调查 Microsoft Defender XDR 中的警报
适用于:
- Microsoft Defender XDR
注意
本文介绍 Microsoft Defender XDR 中的安全警报。 但是,当用户在 Microsoft 365 中执行特定活动时,可以使用活动警报向自己或其他管理员发送电子邮件通知。 有关详细信息,请参阅 创建活动警报 - Microsoft Purview |Microsoft文档。
警报是所有事件的基础,指示环境中出现恶意或可疑事件。 警报通常是更广泛攻击的一部分,并提供有关事件的线索。
在 Microsoft Defender XDR 中,相关警报聚合在一起形成 事件。 事件将始终提供更广泛的攻击上下文,但是,当需要更深入的分析时,分析警报可能很有用。
警报队列显示当前警报集。 在快速启动 Microsoft Defender 门户时,可以从事件 & 警报>警报进入警报队列。
来自不同Microsoft安全解决方案的警报,例如 Microsoft Defender for Endpoint、Defender for Office 365、Microsoft Sentinel、Defender for Cloud、Defender for Identity、Defender for Cloud Apps、Defender XDR、应用治理、Microsoft Entra ID Protection 和 Microsoft 数据丢失防护。
默认情况下,Microsoft Defender 门户中的警报队列显示过去 7 天内的新警报和正在进行的警报。 最新的警报位于列表顶部,因此你可以先看到它。
在默认警报队列中,可以选择“ 筛选 ”以查看“ 筛选器 ”窗格,从中可以指定警报的子集。 下面是一个示例。
可以根据以下条件筛选警报:
- Severity
- 状态
- 类别
- 服务/检测源
- 标记
- Policy
- 实体(受影响的资产)
- 自动调查状态
- 警报订阅 ID
注意
Microsoft Defender XDR 客户现在可以使用警报来筛选事件,这些警报:通过 Microsoft Defender for IoT 和 Microsoft Defender for Endpoint 的设备发现集成, (OT) 连接到企业网络的设备通信。 若要筛选这些事件,请在服务/检测源中选择“ 任何 ”,然后在“产品名称”中选择 “Microsoft Defender for IoT ”,或者在 Defender 门户中查看“调查 Microsoft Defender for IoT 中的事件和警报”。 还可以使用设备组筛选特定于站点的警报。 有关 Defender for IoT 先决条件的详细信息,请参阅 Microsoft Defender XDR 中的企业 IoT 监视入门。
警报可以具有具有特定颜色背景的系统标记和/或自定义标记。 自定义标记使用白色背景,而系统标记通常使用红色或黑色背景色。 系统标记标识事件中的以下内容:
- 一 种攻击,例如勒索软件或凭据钓鱼
- 自动操作,例如自动调查和响应以及自动攻击中断
- 处理事件的 Defender 专家
- 事件中涉及的关键资产
提示
Microsoft的安全公开管理基于预定义的分类,自动将设备、标识和云资源标记为 关键资产。 这种开箱即用的功能可确保保护组织的宝贵和最重要的资产。 它还可帮助安全运营团队确定调查和修正的优先级。 详细了解 关键资产管理。
Defender for Office 365 警报所需的角色
需要具有以下任一角色才能访问 Microsoft Defender for Office 365 警报:
对于Microsoft Entra 全局角色:
- 全局管理员
- 安全管理员
- 安全操作员
- 全局读取者
- 安全读取者
Office 365 安全 & 合规性角色组
- 合规性管理员
- 组织管理
注意
Microsoft建议使用权限较少的角色以提高安全性。 全局管理员角色具有许多权限,仅当没有其他角色适合时,才应在紧急情况下使用。
分析警报
若要查看主警报页,请选择警报的名称。 下面是一个示例。
还可以从“管理警报”窗格中选择“打开主警报页”操作。
警报页由以下部分组成:
- 警报情景,它是与此警报相关的事件和警报的链,按时间顺序排列
- 摘要详细信息
在整个警报页中,可以选择任何实体旁边的省略号 (...) 以查看可用操作,例如将警报链接到另一个事件。 可用操作列表取决于警报的类型。
警报源
Microsoft Defender XDR 警报来自 Microsoft Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps、Microsoft Defender for Cloud Apps 的应用治理加载项、Microsoft Entra ID Protection 和 Microsoft 数据丢失防护等解决方案。 你可能会注意到警报中带有前面附加字符的警报。 下表提供了指导,可帮助你了解基于警报前置字符的警报源映射。
注意
- 前置 GUID 仅特定于统一体验,例如统一警报队列、统一警报页、统一调查和统一事件。
- 前面附加的字符不会更改警报的 GUID。 对 GUID 的唯一更改是前面的组件。
警报源 | 带有前面附加字符的警报 ID |
---|---|
Microsoft Defender XDR | ra{GUID} ta{GUID} 用于来自 ThreatExperts 的警报ea{GUID} 用于来自自定义检测的警报 |
Microsoft Defender for Office 365 | fa{GUID} 例如: fa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender for Endpoint | da{GUID} ed{GUID} 用于来自自定义检测的警报 |
Microsoft Defender for Identity | aa{GUID} 例如: aa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender for Cloud Apps | ca{GUID} 例如: ca123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Entra ID 保护 | ad{GUID} |
应用治理 | ma{GUID} |
Microsoft数据丢失防护 | dl{GUID} |
Microsoft Defender for Cloud | dc{GUID} |
Microsoft Sentinel | sn{GUID} |
配置 Microsoft Entra IP 警报服务
转到 Microsoft Defender 门户 (security.microsoft.com) ,选择 “设置>Microsoft Defender XDR”。
从列表中选择“ 警报服务设置”,然后配置 Microsoft Entra ID Protection 警报服务。
默认情况下,仅启用安全操作中心最相关的警报。 如果要获取所有Microsoft Entra IP 风险检测,可以在 “警报服务设置” 部分中对其进行更改。
还可以直接从 Microsoft Defender 门户中的“事件”页访问警报服务设置。
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
分析受影响的资产
处理部分包含受影响资产的列表,例如邮箱、设备和受此警报影响的用户。
还可以选择“在操作中心查看”,在 Microsoft Defender 门户中查看操作中心的“历史记录”选项卡。
跟踪警报在警报情景中的角色
警报情景在进程树视图中显示与警报相关的所有资产或实体。 首次进入所选警报页面时,游戏中的警报是焦点。 警报情景中的资产可展开且可单击。 它们提供了其他信息,并允许你在警报页面的上下文中采取相应措施,从而加快响应。
注意
警报情景部分可能包含多个警报,与所选警报之前或之后显示与相同执行树相关的其他警报。
在详细信息页上查看更多警报信息
详细信息页显示所选警报的详细信息,以及与之相关的详细信息和操作。 如果在警报情景中选择任何受影响的资产或实体,则详细信息页将更改为向所选对象提供上下文信息和操作。
选择感兴趣的实体后,详细信息页将更改为显示有关所选实体类型的信息、可用时的历史信息,以及直接从警报页对此实体执行操作的选项。
管理警报
若要管理警报,请在警报页的摘要详细信息部分中选择“管理警报”。 对于单个警报,下面是“管理警报”窗格的示例。
使用“ 管理警报 ”窗格可以查看或指定:
- 警报状态(新建、已解决、正在进行)。
- 已分配警报的用户帐户。
- 警报的分类:
- 未设置 默认) (。
- 具有某种威胁的真正值。 对准确指示真实威胁的警报使用此分类。 指定此威胁类型会提醒安全团队看到威胁模式,并采取行动保护组织免受威胁模式的危害。
- 具有某种类型活动的信息性预期活动。 对于技术上准确但表示正常行为或模拟威胁活动的警报,请使用此选项。 你通常希望忽略这些警报,但预期这些警报适用于将来由实际攻击者或恶意软件触发的类似活动。 使用此类别中的选项对来自受信任应用和用户的安全测试、红队活动和预期异常行为的警报进行分类。
- 对于创建的警报类型(即使没有恶意活动)或针对误报,则为误报。 使用此类别中的选项将错误地标识为正常事件或活动的警报分类为恶意或可疑事件。 与“信息性、预期活动”的警报不同,“信息性、预期活动”也可用于捕获实际威胁,你通常不希望再次看到这些警报。 将警报分类为误报有助于Microsoft Defender XDR 提高检测质量。
- 对警报的注释。
注意
2022 年 8 月 29 日左右,以前支持的警报确定值 (“Apt”和“SecurityPersonnel”) 将弃用,不再通过 API 提供。
注意
使用标记管理警报的一种方法。 Microsoft Defender for Office 365 的标记功能正在逐步推出,目前为预览版。
目前,修改后的标记名称仅应用于更新 后 创建的警报。 修改前生成的警报不会反映更新的标记名称。
若要管理一组类似于特定警报的警报,请在警报页的“摘要详细信息”部分的“见解”框中选择“查看类似警报”。
然后,可从“管理警报”窗格中同时对所有相关警报进行分类。 下面是一个示例。
如果过去已对类似警报进行了分类,则可以使用 Microsoft Defender XDR 建议来了解如何解决其他警报,从而节省时间。 在摘要详细信息部分中,选择“建议”。
建议 选项卡提供下一步操作和建议,用于调查、修正和预防。 下面是一个示例。
优化警报
作为安全运营中心 (SOC) 分析师,首要问题之一是会审每天触发的警报数量。 分析师的时间很宝贵,希望只关注高严重性和高优先级警报。 同时,分析师还需要对低优先级警报进行会审和解决,这往往是一个手动过程。
警报优化(以前称为 警报抑制)提供提前优化和管理警报的功能。 这简化了警报队列,并通过自动隐藏或解决警报来节省会审时间,每次发生特定的预期组织行为并满足规则条件。
警报优化规则支持基于 证据类型的 条件,例如文件、进程、计划任务和触发警报的其他类型的证据。 创建警报优化规则后,将其应用于所选警报或任何满足定义条件的警报类型,以优化警报。
在正式发布时,警报优化仅从 Defender for Endpoint 捕获警报。 但是,在预览版中,警报优化也扩展到其他 Microsoft Defender XDR 服务,包括 Defender for Office 365、Defender for Identity、Defender for Cloud Apps、Microsoft Entra ID Protection (Microsoft Entra IP) ,以及其他服务(如果它们在平台和计划中可用)。
警告
对于已知内部业务应用程序或安全测试触发预期活动且你不希望看到警报的情况,我们建议谨慎使用警报优化。
创建规则条件以优化警报
从 Microsoft Defender XDR 设置 区域或警报详细信息页创建警报优化规则。 选择以下选项卡之一以继续。
在 Microsoft Defender 门户中,选择 “设置 > ”Microsoft Defender XDR > 警报优化。
选择“ 添加新规则 ”以优化新警报,或选择现有规则行进行更改。 选择规则标题将打开规则详细信息页,可在其中查看关联警报列表、编辑条件或打开和关闭规则。
在 “优化警报 ”窗格的 “选择服务源”下,选择要应用规则的服务源。 列表中仅显示具有权限的服务。 例如:
在 “条件” 区域中,为警报的触发器添加条件。 例如,如果要阻止在创建特定文件时触发警报,请为 File:Custom 触发器定义条件,并定义文件详细信息:
列出的触发器会有所不同,具体取决于所选的服务源。 触发器是 IOC) (入侵的所有指标,例如文件、进程、计划任务和其他可能触发警报的证据类型,包括反恶意软件扫描接口 (AMSI) 脚本、Windows Management Instrumentation (WMI) 事件或计划任务。
若要设置多个规则条件,请选择“ 添加筛选器 ”,并使用 AND、 OR 和分组选项来定义触发警报的多个证据类型之间的关系。 进一步的证据属性会自动填充为新的子组,可在其中定义条件值。 条件值不区分大小写,某些属性支持通配符。
在“优化警报”窗格的“操作”区域中,选择希望规则执行的相关操作,“隐藏警报”或“解决警报”。
为警报输入有意义的名称和用于描述警报的注释,然后选择“ 保存”。
注意
警报标题 (名称) 基于警报类型 (IoaDefinitionId) 决定警报标题。 具有相同警报类型的两个警报可以更改为不同的警报标题。
解决警报
分析完警报并可以解决警报后,请转到警报或类似警报 的“管理警报 ”窗格,将状态标记为“ 已解决 ”,然后将其分类为 具有 某种威胁类型、 信息性活动、具有 某种类型活动的预期活动或 误报。
对警报进行分类有助于Microsoft Defender XDR 提高其检测质量。
使用 Power Automate 对警报进行会审
(SecOps) 团队需要自动化才能高效工作的新式安全运营。 为了专注于搜寻和调查实际威胁,SecOps 团队使用 Power Automate 对警报列表进行会审,并消除那些不是威胁的警报。
解决警报的条件
- 用户已打开外出邮件
- 用户未标记为高风险
如果两者均为 true,则 SecOps 会将警报标记为合法旅行并解决它。 警报解决后,Microsoft Teams 中会发布通知。
将 Power Automate 连接到 Microsoft Defender for Cloud Apps
若要创建自动化,需要一个 API 令牌,然后才能将 Power Automate 连接到 Microsoft Defender for Cloud Apps。
打开 Microsoft Defender,选择“设置>云应用>API 令牌”,然后在“API 令牌”选项卡中选择“添加令牌”。
提供令牌的名称,然后选择“ 生成”。 保存令牌,因为稍后会用到它。
创建自动化流
观看此简短视频,了解自动化如何高效地创建流畅的工作流,以及如何将 Power Automate 连接到 Defender for Cloud Apps。
后续步骤
对于进程内事件,请继续 调查。
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。