修正 Microsoft Defender XDR 中的第一个事件

适用于:

  • Microsoft Defender XDR

Microsoft Defender XDR 提供检测和分析功能,以确保遏制和消除威胁。 遏制包括减少攻击影响的步骤,同时根除可确保从网络中删除攻击者活动的所有跟踪。

Microsoft Defender XDR 中的修正可以自动完成,也可以通过事件响应者采取的手动操作进行。 可以对设备、文件和标识执行修正操作。

自动修正

Microsoft Defender XDR 利用其威胁情报和网络内的信号来应对最具破坏性的攻击。 勒索软件、商业电子邮件入侵 (BEC) ,以及中间攻击者 (AiTM) 网络钓鱼是一些最复杂的攻击,可以通过 自动攻击中断 功能立即受到控制。 攻击中断后,事件响应者可以接管攻击并全面调查攻击,并应用所需的补救措施。

了解自动攻击中断如何帮助事件响应:

同时,Microsoft Defender XDR 的 自动调查和响应 功能可以自动调查恶意和可疑项目并应用修正操作。 这些功能可对威胁进行调查和解决,使事件响应人员能够专注于高影响攻击。

可以配置和管理自动调查和响应功能。 还可以通过 操作中心查看所有过去的操作和挂起的操作。

注意

可以在查看后撤消自动操作。

若要加快某些调查任务,可以使用 Power Automate 对警报进行会审。 此外,可以使用自动化和 playbook 创建自动修正。 Microsoft 在 GitHub 上 具有适用于以下方案的 playbook 模板:

  • 请求用户验证后删除敏感文件共享
  • 自动会审不常的国家/地区警报
  • 在禁用帐户之前请求管理员操作
  • 禁用恶意收件箱规则

Playbook 使用 Power Automate 创建自定义机器人流程自动化流,以在触发特定条件后自动执行某些活动。 组织可以从现有模板或从头开始创建 playbook。 还可以在事后评审期间创建 Playbook,以从已解决的事件创建修正操作。

通过以下视频了解 Power Automate 如何帮助你自动执行事件响应:

手动修正

在响应攻击时,安全团队可以利用门户的手动修正操作来阻止攻击进一步造成损害。 某些操作可以立即阻止威胁,而其他操作有助于进一步进行取证分析。 可以根据组织中部署的 Defender 工作负载将这些操作应用于任何实体。

对设备执行的操作

  • 隔离设备 - 通过断开设备与网络的连接来隔离受影响的设备。 设备仍连接到 Defender for Endpoint 服务,以便继续监视。

  • 限制应用执行 - 通过应用代码完整性策略来限制应用程序,该策略仅允许文件在由Microsoft颁发的证书签名的情况下运行。

  • 运行防病毒扫描 - 为设备远程启动 Defender 防病毒扫描。 无论 Defender 防病毒是否是活动防病毒解决方案,扫描都可以与其他防病毒解决方案一起运行。

  • 收集调查包 - 可以在调查或响应过程中从设备收集调查包。 通过收集调查包,可以识别设备的当前状态,并进一步了解攻击者使用的工具和技术。

  • 启动自动调查 - 在设备上启动新的常规用途自动调查。 调查正在运行时,从设备生成的任何其他警报都将添加到正在进行的自动调查中,直到该调查完成。 此外,如果在其他设备上看到相同的威胁,则会将这些设备添加到调查中。

  • 启动实时响应 - 使用远程 shell 连接即时访问设备,以便你可以进行深入的调查工作,并立即采取响应操作,以及时实时包含已识别的威胁。 实时响应旨在通过收集取证数据、运行脚本、发送可疑实体进行分析、修正威胁以及主动搜寻新出现的威胁来增强调查。

  • 咨询 Defender 专家 - 可以咨询 Microsoft Defender 专家,了解有关可能受到威胁或已泄露的设备的更多信息。 Microsoft Defender 专家可以直接在门户中参与进来,以便及时准确地做出响应。 此操作适用于设备和文件。

可通过以下教程获取设备上的其他操作:

注意

你可以直接从攻击故事中的图形对设备执行操作。

对文件执行的操作

  • 停止和隔离文件 - 包括停止运行进程、隔离文件和删除注册表项等持久性数据。
  • 添加指示器以阻止或允许文件 - 通过禁止潜在的恶意文件或可疑恶意软件来防止攻击进一步蔓延。 此操作可防止在组织中的设备上读取、写入或执行文件。
  • 下载或收集文件 – 允许分析师将文件下载到受密码保护 .zip 存档文件中,供组织进一步分析。
  • 深入分析 - 在安全、完全检测的云环境中执行文件。 深入分析结果显示文件的活动、观察到的行为和关联的项目,例如已删除的文件、注册表修改以及与 IP 地址的通信。

修正其他攻击

注意

在环境中启用其他 Defender 工作负载时,这些教程适用。

以下教程枚举在调查实体或响应特定威胁时可以应用的步骤和操作:

后续步骤

另请参阅

提示

想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动