分享方式:


受管理的偵測和回應

適用於:

如需受控偵測和回應指示,請參閱這段短片。

透過自動化與人類專業知識的組合,Microsoft適用於 XDR 的 Defender 專家Microsoft Defender XDR 事件、代表您排定其優先順序、篩選出雜訊、執行詳細調查,以及 (SOC) 小組為安全性作業中心提供可採取動作的受控回應。

事件更新

一旦我們的專家開始調查事件,事件的 [ 指派給 ] 和 [ 狀態] 字 段會分別更新為 [Defender 專家 ] 和 [ 進行中]

當我們的專家結束調查事件時,事件的 [ 分類 ] 字段會根據專家的結果更新為下列其中一項:

  • True 正數
  • 誤判
  • 信息、預期的活動

對應至每個分類的 [ 判斷 ] 字段也會更新,以提供更多有關結果的深入解析,以引導我們的專家判斷上述分類。

[事件] 頁面的螢幕快照,其中顯示 [標記]、[狀態]、[指派給]、[分類] 和 [判斷] 字段。

如果事件分類為 False PositiveInformationalExpected Activity,則事件的 [ 狀態] 字 段會更新為 [ 已解決]。 我們的專家接著會結束此事件的工作,並將 [ 指派給] 字段更新為 [未指派]。 我們的專家可能會在解決事件時分享其調查和結論的更新。 這些更新會張貼在事件的 [受控回應] 飛出視窗面板的 [調查摘要] 底下。

否則,如果事件分類為 True Positive,我們的專家就會識別需要執行的必要回應動作。 執行動作的方法取決於您提供給適用於 XDR 的 Defender 專家服務的許可權和存取層級。 深入瞭解如何將許可權授與我們的專家

  • 如果您已將建議的安全性操作員訪問許可權授與適用於 XDR 的 Defender 專家,我們的專家可以代表您對事件執行必要的回應動作。 這些動作連同 調查摘要,會顯示在事件的 [Microsoft Defender 入口網站中的 [Managed 回應 ] 飛出視窗面板中,供您或 SOC 小組檢閱。 適用於 XDR 的 Defender 專家完成的所有動作都會出現在 [ 已完成的動作 ] 區段下。 任何需要您或您的 SOC 小組完成的擱置動作都會列在 [ 擱置動作 ] 區段下。 如需詳細資訊,請參閱 動作一 節。 一旦我們的專家對事件採取所有必要的動作,其 [ 狀態] 欄位 就會更新為 [ 已解決 ],並將 [ 指派給 ] 字段更新為 [客戶]

  • 如果您已授與適用於 XDR 的 Defender 專家預設安全性讀取者存取權,則必要的回應動作以及 調查摘要會顯示在事件的 [受控 回應 ] 飛出視窗面板中,位於 Microsoft Defender 入口網站的 [ 擱置動作 ] 區段下,供您或您的 SOC 小組執行。 如需詳細資訊,請參閱 動作一 節。 為了識別此事件,事件的 [ 狀態] 欄 位會更新為 [ 等待客戶動作] ,並將 [ 指派給 ] 字段更新為 [客戶]

您可以在 Microsoft Defender 首頁頂端的 [Defender 專家] 橫幅中,檢查需要您採取動作的事件數目。

Microsoft Defender 入口網站中 Defender 專家卡片的螢幕快照,其中顯示等待客戶採取動作的事件數目。

您可以使用數個篩選集,在 Microsoft Defender 入口網站中篩選事件佇列,以檢視與 Defender 專家相關的事件。 深入瞭解新增事件佇列篩選

  • 若要檢視我們的專家目前正在調查的事件,請使用 事件指派 篩選條件,選 取 [指派給Defender專家]

  • 若要檢視我們的專家已調查並交給您的小組以處理擱置中的補救動作的事件,請使用 [事件指派 ] 篩選條件,選擇 [ 指派給客戶小組]

    篩選為僅顯示 [指派給Defender 專家] 標籤的事件佇列螢幕快照。

  • 若要檢視我們的專家已調查並交給您的小組以處理擱置中的補救動作的事件,請使用 [狀態 ] 篩選條件,選擇 [ 等待客戶動作]

    Microsoft Defender 入口網站中事件佇列的螢幕快照,其中已篩選為只顯示具有等候客戶動作卷標的事件佇列。

  • 若要檢視我們的專家已完成對 (的調查,並直接解決或指派給您的小組,以) 暫止補救動作,請使用 [卷標] 篩選,選擇 [ Defender 專家]

    Microsoft Defender 入口網站中已篩選為僅顯示 Defender 專家卷標的事件佇列螢幕快照。

如何在 Microsoft Defender XDR 中使用受控回應

在 Microsoft Defender 入口網站中,需要您注意使用受控回應的事件會將 [ 狀態] 字 段設定為 [ 等候客戶動作]、[ 指派給 ] 字段設定為 [客戶] ,並在 [ 事件 ] 窗格頂端設定工作卡片。 您指定的事件聯繫人也會收到對應的電子郵件通知,其中包含可檢視事件的 Defender 入口網站連結。 深入瞭解通知聯繫人。 您也會收到 Teams 通知,通知您有關更新的資訊。 深入瞭解設定Teams

選取工作卡片或入口網站頁面頂端的 [ 檢視 受控回應], ([受控 回應 ] 索引卷標) 開啟飛出視窗面板,您可以在其中閱讀專家的調查摘要、完成專家所識別的擱置動作,或透過聊天與其互動。

調查摘要

[ 調查摘要 ] 區段提供我們專家所分析之事件的詳細內容,讓您瞭解其嚴重性和潛在影響,如果無法立即解決。 其中可能包含裝置時程表、攻擊指標,以及觀察到的IOC (入侵指標) ,以及其他詳細數據。

Managed 回應調查摘要的螢幕快照。

動作

[ 動作] 索 引標籤會顯示工作卡片,其中包含我們的專家建議的回應動作。

適用於 XDR 的 Defender 專家目前支援下列單鍵受控回應動作:

動作 描述
隔離裝置 隔離裝置,有助於防止攻擊者控制裝置,並執行進一步的活動,例如數據外泄和橫向移動。 隔離的裝置仍會連線到適用於端點的 Microsoft Defender。
隔離的檔案 停止執行中的進程、隔離檔案,以及刪除持續性數據,例如登錄機碼。
限制應用程式執行 限制潛在惡意程序的執行,並鎖定裝置以防止進一步的嘗試。
從隔離釋放 復原裝置的隔離。
移除應用程式限制 復原隔離釋放。
停用使用者 停用身分識別以存取網路和不同的端點。

除了這些單鍵動作之外,您也可以從我們的專家收到您需要手動執行的受控回應。

注意事項

執行任何建議的受控回應動作之前,請確定自動化調查和回應組態尚未解決這些動作。 深入瞭解 Microsoft Defender XDR 中的自動化調查和回應功能

若要檢視和執行 Managed 回應動作:

  1. 選取動作卡片中的箭號按鈕加以展開,並閱讀必要動作的詳細資訊。

    用來隔離裝置 Prod 伺服器的受控回應動作螢幕快照。

  2. 針對具有單鍵回應動作的卡片,選取必要的動作。 視動作的結果而定,卡片中的 [ 動作] 狀態 會變更為 [ 進行中],然後變更為 [ 失敗 ] 或 [ 已完成]。

    受控回應動作的螢幕快照,其中顯示正在隔離裝置生產伺服器。

提示

您也可以在 控制中心監視入口網站內回應動作的狀態。 如果回應動作失敗,請嘗試從 [ 檢視裝置詳細數據 ] 頁面再試一次,或與 Defender 專家 起始聊天

  1. 針對需要手動執行之必要動作的卡片,選取 [ 我已在執行後完成此動作 ],然後選取 [ 是,我已 在出現的確認] 對話框中完成。

    確認動作完成的Managed回應動作螢幕快照。

  2. 如果您不想立即完成必要的動作,請選取 [ 略過],然後在出現的確認對話框中選取 [ 是,略過此動作 ]。

重要事項

如果您注意到動作卡片上的任何按鈕都呈現灰色,則可能表示您沒有執行動作的必要許可權。 請確定您已使用適當的許可權登入 Microsoft Defender XDR 入口網站。 大部分的受控回應動作都需要您至少具有安全性操作員存取權。 如果您仍然遇到此問題,即使具有適當的許可權,請流覽至 [檢視裝置詳細數據 ],然後從該處完成步驟。

在 SIEM 或 ITSM 應用程式中查看 Defender 專家調查

當適用於 XDR 的 Defender 專家調查事件並提出補救動作時,您可以在安全性資訊和事件管理 (SIEM) 和 IT 服務管理 (ITSM) 應用程式中查看其事件工作,包括現成可用的應用程式。

Microsoft Sentinel

您可以開啟其現成的 Microsoft Defender XDR 數據連接器,在 Microsoft Sentinel 中取得事件可見度。 深入了解

當您開啟連接器之後,Defender 專家在 Sentinel 中對應的 [狀態]、[擁有者] 和 [關閉原因] 字段中會顯示Microsoft [狀態]、[擁有者] 和 [關閉原因] 欄位中的 [狀態]、[指給]、[分類] 和 [判斷] 字段。

注意事項

Defender 專家在 Microsoft Defender XDR 中調查的事件狀態通常會從 [作用中] 轉換為 [進行中] 到 [等候客戶動作] 轉換為 [已解決],而在 Sentinel 中,則會遵循 [新增到作用中] 到 [已解決] 路徑。 Microsoft Defender XDR 狀態 等待客戶動作 在 Sentinel 中沒有對等字段;相反地,它會在 Sentinel 中的事件中顯示為標籤。

下一節說明我們專家所處理的事件在 Sentinel 中如何隨著調查旅程的進行而更新:

  1. 我們的專家所調查的事件會將 [狀態 ] 列為 [ 作用 中],而 [擁有者] 則列為 [Defender 專家]

  2. 我們的專家確認為 True Positive 的事件,在 Microsoft Defender XDR 中張貼受控回應,而等待客戶動作卷標擁有者列為客戶。 您必須根據在 Defender 入口網站中提供的受控回應來處理事件。

  3. 我們的專家已確認為 確判的事件,以及 Defender 專家所採取的所有補救動作,已將事件的狀態更新為已 解決 ,且 擁有者 會列為 客戶。 您可以在 Defender 入口網站中使用提供的受控回應,檢閱事件上完成的動作。

  4. 一旦我們的專家完成調查,並以「誤判」或「預期活動的方式關閉事件,事件的狀態會更新為 「已解決」、「擁有者」會更新為「未指派」,並提供關閉的原因

    Microsoft Sentinel 事件的螢幕快照。

其他應用程式

您可以使用 Microsoft Defender XDR APISentinel 中的連接器,來查看 SIEM 或 ITSM 應用程式中的事件。

設定連接器之後,Defender 專家可根據字段對應的實作方式,與第三方 SIEM 或 ITSM 應用程式同步處理Microsoft Defender XDR 中事件的狀態指派給、分類和判斷字段。 為了說明,您可以查看 可從 Sentinel 到 ServiceNow 的連接器

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群