Zarządzanie incydentami

  • 8 min

Usługa Microsoft Defender XDR udostępnia korelację zagrożeń między domenami i portal oparty na celach w celu zbadania zagrożeń. Zdarzenia są oparte na powiązanych alertach utworzonych, gdy w sieci jest widoczne złośliwe zdarzenie lub działanie. Poszczególne alerty zapewniają cenne wskazówki dotyczące trwającego ataku. Jednak ataki zwykle stosują różne wektory i techniki w celu przeprowadzenia naruszenia. Łączenie poszczególnych wskazówek może być trudne i czasochłonne.

Ten krótki film wideo zawiera omówienie zdarzeń w usłudze Microsoft Defender XDR.

Zdarzenie to zbiór skorelowanych alertów, które tworzą historię ataku. Usługa Microsoft Defender XDR automatycznie agreguje złośliwe i podejrzane zdarzenia, które znajdują się w różnych jednostkach urządzeń, użytkowników i skrzynek pocztowych w sieci. Grupowanie powiązanych alertów w incydent zapewnia obrońcom zabezpieczeń kompleksowy widok ataku.

Na przykład obrońcy zabezpieczeń mogą zobaczyć, gdzie rozpoczął się atak, jakie taktyki zostały użyte i jak daleko atak przeszedł do sieci. Obrońcy zabezpieczeń mogą również zobaczyć zakres ataku. Podobnie jak liczba urządzeń, użytkowników i skrzynek pocztowych, jak poważny wpływ na nią miało wpływ, oraz inne szczegóły dotyczące jednostek, których dotyczy problem.

Jeśli to ustawienie jest włączone, usługa Microsoft Defender XDR może automatycznie badać i rozwiązywać poszczególne alerty za pośrednictwem automatyzacji i sztucznej inteligencji. Obrońcy zabezpieczeń mogą również wykonać więcej kroków korygowania w celu rozwiązania ataku bezpośrednio z widoku zdarzeń.

Zdarzenia z ostatnich 30 dni są wyświetlane w kolejce zdarzeń. W tym miejscu obrońcy zabezpieczeń mogą zobaczyć, które zdarzenia powinny być priorytetowe na podstawie poziomu ryzyka i innych czynników.

Obrońcy zabezpieczeń mogą również zmieniać nazwy zdarzeń, przypisywać je do poszczególnych analityków, klasyfikować i dodawać tagi do zdarzeń w celu uzyskania lepszego i bardziej dostosowanego środowiska zarządzania zdarzeniami.

Określanie priorytetów zdarzeń

Usługa Microsoft Defender XDR stosuje analizę korelacji i agreguje wszystkie powiązane alerty i badania z różnych produktów do jednego zdarzenia. Usługa Microsoft Defender XDR wyzwala również unikatowe alerty dotyczące działań, które można zidentyfikować tylko jako złośliwe, biorąc pod uwagę kompleksową widoczność, jaką usługa Microsoft Defender XDR ma w całej infrastrukturze i zestawie produktów. Ten widok zapewnia analitykowi operacji zabezpieczeń szerszą historię ataku, która pomaga im lepiej zrozumieć złożone zagrożenia w całej organizacji i radzić sobie z nimi.

Kolejka Incydenty zawiera kolekcję oflagowanych zdarzeń z różnych urządzeń, użytkowników i skrzynek pocztowych. Ułatwia ona sortowanie incydentów w celu nadania priorytetów i utworzenia świadomej decyzji dotyczącej reagowania na cyberbezpieczeństwo.

Screen shot of the Microsoft Defender XDR Incident Queue.

Domyślnie kolejka w portalu usługi Microsoft Defender wyświetla zdarzenia widoczne w ciągu ostatnich 30 dni. Najnowszy incydent znajduje się na początku listy, aby można było go zobaczyć jako pierwszy.

Kolejka zdarzeń uwidacznia dostosowywalne kolumny, które zapewniają wgląd w różne cechy zdarzenia lub zawarte jednostki. Ta głębsza warstwa informacji ułatwia podjęcie świadomej decyzji dotyczącej priorytetyzacji zdarzeń do obsługi.

Aby uzyskać większą przejrzystość, automatyczne nazewnictwo zdarzeń generuje nazwy zdarzeń na podstawie atrybutów alertów, takich jak liczba punktów końcowych, których dotyczy problem, użytkownicy, źródła wykrywania lub kategorie. Automatyczne nazewnictwo umożliwia szybkie zrozumienie zakresu zdarzenia.

Dostępne filtry

Stan

Możesz ograniczyć listę zdarzeń wyświetlanych na podstawie ich stanu, aby zobaczyć, które zdarzenia są aktywne lub rozwiązane.

Ważność

Ważność zdarzenia wskazuje na wpływ na zasoby. Im większa ważność, tym większy wpływ i zwykle wymaga najodpowiaszej uwagi.

Przypisanie zdarzenia

Możesz wybrać wyświetlanie alertów przypisanych do Ciebie lub alertów obsługiwanych przez automatyzację.

Wiele źródeł usług

Wybierz pozycję Nie (wartość domyślna) lub tak, aby włączyć.

Źródła usług

Filtruj, aby wyświetlić tylko zdarzenia zawierające alerty z różnych źródeł. Źródła obejmują: Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Cloud App Security, Microsoft Defender for Identity, Ochrona usługi Office 365 w usłudze Microsoft Defender.

Tagi

Filtruj według przypisanych tagów. Po wybraniu pola Typ nazwy tagu zostaną wyświetlone wszystkie przypisane tagi.

Wiele kategorii

Możesz zobaczyć tylko zdarzenia mapowane na wiele kategorii i potencjalnie spowodować większe szkody.

Kategorie

Wybierz kategorie, aby skoncentrować się na określonych taktykach, technikach lub widocznych składnikach ataku.

Encje

Filtruj według nazwy lub identyfikatora jednostki.

Czułość danych

Niektóre ataki koncentrują się na atakach na eksfiltrację poufnych lub cennych danych. Stosując filtr, aby sprawdzić, czy dane poufne są zaangażowane w zdarzenie, możesz szybko określić, czy naruszono poufne informacje. A jeśli zostanie znaleziony kompromis, możesz określić priorytety odpowiedzi na te incydenty. Ta możliwość filtrowania ma zastosowanie tylko wtedy, gdy usługa Microsoft Purview Information Protection jest włączona.

Grupa urządzeń

Filtruj według zdefiniowanych grup urządzeń.

Platforma systemu operacyjnego

Ogranicz widok kolejki zdarzeń według systemu operacyjnego.

Klasyfikacja

Filtrowanie zdarzeń na podstawie ustawionych klasyfikacji powiązanych alertów. Wartości obejmują prawdziwe alerty, fałszywe alerty lub nie są ustawione.

Stan zautomatyzowanego badania

Filtruj zdarzenia według stanu zautomatyzowanego badania.

Skojarzone zagrożenie

Wybranie pola Typ skojarzonego zagrożenia umożliwi wprowadzenie informacji o zagrożeniach i wyświetlenie poprzednich kryteriów wyszukiwania.

Podgląd zdarzeń

Strony portalu zawierają informacje o wersji zapoznawczej dla większości danych związanych z listą.

Na tym zrzucie ekranu trzy wyróżnione obszary to okrąg, większy niż symbol i rzeczywisty link.

Screen shot of Incident Preview information options.

Koło

Wybranie okręgu spowoduje otwarcie okna szczegółów po prawej stronie z podglądem elementu wiersza z opcją otwarcia pełnej strony informacji.

Screen shot of Incidents details window.

Większe niż symbol

Jeśli istnieją powiązane rekordy, które można wyświetlić, wybranie znaku większego niż spowoduje wyświetlenie rekordów poniżej bieżącego rekordu.

Screen shot of Related Incident records.

Łącze

Link spowoduje przejście do pełnej strony dla elementu wiersza.

Zarządzanie incydentami

Zarządzanie zdarzeniami ma kluczowe znaczenie w zapewnieniu, że zagrożenia są zawarte i rozwiązane. W usłudze Microsoft Defender XDR masz dostęp do zarządzania zdarzeniami na urządzeniach, użytkownikach i skrzynkach pocztowych. Zdarzenia można zarządzać, wybierając zdarzenie z kolejki Incydenty.

Możesz edytować nazwę zdarzenia, rozpoznać go, ustawić jego klasyfikację i determinację. Możesz również przypisać zdarzenie do siebie, dodać tagi zdarzeń i komentarze.

W przypadkach, w których chcesz przenieść alerty z jednego zdarzenia do innego, podczas badania można to zrobić również na karcie Alerty. Użycie karty Alerty umożliwia utworzenie większego lub mniejszego incydentu zawierającego wszystkie odpowiednie alerty.

Edytowanie nazwy zdarzenia

Zdarzenia są przypisywane automatycznie na podstawie atrybutów alertu, takich jak liczba punktów końcowych, których dotyczy problem, użytkownicy, źródła wykrywania lub kategorie. Nazewnictwo na podstawie atrybutów alertów umożliwia szybkie zrozumienie zakresu zdarzenia. Możesz zmodyfikować nazwę zdarzenia, aby lepiej dopasować ją do preferowanej konwencji nazewnictwa.

Przypisywanie zdarzeń

Jeśli zdarzenie nie zostało jeszcze przypisane, możesz wybrać pozycję Przypisz do mnie, aby przypisać zdarzenie do siebie. W ten sposób przyjmuje się własność nie tylko zdarzenia, ale także wszystkich skojarzonych z nim alertów.

Ustawianie stanu i klasyfikacji

Stan zdarzenia

Możesz kategoryzować zdarzenia (jako aktywne lub rozwiązane), zmieniając ich stan w miarę postępu badania. Ta możliwość aktualizowania stanu pomaga organizować i zarządzać sposobem reagowania zespołu na zdarzenia.

Na przykład analityk SOC może przejrzeć pilne aktywne zdarzenia na ten dzień i zdecydować się na przypisanie ich do siebie w celu zbadania.

Alternatywnie analityk SOC może ustawić zdarzenie jako Rozwiązane, jeśli zdarzenie zostało skorygowane. Rozwiązanie zdarzenia spowoduje automatyczne zamknięcie wszystkich otwartych alertów będących częścią zdarzenia.

Klasyfikacja i determinacja

Możesz nie ustawić klasyfikacji lub zdecydować, czy zdarzenie jest prawdziwym alertem, czy fałszywym alertem. Dzięki temu zespół może zobaczyć wzorce i uczyć się od nich.

Dodawanie komentarzy

Możesz dodawać komentarze i wyświetlać zdarzenia historyczne dotyczące zdarzenia, aby zobaczyć poprzednie zmiany wprowadzone w nim.

Za każdym razem, gdy zostanie wprowadzona zmiana lub komentarz do alertu, jest on rejestrowany w sekcji Komentarze i historia.

Dodano komentarze natychmiast wyświetlane w okienku.

Dodawanie tagów zdarzeń

Możesz na przykład dodać tagi niestandardowe do zdarzenia, aby oznaczyć grupę zdarzeń o typowych cechach. Później można filtrować kolejkę zdarzeń dla wszystkich zdarzeń zawierających określony tag.