Automatiserad undersökning och svar i Microsoft Defender XDR
Gäller för:
- Microsoft Defender XDR
Om din organisation använder Microsoft Defender XDR får säkerhetsåtgärdsteamet en avisering i Microsoft Defender portalen när en skadlig eller misstänkt aktivitet eller artefakt upptäcks. Med tanke på det till synes oändliga flödet av hot som kan komma in, står säkerhetsteam ofta inför utmaningen att ta itu med den stora mängden aviseringar. Lyckligtvis innehåller Microsoft Defender XDR funktioner för automatiserad undersökning och svar (AIR) som kan hjälpa ditt säkerhetsteam att hantera hot mer effektivt och effektivt.
Den här artikeln innehåller en översikt över AIR och innehåller länkar till nästa steg och ytterligare resurser.
Så här fungerar automatiserad undersökning och självåterställning
När säkerhetsaviseringar utlöses är det upp till ditt säkerhetsteam att undersöka dessa aviseringar och vidta åtgärder för att skydda din organisation. Det kan vara mycket tidskrävande att prioritera och undersöka aviseringar, särskilt när nya aviseringar fortsätter att komma in medan en undersökning pågår. Säkerhetsteam kan känna sig överväldigade av den stora mängden hot som de måste övervaka och skydda sig mot. Automatiserade undersöknings- och svarsfunktioner, med självåterställning, i Microsoft Defender XDR kan hjälpa.
Titta på följande video för att se hur självåterställning fungerar:
I Microsoft Defender XDR fungerar automatiserad undersökning och svar med självåterställningsfunktioner på dina enheter, e-post & innehåll och identiteter.
Tips
Den här artikeln beskriver hur automatiserad undersökning och svar fungerar. Information om hur du konfigurerar dessa funktioner finns i Konfigurera automatiserade undersöknings- och svarsfunktioner i Microsoft Defender XDR.
Din egen virtuella analytiker
Tänk dig att ha en virtuell analytiker i säkerhetsåtgärdsteamet på nivå 1 eller nivå 2. Den virtuella analytikern efterliknar de ideala steg som säkerhetsåtgärder skulle vidta för att undersöka och åtgärda hot. Den virtuella analytikern kan arbeta dygnet över, med obegränsad kapacitet, och ta på sig en betydande belastning av undersökningar och hotreparation. En sådan virtuell analytiker kan avsevärt minska tiden för att svara, vilket frigör ditt säkerhetsåtgärdsteam för andra viktiga hot eller strategiska projekt. Om det här scenariot låter som science fiction är det inte det! En sådan virtuell analytiker är en del av din Microsoft Defender XDR svit och namnet är automatiserad undersökning och svar.
Med automatiserade undersöknings- och svarsfunktioner kan ditt säkerhetsteam dramatiskt öka organisationens kapacitet att hantera säkerhetsaviseringar och incidenter. Med automatiserad undersökning och svar kan du minska kostnaden för att hantera undersöknings- och svarsaktiviteter och få ut mesta möjliga av din hotskyddssvit. Automatiserade undersöknings- och svarsfunktioner hjälper ditt säkerhetsteam genom att:
- Avgöra om ett hot kräver åtgärd.
- Vidta (eller rekommendera) nödvändiga åtgärder.
- Avgöra om och vilka andra undersökningar som ska utföras.
- Upprepa processen efter behov för andra aviseringar.
Den automatiserade undersökningsprocessen
En avisering skapar en incident som kan starta en automatiserad undersökning. Den automatiserade undersökningen resulterar i en dom för varje bevis. Domar kan vara:
- Skadlig
- Misstänkta
- Inga hot hittades
Åtgärdsåtgärder för skadliga eller misstänkta entiteter identifieras. Exempel på åtgärder är:
- Skicka en fil i karantän
- Stoppa en process
- Isolera en enhet
- Blockera en URL
- Andra åtgärder
Mer information finns i Reparationsåtgärder i Microsoft Defender XDR.
Beroende på hur automatiserade undersöknings- och svarsfunktioner konfigureras för din organisation vidtas reparationsåtgärder automatiskt eller endast efter godkännande av ditt säkerhetsåtgärdsteam. Alla åtgärder, oavsett om de väntar eller slutförs, visas i Åtgärdscenter.
Medan en undersökning körs läggs alla andra relaterade aviseringar som uppstår till i undersökningen tills den är klar. Om en berörd entitet visas någon annanstans utökar den automatiserade undersökningen dess omfång till att omfatta den entiteten, och undersökningsprocessen upprepas.
I Microsoft Defender XDR korrelerar varje automatiserad undersökning signaler över Microsoft Defender for Identity, Microsoft Defender för Endpoint och Microsoft Defender för Office 365, som sammanfattas i följande tabell:
Enheter | Hotskyddstjänster |
---|---|
Enheter (kallas även slutpunkter eller datorer) | Defender för Endpoint |
Lokala Active Directory-användare, entitetsbeteende och aktiviteter | Defender för identitet |
Email innehåll (e-postmeddelanden som kan innehålla filer och URL:er) | Microsoft Defender för Office 365 |
Obs!
Inte alla aviseringar utlöser en automatiserad undersökning, och inte alla undersökningar resulterar i automatiserade reparationsåtgärder. Det beror på hur automatiserad undersökning och svar konfigureras för din organisation. Se Konfigurera funktioner för automatiserad undersökning och svar.
Visa en lista över undersökningar
Om du vill visa undersökningar går du till sidan Incidenter . Välj en incident och välj sedan fliken Undersökningar . Mer information finns i Information och resultat från en automatiserad undersökning.
Svarskort för automatiserad undersökning &
Det nya svarskortet för automatiserad undersökning & finns i Microsoft Defender-portalen (https://security.microsoft.com). Det här nya kortets synlighet för det totala antalet tillgängliga reparationsåtgärder. Kortet ger också en översikt över alla aviseringar och nödvändig godkännandetid för varje avisering.
Med hjälp av svarskortet Automatiserad undersökning & kan ditt säkerhetsteam snabbt navigera till åtgärdscentret genom att välja länken Godkänn i Åtgärdscenter och sedan vidta lämpliga åtgärder. Kortet gör att säkerhetsåtgärdsteamet kan hantera åtgärder som väntar på godkännande på ett effektivare sätt.
Nästa steg
- Se förutsättningarna för automatiserad undersökning och svar
- Konfigurera automatiserad undersökning och svar för din organisation
- Läs mer om Åtgärdscenter
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.