Управляемое обнаружение и реагирование

  • Статья

Область применения:

Благодаря сочетанию автоматизации и человеческого опыта Microsoft Defender эксперты по анализу XDR Microsoft Defender XDR инцидентов, от вашего имени, отфильтровывают шум, проводят подробные исследования и предоставляют практические управляемые ответные меры группам центра безопасности (SOC).

Обновления инцидентов

После того как наши эксперты приступить к расследованию инцидента, поля "Назначено " и "Состояние инцидента" обновляются до "Эксперты Defender" и "Выполняется" соответственно.

Когда наши эксперты завершают расследование инцидента, поле классификации инцидента обновляется до одного из следующих значений в зависимости от выводов экспертов:

  • Истинно положительный результат
  • Ложное срабатывание
  • Информационное, ожидаемое действие

Поле Определения , соответствующее каждой классификации, также обновляется, чтобы предоставить более подробную информацию о выводах, которые привели наших экспертов к определению указанной классификации.

Снимок экрана: страница

Если инцидент классифицируется как ложноположительный результат или информационное ожидаемое действие, поле состояние инцидента обновляется на Разрешено. Затем наши эксперты завершают свою работу над этим инцидентом, и поле Назначено будет обновлено на Unassigned. Наши эксперты могут поделиться обновлениями из своего расследования и выводами при разрешении инцидента. Эти обновления размещаются на всплывающей панели примечаний и журнала инцидента.

Примечание.

Комментарии к инциденту — это односторонние публикации. Эксперты Defender не могут отвечать на комментарии или вопросы, добавленные на панели "Комментарии и журнал ". Дополнительные сведения о том, как взаимодействовать с нашими экспертами, см. в разделе Общение с экспертами в службе Microsoft Defender эксперты для XDR.

В противном случае, если инцидент классифицируется как True Positive, наши эксперты определяют необходимые действия реагирования, которые необходимо выполнить. Метод, в котором выполняются действия, зависит от разрешений и уровней доступа, предоставленных специалистам Defender для службы XDR. Узнайте больше о предоставлении разрешений нашим экспертам.

  • Если вы предоставили экспертам Defender для XDR рекомендуемые разрешения на доступ к оператору безопасности, наши эксперты могут выполнить необходимые действия реагирования на инцидент от вашего имени. Эти действия, а также сводка по расследованию, отображаются на всплывающей панели управляемого реагирования инцидента на портале Microsoft Defender для вас или вашей команды SOC для просмотра. Все действия, выполненные экспертами Defender для XDR, отображаются в разделе Завершенные действия . Все ожидающие действия, которые требуют выполнения от вас или команды SOC, перечислены в разделе Ожидающие действия . Дополнительные сведения см. в разделе Действия . После того как наши специалисты предоставили все необходимые меры по инциденту, его поле Состояние обновляется до "Разрешено ", а поле "Назначено " — на Неназначенные.

  • Если вы предоставили экспертам Defender для XDR доступ к читателю безопасности по умолчанию, необходимые действия реагирования вместе с сводкой по расследованию отображаются на всплывающей панели управляемого ответа инцидента в разделе Ожидающие действия на портале Microsoft Defender для выполнения вами или вашей командой SOC. Дополнительные сведения см. в разделе Действия . Чтобы определить эту передачу, поле Состояние инцидента обновляется на Ожидание действия клиента , а поле Назначено — для клиента.

Количество инцидентов, требующих действий, можно проверка на баннере экспертов Defender в верхней части домашней страницы Microsoft Defender.

Снимок экрана: карта экспертов Defender на портале Microsoft Defender с количеством инцидентов, ожидающих действий клиента.

Чтобы просмотреть инциденты, которые наши эксперты изучили или расследуют в настоящее время, отфильтруйте очередь инцидентов на портале Microsoft Defender с помощью тега Эксперты Defender.

Снимок экрана: очередь инцидентов на портале Microsoft Defender, отфильтрованной для отображения только тех, кто содержит тег экспертов Defender.

Использование управляемого ответа в Microsoft Defender XDR

На портале Microsoft Defender для инцидента, требующего вашего внимания с помощью управляемого ответа, в поле Состояние задано значение Ожидание действия клиента, в поле Назначено значение Клиент, а карта задача в области Инциденты. Назначенные контакты по инциденту также получают соответствующее уведомление по электронной почте со ссылкой на портал Defender для просмотра инцидента. Дополнительные сведения о контактах с уведомлениями. Вы также получите уведомление Teams, информирующее вас об обновлениях. Дополнительные сведения о настройке Teams

Выберите Просмотр управляемого ответа на карта задачи или в верхней части страницы портала (вкладка Управляемый ответ), чтобы открыть всплывающий элемент, где можно прочитать сводку исследования наших экспертов, выполнить ожидающие действия, выявленные нашими экспертами, или взаимодействовать с ними в чате.

Сводка по расследованию

В разделе Сводка по расследованию вы дается дополнительный контекст об инциденте, проанализированном нашими экспертами, и вы можете получить представление о его серьезности и потенциальном воздействии, если вы не будете немедленно рассмотрены. Он может включать в себя временная шкала устройства, индикаторы атаки и индикаторы компрометации (IOCs), а также другие сведения.

Снимок экрана: сводка по исследованию управляемого ответа.

Действия

На вкладке Действия отображаются карточки задач, содержащие действия ответа, рекомендованные нашими экспертами.

Эксперты Defender для XDR в настоящее время поддерживают следующие действия управляемого ответа одним щелчком:

Действие Описание
Изоляция устройства Изолирует устройство, что помогает предотвратить его управление злоумышленником и выполнение дальнейших действий, таких как кража данных и боковое перемещение. Изолированное устройство по-прежнему будет подключено к Microsoft Defender для конечной точки.
Файл карантина Останавливает выполнение процессов, помещает файлы в карантин и удаляет постоянные данные, такие как разделы реестра.
Ограничить выполнение приложения Ограничивает выполнение потенциально вредоносных программ и блокирует устройство, чтобы предотвратить дальнейшие попытки.
Освобождение от изоляции Отменяет изоляцию устройства.
Удалить ограничение приложения Отмена освобождения от изоляции.

Помимо этих действий одним щелчком, вы также можете получать управляемые ответы от наших экспертов, которые необходимо выполнить вручную.

Примечание.

Прежде чем выполнять какие-либо из рекомендуемых действий управляемого ответа, убедитесь, что они еще не устранены в конфигурациях автоматического исследования и реагирования. Узнайте больше об автоматизированных исследованиях и возможностях реагирования в Microsoft Defender XDR.

Чтобы просмотреть и выполнить действия управляемого ответа, выполните следующие действия:

  1. Нажмите кнопки со стрелками в действии карта, чтобы развернуть его и прочитать дополнительные сведения о требуемом действии.

Снимок экрана: действие управляемого ответа для изоляции сервера устройства prod.

  1. Для карточек с действиями ответа одним щелчком выберите требуемое действие. Состояние действия в карта изменяется на Выполняется, а затем на Сбой или Завершено в зависимости от результата действия.

Снимок экрана: действие управляемого ответа, показывающее выполнение изоляции сервера prod устройства.

Совет

Вы также можете отслеживать состояние действий ответа на портале в центре уведомлений. Если действие ответа завершается сбоем, попробуйте выполнить его еще раз на странице Просмотр сведений об устройстве или начать чат с экспертами Defender.

  1. Для карточек с обязательными действиями, которые необходимо выполнить вручную, выберите Я выполнил это действие после их выполнения, а затем выберите Да, я сделал это в появившемся диалоговом окне подтверждения.

Снимок экрана: действие управляемого ответа для подтверждения завершения действия.

  1. Если вы не хотите сразу выполнять требуемое действие, выберите Пропустить, а затем — Да, пропустите это действие в появившемся диалоговом окне подтверждения.

Важно!

Если вы заметили, что какие-либо кнопки на карточках действий неактивны, это может означать, что у вас нет необходимых разрешений для выполнения действия. Убедитесь, что вы вошли на портал Microsoft Defender XDR с соответствующими разрешениями. Для большинства управляемых действий реагирования требуется по крайней мере доступ к оператору безопасности. Если вы по-прежнему сталкиваетесь с этой проблемой, даже с соответствующими разрешениями, перейдите в раздел Просмотр сведений об устройстве и выполните действия.

Получение сведений о исследованиях экспертов Defender в приложении SIEM или ITSM

Как эксперты Defender для XDR расследуют инциденты и придумываете действия по исправлению, вы можете видеть их работу над инцидентами в приложениях управления информационной безопасностью и событиями безопасности (SIEM) и управления ИТ-службами (ITSM), включая приложения, доступные по умолчанию.

Microsoft Sentinel

Вы можете получить видимость инцидентов в Microsoft Sentinel, включив встроенный соединитель данных Microsoft Defender XDR. Подробнее.

После включения соединителя эксперты Defender обновят поля Состояние, Назначено, Классификация и Определение в Microsoft Defender XDR будут отображаться в соответствующих полях Состояние, Владелец и Причина закрытия в Sentinel.

Примечание.

Состояние инцидентов, расследованных экспертами Defender в Microsoft Defender XDR, как правило, переходит с Активно на Выполняется в Ожидание действия клиента на Разрешено, в то время как в Sentinel оно следует за путем New to Active to Resolved. Действие Microsoft Defender XDR состояние ожидания клиента не имеет эквивалентного поля в Sentinel; вместо этого оно отображается в виде тега в инциденте в Sentinel.

В следующем разделе описывается, как инцидент, обрабатываемый нашими экспертами, обновляется в Sentinel по мере его продвижения в ходе расследования.

  1. Для инцидента, расследуемого нашими экспертами, указано состояние"Активный" и "Владелец""Эксперты Defender".
  2. Инцидент, который наши эксперты подтвердили как True Positive, имеет управляемый ответ, размещенный в Microsoft Defender XDR, а тегожидает действия клиента, а владелец указан как клиент. Необходимо действовать в случае инцидента на основе предоставленного управляемого ответа.
  3. После того как наши эксперты завершили расследование и закрыли инцидент как ложноположительные или информационныеожидаемые действия, состояние инцидента обновляется на "Разрешено", владелец обновляется на Неназначенные и предоставляется причина закрытия .

Снимок экрана: инциденты Microsoft Sentinel.

Другие приложения

Вы можете получить видимость инцидентов в приложении SIEM или ITSM с помощью API Microsoft Defender XDR или соединителей в Sentinel.

После настройки соединителя обновления экспертами Defender для полей Состояния инцидента, Назначено, Классификация и Определение в Microsoft Defender XDR могут быть синхронизированы со сторонними приложениями SIEM или ITSM в зависимости от того, как было реализовано сопоставление полей. Чтобы проиллюстрировать, можно просмотреть соединитель, доступный из Sentinel в ServiceNow.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.