Автоматическое исследование и реагирование в Microsoft Defender XDR
Статья
Область применения:
Microsoft Defender XDR
Если в вашей организации используется Microsoft Defender XDR, команда по операциям с безопасностью получает оповещение на портале Microsoft Defender при обнаружении вредоносного или подозрительного действия или артефакта. Учитывая, казалось бы, бесконечный поток угроз, которые могут прийти, команды безопасности часто сталкиваются с проблемой решения большого объема оповещений. К счастью, Microsoft Defender XDR включает возможности автоматического исследования и реагирования (AIR), которые могут помочь вашей команде по операциям безопасности более эффективно и эффективно устранять угрозы.
В этой статье содержится обзор AIR, а также ссылки на дальнейшие действия и дополнительные ресурсы.
Как работает автоматизированное исследование и самовосстановление
По мере появления предупреждений системы безопасности группа по обеспечению безопасности должна изучить эти предупреждения и выполнить действия для защиты организации. Определение приоритета и анализ оповещений могут отнимать очень много времени, особенно в условиях постоянного появления новых оповещений во время анализа. Службы обеспечения безопасности могут быть перегружены из-за огромного количества угроз, которые им нужно отслеживать и от которых необходимо защищать. Автоматизированные возможности исследования и реагирования с самовосстановлением в Microsoft Defender XDR могут помочь.
Посмотрите следующее видео, чтобы увидеть, как работает самовосстановление:
В Microsoft Defender XDR автоматизированное исследование и реагирование с возможностями самовосстановления работает на ваших устройствах, электронной почте & содержимом и удостоверениях.
Представьте себе, что у вас есть виртуальный аналитик в группе безопасности уровня 1 или уровня 2. Виртуальный аналитик имитирует идеальные действия, которые должен предпринять отдел обеспечения безопасности для анализа и устранения угроз. Виртуальный аналитик может работать 24x7 с неограниченной емкостью и взять на себя значительный объем исследований и устранения угроз. Такой виртуальный аналитик может значительно сократить время реагирования, освободив команду по обеспечению безопасности от других важных угроз или стратегических проектов. Если этот сценарий звучит как фантастика, это не так! Такой виртуальный аналитик является частью набора Microsoft Defender XDR и называется автоматическим исследованием и реагированием.
Возможности автоматического исследования и реагирования позволяют вашей команде по операциям безопасности значительно увеличить возможности вашей организации по борьбе с оповещениями системы безопасности и инцидентами. С помощью автоматического исследования и реагирования вы можете снизить затраты на расследование и реагирование на них, а также максимально эффективно использовать набор средств защиты от угроз. Возможности автоматического исследования и реагирования помогают вашей группе по операциям с безопасностью:
определяет, требует ли угроза выполнения какого-либо действия;
выполняет (или рекомендует) все необходимые действия по исправлению;
определяет, следует ли проводить другие исследования и какие именно;
при необходимости повторяет весь этот процесс с другими оповещениями.
Процесс автоматизированного анализа
Оповещение создает инцидент, который может запустить автоматическое исследование. В результате автоматизированного исследования выносится решение по каждому свидетельству. Решения могут быть:
Злоумышленная
Подозрительный
Угрозы не найдены
Определяются действия по исправлению для вредоносных или подозрительных объектов. Примеры действий по исправлению:
Во время проведения анализа все другие связанные с ним оповещения добавляются в анализ до его завершения. Если затронутая сущность обнаружена в каком-либо другом месте, область автоматического исследования расширяется, чтобы включить эту сущность, и процесс исследования повторяется.
В Microsoft Defender XDR каждое автоматическое исследование сопоставляет сигналы между Microsoft Defender для удостоверений, Microsoft Defender для конечной точки и Microsoft Defender для Office 365, как показано в следующей таблице:
Объекты
Службы защиты от угроз
Устройства (также называемые конечными точками или компьютерами)
Не каждое оповещение запускает автоматическое исследование, и не каждое исследование приводит к автоматическим действиям по исправлению. Это зависит от того, как в организации настроено автоматическое исследование и реагирование. См. раздел Настройка возможностей автоматического исследования и реагирования.
Просмотр списка исследований
Чтобы просмотреть расследование, перейдите на страницу Инциденты . Выберите инцидент, а затем перейдите на вкладку Расследования . Дополнительные сведения см. в статье Сведения и результаты автоматизированного исследования.
Автоматизированное исследование & ответных карта
На портале Microsoft Defender () доступен новый карта ответа & автоматизированного исследования (https://security.microsoft.com). Это новое карта видимость общего количества доступных действий по исправлению. В карта также приведен обзор всех оповещений и необходимого времени утверждения для каждого оповещения.
Используя карта автоматического исследования & ответа, ваша команда по операциям безопасности может быстро перейти в центр уведомлений, выбрав ссылку Утвердить в центре уведомлений, а затем предпринять соответствующие действия. Карта позволяет вашей группе по операциям безопасности более эффективно управлять действиями, ожидающими утверждения.
Чтобы заработать эти учетные данные Microsoft Applied Skills, учащиеся демонстрируют возможность использовать XDR в Microsoft Defender для обнаружения и реагирования на киберугрозы. Кандидаты на эти учетные данные должны быть знакомы с исследованием и сбором доказательств о атаках на конечные точки. Они также должны иметь опыт использования Microsoft Defender для конечной точки и язык запросов Kusto (KQL).
Исследуйте инциденты на различных ресурсах из коррелированных сигналов различных служб Defender и других продуктов безопасности Майкрософт, таких как Microsoft Sentinel.