Шаг 4. Реагирование на инцидент с помощью Microsoft Sentinel и XDR в Microsoft Defender

• Применяется к:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

В этой статье представлен общий набор шагов и процедур для устранения инцидента с помощью Microsoft Sentinel и XDR в Microsoft Defender, включая триаж, исследование и разрешение. Общий ресурс XDR в Microsoft Sentinel и Microsoft Defender:

• Обновления жизненного цикла (состояние, владелец, классификация) разделяются между продуктами.
• Доказательства, собранные во время расследования, показаны в инциденте Microsoft Sentinel.

На следующих иллюстрациях показано, как решение microsoft extended detection and response (XDR) легко интегрируется с Microsoft Sentinel, в зависимости от того, подключена ли рабочая область Microsoft Sentinel к единой платформе операций безопасности на портале Microsoft Defender.

Портал Defender

На следующем рисунке показано, как решение XDR Майкрософт легко интегрируется с Microsoft Sentinel с унифицированной платформой операций безопасности.

На этой схеме:

• Аналитические сведения о сигналах всей организации в microsoft Defender XDR и Microsoft Defender для облака.
• Microsoft Sentinel поддерживает многооблачные среды и интегрируется с сторонними приложениями и партнерами.
• Данные Microsoft Sentinel собираются вместе с данными вашей организации на портале Microsoft Defender.
• Затем команды SecOps могут анализировать и реагировать на угрозы, определенные Microsoft Sentinel и XDR в Microsoft Defender на портале Microsoft Defender.

Портал Azure

На следующем рисунке показано, как решение XDR Майкрософт легко интегрируется с Microsoft Sentinel.

На этой схеме:

• Аналитические сведения о сигналах всей организации в microsoft Defender XDR и Microsoft Defender для облака.
• XDR в Microsoft Defender и Microsoft Defender для облака отправлять данные журнала SIEM через соединители Microsoft Sentinel.
• Затем команды SecOps могут анализировать и реагировать на угрозы, выявленные на порталах Microsoft Sentinel и Microsoft Defender.
• Microsoft Sentinel поддерживает многооблачные среды и интегрируется с сторонними приложениями и партнерами.

Дополнительные сведения об интеграции Microsoft Defender с Microsoft Sentinel см. в статье об интеграции XDR Microsoft Defender с Microsoft Sentinel. В этом интерактивном руководстве описано, как обнаруживать и реагировать на современные атаки с помощью унифицированных сведений о безопасности и управления событиями (SIEM) Майкрософт, а также расширенных возможностей обнаружения и реагирования (XDR).

Процесс реагирования на инциденты

Процесс реагирования на инциденты для устранения инцидента с помощью Microsoft Sentinel и XDR в Microsoft Defender отличается в зависимости от того, подключена ли рабочая область к единой платформе операций безопасности и может получить доступ к Microsoft Sentinel на портале Defender.

Портал Defender

1. Используйте портал Defender для анализа потенциального инцидента, который включает в себя понимание подробностей инцидента и немедленное выполнение действий.

2. Продолжайте расследование на портале Defender, в том числе:

   • Общие сведения об инциденте и его области и просмотр временных шкал активов.
   • Просмотрите ожидающие действия самостоятельного восстановления, вручную исправляя сущности, выполняя динамический ответ.
   • Добавление мер предотвращения.

   Используйте область Microsoft Sentinel портала Defender, в том числе:

   • Понимание области инцидента путем сопоставления его с процессами безопасности, политиками и процедурами (3P).
   • Выполнение действий автоматического исследования и исправления 3P и создание пользовательских сборников схем оркестрации безопасности, автоматизации и реагирования (SOAR).
   • Запись доказательств для управления инцидентами.
   • Добавление пользовательских мер.

3. Устраните инцидент и выполните соответствующие действия в вашей команде безопасности.

Дополнительные сведения см. в разделе:

• Исследование инцидентов в XDR в Microsoft Defender
• Реагирование на инциденты с XDR в Microsoft Defender
• Страницы сущностей в Microsoft Sentinel

Портал Azure

1. Используйте Microsoft Sentinel в портал Azure, чтобы разобраться в потенциальном инциденте, который включает понимание подробностей инцидента и принятие немедленных действий.

2. Перейдите на портал Microsoft Defender, чтобы начать исследование. В том числе:

   • Общие сведения об инциденте и его области и просмотр временных шкал активов.
   • Просмотрите ожидающие действия самостоятельного восстановления, вручную исправляя сущности, выполняя динамический ответ.
   • Добавление мер предотвращения.

3. По необходимости продолжайте расследование на портале Microsoft Sentinel. В том числе:

   • Понимание области инцидента путем сопоставления его с процессами безопасности, политиками и процедурами (3P).
   • Выполнение действий автоматического исследования и исправления 3P и создание пользовательских сборников схем оркестрации безопасности, автоматизации и реагирования (SOAR).
   • Запись доказательств для управления инцидентами.
   • Добавление пользовательских мер.

4. Устраните инцидент на портале Microsoft Sentinel и выполните соответствующие действия в команде безопасности.

Дополнительные сведения см. в статье "Навигация и исследование инцидентов в Microsoft Sentinel".

Независимо от того, какой портал вы используете, обязательно воспользуйтесь функциями сборника схем Microsoft Sentinel и правил автоматизации:

• Сборник схем — это коллекция действий по расследованию и исправлению, которые можно запускать с портала Microsoft Sentinel в качестве подпрограммы. Сборники схем помогут автоматизировать и оркестрировать ответ на угрозы. Они могут выполняться вручную по запросу по инцидентам, сущностям и оповещениям, а также автоматически выполняться в ответ на определенные оповещения или инциденты при активации правила автоматизации. Дополнительные сведения см. в статье "Автоматизация реагирования на угрозы" с помощью сборников схем.

• Правила автоматизации — это способ централизованного управления автоматизацией в Microsoft Sentinel, позволяя определять и координировать небольшой набор правил, которые могут применяться в разных сценариях. Дополнительные сведения см. в статье Автоматизации реагирования на угрозы в Microsoft Sentinel с помощью правил автоматизации.

После подключения рабочей области Microsoft Sentinel к единой платформе операций безопасности обратите внимание, что в рабочей области существуют различия в том, как функции автоматизации в рабочей области. Дополнительные сведения см. в разделе автоматизации с помощью единой платформы операций безопасности.

Шаг 1. Обработка инцидента

Используйте эти действия в качестве общего метода для рассмотрения инцидента с Microsoft Sentinel и XDR в Microsoft Defender. Если вы подключены к рабочей области на унифицированную платформу операций безопасности, используйте портал Defender. В противном случае используйте портал Azure.

Портал Defender

Чтобы исследовать инциденты Microsoft Sentinel на портале Defender, выполните следующие действия.

1. На портале Defender выберите "Расследование и реагирование > на инциденты" и "Инциденты оповещения>" и найдите предполагаемый инцидент. Отфильтруйте источники службы и обнаружения в Microsoft Sentinel, чтобы сузить список инцидентов, поступающих из Microsoft Sentinel.

2. Выберите строку инцидента, чтобы просмотреть основные сведения в области сводки инцидентов.

3. Выберите "Управление инцидентом ", чтобы обновить такие сведения, как имя, серьезность, состояние, классификация или добавление комментариев. Выберите Сохранить, чтобы сохранить изменения.

4. Нажмите кнопку "Открыть страницу инцидента", чтобы продолжить расследование.

Портал Azure

Чтобы изучить инциденты в портал Azure, выполните следующие действия.

1. В Microsoft Sentinel в разделе "Управление угрозами" выберите "Инциденты" и найдите предполагаемый инцидент.

2. В области сводки инцидентов обновите такие сведения, как имя владельца, состояние, серьезность или добавление комментариев.

3. Выберите "Просмотреть полные сведения" , чтобы продолжить расследование.

Шаг 2. Исследование инцидента

Если рабочая область подключена к единой платформе операций безопасности, вы остаетесь на портале Defender для всего этого шага. В противном случае запустите портал Azure. Вы перейдете на портал Defender для некоторых расследований, а затем вернитесь к портал Azure.

Портал Defender

На портале Defender на вкладке "История атаки" на странице сведений об инциденте рассмотрите следующие действия для собственного рабочего процесса реагирования на инциденты:

1. Просмотрите историю атаки инцидента, чтобы понять ее область, серьезность, источник обнаружения и какие сущности затронуты.

2. Анализ оповещений инцидента для понимания их происхождения, области и серьезности с помощью истории оповещений в инциденте.

3. При необходимости соберите информацию о затронутых устройствах, пользователях и почтовых ящиках с помощью графа. Выберите любую сущность, чтобы открыть всплывающий элемент со всеми сведениями.

4. Узнайте, как XDR в Microsoft Defender автоматически разрешал некоторые оповещения с помощью вкладки "Исследования ".

5. При необходимости используйте сведения в наборе данных для инцидента на вкладке "Доказательства и ответ ".

6. На вкладке "Активы" просмотрите сущности, участвующие в инциденте. Выберите учетную запись пользователя, имя узла, IP-адрес или ресурс Azure, чтобы продолжить изучение на странице сведений об сущности. Например, если вы выбрали пользователя, в области сведений о пользователе выберите "Перейти на страницу пользователя", чтобы открыть страницу сведений о сущности пользователя.

7. На странице сведений об сущности выберите события Sentinel, чтобы просмотреть подробные сведения о временной шкале выбранной сущности и аналитике сущностей.

Портал Azure

1. На странице сведений об инциденте в портал Azure:

   • Просмотрите общие сведения об инциденте на вкладке "Обзор ", включая временную шкалу инцидента, список сущностей и связанные инциденты.

   • Выберите " Исследовать" , чтобы просмотреть граф инцидента.

   • Перейдите на вкладку "Сущности" , а затем выберите сущность для дальнейшего изучения. Выберите раздел "Аналитика" в области сущностей и просмотрите аналитические сведения, собранные об инциденте.

   • Выберите "Исследовать" в XDR в Microsoft Defender, чтобы открыть тот же инцидент на портале Defender.

2. На портале Defender на вкладке "История атаки" на странице сведений об инциденте рассмотрите следующие действия для собственного рабочего процесса реагирования на инциденты:

   1. Просмотрите историю атаки инцидента, чтобы понять ее область, серьезность, источник обнаружения и какие сущности затронуты.

   2. Анализ оповещений инцидента для понимания их происхождения, области и серьезности с помощью истории оповещений в инциденте.

   3. При необходимости соберите информацию о затронутых устройствах, пользователях и почтовых ящиках с помощью графа. Выберите любую сущность, чтобы открыть всплывающий элемент со всеми сведениями.

   4. Узнайте, как XDR в Microsoft Defender автоматически разрешал некоторые оповещения с помощью вкладки "Исследования ".

   5. При необходимости используйте сведения в наборе данных для инцидента на вкладке "Доказательства и ответ ".

3. Вернитесь к портал Azure для выполнения дополнительных действий инцидентов, таких как запуск сборника схем или создание правила автоматизации.

   Добавьте комментарии в инцидент, чтобы записать ваши действия и результаты анализа.

Шаг 3. Устранение инцидента

Когда расследование достигло своего вывода, и вы исправили инцидент на порталах, устраните инцидент, установив состояние инцидента в закрытом состоянии.

При маркировке состояния инцидента как закрытого, обязательно выберите классификацию, включая истинные, доброкачественные или ложные положительные параметры.

Например:

Портал Defender

Дополнительные сведения см . на портале Defender.

Портал Azure

Дополнительные сведения см. в разделе "Закрытие инцидента в портал Azure".

По мере необходимости сообщите об инциденте в ответ на инцидент, чтобы получить возможность выполнения дополнительных действий. Например:

• Сообщите аналитикам по безопасности уровня 1, чтобы лучше обнаружить атаку рано.
• Изучите атаку в Microsoft Defender XDR Threat Analytics и сообщество безопасности для тенденции атаки безопасности.
• При необходимости запишите рабочий процесс, используемый для устранения инцидента и обновления стандартных рабочих процессов, процессов, политик и сборников схем.
• Определите, необходимы ли изменения в конфигурации безопасности и реализуют их.
• Создайте сборник схем оркестрации для автоматизации и оркестрации реагирования на угрозы для аналогичного риска в будущем. Дополнительные сведения см. в разделе Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel.

Рекомендуемое обучение

Ниже приведены рекомендуемые учебные модули для этого шага. Учебный контент фокусируется на общих функциях доступности, поэтому не включает содержимое для единой платформы операций безопасности, которая находится в предварительной версии.

Управление инцидентами безопасности в Microsoft Sentinel

Обучение	Управление инцидентами безопасности в Microsoft Sentinel
	В этом модуле вы изучите управление инцидентами Microsoft Sentinel, узнайте о событиях и сущностях Microsoft Sentinel и узнайте, как устранить инциденты.

Начало >

Повышение надежности с помощью современных методик операций: реагирование на инциденты

Обучение	Обучение повышает надежность с помощью современных методик операций: реагирование на инциденты
	Изучите основы эффективного реагирования на инциденты и инструменты Azure, которые делают возможным такое реагирование.

Начало >

Общие сведения об управлении инцидентами безопасности в Microsoft 365

Обучение	Общие сведения об управлении инцидентами безопасности Microsoft 365
	Узнайте, как Microsoft 365 исследует вопросы безопасности, управляет ими и реагирует на них для защиты клиентов и облачной среды Microsoft 365.

Начало >

Следующие шаги

• Дополнительные сведения о процессах реагирования на инциденты в Microsoft Sentinel и Инциденте см. в статье "Навигация и исследование инцидентов" с помощью XDR в Microsoft Defender, чтобы получить дополнительные сведения о процессах реагирования на инциденты на порталах Microsoft Sentinel и Microsoft Defender.
• Общие сведения об ответе на инциденты см. в рекомендациях по обеспечению безопасности Майкрософт.
• См . сборники схем реагирования на инциденты для рабочих процессов и контрольных списков для реагирования на распространенные кибератаки.

Ссылки

Используйте эти ресурсы, чтобы узнать о различных службах и технологиях, упомянутых в этой статье:

• Интеграция XDR в Microsoft Defender с Microsoft Sentinel
• Интерактивное руководство по унифицированным возможностям SIEM и XDR
• Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel
• Автоматизация реагирования на угрозы с помощью сборников схем
• Автоматизация реагирования на угрозы в Microsoft Sentinel с помощью правил автоматизации
• Аналитика угроз XDR в Microsoft Defender

Используйте эти ресурсы для получения дополнительных сведений об реагировании на инциденты:

• Навигация и исследование инцидентов в Microsoft Sentinel
• Реагирование на инциденты с XDR в Microsoft Defender
• Обзор реагирования на инциденты
• Сборники схем реагирования на инциденты