Incidenter och aviseringar i Microsoft Defender-portalen
I Microsoft Defender portalen samlas en enhetlig uppsättning säkerhetstjänster för att minska din exponering för säkerhetshot, förbättra organisationens säkerhetsstatus, identifiera säkerhetshot och undersöka och reagera på överträdelser. Dessa tjänster samlar in och genererar signaler som visas i portalen. De två huvudsakliga typerna av signaler är:
Aviseringar: Signaler som härrör från olika hotidentifieringsaktiviteter. Dessa signaler anger förekomsten av skadliga eller misstänkta händelser i din miljö.
Incidenter: Containrar som innehåller samlingar av relaterade aviseringar och berättar hela historien om en attack. Aviseringarna i en enskild incident kan komma från alla Microsofts säkerhets- och efterlevnadslösningar, samt från ett stort antal externa lösningar som samlas in via Microsoft Sentinel och Microsoft Defender för molnet.
Incidenter för korrelation och undersökning
Även om du kan undersöka och minimera de hot som enskilda aviseringar uppmärksammar dig på, är dessa hot i sig isolerade händelser som inte berättar något om en bredare, komplex attackhistoria. Du kan söka efter, undersöka, undersöka och korrelera grupper av aviseringar som hör ihop i en enda attackhistoria, men det kommer att kosta dig mycket tid, ansträngning och energi.
Korrelationsmotorerna och algoritmerna i Microsoft Defender portalen aggregerar och korrelerar i stället relaterade aviseringar automatiskt för att bilda incidenter som representerar dessa större attackberättelser. Defender identifierar flera signaler som hör till samma attackberättelse och använder AI för att kontinuerligt övervaka sina telemetrikällor och lägga till fler bevis för redan öppna incidenter. Incidenter innehåller alla aviseringar som anses vara relaterade till varandra och till den övergripande angreppsberättelsen och presenterar berättelsen i olika former:
- Tidslinjer för aviseringar och råhändelser som de baseras på
- En lista över de taktiker som användes
- Listor av alla berörda och berörda användare, enheter och andra resurser
- En visuell representation av hur alla spelare i berättelsen interagerar
- Loggar över automatiska undersöknings- och svarsprocesser som Defender XDR initierade och slutförda
- Samlingar av bevis som stöder angreppsberättelsen: dåliga aktörers användarkonton och enhetsinformation och -adresser, skadliga filer och processer, relevant hotinformation och så vidare
- En textsammanfattning av attackberättelsen
Incidenter ger dig också ett ramverk för att hantera och dokumentera dina undersökningar och hotsvar. Mer information om incidenters funktioner i det här avseendet finns i Hantera incidenter i Microsoft Defender.
Aviseringskällor och hotidentifiering
Aviseringar i Microsoft Defender-portalen kommer från många källor. Dessa källor omfattar de många tjänster som ingår i Microsoft Defender XDR, samt andra tjänster med varierande grad av integrering med Microsoft Defender-portalen.
När Microsoft Sentinel till exempel registreras i Microsoft Defender-portalen har korrelationsmotorn i Defender-portalen åtkomst till alla rådata som matas in av Microsoft Sentinel, som du hittar i Defender Avancerade jakttabeller.
Microsoft Defender XDR skapar också aviseringar. Defender XDR unika korrelationsfunktioner ger ett annat lager av dataanalys och hotidentifiering för alla icke-Microsoft-lösningar i din digitala egendom. Dessa identifieringar skapar Defender XDR aviseringar, förutom de aviseringar som redan tillhandahålls av Microsoft Sentinel analysregler.
Inom var och en av dessa källor finns det en eller flera hotidentifieringsmekanismer som skapar aviseringar baserat på de regler som definieras i varje mekanism.
Till exempel har Microsoft Sentinel minst fyra olika motorer som producerar olika typer av aviseringar, var och en med sina egna regler.
Verktyg och metoder för undersökning och svar
Microsoft Defender-portalen innehåller verktyg och metoder för att automatisera eller på annat sätt hjälpa till med prioritering, undersökning och lösning av incidenter. Dessa verktyg visas i följande tabell:
| Verktyg/metod | Beskrivning |
|---|---|
| Hantera och undersöka incidenter | Se till att du prioriterar dina incidenter efter allvarlighetsgrad och gå sedan igenom dem för att undersöka dem. Använd avancerad jakt för att söka efter hot och komma före nya hot med hotanalys. |
| Undersöka och lösa aviseringar automatiskt | Om aktiverad för att göra det kan Microsoft Defender XDR automatiskt undersöka och lösa aviseringar från Microsoft 365- och Entra-ID-källor via automatisering och artificiell intelligens. |
| Konfigurera automatiska åtgärder för attackstörningar | Använd högkonfidenssignaler som samlas in från Microsoft Defender XDR och Microsoft Sentinel för att automatiskt störa aktiva attacker i maskinhastighet, som innehåller hotet och begränsar påverkan. |
| Konfigurera Microsoft Sentinel automatiseringsregler | Använd automatiseringsregler för att automatisera sortering, tilldelning och hantering av incidenter, oavsett källa. Hjälp ditt teams effektivitet ännu mer genom att konfigurera dina regler för att tillämpa taggar på incidenter baserat på deras innehåll, förhindra störningar (falska positiva) incidenter och stänga lösta incidenter som uppfyller lämpliga kriterier, ange en orsak och lägga till kommentarer. |
| Proaktiv jakt med avancerad jakt | Använd Kusto-frågespråk (KQL) för att proaktivt inspektera händelser i nätverket genom att fråga loggarna som samlats in i Defender-portalen. Avancerad jakt stöder ett guidat läge för användare som letar efter bekvämligheten med en frågebyggare. |
| Utnyttja AI med Microsoft Copilot för säkerhet | Lägg till AI för att stödja analytiker med komplexa och tidskrävande dagliga arbetsflöden. Till exempel kan Microsoft Copilot för säkerhet hjälpa till med incidentundersökning och svar från slutpunkt till slutpunkt genom att tillhandahålla tydligt beskrivna angreppsberättelser, stegvisa åtgärdsinriktade reparationsvägledning och sammanfattade rapporter för incidentaktivitet, KQL-jakt på naturligt språk och expertkodanalys – optimera SOC-effektivitet mellan data från alla källor. Den här funktionen är utöver de andra AI-baserade funktioner som Microsoft Sentinel ger den enhetliga plattformen, inom områdena analys av användar- och entitetsbeteende, avvikelseidentifiering, hotidentifiering i flera steg med mera. |
Relaterade objekt
Mer information om aviseringskorrelation och incidentsammanslagningen i Defender-portalen finns i Aviseringar, incidenter och korrelation i Microsoft Defender XDR