Dela via


Åtgärda din första incident i Microsoft Defender XDR

Gäller för:

  • Microsoft Defender XDR

Microsoft Defender XDR tillhandahåller identifierings- och analysfunktioner för att säkerställa inneslutning och utrotning av hot. Inneslutning innehåller steg för att minska effekten av attacken medan utrotning säkerställer att alla spår av angriparens aktivitet tas bort från nätverket.

Reparation i Microsoft Defender XDR kan automatiseras eller genom manuella åtgärder som vidtas av incidentpersonal. Reparationsåtgärder kan vidtas på enheter, filer och identiteter.

Automatisk reparation

Microsoft Defender XDR utnyttjar sin hotinformation och signalerna i nätverket för att bekämpa de mest störande attackerna. Utpressningstrojaner, kompromettering av företags-E-post (BEC) och nätfiske mot angripare i mitten (AiTM) är några av de mest komplexa attackerna som kan begränsas omedelbart genom funktionen för automatiska angreppsstörningar . När en attack har avbrutits kan incidentpersonal ta över och helt undersöka en attack och tillämpa den nödvändiga reparationen.

Lär dig hur automatiska angreppsstörningar hjälper till vid incidenthantering:

Under tiden kan Microsoft Defender XDR:s automatiserade undersöknings- och svarsfunktioner automatiskt undersöka och tillämpa reparationsåtgärder på skadliga och misstänkta objekt. Dessa funktioner skalar undersökning och lösning på hot, vilket frigör incidenthantering för att fokusera sina ansträngningar på attacker med hög påverkan.

Du kan konfigurera och hantera automatiserade undersöknings- och svarsfunktioner. Du kan också visa alla tidigare och väntande åtgärder via Åtgärdscenter.

Obs!

Du kan ångra automatiska åtgärder efter granskning.

För att påskynda några av dina undersökningsuppgifter kan du sortera aviseringar med Power Automate. Dessutom kan automatiserad reparation skapas med hjälp av automatisering och spelböcker. Microsoft har spelboksmallar på GitHub för följande scenarier:

  • Ta bort känslig fildelning när du har begärt användarverifiering
  • Auto-triage infrequent country alerts
  • Begäran om hanteringsåtgärd innan du inaktiverar ett konto
  • Inaktivera skadliga inkorgsregler

Spelböcker använder Power Automate för att skapa anpassade automatiseringsflöden för robotprocesser för att automatisera vissa aktiviteter när specifika kriterier har utlösts. Organisationer kan skapa spelböcker antingen från befintliga mallar eller från grunden. Spelböcker kan också skapas under granskning efter incident för att skapa reparationsåtgärder från lösta incidenter.

Lär dig hur Power Automate kan hjälpa dig att automatisera din incidenthantering via den här videon:

Manuell reparation

När säkerhetsteamen svarar på en attack kan de använda portalens manuella reparationsåtgärder för att förhindra att attacker orsakar ytterligare skador. Vissa åtgärder kan omedelbart stoppa ett hot, medan andra hjälper till med ytterligare kriminalteknisk analys. Du kan tillämpa dessa åtgärder på alla entiteter beroende på de Defender-arbetsbelastningar som distribueras i din organisation.

Åtgärder på enheter

  • Isolera enheten – isolerar en påverkad enhet genom att koppla bort enheten från nätverket. Enheten förblir ansluten till Defender för Endpoint-tjänsten för fortsatt övervakning.

  • Begränsa appkörning – begränsar ett program genom att tillämpa en kodintegritetsprincip som endast tillåter att filer körs om de signeras av ett Microsoft-utfärdat certifikat.

  • Kör antivirusgenomsökning – initierar en Defender Antivirus-genomsökning via fjärranslutning efter en enhet. Genomsökningen kan köras tillsammans med andra antiviruslösningar, oavsett om Defender Antivirus är den aktiva antiviruslösningen eller inte.

  • Samla in undersökningspaket – du kan samla in ett undersökningspaket från en enhet som en del av undersöknings- eller svarsprocessen. Genom att samla in undersökningspaketet kan du identifiera enhetens aktuella tillstånd och ytterligare förstå de verktyg och tekniker som används av angriparen.

  • Initiera automatiserad undersökning – startar en ny automatiserad undersökning för generell användning på enheten. Medan en undersökning körs läggs alla andra aviseringar som genereras från enheten till i en pågående automatiserad undersökning tills undersökningen har slutförts. Om samma hot visas på andra enheter läggs dessutom dessa enheter till i undersökningen.

  • Initiera livesvar – ger dig omedelbar åtkomst till en enhet med hjälp av en fjärrgränssnittsanslutning så att du kan utföra djupgående utredningsarbete och vidta omedelbara åtgärder för att snabbt begränsa identifierade hot i realtid. Livesvar är utformat för att förbättra undersökningar genom att göra det möjligt för dig att samla in kriminaltekniska data, köra skript, skicka misstänkta entiteter för analys, åtgärda hot och proaktivt jaga nya hot.

  • Fråga Defender-experter – du kan kontakta en Microsoft Defender-expert för mer information om potentiellt komprometterade eller redan komprometterade enheter. Microsoft Defender-experter kan engageras direkt från portalen för ett snabbt och korrekt svar. Den här åtgärden är tillgänglig för både enheter och filer.

Andra åtgärder på enheter är tillgängliga via följande självstudie:

Obs!

Du kan vidta åtgärder på enheter direkt från grafen i attackberättelsen.

Åtgärder för filer

  • Stoppa och placera filen i karantän – innehåller stopp av processer som körs, kvartröjande filer och borttagning av beständiga data som registernycklar.
  • Lägg till indikatorer för att blockera eller tillåta fil – förhindrar att en attack sprids vidare genom att potentiellt skadliga filer eller misstänkt skadlig kod förbjuds. Den här åtgärden förhindrar att filen läses, skrivs eller körs på enheter i din organisation.
  • Ladda ned eller samla in fil – tillåter analytiker att ladda ned en fil i ett lösenordsskyddat .zip arkivfil för ytterligare analys av organisationen.
  • Djupanalys – kör en fil i en säker, fullständigt instrumenterad molnmiljö. Djupgående analysresultat visar filens aktiviteter, observerade beteenden och associerade artefakter, till exempel borttagna filer, registerändringar och kommunikation med IP-adresser.

Åtgärda andra attacker

Obs!

De här självstudierna gäller när andra Defender-arbetsbelastningar är aktiverade i din miljö.

I följande självstudier räknas steg och åtgärder som du kan tillämpa när du undersöker entiteter eller svarar på specifika hot:

Nästa steg

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.