Badanie zdarzeń

  • 4 min

Strona incydentu zawiera następujące informacje i linki nawigacji.

Przegląd zdarzeń

Na stronie przeglądu znajduje się migawka zawierająca najważniejsze informacje o zdarzeniu.

Screenshot of the Incident overview pane.

Kategorie ataków zapewniają wizualny i liczbowy widok postępu ataku przeciwko łańcuchowi zabić. Podobnie jak w przypadku innych produktów zabezpieczeń firmy Microsoft, usługa Microsoft Defender XDR jest zgodna ze strukturą MITRE ATT&CK™.

Sekcja zakres zawiera listę najważniejszych zasobów, których dotyczy ten incydent. Jeśli istnieją konkretne informacje dotyczące tego zasobu, takie jak poziom ryzyka, priorytet badania i wszelkie tagowanie zasobów, zostaną również wyświetlone w tej sekcji.

Oś czasu alertów zawiera wgląd w kolejność chronologiczną, w której wystąpiły alerty i przyczyny, dla których te alerty zostały połączone z tym zdarzeniem.

I na koniec — sekcja dowodów zawiera podsumowanie liczby różnych artefaktów uwzględnionych w zdarzeniu i ich stanie korygowania, dzięki czemu możesz natychmiast określić, czy na końcu są potrzebne jakiekolwiek działania.

To omówienie może pomóc w początkowej klasyfikacji incydentu, zapewniając wgląd w najważniejsze cechy zdarzenia, o których należy pamiętać.

Alerty

Możesz wyświetlić wszystkie alerty związane ze zdarzeniem i inne informacje o nich, takie jak ważność, jednostki zaangażowane w alert, źródło alertów (Microsoft Defender for Identity, Ochrona punktu końcowego w usłudze Microsoft Defender, Ochrona usługi Office 365 w usłudze Microsoft Defender) i powód, dla którego byli połączeni.

Domyślnie alerty są uporządkowane chronologicznie, aby umożliwić najpierw wyświetlenie sposobu, w jaki atak był rozgrywany w czasie. Kliknięcie każdego alertu spowoduje przeprowadzenie szczegółowego badania tego alertu na odpowiedniej stronie alertu.

Urządzenia

Karta Urządzenia zawiera listę wszystkich urządzeń, na których są widoczne alerty związane ze zdarzeniem.

Kliknięcie linku nazwy maszyny, na której przeprowadzono atak, powoduje przejście do strony Urządzenie. Na stronie Urządzenie można zobaczyć alerty, które zostały wyzwolone na nim i powiązane zdarzenia udostępniane w celu ułatwienia badania.

Użytkownicy

Zobacz użytkowników, którzy zostali zidentyfikowani jako część danego zdarzenia lub powiązane z danym zdarzeniem.

Kliknięcie nazwy użytkownika powoduje przejście do strony Microsoft Defender dla Chmury Apps użytkownika, na której można przeprowadzić dalsze badanie.

Skrzynki pocztowe

Zbadaj skrzynki pocztowe, które zostały zidentyfikowane jako część zdarzenia lub powiązane z tym zdarzeniem.

Aplikacje

Zbadaj aplikacje, które zostały zidentyfikowane jako część zdarzenia lub powiązane z tym zdarzeniem.

Dochodzenia

Wybierz pozycję Badania, aby wyświetlić wszystkie zautomatyzowane badania wyzwalane przez alerty w tym zdarzeniu. Badania będą wykonywać akcje korygowania lub czekać na zatwierdzenie przez analityka akcji.

Wybierz badanie, aby przejść do strony Szczegóły badania, aby uzyskać pełne informacje na temat stanu badania i korygowania. Jeśli jakiekolwiek akcje oczekują na zatwierdzenie w ramach badania, zostaną one wyświetlone na karcie Oczekujące akcje.

Dowody i odpowiedzi

Usługa Microsoft Defender XDR automatycznie bada wszystkie obsługiwane zdarzenia i podejrzane jednostki w alertach, zapewniając autoresponse i informacje o ważnych plikach, procesach, usługach, wiadomościach e-mail i nie tylko. Pomaga to szybko wykrywać i blokować potencjalne zagrożenia w zdarzeniu.

Każda z analizowanych jednostek zostanie oznaczona werdyktem (Złośliwe, Podejrzane, Czyste) i stanem korygowania. Pomaga to zrozumieć stan korygowania całego zdarzenia i kolejne kroki w celu dalszego korygowania.

Wykres

Wykres wizualizuje powiązane informacje o zagrożeniach cyberbezpieczeństwa w zdarzeniu, dzięki czemu można zobaczyć wzorce i korelacje pochodzące z różnych punktów danych. Taką korelację można wyświetlić za pomocą grafu zdarzeń.

Wykres opowiada historię ataku cyberbezpieczeństwa. Na przykład pokazuje punkt wejścia, który wskaźnik naruszenia zabezpieczeń lub aktywności zaobserwowano na którym urządzeniu itp.

Możesz wybrać okręgi na wykresie zdarzeń, aby wyświetlić szczegóły złośliwych plików, skojarzone wykrycia plików, liczbę wystąpień na całym świecie, czy zaobserwowano je w organizacji, jeśli tak, ile wystąpień.