Undersöka aviseringar i Microsoft Defender XDR
Gäller för:
- Microsoft Defender XDR
Obs!
I den här artikeln beskrivs säkerhetsaviseringar i Microsoft Defender XDR. Du kan dock använda aktivitetsaviseringar för att skicka e-postaviseringar till dig själv eller andra administratörer när användare utför specifika aktiviteter i Microsoft 365. Mer information finns i Skapa aktivitetsaviseringar – Microsoft Purview | Microsoft Docs.
Aviseringar är grunden för alla incidenter och anger förekomsten av skadliga eller misstänkta händelser i din miljö. Aviseringar är vanligtvis en del av en bredare attack och ger ledtrådar om en incident.
I Microsoft Defender XDR aggregeras relaterade aviseringar för att bilda incidenter. Incidenter ger alltid en bredare kontext för en attack, men analys av aviseringar kan vara värdefullt när djupare analys krävs.
Aviseringskön visar den aktuella uppsättningen aviseringar. Du kommer till aviseringskön från Incidenter & aviseringar > Aviseringar vid snabbstart av Microsoft Defender-portalen.
Aviseringar från olika Microsoft-säkerhetslösningar som Microsoft Defender för Endpoint, Microsoft Defender för Office 365 och Microsoft Defender XDR visas här.
Som standard visar aviseringskön i Microsoft Defender-portalen de nya och pågående aviseringarna från de senaste 30 dagarna. Den senaste aviseringen finns överst i listan så att du kan se den först.
I kön för standardaviseringar kan du välja Filtrera för att se ett filterfönster , där du kan ange en delmängd av aviseringarna. Här är ett exempel.
Du kan filtrera aviseringar enligt följande kriterier:
- Allvarlighetsgrad
- Status
- Tjänstkällor
- Entiteter (de påverkade tillgångarna)
- Automatiserat undersökningstillstånd
Nödvändiga roller för Defender för Office 365 aviseringar
Du måste ha någon av följande roller för att få åtkomst till Microsoft Defender för Office 365 aviseringar:
För Microsoft Entra globala roller:
- Global administratör
- Säkerhetsadministratör
- Säkerhetsoperatör
- Global läsare
- Säkerhetsläsare
Office 365 rollgrupper för säkerhet & efterlevnad
- Efterlevnadsadministratör
- Organisationshantering
Analysera en avisering
Om du vill se huvudaviseringssidan väljer du namnet på aviseringen. Här är ett exempel.
Du kan också välja åtgärden Öppna huvudaviseringssidan i fönstret Hantera avisering .
En aviseringssida består av följande avsnitt:
- Varningsartikel, som är kedjan med händelser och aviseringar relaterade till den här aviseringen i kronologisk ordning
- Sammanfattningsinformation
På en aviseringssida kan du välja ellipserna (...) bredvid valfri entitet för att se tillgängliga åtgärder, till exempel länka aviseringen till en annan incident. Listan över tillgängliga åtgärder beror på typen av avisering.
Aviseringskällor
Microsoft Defender XDR aviseringar kan komma från lösningar som Microsoft Defender för Endpoint, Microsoft Defender för Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, appstyrningstillägget för Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection, och Microsoft Data Loss Prevention. Du kan märka aviseringar med förberedda tecken i aviseringen. Följande tabell innehåller vägledning som hjälper dig att förstå mappningen av aviseringskällor baserat på det förberedda tecknet i aviseringen.
Obs!
- De förberedda GUID:erna är bara specifika för enhetliga upplevelser, till exempel kö för enhetliga aviseringar, sidan enhetliga aviseringar, enhetlig undersökning och enhetliga incidenter.
- Det förberedda tecknet ändrar inte GUID för aviseringen. Den enda ändringen av GUID:et är den förberedda komponenten.
Aviseringskälla | Förberedd karaktär |
---|---|
Microsoft Defender XDR | ra ta för ThreatExpertsea for DetectionSource = DetectionSource.CustomDetection |
Microsoft Defender för Office 365 | fa{GUID} Exempel: fa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender för Endpoint | da eller ed för anpassade identifieringsaviseringar |
Microsoft Defender for Identity | aa{GUID} Exempel: aa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender for Cloud Apps | ca{GUID} Exempel: ca123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Entra ID Protection | ad |
Appstyrning | ma |
Microsoft Data Loss Prevention | dl |
Konfigurera Microsoft Entra IP-aviseringstjänst
Gå till Microsoft Defender-portalen (security.microsoft.com) och välj Inställningar>Microsoft Defender XDR.
I listan väljer du Aviseringstjänstinställningar och konfigurerar sedan din Microsoft Entra ID Protection aviseringstjänst.
Som standard är endast de mest relevanta aviseringarna för säkerhetsåtgärdscentret aktiverade. Om du vill få alla Microsoft Entra IP-riskidentifieringar kan du ändra det i avsnittet Inställningar för aviseringstjänsten.
Du kan också komma åt inställningarna för aviseringstjänsten direkt från sidan Incidenter i Microsoft Defender-portalen.
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Analysera berörda tillgångar
Avsnittet Åtgärder som vidtas innehåller en lista över påverkade tillgångar, till exempel postlådor, enheter och användare som påverkas av den här aviseringen.
Du kan också välja Visa i åtgärdscenter för att visa fliken Historik i Åtgärdscenter i Microsoft Defender-portalen.
Spåra en aviserings roll i aviseringsartikeln
Aviseringsartikeln visar alla tillgångar eller entiteter som är relaterade till aviseringen i en processträdsvy. Aviseringen i rubriken är den som är i fokus när du först hamnar på den valda aviseringens sida. Tillgångar i aviseringsartikeln är utbyggbara och klickbara. De ger ytterligare information och påskyndar ditt svar genom att du kan vidta åtgärder direkt i kontexten för aviseringssidan.
Obs!
Aviseringsavsnittet kan innehålla mer än en avisering, med ytterligare aviseringar relaterade till samma körningsträd som visas före eller efter den avisering som du har valt.
Visa mer aviseringsinformation på informationssidan
Informationssidan visar information om den valda aviseringen, med information och åtgärder som är relaterade till den. Om du väljer någon av de berörda tillgångarna eller entiteterna i aviseringsartikeln ändras informationssidan för att ge sammanhangsberoende information och åtgärder för det valda objektet.
När du har valt en entitet av intresse ändras informationssidan för att visa information om den valda entitetstypen, historisk information när den är tillgänglig och alternativ för att vidta åtgärder på den här entiteten direkt från aviseringssidan.
Hantera varningar
Om du vill hantera en avisering väljer du Hantera avisering i avsnittet sammanfattningsinformation på aviseringssidan. Här är ett exempel på fönstret Hantera avisering för en enskild avisering.
I fönstret Hantera avisering kan du visa eller ange:
- Aviseringsstatusen (Ny, Löst, Pågår).
- Det användarkonto som har tilldelats aviseringen.
- Aviseringens klassificering:
- Inte inställt (standard).
- Sant positivt med en typ av hot. Använd den här klassificeringen för aviseringar som korrekt anger ett verkligt hot. Om du anger den här hottypens aviseringar ser säkerhetsteamet hotmönster och agerar för att skydda din organisation från dem.
- Information, förväntad aktivitet med en typ av aktivitet. Använd det här alternativet för aviseringar som är tekniskt korrekta, men som representerar normalt beteende eller simulerad hotaktivitet. Du vill vanligtvis ignorera dessa aviseringar men förvänta dig dem för liknande aktiviteter i framtiden där aktiviteterna utlöses av faktiska angripare eller skadlig kod. Använd alternativen i den här kategorin för att klassificera aviseringar för säkerhetstester, red team-aktivitet och förväntat ovanligt beteende från betrodda appar och användare.
- Falsk positiv identifiering för typer av aviseringar som har skapats även om det inte finns någon skadlig aktivitet eller för ett falskt larm. Använd alternativen i den här kategorin för att klassificera aviseringar som felaktigt identifieras som normala händelser eller aktiviteter som skadliga eller misstänkta. Till skillnad från aviseringar för "Informationsaktivitet, förväntad aktivitet", som också kan vara användbar för att fånga verkliga hot, vill du vanligtvis inte se dessa aviseringar igen. Genom att klassificera aviseringar som falska positiva identifieringar Microsoft Defender XDR förbättra identifieringskvaliteten.
- En kommentar till aviseringen.
Obs!
Runt den 29 augusti 2022 kommer tidigare stödda aviseringsbestämningsvärden ("Apt" och "SecurityPersonnel") att bli inaktuella och inte längre tillgängliga via API:et.
Obs!
Ett sätt att hantera aviseringar med hjälp av taggar. Taggningsfunktionen för Microsoft Defender för Office 365 distribueras stegvis och är för närvarande i förhandsversion.
För närvarande tillämpas ändrade taggnamn endast på aviseringar som skapats efter uppdateringen. Aviseringar som genererades före ändringen återspeglar inte det uppdaterade taggnamnet.
Om du vill hantera en uppsättning aviseringar som liknar en specifik avisering väljer du Visa liknande aviseringar i rutan INSIGHT i avsnittet sammanfattningsinformation på aviseringssidan.
I fönstret Hantera aviseringar kan du sedan klassificera alla relaterade aviseringar på samma gång. Här är ett exempel.
Om liknande aviseringar redan har klassificerats tidigare kan du spara tid med hjälp av Microsoft Defender XDR rekommendationer för att lära dig hur de andra aviseringarna löstes. I avsnittet sammanfattningsinformation väljer du Rekommendationer.
Fliken Rekommendationer innehåller åtgärder och råd i nästa steg för undersökning, reparation och förebyggande åtgärder. Här är ett exempel.
Justera en avisering
Som SOC-analytiker (Security Operations Center) är ett av de främsta problemen att prioritera det största antalet aviseringar som utlöses dagligen. En analytikers tid är värdefull och vill bara fokusera på aviseringar med hög allvarlighetsgrad och hög prioritet. Samtidigt är analytiker också skyldiga att prioritera och lösa aviseringar med lägre prioritet, vilket tenderar att vara en manuell process.
Med aviseringsjustering kan du finjustera och hantera aviseringar i förväg. Detta effektiviserar aviseringskön och sparar prioriteringstid genom att dölja eller lösa aviseringar automatiskt, varje gång ett visst förväntat organisationsbeteende inträffar och regelvillkoren uppfylls.
Du kan skapa regelvillkor baserat på "bevistyper", till exempel filer, processer, schemalagda uppgifter och många andra bevistyper som utlöser aviseringen. När du har skapat regeln kan du tillämpa regeln på den valda aviseringen eller någon aviseringstyp som uppfyller regelvillkoren för att justera aviseringen.
Dessutom omfattar funktionen även aviseringar som kommer från olika Microsoft Defender XDR tjänstkällor. Funktionen för aviseringsjustering i den offentliga förhandsversionen hämtar aviseringar från arbetsbelastningar som Defender för Endpoint, Defender för Office 365, Defender för identitet, Defender för Cloud Apps, Microsoft Entra ID Protection (Microsoft Entra IP) och andra, om dessa källor är tillgängliga på din plattform och plan. Tidigare registrerade funktionen för aviseringsjustering endast aviseringar från arbetsbelastningen Defender för Endpoint.
Obs!
Vi rekommenderar att du använder aviseringsjustering, som tidigare kallades aviseringsundertryckning, med försiktighet. I vissa situationer utlöser ett känt internt affärsprogram eller säkerhetstester en förväntad aktivitet och du vill inte se dessa aviseringar. Därför kan du skapa en regel för att justera dessa aviseringstyper.
Skapa regelvillkor för att justera aviseringar
Det finns två sätt att justera en avisering i Microsoft Defender XDR. Så här finjusterar du en avisering från sidan Inställningar :
Gå till Inställningar. I den vänstra rutan går du till Regler och väljer Aviseringsjustering.
Välj Lägg till ny regel för att justera en ny avisering. Du kan också redigera en befintlig regel i den här vyn genom att välja en regel i listan.
I fönstret Finjustera avisering kan du välja tjänstkällor där regeln gäller i den nedrullningsbara menyn under Tjänstkällor.
Obs!
Endast tjänster som användaren har behörighet till visas.
Lägg till indikatorer för kompromettering (IOCs) som utlöser aviseringen under avsnittet IOCs . Du kan lägga till ett villkor för att stoppa aviseringen när den utlöses av en specifik IOK eller av någon IOK som läggs till i aviseringen.
IOK:er är indikatorer som filer, processer, schemalagda uppgifter och andra bevistyper som utlöser aviseringen.
Om du vill ange flera regelvillkor använder du AND, OR och grupperingsalternativ för att skapa en relation mellan dessa flera "bevistyper" som orsakar aviseringen.
- Välj till exempel den utlösande bevisens entitetsroll: Utlösare, lika med och alla för att stoppa aviseringen när den utlöses av en IOK som lagts till i aviseringen. Alla egenskaper för detta "bevis" fylls i automatiskt som en ny undergrupp i respektive fält nedan.
Obs!
Villkorsvärden är inte skiftlägeskänsliga.
Du kan redigera och/eller ta bort egenskaper för detta "bevis" beroende på dina behov (med jokertecken, när det stöds).
Förutom filer och processer är AMSI-skript (AntiMalware Scan Interface), WMI-händelse (Windows Management Instrumentation) och schemalagda uppgifter några av de nyligen tillagda bevistyperna som du kan välja i listrutan för bevistyper.
Om du vill lägga till ytterligare en IOK klickar du på Lägg till filter.
Obs!
Du måste lägga till minst en IOK i regelvillkoret för att justera alla aviseringstyper.
I avsnittet Åtgärd vidtar du lämplig åtgärd för antingen Dölj avisering eller Lös avisering.
Ange Namn, Beskrivning och klicka på Spara.
Obs!
Aviseringsrubriken (namn) baseras på aviseringstypen (IoaDefinitionId), som bestämmer aviseringsrubriken. Två aviseringar som har samma aviseringstyp kan ändras till en annan aviseringsrubrik.
Så här finjusterar du en avisering från sidan Aviseringar :
Välj en avisering på sidan Aviseringar under Incidenter och aviseringar. Du kan också välja en avisering när du granskar incidentinformationen på sidan Incident.
Du kan justera en avisering via fönstret Finjustera avisering som öppnas automatiskt till höger på sidan med aviseringsinformation.
Välj de villkor där aviseringen gäller i avsnittet Aviseringstyper . Välj Endast den här aviseringstypen för att tillämpa regeln på den valda aviseringen.
Men om du vill tillämpa regeln på alla aviseringstyper som uppfyller regelvillkoren väljer du Alla aviseringstyper baserat på IOK-villkor.
Det krävs att du fyller i omfångsavsnittet om aviseringsjusteringen är Defender för endpoint-specifik. Välj om regeln gäller för alla enheter i organisationen eller för en specifik enhet.
Obs!
Om regeln ska tillämpas på alla organisationer krävs en administratörsrollbehörighet.
Lägg till villkor i avsnittet Villkor för att stoppa aviseringen när den utlöses av en specifik IOK eller av någon IOK som lagts till i aviseringen. Du kan välja en specifik enhet, flera enheter, enhetsgrupper, hela organisationen eller efter användare i det här avsnittet.
Obs!
Du måste ha Admin behörighet när omfånget endast har angetts för Användare. Admin behörighet krävs inte när omfånget har angetts för Användare tillsammans med Enhetsgrupper.
Lägg till IOK:er där regeln gäller i avsnittet IOCs . Du kan välja Valfri IOK för att stoppa aviseringen oavsett vad "bevis" har orsakat aviseringen.
Du kan också välja Fyll i alla avisering 7-relaterade IOPS automatiskt i avsnittet IOCs för att lägga till alla aviseringsrelaterade bevistyper och deras egenskaper samtidigt i avsnittet Villkor .
I avsnittet Åtgärd vidtar du lämplig åtgärd för antingen Dölj avisering eller Lös avisering.
Ange Namn, Kommentar och klicka på Spara.
Förhindra att IOPS blockeras i framtiden:
När du har sparat aviseringsjusteringsregeln på sidan Skapa en lyckad regel som visas kan du lägga till de valda IOP:erna som indikatorer i listan över tillåtna och förhindra att de blockeras i framtiden.
Alla aviseringsrelaterade IOP:er visas i listan.
IOK:er som har valts i undertryckningsvillkoren väljs som standard.
- Du kan till exempel lägga till filer som ska tillåtas till den Välj bevis (IOK) som ska tillåtas. Som standard är den fil som utlöste aviseringen markerad.
- Ange omfånget för select-omfånget som ska tillämpas på. Som standard väljs omfånget för den relaterade aviseringen.
- Klicka på Spara. Nu blockeras inte filen som den är i listan över tillåtna.
Den nya funktionen för aviseringsjustering är tillgänglig som standard.
Du kan dock växla tillbaka till den tidigare upplevelsen i Microsoft Defender portalen genom att gå till Inställningar > Microsoft Defender XDR > Regelaviseringsjustering >och sedan inaktivera växlingsknappen Skapa nya justeringsregler.
Obs!
Snart är bara den nya aviseringsjusteringen tillgänglig. Du kommer inte att kunna gå tillbaka till den tidigare upplevelsen.
Redigera befintliga regler:
Du kan alltid lägga till eller ändra regelvillkor och omfång för nya eller befintliga regler i Microsoft Defender-portalen genom att välja relevant regel och klicka på Redigera regel.
Om du vill redigera befintliga regler kontrollerar du att växlingsknappen Nya aviseringsjusteringsregler har aktiverats .
Lösa en avisering
När du är klar med att analysera en avisering och den kan lösas går du till fönstret Hantera avisering för aviseringen eller liknande aviseringar och markerar statusen som Löst och klassificerar den sedan som en Sann positiv med en typ av hot, en informationsaktivitet, förväntad aktivitet med en typ av aktivitet eller en falsk positiv identifiering.
Genom att klassificera aviseringar kan du Microsoft Defender XDR förbättra identifieringskvaliteten.
Använda Power Automate för att sortera aviseringar
SecOps-team (Modern Security Operations) behöver automatisering för att fungera effektivt. För att fokusera på att jaga och undersöka verkliga hot använder SecOps-teamEn Power Automate för att gå igenom listan över aviseringar och eliminera de som inte är hot.
Kriterier för att lösa aviseringar
- Användaren har ett meddelande som inte är på kontoret aktiverat
- Användaren är inte taggad som hög risk
Om båda är sanna markerar SecOps aviseringen som legitim resa och löser den. Ett meddelande publiceras i Microsoft Teams när aviseringen har lösts.
Ansluta Power Automate till Microsoft Defender for Cloud Apps
För att skapa automatiseringen behöver du en API-token innan du kan ansluta Power Automate till Microsoft Defender for Cloud Apps.
Öppna Microsoft Defender och välj Inställningar>Cloud Apps>API-token och välj sedan Lägg till token på fliken API-token.
Ange ett namn för din token och välj sedan Generera. Spara token eftersom du behöver den senare.
Skapa ett automatiserat flöde
Titta på den här korta videon om du vill veta hur automatisering fungerar effektivt för att skapa ett smidigt arbetsflöde och hur du ansluter Power Automate till Defender för Cloud Apps.
Nästa steg
Fortsätt undersökningen efter behov för pågående incidenter.
Se även
- Översikt över incidenter
- Hantera incidenter
- Undersöka incidenter
- Undersöka aviseringar om dataförlustskydd i Defender
- Microsoft Entra ID Protection
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för