Прочитать на английском

Поделиться через


Инциденты и оповещения на портале Microsoft Defender

Портал Microsoft Defender объединяет единый набор служб безопасности для снижения риска угроз безопасности, улучшения состояния безопасности организации, обнаружения угроз безопасности, расследования нарушений и реагирования на них. Эти службы собирают и выдают сигналы, отображаемые на портале. Два main типа сигналов:

Оповещения: сигналы, которые возникают в результате различных действий по обнаружению угроз. Эти сигналы указывают на возникновение вредоносных или подозрительных событий в вашей среде.

Инциденты. Контейнеры, которые включают коллекции связанных оповещений и рассказывают полную историю атаки. Оповещения в одном инциденте могут поступать из всех решений майкрософт по обеспечению безопасности и соответствия требованиям, а также из огромного количества внешних решений, собранных с помощью Microsoft Sentinel и Microsoft Defender для облака.

Инциденты для корреляции и исследования

Хотя вы можете исследовать и устранять угрозы, которые представляют вам отдельные оповещения, сами по себе эти угрозы являются изолированными случаями, которые ничего не сообщают о более широкой и сложной истории атак. Вы можете искать, исследовать, исследовать и сопоставлять группы оповещений, которые входят в одну историю атаки, но это потребует много времени, усилий и энергии.

Вместо этого подсистемы корреляции и алгоритмы на портале Microsoft Defender автоматически объединяют и сопоставляют связанные оповещения, чтобы сформировать инциденты, представляющие эти более крупные истории атак. Defender определяет несколько сигналов, относящихся к одной и той же истории атак, используя ИИ для постоянного мониторинга источников телеметрии и добавления дополнительных доказательств для уже открытых инцидентов. Инциденты содержат все оповещения, которые считаются связанными друг с другом и общей историей атаки, и представляют эту историю в различных формах:

  • Временные шкалы оповещений и необработанных событий, на которых они основаны
  • Список использованных тактик
  • Списки всех задействованных и затронутых пользователей, устройств и других ресурсов
  • Визуальное представление того, как взаимодействуют все игроки в истории
  • Журналы автоматических процессов исследования и реагирования, которые Defender XDR инициированы и завершены
  • Коллекции доказательств, подтверждающих историю атаки: учетные записи пользователей злоумышленников, сведения об устройстве и адрес, вредоносные файлы и процессы, соответствующая аналитика угроз и т. д.
  • Текстовая сводка по истории атаки

Инциденты также предоставляют платформу для управления и документирования расследований и реагирования на угрозы. Дополнительные сведения о функциях инцидентов в этой связи см. в статье Управление инцидентами в Microsoft Defender.

Источники оповещений и обнаружение угроз

Оповещения на портале Microsoft Defender поступают из многих источников. Эти источники включают множество служб, входящих в состав Microsoft Defender XDR, а также другие службы с разной степенью интеграции с порталом Microsoft Defender.

Например, при подключении Microsoft Sentinel к порталу Microsoft Defender подсистема корреляции на портале Defender имеет доступ ко всем необработанным данным, принятым Microsoft Sentinel, которые можно найти в таблицах Расширенной охоты Defender.

Microsoft Defender XDR также создает оповещения. уникальные возможности корреляции Defender XDR обеспечивают еще один уровень анализа данных и обнаружения угроз для всех решений, не относящихся к корпорации Майкрософт, в вашей цифровой недвижимости. Эти обнаружения создают Defender XDR оповещения в дополнение к оповещениям, которые уже предоставляются правилами аналитики Microsoft Sentinel.

В каждом из этих источников существует один или несколько механизмов обнаружения угроз, которые создают оповещения на основе правил, определенных в каждом механизме.

Например, Microsoft Sentinel имеет по крайней мере четыре различных подсистемы, которые создают различные типы оповещений, каждый из которых имеет свои собственные правила.

Средства и методы для исследования и реагирования

Портал Microsoft Defender включает средства и методы для автоматизации или иным образом помочь в рассмотрении, расследовании и разрешении инцидентов. Эти средства представлены в следующей таблице:

Инструмент или метод Описание
Управление инцидентами и их расследование Убедитесь, что вы расставляете приоритеты для инцидентов в соответствии с серьезностью, а затем проработайте их для расследования. Используйте расширенную охоту для поиска угроз и опережайте новые угрозы с помощью аналитики угроз.
Автоматическое исследование и разрешение оповещений Если это включено, Microsoft Defender XDR может автоматически исследовать и разрешать оповещения из источников Идентификаторов Microsoft 365 и Entra с помощью автоматизации и искусственного интеллекта.
Настройка действий автоматического прерывания атаки Используйте сигналы высокой достоверности, полученные от Microsoft Defender XDR и Microsoft Sentinel, чтобы автоматически прерывать активные атаки на скорости компьютера, сдерживать угрозу и ограничивать влияние.
Настройка правил автоматизации Microsoft Sentinel Используйте правила автоматизации для автоматизации рассмотрения инцидентов, их назначения и управления ими независимо от их источника. Повысьте эффективность команды, настроив правила для применения тегов к инцидентам на основе их содержимого, подавления шумных (ложноположительных) инцидентов и закрытия разрешенных инцидентов, соответствующих соответствующим критериям, указав причину и добавив комментарии.
Упреждающая охота с помощью расширенной охоты Используйте язык запросов Kusto (KQL) для упреждающей проверки событий в сети, запрашивая журналы, собранные на портале Defender. Расширенная охота поддерживает интерактивный режим для пользователей, ищущих удобство построителя запросов.
Использование ИИ с помощью Microsoft Copilot для обеспечения безопасности Добавьте ИИ для поддержки аналитиков со сложными и трудоемкими ежедневными рабочими процессами. Например, Microsoft Copilot для безопасности может помочь в комплексном расследовании инцидентов и реагировании на нее, предоставляя четко описанные истории атак, пошаговые инструкции по исправлению и сводные отчеты об инцидентах, поиск на естественном языке KQL и анализ кода экспертов, оптимизируя эффективность SOC в данных из всех источников.

Эта возможность является дополнением к другим функциям на основе ИИ, которые Microsoft Sentinel предоставляет на унифицированной платформе, в областях аналитики поведения пользователей и сущностей, обнаружения аномалий, многоэтапного обнаружения угроз и многого другого.

Дополнительные сведения о корреляции оповещений и объединении инцидентов на портале Defender см. в статье Оповещения, инциденты и корреляция в Microsoft Defender XDR