Шаг 4. Реагирование на инцидент с помощью Microsoft Sentinel и XDR в Microsoft Defender

В этой статье представлен общий набор шагов и процедур для устранения инцидента с помощью Microsoft Sentinel и XDR в Microsoft Defender, включая триаж, исследование и разрешение. Общий ресурс XDR в Microsoft Sentinel и Microsoft Defender:

• Обновления жизненного цикла (состояние, владелец, классификация) разделяются между продуктами.
• Доказательства, собранные во время расследования, показаны в инциденте Microsoft Sentinel.

На следующей схеме показано, как решение microsoft extended detection and response (XDR) легко интегрируется с Microsoft Sentinel.

На этой схеме:

• Аналитика от сигналов по всей организации в microsoft Defender XDR и Microsoft Defender для облака.
• XDR в Microsoft Defender и Microsoft Defender для облака отправлять данные журнала SIEM через ряд соединителей Microsoft Sentinel.
• Затем команды SecOps могут анализировать угрозы и реагировать на них.
• Microsoft Sentinel поддерживает многооблачные среды и интегрируется с сторонними приложениями и партнерами.

Дополнительные сведения об интеграции Microsoft Defender с Microsoft Sentinel см. в статье об интеграции XDR Microsoft Defender с Microsoft Sentinel. В этом интерактивном руководстве описано, как обнаруживать и реагировать на современные атаки с помощью унифицированных сведений о безопасности и управления событиями (SIEM) Майкрософт, а также расширенных возможностей обнаружения и реагирования (XDR).

Процесс реагирования на инциденты

Процесс реагирования на инциденты для устранения инцидента с помощью Microsoft Sentinel и XDR в Microsoft Defender:

1. Используйте портал Microsoft Sentinel для рассмотрения потенциального инцидента, который включает в себя понимание подробностей инцидента и немедленное выполнение действий.

2. Перейдите на портал Microsoft Defender, чтобы начать исследование. В том числе:

   • Общие сведения об инциденте и его область и просмотре временная шкала активов.
   • Просмотрите ожидающие действия самостоятельного восстановления, вручную исправляя сущности, выполняя динамический ответ.
   • Добавление мер предотвращения.

3. По необходимости продолжайте расследование на портале Microsoft Sentinel. В том числе:

   • Понимание область инцидента (коррелирует с процессами безопасности, политиками и процедурами [3P]).
   • Выполнение действий автоматического исследования и исправления 3P и создание пользовательских сборников схем оркестрации безопасности, автоматизации и реагирования (SOAR).
   • Запись доказательств для управления инцидентами.
   • Добавление пользовательских мер.

4. Устраните инцидент на портале Microsoft Sentinel и выполните соответствующие действия в команде безопасности.

В Microsoft Sentinel вы можете воспользоваться преимуществами сборников схем и правил автоматизации.

• Сборник схем — это коллекция действий по расследованию и исправлению, которые можно запускать с портала Microsoft Sentinel в качестве подпрограммы. Сборники схем помогут автоматизировать и оркестрировать ответ на угрозы. Они могут выполняться вручную по запросу по инцидентам, сущностям и оповещениям, а также автоматически выполняться в ответ на определенные оповещения или инциденты при активации правила автоматизации. Дополнительные сведения см. в статье "Автоматизация реагирования на угрозы" с помощью сборников схем.
• Правила автоматизации — это способ централизованного управления автоматизацией в Microsoft Sentinel, позволяющий определять и координировать небольшой набор правил, которые применяются в разных сценариях. Дополнительные сведения см. в статье Автоматизации реагирования на угрозы в Microsoft Sentinel с помощью правил автоматизации.

В следующих разделах описывается общий процесс реагирования на инциденты с помощью порталов Microsoft Sentinel и Microsoft Defender.

Шаг 1. Обработка инцидента на портале Microsoft Sentinel

Выполните следующие действия в качестве общего метода для рассмотрения инцидента с Microsoft Sentinel:

1. Откройте портал Microsoft Sentinel.
2. Выберите инциденты и найдите предполагаемый инцидент. Вы можете искать инциденты по их идентификатору, названию, тегам, владельцу инцидентов, сущности или продукту.
3. После того как вы обнаружили инцидент, выберите его, а затем в области сводки инцидентов (предварительная версия) выберите полные сведения .
4. На вкладке "Обзор" просмотрите сводку инцидента, временная шкала, сущности, основные аналитические сведения, аналогичные инциденты и другие сведения. Чтобы запустить ранее созданную сборник схему в инциденте, выберите "Действия инцидентов", а затем выберите "Запустить сборник схем( предварительная версия)".
5. На вкладке "Сущности" найдите сущность, интересную для списка. Поле поиска можно использовать для поиска имени или фильтра сущности по типу сущности.
6. Чтобы запустить ранее созданную сборник схему для сущности, выберите сущность и выберите команду Run playbook. В области сборника схем запуска выберите "Выполнить" для созданных сборников схем и потребуется для этого инцидента, чтобы создать дополнительную информацию об сущности.
7. В разделе Аналитика области сущностей выберите соответствующие категории аналитических сведений, необходимых для сбора сведений об сущности. Обратите внимание, что аналитические сведения, показанные здесь, основаны на последних 24 часах перед созданием первого оповещения. При нажатии кнопки "Дополнительные сведения" отображаются с настраиваемым диапазоном времени.
8. Выберите "Инцидент" и перейдите на вкладку "Комментарии ".
9. Если сборники схем запускались автоматически или вручную, просмотрите комментарии, созданные ими в инциденте.

Дополнительные сведения см. в статье "Навигация и исследование инцидентов в Microsoft Sentinel".

Шаг 2. Исследование инцидента на портале Microsoft Defender

Выполните следующие действия в качестве общего метода для расследования инцидента с помощью XDR в Microsoft Defender:

1. На странице "Инцидент" на портале Microsoft Sentinel (предварительная версия) в области сводки выберите "Исследовать в Microsoft Defender XDR ".
2. На вкладке "История атак" на портале Microsoft Defender начните расследование с помощью XDR в Microsoft Defender. Попробуйте выполнить следующие действия для собственного рабочего процесса реагирования на инциденты.
3. Просмотрите историю атаки инцидента, чтобы понять, область, серьезность, источник обнаружения и какие сущности затронуты.
4. Начните анализ оповещений, чтобы понять их происхождение, область и серьезность с историей оповещения в инциденте.
5. При необходимости соберите информацию о затронутых устройствах, пользователях и почтовых ящиках с помощью графа. Щелкните любую сущность, чтобы открыть всплывающий элемент со всеми сведениями.
6. Узнайте, как XDR в Microsoft Defender автоматически разрешал некоторые оповещения с помощью вкладки "Исследования ".
7. При необходимости используйте сведения в наборе данных для инцидента на вкладке "Доказательства и ответ ".

Дополнительные сведения см. в разделе "Ответ на инциденты" с помощью XDR в Microsoft Defender.

Шаг 3. Продолжение исследования на портале Microsoft Sentinel (по мере необходимости)

Используйте эти действия в качестве общего метода для продолжения расследования инцидентов в Microsoft Sentinel с помощью страницы улучшенных инцидентов (предварительная версия).

1. На портале Microsoft Sentinel найдите инцидент в очереди инцидентов, выберите его, а затем просмотрите полные сведения в области сводки инцидентов.

2. На панели вкладки "Обзор":

   a. Просмотрите временная шкала инцидента.

   b. Прокрутите список сущностей.

   c. См. список связанных инцидентов.

   d. Просмотрите основные аналитические сведения об инциденте.

   д) Выполните дополнительное действие инцидента, например запуск сборника схем или создание правила автоматизации.

   f. Выберите "Исследовать", чтобы просмотреть граф инцидента.

3. На вкладке "Сущности" :

   a. Просмотр сведений и аналитических сведений о выбранной сущности.

   b. По мере необходимости и при наличии запустите сборник схем (предварительная версия).

4. Добавьте комментарии в инцидент, чтобы записать ваши действия и результаты анализа.

Дополнительные сведения см. в статье "Навигация и исследование инцидентов в Microsoft Sentinel".

Шаг 4. Устранение инцидента

Когда расследование достигло своего вывода и вы исправили инцидент на порталах, вы можете устранить инцидент на портале Microsoft Sentinel, задав состояние инцидента закрытым.

1. На портале Microsoft Sentinel с помощью улучшенной страницы инцидента (предварительная версия) найдите инцидент в очереди инцидентов и выберите его. В раскрывающемся списке "Состояние " для инцидента выберите "Закрыто", а затем выберите классификацию:

   • True Positive — подозрительное действие
   • Доброкачественные положительные — подозрительные, но ожидаемые
   • Ложное срабатывание — неправильная логика оповещений
   • Ложное срабатывание — неверные данные
   • Не определено

   Выбрав классификацию, данные для инцидента вводимы в модель машинного обучения, которая помогает Корпорации Майкрософт предоставлять рекомендации и сведения о корреляции.

2. Вам также будет предложено предоставить комментарий по инциденту. Вы можете добавить такие сведения, как:

   • Тип атаки со стандартным описанием или кодами или сокращенными значениями, используемыми в команде безопасности.
   • Имена людей, которые работали над инцидентом.
   • Ключевые сущности, затронутые атакой.
   • Заметки о задачах и стратегиях исправления.

   Вот пример.

   

3. Нажмите кнопку "Применить" , чтобы устранить инцидент. После закрытия инцидента в Microsoft Sentinel он синхронизирует состояние инцидента с XDR в Microsoft Defender и Microsoft Defender для облака.

4. По мере необходимости сообщите об инциденте в ответ на инцидент, чтобы получить возможные меры для определения дополнительных действий, таких как:

   • Сообщите аналитикам по безопасности уровня 1, чтобы лучше обнаружить атаку рано.
   • Создайте сборник схем оркестрации для автоматизации и оркестрации ответа на угрозы для аналогичного. Дополнительные сведения см. в разделе Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel.
   • Изучите атаку в Microsoft Defender XDR Threat Analytics и сообщество безопасности для тенденции атаки безопасности.
   • При необходимости запишите рабочий процесс, используемый для устранения инцидента и обновления стандартных рабочих процессов, процессов, политик и сборников схем.
   • Определите, необходимы ли изменения в конфигурации безопасности и реализуют их.

Рекомендуемое обучение

Ниже приведены рекомендуемые учебные модули для этого шага.

Управление инцидентами безопасности в Microsoft Sentinel

Обучение	Управление инцидентами безопасности в Microsoft Sentinel
	В этом модуле вы исследуете управление инцидентами, способы их устранения, а также сведения о событиях и сущностях в Microsoft Sentinel.

Начало >

Повышение надежности с помощью современных методик операций: реагирование на инциденты

Обучение	Обучение повышает надежность с помощью современных методик операций: реагирование на инциденты
	Изучите основы эффективного реагирования на инциденты и инструменты Azure, которые делают возможным такое реагирование.

Начало >

Общие сведения об управлении инцидентами безопасности в Microsoft 365

Обучение	Общие сведения об управлении инцидентами безопасности Microsoft 365
	Узнайте, как Microsoft 365 исследует вопросы безопасности, управляет ими и реагирует на них для защиты клиентов и облачной среды Microsoft 365.

Начало >

Следующие шаги

• Дополнительные сведения о процессах реагирования на инциденты в Microsoft Sentinel и Инциденте см. в статье "Навигация и исследование инцидентов" с помощью XDR в Microsoft Defender, чтобы получить дополнительные сведения о процессах реагирования на инциденты на порталах Microsoft Sentinel и Microsoft Defender.
• Общие сведения об ответе на инциденты см. в рекомендациях по обеспечению безопасности Майкрософт.
• См. сборники схем реагирования на инциденты для рабочих процессов и списков проверка, чтобы реагировать на распространенные кибератаки.

Ссылки

Используйте эти ресурсы, чтобы узнать о различных службах и технологиях, упоминание в этой статье:

• Интеграция XDR в Microsoft Defender с Microsoft Sentinel
• Интерактивное руководство по унифицированным возможностям SIEM и XDR
• Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel
• Автоматизация реагирования на угрозы с помощью сборников схем
• Автоматизация реагирования на угрозы в Microsoft Sentinel с помощью правил автоматизации
• Аналитика угроз XDR в Microsoft Defender

Используйте эти ресурсы для получения дополнительных сведений об реагировании на инциденты:

• Навигация и исследование инцидентов в Microsoft Sentinel
• Реагирование на инциденты с XDR в Microsoft Defender
• Обзор реагирования на инциденты
• Сборники схем реагирования на инциденты