Share via


Undersöka och svara med Microsoft Defender XDR

Här är de primära undersöknings- och svarsuppgifterna för Microsoft Defender XDR:

Incidentsvar

Microsoft 365-tjänster och -appar skapar aviseringar när de identifierar en misstänkt eller skadlig händelse eller aktivitet. Enskilda aviseringar ger värdefulla ledtrådar om en slutförd eller pågående attack. Attacker använder dock vanligtvis olika tekniker mot olika typer av entiteter, till exempel enheter, användare och postlådor. Resultatet är flera aviseringar för flera entiteter i din klientorganisation. Eftersom det kan vara svårt och tidskrävande att sammanställa enskilda aviseringar för att få insikt i en attack, Microsoft Defender XDR automatiskt aggregera aviseringarna och deras associerade information i en incident.

Du måste kontinuerligt identifiera incidenter med högst prioritet för analys och lösning i incidentkön och förbereda dem för svar. Det här är en kombination av:

  • Prioritera att fastställa incidenter med högst prioritet genom filtrering och sortering av incidentkön. Detta kallas även triaging.
  • Hantera incidenter genom att ändra deras titel, tilldela dem till en analytiker, lägga till taggar och kommentarer och när de är lösta, klassificera dem.

För varje incident använder du arbetsflödet för incidenthantering för att analysera incidenten och dess aviseringar och data för att begränsa attacken, utrota hotet, återställa från attacken och lära dig av den. Se det här exemplet för Microsoft Defender XDR.

Automatiska undersökningar och åtgärd

Om din organisation använder Microsoft Defender XDR får säkerhetsåtgärdsteamet en avisering i Microsoft Defender-portalen när en skadlig eller misstänkt aktivitet eller artefakt upptäcks. Med tanke på det oändliga flödet av hot som kan komma in, står säkerhetsteam ofta inför utmaningen att ta itu med den stora mängden aviseringar. Lyckligtvis innehåller Microsoft Defender XDR funktioner för automatiserad undersökning och svar (AIR) som kan hjälpa ditt säkerhetsteam att hantera hot mer effektivt och effektivt.

När en automatiserad undersökning slutförs nås en dom för varje bevis på en incident. Beroende på domen identifieras reparationsåtgärder. I vissa fall vidtas åtgärder automatiskt. i andra fall väntar reparationsåtgärder på godkännande via Microsoft Defender XDR Åtgärdscenter.

Mer information finns i Automatiserad undersökning och svar i Microsoft Defender XDR.

Proaktiv sökning efter hot med avancerad jakt

Det räcker inte att svara på attacker när de inträffar. För utökade attacker i flera faser, till exempel utpressningstrojaner, måste du proaktivt söka efter bevis för en pågående attack och vidta åtgärder för att stoppa den innan den slutförs.

Avancerad jakt är ett frågebaserat verktyg för hotjakt i Microsoft Defender XDR där du kan utforska upp till 30 dagars rådata. Du kan proaktivt granska händelser i nätverket för att hitta hotindikatorer och entiteter. Den här flexibla åtkomsten till Microsoft Defender XDR data möjliggör obegränsad jakt på både kända och potentiella hot.

Du kan använda samma hotjaktfrågor för att skapa anpassade identifieringsregler. Dessa regler körs automatiskt för att söka efter och sedan svara på misstänkt överträdelseaktivitet, felkonfigurerade datorer och andra resultat.

Mer information finns i Proaktiv jakt efter hot med avancerad jakt i Microsoft Defender XDR.

Gå före nya hot med hotanalys

Hotanalys är en hotinformationsfunktion i Microsoft Defender XDR som utformats för att hjälpa ditt säkerhetsteam att vara så effektivt som möjligt samtidigt som de står inför nya hot. Den innehåller detaljerad analys och information om:

  • Aktiva hotaktörer och deras kampanjer
  • Populära och nya attacktekniker
  • Kritiska sårbarheter
  • Vanliga attackytor
  • Vanlig skadlig kod

Hotanalys innehåller även information om relaterade incidenter och påverkade tillgångar i din Microsoft 365-klientorganisation för varje identifierat hot.

Varje identifierat hot innehåller en analytikerrapport, en omfattande analys av hotet som skrivits av Microsofts säkerhetsforskare och som ligger i framkant när det gäller identifiering och analys av cybersäkerhet. Dessa rapporter kan också ge information om hur attackerna visas i Microsoft Defender XDR.

Mer information finns i Hotanalys i Microsoft Defender XDR.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.