Реагирование на первый инцидент в Microsoft Defender XDR
Область применения:
- Microsoft Defender XDR
В этом руководстве перечислены ресурсы Майкрософт для новых пользователей Microsoft Defender XDR уверенно выполнять повседневные задачи реагирования на инциденты при использовании портала. Предполагаемые результаты использования этого руководства:
- Вы быстро научитесь использовать Microsoft Defender XDR для реагирования на инциденты и оповещения.
- Вы узнаете о функциях портала, помогающих в расследовании инцидентов и их устранении, в видеороликах и руководствах.
Microsoft Defender XDR позволяет просматривать соответствующие события угроз во всех ресурсах (устройствах, удостоверениях, почтовых ящиках, облачных приложениях и т. д.). Портал объединяет сигналы из набора защиты Defender, Microsoft Sentinel и других интегрированных решений для управления информационной безопасностью и событиями безопасности (SIEM). Коррелированная информация об атаках с полным контекстом в одной области позволяет успешно защищать и защищать организацию.
Это руководство содержит три main раздела:
- Общие сведения об инцидентах: доступ, рассмотрение инцидентов и управление ими на портале
- Анализ атак: коллекция видео и учебники по изучению конкретных атак с помощью функций портала.
- Устранение атак: список автоматизированных и ручных действий, доступных на портале для устранения угроз. В этом разделе содержатся ссылки на видео и руководства.
Общие сведения об инцидентах
Инцидент — это цепочка созданных процессов, команд и действий, которые могли не совпадать. Инцидент предоставляет целостную картину и контекст подозрительных или вредоносных действий. Один инцидент предоставляет полный контекст атаки вместо рассмотрения сотен оповещений от нескольких служб.
Совет
В течение ограниченного времени в январе 2024 г. при посещении страницы Инциденты отображается Boxed Defender. Defender Boxed освещает успехи, улучшения и действия по реагированию вашей организации в области безопасности в 2023 году. Чтобы снова открыть Defender Boxed, на портале Microsoft Defender перейдите в раздел Инциденты, а затем выберите Ваш защитник в коробке.
Microsoft Defender XDR имеет множество функций, которые можно использовать для реагирования на инцидент. Вы можете перемещаться по инцидентам, выбрав Просмотреть все инциденты в карта активных инцидентов на домашней странице или с помощью оповещений & инцидентов в области навигации слева.
рис. 1. Активные инциденты карта на домашней странице Microsoft Defender XDR
Фигура 2. Очередь инцидентов
Каждый инцидент содержит автоматически коррелированные оповещения из разных источников обнаружения и может включать различные конечные точки, удостоверения или облачные приложения.
Рассмотрение инцидента
Определение приоритетов инцидентов зависит от реагирования, группы безопасности и организации. Планы реагирования на инциденты и руководство групп безопасности могут наказать приоритет инцидентов.
Microsoft Defender XDR имеет различные индикаторы, такие как серьезность инцидента, типы пользователей или типы угроз для рассмотрения и определения приоритетов инцидентов. Вы можете использовать любое сочетание этих индикаторов, доступное с помощью фильтров очереди инцидентов .
Примером определения приоритета инцидента является сочетание следующих факторов для инцидента:
- Инцидент имеет высокую степень серьезности.
- Состояние исследования автоматизации завершилось сбоем.
- Существует 5 затронутых ресурсов, в которых два ресурса помечены строго конфиденциальной конфиденциальностью данных.
- Состояние инцидента новое.
- Инцидент не назначен ни одному участнику команды для расследования.
Вы можете назначить инциденту высокий приоритет, используя приведенные выше сведения. Вы можете начать расследование инцидента после определения приоритета.
Примечание.
Microsoft Defender XDR автоматически определяет фильтры, такие как серьезность, состояния исследования, затронутые ресурсы и состояния инцидентов. Эта информация основана на сетевых действиях вашей организации, контекстуализированных с помощью веб-каналов аналитики угроз и примененных автоматических действий по исправлению.
Управление инцидентами
Вы можете повысить эффективность управления инцидентами , предоставляя важную информацию в инцидентах и оповещениях. При добавлении сведений в следующие фильтры при рассмотрении и анализе каждого инцидента вы предоставляете дополнительный контекст для этого инцидента, которым могут воспользоваться другие специалисты по реагированию:
- Классифицирование инцидентов и оповещений
- Инциденты именования
- Добавление тегов
- Предоставление комментариев
Узнайте, как классифицировать инциденты и оповещения в этом видео:
Дальнейшие действия
- Анализ первого инцидента
- Исправление последствий первого инцидента
- Посмотрите демонстрации и новые разработки портала в действии в Microsoft Defender XDR Virtual Ninja Training
См. также
- Интеграция Microsoft Defender XDR в операции безопасности
- Реагирование на распространенные атаки с помощью сборников схем реагирования на инциденты
- Узнайте о функциях и функциях портала с помощью обучения Microsoft Defender XDR Ninja
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по