Устранение первого инцидента в XDR в Microsoft Defender
Область применения:
- Microsoft Defender XDR
XDR в Microsoft Defender предоставляет возможности обнаружения и анализа, чтобы обеспечить сдерживание и устранение угроз. Сдерживание включает шаги по снижению воздействия атаки, а ликвидация гарантирует, что все следы действий злоумышленников будут удалены из сети.
Исправление в XDR в Microsoft Defender можно автоматизировать или вручную, выполняемые службами реагирования на инциденты. Действия по исправлению можно выполнять на устройствах, файлах и удостоверениях.
Автоматическое исправление
Microsoft Defender XDR использует свою аналитику угроз и сигналы в сети для борьбы с наиболее разрушительными атаками. Программы-шантажисты, компрометация бизнес-почты (BEC) и фишинг злоумышленника в середине (AiTM) являются одними из самых сложных атак, которые можно немедленно сдержать с помощью возможности автоматического прерывания атаки . После того как атака была сорвана, службы реагирования на инциденты могут взять на себя и полностью расследовать атаку и применить необходимые исправления.
Узнайте, как автоматическое нарушение атаки помогает в реагировании на инциденты:
Между тем возможности автоматического исследования и реагирования XDR в Microsoft Defender могут автоматически исследовать и применять действия по исправлению вредоносных и подозрительных элементов. Эти возможности масштабируют исследования и устраняют угрозы, освобождая реагирование на инциденты, чтобы сосредоточить свои усилия на атаках с высокой степенью воздействия.
Вы можете настраивать возможности автоматического исследования и реагирования и управлять ими . Вы также можете просмотреть все прошлые и ожидающие действия в центре уведомлений.
Примечание.
Автоматические действия можно отменить после проверки.
Чтобы ускорить выполнение некоторых задач исследования, вы можете рассмотреть оповещения с помощью Power Automate. Кроме того, автоматическое исправление можно создать с помощью автоматизации и сборников схем. Корпорация Майкрософт имеет шаблоны сборников схем на сайте GitHub для следующих сценариев:
- Удаление общего доступа к конфиденциальным файлам после запроса проверки пользователя
- Автоматическое рассмотрение редких оповещений о стране
- Запрос действия руководителя перед отключением учетной записи
- Отключение вредоносных правил папки "Входящие"
Сборники схем используют Power Automate для создания настраиваемых потоков автоматизации роботизированных процессов для автоматизации определенных действий после активации определенных критериев. Организации могут создавать сборники схем либо из существующих шаблонов, либо с нуля. Сборники схем также можно создавать во время проверки после инцидента, чтобы создавать действия по исправлению из разрешенных инцидентов.
Узнайте, как Power Automate может помочь вам автоматизировать реагирование на инциденты, в этом видео:
Исправление вручную
При реагировании на атаку команды безопасности могут использовать действия по исправлению вручную, выполняемые порталом, чтобы предотвратить дальнейший ущерб от атак. Некоторые действия могут немедленно остановить угрозу, в то время как другие помогают в дальнейшем судебно-медицинском анализе. Эти действия можно применить к любой сущности в зависимости от рабочих нагрузок Defender, развернутых в организации.
Действия на устройствах
Изоляция устройства — изолирует затронутое устройство путем отключения устройства от сети. Устройство остается подключенным к службе Defender для конечной точки для дальнейшего мониторинга.
Ограничить выполнение приложений . Ограничивает приложение, применяя политику целостности кода, которая разрешает запуск файлов только в том случае, если они подписаны сертификатом, выданным Майкрософт.
Запуск антивирусной проверки — удаленно запускает антивирусную проверку в Защитнике для устройства. Проверка может выполняться вместе с другими антивирусными решениями, независимо от того, является ли антивирусная программа Defender активным антивирусным решением или нет.
Сбор пакета исследования . Пакет исследования можно собрать с устройства в рамках процесса исследования или ответа. Собрав пакет исследования, вы можете определить текущее состояние устройства и узнать о средствах и методах, используемых злоумышленником.
Запуск автоматического исследования — запуск нового автоматизированного исследования общего назначения на устройстве. Пока выполняется исследование, все другие оповещения, созданные с устройства, будут добавлены в текущее автоматическое исследование до тех пор, пока это исследование не будет завершено. Кроме того, если та же угроза наблюдается на других устройствах, эти устройства добавляются в исследование.
Инициализация динамического реагирования — предоставляет мгновенный доступ к устройству с помощью удаленного подключения оболочки, что позволяет выполнять углубленную исследовательскую работу и принимать немедленные меры реагирования для оперативного сдерживания выявленных угроз в режиме реального времени. Динамическое реагирование предназначено для повышения эффективности расследований, позволяя собирать криминалистические данные, выполнять скрипты, отправлять подозрительные сущности для анализа, устранять угрозы и упреждающе искать новые угрозы.
Обратитесь к экспертам Defender . Вы можете проконсультироваться с экспертом Microsoft Defender, чтобы получить дополнительные сведения о потенциально скомпрометированных или уже скомпрометированных устройствах. Эксперты Microsoft Defender могут быть привлечены непосредственно на портале для своевременного и точного ответа. Это действие доступно как для устройств, так и для файлов.
Другие действия на устройствах доступны в следующем руководстве:
Примечание.
Вы можете выполнять действия с устройствами прямо из графа в истории атаки.
Действия в отношении файлов
- Файл остановки и карантина включает остановку запущенных процессов, карантин файлов и удаление постоянных данных, таких как разделы реестра.
- Добавление индикаторов для блокировки или разрешения файлов — предотвращает дальнейшее распространение атаки путем запрета потенциально вредоносных файлов или предполагаемых вредоносных программ. Эта операция предотвращает чтение, запись или выполнение файла на устройствах в вашей организации.
- Скачать или собрать файл — позволяет аналитикам скачать файл в защищенном паролем .zip архивном файле для дальнейшего анализа организацией.
- Глубокий анализ — выполняет файл в безопасной, полностью инструментированной облачной среде. Результаты глубокого анализа показывают действия файла, наблюдаемое поведение и связанные артефакты, такие как удаленные файлы, изменения реестра и обмен данными с IP-адресами.
Устранение других атак
Примечание.
Эти руководства применяются, если в вашей среде включены другие рабочие нагрузки Defender.
В следующих руководствах перечислены шаги и действия, которые можно применить при исследовании сущностей или реагировании на определенные угрозы.
- Реагирование на скомпрометированную учетную запись электронной почты с помощью Defender для Office 365
- Устранение уязвимостей с помощью Defender для управления уязвимостями
- Действия по исправлению учетных записей пользователей с помощью Defender для удостоверений
- Применение политик для управления приложениями с помощью Defender for Cloud Apps
Дальнейшие действия
- Имитация атак с помощью обучения имитации атак
- Изучение XDR в Microsoft Defender с помощью обучения Виртуальному Ниндзя
См. также
- Исследование инцидентов
- Узнайте о функциях и функциях портала с помощью обучения Ninja XDR в Microsoft Defender
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.