Undersöka aviseringar i Microsoft Defender XDR

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Obs!

I den här artikeln beskrivs säkerhetsaviseringar i Microsoft Defender XDR. Du kan dock använda aktivitetsaviseringar för att skicka e-postaviseringar till dig själv eller andra administratörer när användare utför specifika aktiviteter i Microsoft 365. Mer information finns i Skapa aktivitetsaviseringar – Microsoft Purview | Microsoft Docs.

Aviseringar är grunden för alla incidenter och anger förekomsten av skadliga eller misstänkta händelser i din miljö. Aviseringar är vanligtvis en del av en bredare attack och ger ledtrådar om en incident.

I Microsoft Defender XDR aggregeras relaterade aviseringar för att bilda incidenter. Incidenter ger alltid en bredare kontext för en attack, men analys av aviseringar kan vara värdefullt när djupare analys krävs.

Aviseringskön visar den aktuella uppsättningen aviseringar. Du kommer till aviseringskön från Incidenter & aviseringar > Aviseringar vid snabbstart av Microsoft Defender-portalen.

Avsnittet Aviseringar i Microsoft Defender-portalen

Aviseringar från olika Microsoft-säkerhetslösningar som Microsoft Defender för Endpoint, Microsoft Defender för Office 365 och Microsoft Defender XDR visas här.

Som standard visar aviseringskön i Microsoft Defender-portalen de nya och pågående aviseringarna från de senaste 30 dagarna. Den senaste aviseringen finns överst i listan så att du kan se den först.

I kön för standardaviseringar kan du välja Filtrera för att se ett filterfönster , där du kan ange en delmängd av aviseringarna. Här är ett exempel.

Avsnittet Filter i Microsoft Defender-portalen.

Du kan filtrera aviseringar enligt följande kriterier:

  • Allvarlighetsgrad
  • Status
  • Tjänstkällor
  • Entiteter (de påverkade tillgångarna)
  • Automatiserat undersökningstillstånd

Nödvändiga roller för Defender för Office 365 aviseringar

Du måste ha någon av följande roller för att få åtkomst till Microsoft Defender för Office 365 aviseringar:

  • För Microsoft Entra globala roller:

    • Global administratör
    • Säkerhetsadministratör
    • Säkerhetsoperatör
    • Global läsare
    • Säkerhetsläsare

  • Office 365 rollgrupper för säkerhet & efterlevnad

    • Efterlevnadsadministratör
    • Organisationshantering

  • En anpassad roll

Analysera en avisering

Om du vill se huvudaviseringssidan väljer du namnet på aviseringen. Här är ett exempel.

Skärmbild som visar information om en avisering i Microsoft Defender-portalen

Du kan också välja åtgärden Öppna huvudaviseringssidan i fönstret Hantera avisering .

En aviseringssida består av följande avsnitt:

  • Varningsartikel, som är kedjan med händelser och aviseringar relaterade till den här aviseringen i kronologisk ordning
  • Sammanfattningsinformation

På en aviseringssida kan du välja ellipserna (...) bredvid valfri entitet för att se tillgängliga åtgärder, till exempel länka aviseringen till en annan incident. Listan över tillgängliga åtgärder beror på typen av avisering.

Aviseringskällor

Microsoft Defender XDR aviseringar kan komma från lösningar som Microsoft Defender för Endpoint, Microsoft Defender för Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, appstyrningstillägget för Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection, och Microsoft Data Loss Prevention. Du kan märka aviseringar med förberedda tecken i aviseringen. Följande tabell innehåller vägledning som hjälper dig att förstå mappningen av aviseringskällor baserat på det förberedda tecknet i aviseringen.

Obs!

  • De förberedda GUID:erna är bara specifika för enhetliga upplevelser, till exempel kö för enhetliga aviseringar, sidan enhetliga aviseringar, enhetlig undersökning och enhetliga incidenter.
  • Det förberedda tecknet ändrar inte GUID för aviseringen. Den enda ändringen av GUID:et är den förberedda komponenten.
Aviseringskälla Förberedd karaktär
Microsoft Defender XDR ra
ta för ThreatExperts
ea for DetectionSource = DetectionSource.CustomDetection
Microsoft Defender för Office 365 fa{GUID}
Exempel: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender för Endpoint da eller ed för anpassade identifieringsaviseringar
Microsoft Defender for Identity aa{GUID}
Exempel: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Exempel: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID Protection ad
Appstyrning ma
Microsoft Data Loss Prevention dl

Konfigurera Microsoft Entra IP-aviseringstjänst

  1. Gå till Microsoft Defender-portalen (security.microsoft.com) och välj Inställningar>Microsoft Defender XDR.

  2. I listan väljer du Aviseringstjänstinställningar och konfigurerar sedan din Microsoft Entra ID Protection aviseringstjänst.

    Skärmbild av inställningen Microsoft Entra ID Protection aviseringar i Microsoft Defender-portalen.

Som standard är endast de mest relevanta aviseringarna för säkerhetsåtgärdscentret aktiverade. Om du vill få alla Microsoft Entra IP-riskidentifieringar kan du ändra det i avsnittet Inställningar för aviseringstjänsten.

Du kan också komma åt inställningarna för aviseringstjänsten direkt från sidan Incidenter i Microsoft Defender-portalen.

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Analysera berörda tillgångar

Avsnittet Åtgärder som vidtas innehåller en lista över påverkade tillgångar, till exempel postlådor, enheter och användare som påverkas av den här aviseringen.

Du kan också välja Visa i åtgärdscenter för att visa fliken Historik i Åtgärdscenter i Microsoft Defender-portalen.

Spåra en aviserings roll i aviseringsartikeln

Aviseringsartikeln visar alla tillgångar eller entiteter som är relaterade till aviseringen i en processträdsvy. Aviseringen i rubriken är den som är i fokus när du först hamnar på den valda aviseringens sida. Tillgångar i aviseringsartikeln är utbyggbara och klickbara. De ger ytterligare information och påskyndar ditt svar genom att du kan vidta åtgärder direkt i kontexten för aviseringssidan.

Obs!

Aviseringsavsnittet kan innehålla mer än en avisering, med ytterligare aviseringar relaterade till samma körningsträd som visas före eller efter den avisering som du har valt.

Visa mer aviseringsinformation på informationssidan

Informationssidan visar information om den valda aviseringen, med information och åtgärder som är relaterade till den. Om du väljer någon av de berörda tillgångarna eller entiteterna i aviseringsartikeln ändras informationssidan för att ge sammanhangsberoende information och åtgärder för det valda objektet.

När du har valt en entitet av intresse ändras informationssidan för att visa information om den valda entitetstypen, historisk information när den är tillgänglig och alternativ för att vidta åtgärder på den här entiteten direkt från aviseringssidan.

Hantera varningar

Om du vill hantera en avisering väljer du Hantera avisering i avsnittet sammanfattningsinformation på aviseringssidan. Här är ett exempel på fönstret Hantera avisering för en enskild avisering.

Skärmbild av avsnittet Hantera avisering i Microsoft Defender-portalen

I fönstret Hantera avisering kan du visa eller ange:

  • Aviseringsstatusen (Ny, Löst, Pågår).
  • Det användarkonto som har tilldelats aviseringen.
  • Aviseringens klassificering:
    • Inte inställt (standard).
    • Sant positivt med en typ av hot. Använd den här klassificeringen för aviseringar som korrekt anger ett verkligt hot. Om du anger den här hottypens aviseringar ser säkerhetsteamet hotmönster och agerar för att skydda din organisation från dem.
    • Information, förväntad aktivitet med en typ av aktivitet. Använd det här alternativet för aviseringar som är tekniskt korrekta, men som representerar normalt beteende eller simulerad hotaktivitet. Du vill vanligtvis ignorera dessa aviseringar men förvänta dig dem för liknande aktiviteter i framtiden där aktiviteterna utlöses av faktiska angripare eller skadlig kod. Använd alternativen i den här kategorin för att klassificera aviseringar för säkerhetstester, red team-aktivitet och förväntat ovanligt beteende från betrodda appar och användare.
    • Falsk positiv identifiering för typer av aviseringar som har skapats även om det inte finns någon skadlig aktivitet eller för ett falskt larm. Använd alternativen i den här kategorin för att klassificera aviseringar som felaktigt identifieras som normala händelser eller aktiviteter som skadliga eller misstänkta. Till skillnad från aviseringar för "Informationsaktivitet, förväntad aktivitet", som också kan vara användbar för att fånga verkliga hot, vill du vanligtvis inte se dessa aviseringar igen. Genom att klassificera aviseringar som falska positiva identifieringar Microsoft Defender XDR förbättra identifieringskvaliteten.
  • En kommentar till aviseringen.

Obs!

Runt den 29 augusti 2022 kommer tidigare stödda aviseringsbestämningsvärden ("Apt" och "SecurityPersonnel") att bli inaktuella och inte längre tillgängliga via API:et.

Obs!

Ett sätt att hantera aviseringar med hjälp av taggar. Taggningsfunktionen för Microsoft Defender för Office 365 distribueras stegvis och är för närvarande i förhandsversion.

För närvarande tillämpas ändrade taggnamn endast på aviseringar som skapats efter uppdateringen. Aviseringar som genererades före ändringen återspeglar inte det uppdaterade taggnamnet.

Om du vill hantera en uppsättning aviseringar som liknar en specifik avisering väljer du Visa liknande aviseringar i rutan INSIGHT i avsnittet sammanfattningsinformation på aviseringssidan.

Skärmbild av att välja en avisering i Microsoft Defender-portalen

I fönstret Hantera aviseringar kan du sedan klassificera alla relaterade aviseringar på samma gång. Här är ett exempel.

Skärmbild av hantering av relaterade aviseringar i Microsoft Defender-portalen

Om liknande aviseringar redan har klassificerats tidigare kan du spara tid med hjälp av Microsoft Defender XDR rekommendationer för att lära dig hur de andra aviseringarna löstes. I avsnittet sammanfattningsinformation väljer du Rekommendationer.

Skärmbild av ett exempel på hur du väljer rekommendationer för en avisering

Fliken Rekommendationer innehåller åtgärder och råd i nästa steg för undersökning, reparation och förebyggande åtgärder. Här är ett exempel.

Skärmbild av ett exempel på aviseringsrekommendationer

Justera en avisering

Som SOC-analytiker (Security Operations Center) är ett av de främsta problemen att prioritera det största antalet aviseringar som utlöses dagligen. En analytikers tid är värdefull och vill bara fokusera på aviseringar med hög allvarlighetsgrad och hög prioritet. Samtidigt är analytiker också skyldiga att prioritera och lösa aviseringar med lägre prioritet, vilket tenderar att vara en manuell process.

Med aviseringsjustering kan du finjustera och hantera aviseringar i förväg. Detta effektiviserar aviseringskön och sparar prioriteringstid genom att dölja eller lösa aviseringar automatiskt, varje gång ett visst förväntat organisationsbeteende inträffar och regelvillkoren uppfylls.

Du kan skapa regelvillkor baserat på "bevistyper", till exempel filer, processer, schemalagda uppgifter och många andra bevistyper som utlöser aviseringen. När du har skapat regeln kan du tillämpa regeln på den valda aviseringen eller någon aviseringstyp som uppfyller regelvillkoren för att justera aviseringen.

Dessutom omfattar funktionen även aviseringar som kommer från olika Microsoft Defender XDR tjänstkällor. Funktionen för aviseringsjustering i den offentliga förhandsversionen hämtar aviseringar från arbetsbelastningar som Defender för Endpoint, Defender för Office 365, Defender för identitet, Defender för Cloud Apps, Microsoft Entra ID Protection (Microsoft Entra IP) och andra, om dessa källor är tillgängliga på din plattform och plan. Tidigare registrerade funktionen för aviseringsjustering endast aviseringar från arbetsbelastningen Defender för Endpoint.

Obs!

Vi rekommenderar att du använder aviseringsjustering, som tidigare kallades aviseringsundertryckning, med försiktighet. I vissa situationer utlöser ett känt internt affärsprogram eller säkerhetstester en förväntad aktivitet och du vill inte se dessa aviseringar. Därför kan du skapa en regel för att justera dessa aviseringstyper.

Skapa regelvillkor för att justera aviseringar

Det finns två sätt att justera en avisering i Microsoft Defender XDR. Så här finjusterar du en avisering från sidan Inställningar :

  1. Gå till Inställningar. I den vänstra rutan går du till Regler och väljer Aviseringsjustering.

    Skärmbild av alternativet Aviseringsjustering på sidan Inställningar för Microsoft Defender XDR.

    Välj Lägg till ny regel för att justera en ny avisering. Du kan också redigera en befintlig regel i den här vyn genom att välja en regel i listan.

    Skärmbild av att lägga till nya regler på sidan Aviseringsjustering.

  2. I fönstret Finjustera avisering kan du välja tjänstkällor där regeln gäller i den nedrullningsbara menyn under Tjänstkällor.

    Skärmbild av den nedrullningsbara menyn för tjänstkälla på sidan Justera en avisering.

    Obs!

    Endast tjänster som användaren har behörighet till visas.

  3. Lägg till indikatorer för kompromettering (IOCs) som utlöser aviseringen under avsnittet IOCs . Du kan lägga till ett villkor för att stoppa aviseringen när den utlöses av en specifik IOK eller av någon IOK som läggs till i aviseringen.

    IOK:er är indikatorer som filer, processer, schemalagda uppgifter och andra bevistyper som utlöser aviseringen.

    Skärmbild av IOK-menyn på sidan Justera en avisering.

    Om du vill ange flera regelvillkor använder du AND, OR och grupperingsalternativ för att skapa en relation mellan dessa flera "bevistyper" som orsakar aviseringen.

    1. Välj till exempel den utlösande bevisens entitetsroll: Utlösare, lika med och alla för att stoppa aviseringen när den utlöses av en IOK som lagts till i aviseringen. Alla egenskaper för detta "bevis" fylls i automatiskt som en ny undergrupp i respektive fält nedan.

    Obs!

    Villkorsvärden är inte skiftlägeskänsliga.

    1. Du kan redigera och/eller ta bort egenskaper för detta "bevis" beroende på dina behov (med jokertecken, när det stöds).

    2. Förutom filer och processer är AMSI-skript (AntiMalware Scan Interface), WMI-händelse (Windows Management Instrumentation) och schemalagda uppgifter några av de nyligen tillagda bevistyperna som du kan välja i listrutan för bevistyper.

    3. Om du vill lägga till ytterligare en IOK klickar du på Lägg till filter.

    Obs!

    Du måste lägga till minst en IOK i regelvillkoret för att justera alla aviseringstyper.

  4. I avsnittet Åtgärd vidtar du lämplig åtgärd för antingen Dölj avisering eller Lös avisering.

    Ange Namn, Beskrivning och klicka på Spara.

    Obs!

    Aviseringsrubriken (namn) baseras på aviseringstypen (IoaDefinitionId), som bestämmer aviseringsrubriken. Två aviseringar som har samma aviseringstyp kan ändras till en annan aviseringsrubrik.

    Skärmbild av åtgärdsmenyn på sidan Justera en avisering.

Så här finjusterar du en avisering från sidan Aviseringar :

  1. Välj en avisering på sidan Aviseringar under Incidenter och aviseringar. Du kan också välja en avisering när du granskar incidentinformationen på sidan Incident.

    Du kan justera en avisering via fönstret Finjustera avisering som öppnas automatiskt till höger på sidan med aviseringsinformation.

    Skärmbild av fönstret Justera en avisering på en aviseringssida.

  2. Välj de villkor där aviseringen gäller i avsnittet Aviseringstyper . Välj Endast den här aviseringstypen för att tillämpa regeln på den valda aviseringen.

    Men om du vill tillämpa regeln på alla aviseringstyper som uppfyller regelvillkoren väljer du Alla aviseringstyper baserat på IOK-villkor.

    Skärmbild av fönstret Finjustera en avisering som markerar avsnittet Aviseringstyper.

  3. Det krävs att du fyller i omfångsavsnittet om aviseringsjusteringen är Defender för endpoint-specifik. Välj om regeln gäller för alla enheter i organisationen eller för en specifik enhet.

    Obs!

    Om regeln ska tillämpas på alla organisationer krävs en administratörsrollbehörighet.

    Skärmbild av fönstret Finjustera en avisering som markerar avsnittet Omfång.

  4. Lägg till villkor i avsnittet Villkor för att stoppa aviseringen när den utlöses av en specifik IOK eller av någon IOK som lagts till i aviseringen. Du kan välja en specifik enhet, flera enheter, enhetsgrupper, hela organisationen eller efter användare i det här avsnittet.

    Obs!

    Du måste ha Admin behörighet när omfånget endast har angetts för Användare. Admin behörighet krävs inte när omfånget har angetts för Användare tillsammans med Enhetsgrupper.

    Skärmbild av fönstret Finjustera en avisering som markerar avsnittet Villkor.

  5. Lägg till IOK:er där regeln gäller i avsnittet IOCs . Du kan välja Valfri IOK för att stoppa aviseringen oavsett vad "bevis" har orsakat aviseringen.

    Skärmbild av fönstret Finjustera en avisering som markerar avsnittet IOPS.

  6. Du kan också välja Fyll i alla avisering 7-relaterade IOPS automatiskt i avsnittet IOCs för att lägga till alla aviseringsrelaterade bevistyper och deras egenskaper samtidigt i avsnittet Villkor .

    Skärmbild av automatisk fyllning av alla aviseringsrelaterade IOP:er.

  7. I avsnittet Åtgärd vidtar du lämplig åtgärd för antingen Dölj avisering eller Lös avisering.

    Ange Namn, Kommentar och klicka på Spara.

    Skärmbild av avsnittet Åtgärd i fönstret Finjustera avisering.

  8. Förhindra att IOPS blockeras i framtiden:

    När du har sparat aviseringsjusteringsregeln på sidan Skapa en lyckad regel som visas kan du lägga till de valda IOP:erna som indikatorer i listan över tillåtna och förhindra att de blockeras i framtiden.

    Alla aviseringsrelaterade IOP:er visas i listan.

    IOK:er som har valts i undertryckningsvillkoren väljs som standard.

    1. Du kan till exempel lägga till filer som ska tillåtas till den Välj bevis (IOK) som ska tillåtas. Som standard är den fil som utlöste aviseringen markerad.
    2. Ange omfånget för select-omfånget som ska tillämpas på. Som standard väljs omfånget för den relaterade aviseringen.
    3. Klicka på Spara. Nu blockeras inte filen som den är i listan över tillåtna.

  9. Den nya funktionen för aviseringsjustering är tillgänglig som standard.

    Du kan dock växla tillbaka till den tidigare upplevelsen i Microsoft Defender portalen genom att gå till Inställningar > Microsoft Defender XDR > Regelaviseringsjustering >och sedan inaktivera växlingsknappen Skapa nya justeringsregler.

    Obs!

    Snart är bara den nya aviseringsjusteringen tillgänglig. Du kommer inte att kunna gå tillbaka till den tidigare upplevelsen.

  10. Redigera befintliga regler:

    Du kan alltid lägga till eller ändra regelvillkor och omfång för nya eller befintliga regler i Microsoft Defender-portalen genom att välja relevant regel och klicka på Redigera regel.

    Om du vill redigera befintliga regler kontrollerar du att växlingsknappen Nya aviseringsjusteringsregler har aktiverats .

Lösa en avisering

När du är klar med att analysera en avisering och den kan lösas går du till fönstret Hantera avisering för aviseringen eller liknande aviseringar och markerar statusen som Löst och klassificerar den sedan som en Sann positiv med en typ av hot, en informationsaktivitet, förväntad aktivitet med en typ av aktivitet eller en falsk positiv identifiering.

Genom att klassificera aviseringar kan du Microsoft Defender XDR förbättra identifieringskvaliteten.

Använda Power Automate för att sortera aviseringar

SecOps-team (Modern Security Operations) behöver automatisering för att fungera effektivt. För att fokusera på att jaga och undersöka verkliga hot använder SecOps-teamEn Power Automate för att gå igenom listan över aviseringar och eliminera de som inte är hot.

Kriterier för att lösa aviseringar

  • Användaren har ett meddelande som inte är på kontoret aktiverat
  • Användaren är inte taggad som hög risk

Om båda är sanna markerar SecOps aviseringen som legitim resa och löser den. Ett meddelande publiceras i Microsoft Teams när aviseringen har lösts.

Ansluta Power Automate till Microsoft Defender for Cloud Apps

För att skapa automatiseringen behöver du en API-token innan du kan ansluta Power Automate till Microsoft Defender for Cloud Apps.

  1. Öppna Microsoft Defender och välj Inställningar>Cloud Apps>API-token och välj sedan Lägg till token på fliken API-token.

  2. Ange ett namn för din token och välj sedan Generera. Spara token eftersom du behöver den senare.

Skapa ett automatiserat flöde

Titta på den här korta videon om du vill veta hur automatisering fungerar effektivt för att skapa ett smidigt arbetsflöde och hur du ansluter Power Automate till Defender för Cloud Apps.

Nästa steg

Fortsätt undersökningen efter behov för pågående incidenter.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.