Анализ и реагирование с помощью Microsoft Defender XDR
Ниже приведены основные задачи исследования и реагирования для Microsoft Defender XDR:
- Реагирование на инциденты
- Проверка и утверждение действий по автоматическому исправлению
- Поиск известных угроз в данных
- Общие сведения о последних кибератаках
Реагирование на инциденты
Службы и приложения Microsoft 365 создают оповещения при обнаружении подозрительного или вредоносного события или действия. Отдельные оповещения предоставляют ценные подсказки о завершенной или продолжающейся атаке. Однако в атаках обычно используются различные методы против различных типов сущностей, например устройств, пользователей и почтовых ящиков. Это приводит к созданию нескольких оповещений для нескольких сущностей в клиенте. Так как объединение отдельных оповещений для получения сведений об атаке может быть сложной задачей и занимает много времени, Microsoft Defender XDR автоматически объединяет оповещения и связанную с ними информацию в инцидент.
На постоянной основе необходимо определить наиболее приоритетные инциденты для анализа и разрешения в очереди инцидентов и подготовить их к реагированию. Это представляет собой сочетание указанных ниже компонентов.
- Определение приоритетов для определения инцидентов с наивысшим приоритетом путем фильтрации и сортировки очереди инцидентов. Это также называется рассмотрением.
- Управление инцидентами путем изменения их названия, назначения аналитику, добавления тегов и комментариев, а при их разрешении — классификации.
Для каждого инцидента используйте рабочий процесс реагирования на инцидент, чтобы проанализировать инцидент, его оповещения и данные, чтобы сдержать атаку, искоренить угрозу, восстановиться после атаки и учиться на ней. См. этот пример для Microsoft Defender XDR.
Автоматическое исследование и защита
Если ваша организация использует Microsoft Defender XDR, ваша команда по операциям безопасности получает оповещение на портале Microsoft Defender при обнаружении вредоносного или подозрительного действия или артефакта. Учитывая бесконечный поток поступающих угроз, группы безопасности часто сталкиваются с проблемой реагирования на большое число оповещений. К счастью, Microsoft Defender XDR включает возможности автоматического исследования и реагирования (AIR), которые могут помочь вашей команде по операциям безопасности более эффективно и эффективно устранять угрозы.
По завершении автоматического исследования выносится решение для каждого свидетельства инцидента. В зависимости от решения выявляются действия по исправлению. В некоторых случаях действия по исправлению выполняются автоматически; в других случаях действия по исправлению ожидают утверждения в центре уведомлений Microsoft Defender XDR.
Дополнительные сведения см. в статье Автоматическое исследование и реагирование в Microsoft Defender XDR.
Упреждающий поиск угроз с помощью расширенной охоты
Недостаточно реагировать на атаки по мере их возникновения. Для длительных многоэтапных атак, таких как программа-шантажист, необходимо заранее найти доказательства выполняемой атаки и принять меры, чтобы остановить ее до ее завершения.
Расширенная охота — это средство охоты на угрозы на основе запросов в Microsoft Defender XDR, которое позволяет просматривать необработанные данные на срок до 30 дней. Вы можете проводить инспекцию событий в своей сети для поиска индикаторов и объектов угроз на профилактической основе. Такой гибкий доступ к данным Microsoft Defender XDR позволяет без ограничений искать как известные, так и потенциальные угрозы.
Вы можете использовать одни и те же запросы охоты на угрозы для создания настраиваемых правил обнаружения. Эти правила выполняются автоматически, чтобы проверка для, а затем реагировать на предполагаемые действия нарушения, неправильно настроенные компьютеры и другие результаты.
Дополнительные сведения см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR.
Опережайте новые угрозы с помощью аналитики угроз
Аналитика угроз — это возможность аналитики угроз в Microsoft Defender XDR, предназначенная для того, чтобы помочь вашей команде безопасности быть максимально эффективной при столкновении с новыми угрозами. Он содержит подробный анализ и сведения о:
- Активные субъекты угроз и их кампании
- Популярные и новые приемы атаки
- Критические уязвимости
- Распространенные направления атак.
- Распространенные вредоносные программы.
Аналитика угроз также включает сведения о связанных инцидентах и затронутых ресурсах в клиенте Microsoft 365 для каждой обнаруженной угрозы.
Каждая обнаруженная угроза включает аналитический отчет, комплексный анализ угрозы, написанный исследователями безопасности Майкрософт, которые находятся на переднем крае обнаружения и анализа кибербезопасности. Эти отчеты также могут содержать сведения о том, как атаки возникают в Microsoft Defender XDR.
Дополнительные сведения см. в статье Аналитика угроз в Microsoft Defender XDR.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.