Incidenthantering med Microsoft 365 Defender

Anteckning

Vill du uppleva Microsoft 365 Defender? Läs mer om hur du kan utvärdera och pilottesta Microsoft 365 Defender.

Gäller för:

  • Microsoft 365 Defender

En incident i Microsoft 365 Defender är en samling korrelerade aviseringar och associerade data som utgör berättelsen om en attack.

Microsoft 365-tjänster och -appar skapar aviseringar när de identifierar en misstänkt eller skadlig händelse eller aktivitet. Enskilda aviseringar ger värdefulla ledtrådar om en slutförd eller pågående attack. Attacker använder dock vanligtvis olika tekniker mot olika typer av entiteter, till exempel enheter, användare och postlådor. Resultatet är flera aviseringar för flera entiteter i din klientorganisation.

Eftersom det kan vara svårt och tidskrävande att sammanställa enskilda aviseringar för att få insikt i en attack, Microsoft 365 Defender automatiskt aggregera aviseringarna och deras associerade information i en incident.

Hur Microsoft 365 Defender korrelerar händelser från entiteter till en incident.

Titta på den här korta översikten över incidenter i Microsoft 365 Defender (4 minuter).


Genom att gruppera relaterade aviseringar i en incident får du en omfattande vy över en attack. Du kan till exempel:

  • Där attacken började.
  • Vilken taktik användes.
  • Hur långt attacken har gått till din klientorganisation.
  • Attackens omfattning, till exempel hur många enheter, användare och postlådor som påverkades.
  • Alla data som är associerade med attacken.

Om aktiverad kan Microsoft 365 Defender automatiskt undersöka och lösa aviseringar via automatisering och artificiell intelligens. Du kan också utföra ytterligare reparationssteg för att lösa attacken.

Incidenter och aviseringar i Microsoft 365 Defender-portalen

Du hanterar incidenter från incidenter & aviseringar > incidenter vid snabbstart av Microsoft 365 Defender-portalen. Här är ett exempel.

Sidan Incidenter i Microsoft 365 Defender-portalen.

Om du väljer ett incidentnamn visas en sammanfattning av incidenten och ger åtkomst till flikar med ytterligare information. Här är ett exempel.

Sidan Sammanfattning för en incident i Microsoft 365 Defender-portalen

De ytterligare flikarna för en incident är:

  • Varningar

    Alla aviseringar som är relaterade till incidenten och deras information.

  • Enheter

    Alla enheter som har identifierats vara en del av eller relaterade till incidenten.

  • Användare

    Alla användare som har identifierats vara en del av eller relaterade till incidenten.

  • Postlådor

    Alla postlådor som har identifierats vara en del av eller relaterade till incidenten.

  • Utredningar

    Alla automatiserade undersökningar som utlöses av aviseringar i incidenten.

  • Bevis och svar

    Alla händelser som stöds och misstänkta entiteter i aviseringarna för incidenten.

  • Diagram (förhandsversion)

    En visuell representation av attacken som ansluter de olika misstänkta entiteterna som ingår i attacken till deras relaterade tillgångar, till exempel användare, enheter och postlådor.

Här är relationen mellan en incident och dess data och flikarna för en incident i Microsoft 365 Defender-portalen.

Relationen mellan en incident och dess data till flikarna för en incident i Microsoft 365 Defender-portalen.

Anteckning

Om du ser aviseringsstatusen Aviseringstyp som inte stöds innebär det att funktioner för automatiserad undersökning inte kan hämta aviseringen för att köra en automatiserad undersökning. Du kan dock undersöka dessa aviseringar manuellt.

Exempel på arbetsflöde för incidenthantering för Microsoft 365 Defender

Här är ett exempelarbetsflöde för att hantera incidenter i Microsoft 365 med Microsoft 365 Defender-portalen.

Ett exempel på ett arbetsflöde för incidenthantering för Microsoft 365 Defender-portalen.

Identifiera kontinuerligt de incidenter med högst prioritet för analys och lösning i incidentkön och förbered dem för svar. Det här är en kombination av:

  • Sortering för att fastställa incidenter med högst prioritet genom filtrering och sortering av incidentkön.
  • Hantera incidenter genom att ändra deras titel, tilldela dem till en analytiker och lägga till taggar och kommentarer.

Överväg de här stegen för ditt eget arbetsflöde för incidenthantering:

  1. Påbörja en attack- och aviseringsundersökning och analys för varje incident:

    1. Visa sammanfattningen av incidenten för att förstå dess omfattning och allvarlighetsgrad och vilka entiteter som påverkas med flikarna Sammanfattning och Diagram (förhandsversion).

    2. Börja analysera aviseringarna för att förstå ursprung, omfattning och allvarlighetsgrad med fliken Aviseringar .

    3. Vid behov samlar du in information om berörda enheter, användare och postlådor med flikarna Enheter, Användare och Postlådor .

    4. Se hur Microsoft 365 Defender automatiskt har löst vissa aviseringar med fliken Undersökningar.

    5. Använd vid behov information i datauppsättningen för incidenten för mer information på fliken Bevis och svar .

  2. Efter eller under analysen utför du inneslutning för att minska eventuella ytterligare effekter av angrepp och utrotning av säkerhetshotet.

  3. Så mycket som möjligt kan du återställa från attacken genom att återställa klientresurserna till det tillstånd som de befann sig i före incidenten.

  4. Lös incidenten och ta tid för inlärning efter incident för att:

    • Förstå typen av attack och dess inverkan.
    • Utforska attacken i Threat Analytics och säkerhetscommunityn för en trend för säkerhetsattacker.
    • Kom ihåg arbetsflödet som du använde för att lösa incidenten och uppdatera dina standardarbetsflöden, processer, principer och spelböcker efter behov.
    • Fastställ om ändringar i säkerhetskonfigurationen behövs och implementera dem.

Om du inte har använt säkerhetsanalys tidigare kan du läsa introduktionen till att svara på din första incident för ytterligare information och gå igenom en exempelincident.

Mer information om incidenthantering i Microsoft-produkter finns i den här artikeln.

Exempel på säkerhetsåtgärder för Microsoft 365 Defender

Här är ett exempel på säkerhetsåtgärder (SecOps) för Microsoft 365 Defender.

Ett exempel på säkerhetsåtgärder för Microsoft 365 Defender

Dagliga uppgifter kan omfatta:

Månadsaktiviteter kan omfatta:

Kvartalsuppgifter kan innehålla en rapport och information om säkerhetsresultat till CISO (Chief Information Security Officer).

Årliga uppgifter kan omfatta att utföra en större incident- eller överträdelseövning för att testa din personal, dina system och processer.

Dagliga, månatliga, kvartalsvisa och årliga uppgifter kan användas för att uppdatera eller förfina processer, principer och säkerhetskonfigurationer.

Mer information finns i Integrera Microsoft 365 Defender i dina säkerhetsåtgärder.

SecOps-resurser i Microsoft-produkter

Mer information om SecOps i Microsofts produkter finns i följande resurser:

Få incidentaviseringar via e-post

Du kan konfigurera Microsoft 365 Defender för att meddela personalen med ett e-postmeddelande om nya incidenter eller uppdateringar av befintliga incidenter. Du kan välja att få meddelanden baserat på:

  • Allvarlighetsgrad för aviseringar
  • Aviseringskällor
  • Enhetsgrupp

Välj att endast ta emot e-postaviseringar för en specifik tjänstkälla: Du kan enkelt välja specifika tjänstkällor som du vill få e-postaviseringar för.

Få mer kornighet med specifika identifieringskällor: Du kan bara få meddelanden för en specifik identifieringskälla.

Ange allvarlighetsgrad per identifiering eller tjänstkälla: Du kan välja att endast få e-postaviseringar med specifika allvarlighetsgrad per källa. Du kan till exempel få aviseringar om Medel och Hög för EDR och alla allvarlighetsgrad för Microsoft Defender-experter.

E-postmeddelandet innehåller viktig information om incidenten, till exempel incidentnamn, allvarlighetsgrad och kategorier. Du kan också gå direkt till incidenten och starta analysen direkt. Mer information finns i Undersöka incidenter.

Du kan lägga till eller ta bort mottagare i e-postaviseringar. Nya mottagare meddelas om incidenter när de har lagts till.

Anteckning

Du behöver behörigheten Hantera säkerhetsinställningar för att konfigurera e-postaviseringsinställningar. Om du har valt att använda grundläggande behörighetshantering kan användare med rollen Säkerhetsadministratör eller Global administratör konfigurera e-postaviseringar.

På samma sätt, om din organisation använder rollbaserad åtkomstkontroll (RBAC), kan du bara skapa, redigera, ta bort och ta emot meddelanden baserat på enhetsgrupper som du har behörighet att hantera.

Skapa en regel för e-postaviseringar

Följ de här stegen för att skapa en ny regel och anpassa inställningar för e-postaviseringar.

  1. Gå till Microsoft 365 Defender i navigeringsfönstret och välj Inställningar > Microsoft 365 Defender > e-postaviseringar för incidenter.

  2. Välj Lägg till objekt.

  3. På sidan Grundläggande skriver du regelnamnet och en beskrivning och väljer sedan Nästa.

  4. På sidan Meddelandeinställningar konfigurerar du:

    • Allvarlighetsgrad för avisering – Välj de allvarlighetsgrad för aviseringar som utlöser ett incidentmeddelande. Om du till exempel bara vill få information om incidenter med hög allvarlighetsgrad väljer du Hög.
    • Omfång för enhetsgrupp – Du kan ange alla enhetsgrupper eller välja från listan över enhetsgrupper i din klientorganisation.
    • Skicka bara ett meddelande per incident – Välj om du vill ha ett meddelande per incident.
    • Inkludera organisationsnamn i e-postmeddelandet – Välj om du vill att organisationens namn ska visas i e-postmeddelandet.
    • Inkludera klientspecifik portallänk – Välj om du vill lägga till en länk med klientorganisations-ID:t i e-postmeddelandet för åtkomst till en specifik Microsoft 365-klientorganisation.

    Skärmbild av sidan Meddelandeinställningar för e-postaviseringar för incidenter i Microsoft 365 Defender-portalen.

  5. Välj Nästa. På sidan Mottagare lägger du till de e-postadresser som ska ta emot incidentaviseringar. Välj Lägg till när du har skrivit varje ny e-postadress. Om du vill testa meddelanden och se till att mottagarna tar emot dem i inkorgarna väljer du Skicka testmeddelande.

  6. Välj Nästa. På sidan Granska regel granskar du inställningarna för regeln och väljer sedan Skapa regel. Mottagarna börjar få incidentaviseringar via e-post baserat på inställningarna.

Om du vill redigera en befintlig regel väljer du den i listan över regler. I fönstret med regelnamnet väljer du Redigera regel och gör ändringarna på sidorna Grundinställningar, Meddelandeinställningar och Mottagare .

Om du vill ta bort en regel väljer du den i listan med regler. I fönstret med regelnamnet väljer du Ta bort.

När du har fått meddelandet kan du gå direkt till incidenten och starta undersökningen direkt. Mer information om hur du undersöker incidenter finns i Undersöka incidenter i Microsoft 365 Defender.

Utbildning för säkerhetsanalytiker

Använd den här utbildningsmodulen från Microsoft Learn för att förstå hur du använder Microsoft 365 Defender för att hantera incidenter och aviseringar.

Utbildning: Undersöka incidenter med Microsoft 365 Defender
Undersök incidenter med Microsoft 365 Defender träningsikon. Microsoft 365 Defender förenar hotdata från flera tjänster och använder AI för att kombinera dem till incidenter och aviseringar. Lär dig hur du minimerar tiden mellan en incident och dess hantering för efterföljande åtgärder och lösningar.

27 min - 6 enheter

Nästa steg

Använd stegen i listan baserat på din erfarenhetsnivå eller roll i säkerhetsteamet.

Erfarenhetsnivå

Följ den här tabellen för din erfarenhet av säkerhetsanalys och incidenthantering.

Nivå Steg
Nya
  1. Se genomgången Svara på din första incident för att få en guidad rundtur i en typisk process för analys, reparation och granskning efter incident i Microsoft 365 Defender-portalen med ett exempel på en attack.
  2. Se vilka incidenter som ska prioriteras baserat på allvarlighetsgrad och andra faktorer.
  3. Hantera incidenter, som omfattar att byta namn, tilldela, klassificera och lägga till taggar och kommentarer baserat på arbetsflödet för incidenthantering.
Erfarna
  1. Kom igång med incidentkön från sidan Incidenter i Microsoft 365 Defender-portalen. Härifrån kan du:
    • Se vilka incidenter som ska prioriteras baserat på allvarlighetsgrad och andra faktorer.
    • Hantera incidenter, som omfattar att byta namn, tilldela, klassificera och lägga till taggar och kommentarer baserat på arbetsflödet för incidenthantering.
    • Utföra undersökningar av incidenter.
  2. Spåra och svara på nya hot med hotanalys.
  3. Jaga proaktivt efter hot med avancerad hotjakt.
  4. Se dessa spelböcker för incidenthantering för detaljerad vägledning för nätfiske, lösenordsspray och beviljandeattacker för appmedgivande.

Säkerhetsteamets roll

Följ den här tabellen baserat på din säkerhetsteamroll.

Roll Steg
Incidentsvarare (nivå 1) Kom igång med incidentkön från sidan Incidenter i Microsoft 365 Defender-portalen. Härifrån kan du:
  • Se vilka incidenter som ska prioriteras baserat på allvarlighetsgrad och andra faktorer.
  • Hantera incidenter, som omfattar att byta namn, tilldela, klassificera och lägga till taggar och kommentarer baserat på arbetsflödet för incidenthantering.
Säkerhetsutredare eller analytiker (nivå 2)
  1. Utföra undersökningar av incidenter från sidan Incidenter i Microsoft 365 Defender-portalen.
  2. Se dessa spelböcker för incidenthantering för detaljerad vägledning för nätfiske, lösenordsspray och beviljandeattacker för appmedgivande.
Avancerad säkerhetsanalytiker eller hotjägare (nivå 3)
  1. Utföra undersökningar av incidenter från sidan Incidenter i Microsoft 365 Defender-portalen.
  2. Spåra och svara på nya hot med hotanalys.
  3. Jaga proaktivt efter hot med avancerad hotjakt.
  4. Se dessa spelböcker för incidenthantering för detaljerad vägledning för nätfiske, lösenordsspray och beviljandeattacker för appmedgivande.
SOC-chef Se hur du integrerar Microsoft 365 Defender i Security Operations Center (SOC).