Spelböcker för aviseringsklassificering

Gäller för:

• Microsoft Defender XDR

Med spelböcker för aviseringsklassificering kan du metodiskt granska och snabbt klassificera aviseringarna för välkända attacker och vidta rekommenderade åtgärder för att åtgärda attacken och skydda nätverket. Aviseringsklassificering hjälper också till att korrekt klassificera den övergripande incidenten.

Som säkerhetsforskare eller SOC-analytiker (Security Operations Center) måste du ha åtkomst till Microsoft Defender-portalen så att du kan:

• Utvärdera och granska genererade aviseringar och associerade incidenter. Se undersöka aviseringar.
• Search klientorganisationens säkerhetssignaldata och sök efter potentiella hot och misstänkta aktiviteter. Se avancerad jakt.

Obs!

Du kan ge feedback till Microsoft om sanna positiva och falska positiva aviseringar, inte bara i slutet av undersökningen utan även under undersökningsprocessen. Detta kan hjälpa Microsoft med framtida analys och klassificering av säkerhetshändelser.

Microsoft Defender för Office 365

Microsoft Defender för Office 365 skyddar din organisation mot skadliga hot från e-postmeddelanden, länkar (URL:er) och samarbetsverktyg. Defender för Office 365 innehåller:

• Principer för skydd mot hot

  Definiera principer för skydd mot hot för att ange lämplig skyddsnivå för din organisation.

• Rapporter

  Visa realtidsrapporter för att övervaka Defender för Office 365 prestanda i din organisation.

• Funktioner för hotundersökning och svar

  Använd ledande verktyg för att undersöka, förstå, simulera och förhindra hot.

• Automatiserade undersöknings- och svarsfunktioner

  Spara tid och arbete med att undersöka och minimera hot.

Defender för Office 365 aviseringar kan klassificeras som:

• Sann positiv (TP) för bekräftad skadlig aktivitet.
• Falsk positiv (FP) för bekräftad icke-skadlig aktivitet.

Obs!

Microsoft Defender portalen https://security.microsoft.com sammanför funktioner från befintliga Microsoft-säkerhetsportaler. I Microsoft Defender-portalen betonas snabb åtkomst till information, enklare layouter och att sammanföra relaterad information för enklare användning.

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps är en CLOUD Access Security Broker (CASB) som stöder olika distributionslägen, inklusive logginsamling, API-anslutningsappar och omvänd proxy. Det ger omfattande synlighet, kontroll över dataresor och avancerad analys för att identifiera och bekämpa cyberhot i alla dina Molntjänster från Microsoft och tredje part.

Defender för Cloud Apps integreras internt med ledande Microsoft-lösningar och är utformat med säkerhetsexperter i åtanke. Det ger enkel distribution, centraliserad hantering och innovativa automatiseringsfunktioner.

Defender for Cloud Apps-ramverket innehåller möjligheten att skydda ditt nätverk mot cyberhot och avvikelser, identifierar ovanligt beteende i molnappar för att identifiera utpressningstrojaner, komprometterade användare eller oseriösa program. Det möjliggör analys av högriskanvändning och kan åtgärdas automatiskt för att begränsa risken för din organisation.

Defender för Cloud Apps-aviseringar kan klassificeras som:

• TP för bekräftad skadlig aktivitet.
• Godartad sann positiv (B-TP) för misstänkt men inte skadlig aktivitet, till exempel ett intrångstest eller andra auktoriserade misstänkta åtgärder.
• FP för bekräftad icke-skadlig aktivitet.

Spelböcker för aviseringsklassificering

Se dessa spelböcker för steg för att snabbare klassificera aviseringar för följande hot:

• Misstänkt vidarebefordran av e-post
• Regler för suspekta manipuleringar av inkorgen
• Regler för suspekt vidarebefordring i inkorgen
• Misstänkta IP-adresser relaterade till lösenordssprayaktivitet
• Spray-attacker med lösenord

Se Undersök aviseringar för information om hur du undersöker aviseringar med Microsoft Defender-portalen.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.