Automatiserad undersökning och svar i Microsoft Defender XDR
Artikel
Gäller för:
Microsoft Defender XDR
Om din organisation använder Microsoft Defender XDR får säkerhetsåtgärdsteamet en avisering i Microsoft Defender portalen när en skadlig eller misstänkt aktivitet eller artefakt upptäcks. Med tanke på det till synes oändliga flödet av hot som kan komma in, står säkerhetsteam ofta inför utmaningen att ta itu med den stora mängden aviseringar. Lyckligtvis innehåller Microsoft Defender XDR funktioner för automatiserad undersökning och svar (AIR) som kan hjälpa ditt säkerhetsteam att hantera hot mer effektivt och effektivt.
Den här artikeln innehåller en översikt över AIR och innehåller länkar till nästa steg och ytterligare resurser.
Så här fungerar automatiserad undersökning och självåterställning
När säkerhetsaviseringar utlöses är det upp till ditt säkerhetsteam att undersöka dessa aviseringar och vidta åtgärder för att skydda din organisation. Det kan vara mycket tidskrävande att prioritera och undersöka aviseringar, särskilt när nya aviseringar fortsätter att komma in medan en undersökning pågår. Säkerhetsteam kan känna sig överväldigade av den stora mängden hot som de måste övervaka och skydda sig mot. Automatiserade undersöknings- och svarsfunktioner, med självåterställning, i Microsoft Defender XDR kan hjälpa.
Titta på följande video för att se hur självåterställning fungerar:
I Microsoft Defender XDR fungerar automatiserad undersökning och svar med självåterställningsfunktioner på dina enheter, e-post & innehåll och identiteter.
Tänk dig att ha en virtuell analytiker i säkerhetsåtgärdsteamet på nivå 1 eller nivå 2. Den virtuella analytikern efterliknar de ideala steg som säkerhetsåtgärder skulle vidta för att undersöka och åtgärda hot. Den virtuella analytikern kan arbeta dygnet över, med obegränsad kapacitet, och ta på sig en betydande belastning av undersökningar och hotreparation. En sådan virtuell analytiker kan avsevärt minska tiden för att svara, vilket frigör ditt säkerhetsåtgärdsteam för andra viktiga hot eller strategiska projekt. Om det här scenariot låter som science fiction är det inte det! En sådan virtuell analytiker är en del av din Microsoft Defender XDR svit och namnet är automatiserad undersökning och svar.
Med automatiserade undersöknings- och svarsfunktioner kan ditt säkerhetsteam dramatiskt öka organisationens kapacitet att hantera säkerhetsaviseringar och incidenter. Med automatiserad undersökning och svar kan du minska kostnaden för att hantera undersöknings- och svarsaktiviteter och få ut mesta möjliga av din hotskyddssvit. Automatiserade undersöknings- och svarsfunktioner hjälper ditt säkerhetsteam genom att:
Avgöra om ett hot kräver åtgärd.
Vidta (eller rekommendera) nödvändiga åtgärder.
Avgöra om och vilka andra undersökningar som ska utföras.
Upprepa processen efter behov för andra aviseringar.
Den automatiserade undersökningsprocessen
En avisering skapar en incident som kan starta en automatiserad undersökning. Den automatiserade undersökningen resulterar i en dom för varje bevis. Domar kan vara:
Skadlig
Misstänkta
Inga hot hittades
Åtgärdsåtgärder för skadliga eller misstänkta entiteter identifieras. Exempel på åtgärder är:
Medan en undersökning körs läggs alla andra relaterade aviseringar som uppstår till i undersökningen tills den är klar. Om en berörd entitet visas någon annanstans utökar den automatiserade undersökningen dess omfång till att omfatta den entiteten, och undersökningsprocessen upprepas.
I Microsoft Defender XDR korrelerar varje automatiserad undersökning signaler över Microsoft Defender for Identity, Microsoft Defender för Endpoint och Microsoft Defender för Office 365, som sammanfattas i följande tabell:
Inte alla aviseringar utlöser en automatiserad undersökning, och inte alla undersökningar resulterar i automatiserade reparationsåtgärder. Det beror på hur automatiserad undersökning och svar konfigureras för din organisation. Se Konfigurera funktioner för automatiserad undersökning och svar.
Det nya svarskortet för automatiserad undersökning & finns i Microsoft Defender-portalen (https://security.microsoft.com). Det här nya kortets synlighet för det totala antalet tillgängliga reparationsåtgärder. Kortet ger också en översikt över alla aviseringar och nödvändig godkännandetid för varje avisering.
Med hjälp av svarskortet Automatiserad undersökning & kan ditt säkerhetsteam snabbt navigera till åtgärdscentret genom att välja länken Godkänn i Åtgärdscenter och sedan vidta lämpliga åtgärder. Kortet gör att säkerhetsåtgärdsteamet kan hantera åtgärder som väntar på godkännande på ett effektivare sätt.
För att få den här Microsoft Applied Skills-autentiseringsuppgiften visar eleverna möjligheten att använda Microsoft Defender XDR för att identifiera och svara på cyberhot. Kandidater för den här autentiseringsuppgiften bör känna till att undersöka och samla in bevis om attacker på slutpunkter. De bör också ha erfarenhet av att använda Microsoft Defender för Endpoint och Kusto-frågespråk (KQL).