentinel. Zamiast tego jest ona wyświetlana jako tag w zdarzeniu w usłudze Sentinel.
W poniższej sekcji opisano, jak zdarzenie obsługiwane przez naszych ekspertów jest aktualizowane w usłudze Sentinel w miarę postępów w drodze do badania:
- Zdarzenie badane przez naszych ekspertów ma stan wymieniony jako Aktywny i Właściciel wymieniony jako Eksperci usługi Defender.
- Zdarzenie, które nasi eksperci potwierdzili jako prawdziwie pozytywne, ma zarządzaną odpowiedź opublikowaną w Microsoft Defender XDR, a tagOczekujący na działanie klienta i właściciel jest wymieniony jako Klient. Należy podjąć działania w oparciu o zdarzenie w oparciu o podaną odpowiedź zarządzaną.
- Gdy nasi eksperci zakończą dochodzenie i zamkną zdarzenie jako fałszywie dodatnie lub informacyjne, oczekiwane działanie, stan zdarzenia zostanie zaktualizowany do rozwiązanego, właściciel zostanie zaktualizowany do nieprzypisanego i zostanie podany powód zamknięcia .
Inne aplikacje
Możesz uzyskać wgląd w zdarzenia w aplikacji SIEM lub ITSM przy użyciu interfejsu API Microsoft Defender XDR lub łączników w usłudze Sentinel.
Po skonfigurowaniu łącznika można zsynchronizować aktualizacje pól Stan, Przypisane do, Klasyfikacja i Określanie przez ekspertów usługi Defender w Microsoft Defender XDR z aplikacjami SIEM lub ITSM innych firm, w zależności od sposobu zaimplementowania mapowania pól. Aby to zilustrować, możesz zapoznać się z łącznikiem dostępnym od usługi Sentinel do usługi ServiceNow.
Zobacz też
- Omówienie powiadomień o zdarzeniach XDR i zarządzanie nimi
- Omówienie odpowiedzi zarządzanej
- Uzyskiwanie wglądu w czasie rzeczywistym za pomocą raportów usługi Defender Experts for XDR
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla