Microsoft Defender 入口網站中的事件回應

  • 文章
  • 適用於:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender 入口網站中的事件是相關警示和相關聯數據的集合,這些數據構成攻擊的故事。 這也是您的SOC可用來調查該攻擊並管理、實作及記錄其回應的案例檔案。

Microsoft Sentinel 和 Microsoft Defender 服務會在偵測到可疑或惡意事件或活動時建立警示。 個別警示提供已完成或進行中攻擊的寶貴證據。 不過,日益普遍且複雜的攻擊通常會針對不同類型的資產實體運用各種技術和向量,例如裝置、使用者和信箱。 結果是數字資產中多個資產實體有多個來自多個來源的警示。

因為個別警示都只說明本文的一部分,而且手動將個別警示分組在一起以深入了解攻擊可能既具挑戰性又耗時,因此統一安全性作業平臺會自動識別與 Microsoft Sentinel 和 Microsoft Defender 全面偵測回應 相關的警示,並將它們及其相關聯的信息匯總到事件中。

Microsoft Defender 全面偵測回應 如何將實體的事件與事件相互關聯。

將相關警示分組至事件可讓您全面檢視攻擊。 例如,您可以:

  • 攻擊開始的位置。
  • 使用了哪些策略。
  • 攻擊進入數字資產的程度。
  • 攻擊的範圍,例如有多少裝置、使用者和信箱受到影響。
  • 與攻擊相關聯的所有數據。

Microsoft Defender 入口網站中的統一安全性作業平臺包含自動化和協助事件分級、調查和解決的方法。

  • Defender 中的 Microsoft Copilot 會利用 AI 來支援具有複雜且耗時之每日工作流程的分析師,包括端對端事件調查和回應,其中包含清楚描述的攻擊案例、可採取動作的逐步補救指引和事件活動摘要報告、自然語言 KQL 搜捕,以及專家程式代碼分析—優化 Microsoft Sentinel 和 Defender 全面偵測回應 數據的 SOC 效率。

    這項功能是除了 Microsoft Sentinel 在使用者和實體行為分析、異常偵測、多階段威脅偵測等領域中,提供給統一平臺的其他 AI 型功能。

  • 自動化攻擊中斷會使用從 Microsoft Defender 全面偵測回應 和 Microsoft Sentinel 收集的高信賴度訊號,在計算機速度自動中斷作用中的攻擊,其中包含威脅並限制影響。

  • 如果啟用,Microsoft Defender 全面偵測回應 可以透過自動化和人工智慧自動調查和解決來自 Microsoft 365 和 Entra ID 來源的警示。 您也可以執行其他補救步驟來解決攻擊。

  • Microsoft Sentinel 自動化規則 可以自動分級、指派和管理事件,而不論事件的來源為何。 他們可以根據其內容將標記套用至事件、隱藏雜訊 (誤判) 事件,以及關閉符合適當準則的已解決事件、指定原因並新增批註。

重要事項

Microsoft Sentinel 可作為 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

Microsoft Defender 入口網站中的事件和警示

提示

在 2024 年 1 月的有限時間內,當您流覽 [事件 ] 頁面時,會出現 Defender Boxed。 Defender Boxed 強調貴組織在 2023 年的安全性成功、改進和響應動作。 若要重新開啟 Defender Boxed,請在 Microsoft Defender 入口網站中移至 [事件],然後選取 [您的 Defender Boxed]

您可以在 Microsoft Defender 入口網站快速啟動時,從調查 & 回應>事件 & 警示>事件管理事件。 以下為範例:

Microsoft Defender 入口網站中的 [事件] 頁面。

選取事件名稱會顯示事件頁面,從事件的整個 攻擊案例 開始,包括:

  • 事件內的警示頁面:與事件相關的警示範圍及其在相同索引卷標上的資訊。

  • 圖形:攻擊的可視化表示法,可將屬於攻擊一部分的不同可疑實體與構成攻擊目標的資產實體連接,例如使用者、裝置、應用程式和信箱。

您可以直接從圖表檢視資產和其他實體詳細數據,並使用回應選項來處理它們,例如停用帳戶、刪除檔案或隔離裝置。

顯示 Microsoft Defender 入口網站中事件攻擊劇本頁面的螢幕快照。

事件頁面包含下列索引標籤:

  • 攻擊故事

    如上所述,此索引卷標包含攻擊的時間軸,包括所有警示、資產實體和採取的補救動作。

  • 提醒

    與事件相關的所有警示、其來源和資訊。

  • 資產

    所有資產 (受保護的實體,例如已識別為事件一部分或與事件相關聯的裝置、使用者、信箱、應用程式和雲端資源) 。

  • 調查

    事件中警示所觸發的所有 自動化調查 ,包括調查狀態及其結果。

  • 辨識項和回應

    事件警示中的所有可疑實體,這些實體構成支持攻擊事件的辨識項。 這些實體可以包含IP位址、檔案、進程、URL、登錄機碼和值等等。

  • 摘要

    與警示相關聯之受影響資產的快速概觀。

注意事項

如果您看到 不支援的警示類型警示 狀態,這表示自動化調查功能無法挑選該警示來執行自動化調查。 不過,您可以 手動調查這些警示

Microsoft Defender 入口網站中的事件回應工作流程範例

以下是使用 Microsoft Defender 入口網站回應 Microsoft 365 中事件的工作流程範例。

Microsoft Defender 入口網站的事件回應工作流程範例。

請持續找出事件佇列中最高優先順序的事件,以進行分析和解決,並將其備妥以進行回應。 此是以下動作的結合:

  • 透過 篩選和排序事件佇列來分級以判斷最高優先順序的事件。
  • 由修改事件標題、將事件指派給分析師,以及新增標記和批註來管理事件。

您可以使用 Microsoft Sentinel 自動化規則來自動分級和管理 (,甚至回應) 某些事件建立時,移除最簡單處理的事件,使其無法佔用佇列中的空間。

針對您自己的事件回應工作流程,請考慮下列步驟:

階段 步驟
針對每個事件,開始 攻擊和警示調查和分析
  1. 檢視事件的攻擊案例,以瞭解其範圍、嚴重性、偵測來源,以及受影響的資產實體。
  2. 開始分析警示,以瞭解警示事件內的來源、範圍和嚴重性。
  3. 視需要使用圖表收集受影響裝置、使用者和信箱的相關信息。 選取任何實體以開啟包含所有詳細數據的飛出視窗。 請繼續進行實體頁面,以取得更多深入解析。
  4. 查看 Microsoft Defender 全面偵測回應 如何使用 [調查] 索引標籤自動解決某些警示
  5. 視需要使用事件數據集中的資訊,以取得 [ 辨識項和回應] 索引 標籤的詳細資訊。
在分析之後或期間,執行遏制以減少攻擊的任何額外影響和安全性威脅的根除。 例如:
  • 停用遭入侵的使用者
  • 隔離受影響的裝置
  • 封鎖惡意IP位址。
    		•
    盡可能將租用戶資源還原為事件之前的狀態,以從攻擊中復原。
    解決 事件並記錄您的結果。 事件後學習需要一些時間來:
  • 了解攻擊的類型及其影響。
  • 威脅分析 和安全性社群中研究攻擊的安全性攻擊趨勢。
  • 回顧您用來解決事件的工作流程,並視需要更新標準工作流程、程序、原則及劇本。
  • 判斷是否需要變更您的安全性設定,並實作變更。
    		•

    如果您不熟悉安全性分析,請參閱 回應第一個事件的簡介 以取得其他資訊,並逐步執行範例事件。

    如需跨 Microsoft 產品的事件回應詳細資訊,請參閱 這篇文章

    整合 Microsoft Defender 入口網站中的安全性作業

    以下是在 Microsoft Defender 入口網站中整合安全性作業 (SecOps) 程式的範例。

    Microsoft Defender 全面偵測回應 的安全性作業範例

    每日工作可以包括:

    每月工作可以包括:

    每季的工作可以包括向資訊安全長報告及向資訊安全長介紹資訊安全長, (CISO) 。

    年度工作可能包括進行重大事件或缺口練習,以測試您的員工、系統和程式。

    每日、每月、每季和年度工作可用來更新或精簡程序、原則和安全性設定。

    如需詳細資訊,請參閱將 Microsoft Defender 全面偵測回應 整合到您的安全性作業

    跨 Microsoft 產品的 SecOps 資源

    如需有關 Microsoft 產品之 SecOps 的詳細資訊,請參閱下列資源:

    透過電子郵件的事件通知

    您可以設定 Microsoft Defender 入口網站,以使用有關新事件或現有事件更新的電子郵件通知您的員工。 您可以選擇根據下列專案取得通知:

    • 警示嚴重性
    • 警示來源
    • 裝置群組

    若要設定事件的電子郵件通知,請參閱 取得事件的電子郵件通知

    安全性分析師訓練

    使用 Microsoft Learn 的此學習課程模組,瞭解如何使用 Microsoft Defender 全面偵測回應 來管理事件和警示。

    訓練: 使用 Microsoft Defender 全面偵測回應 調查事件
    使用 Microsoft Defender 全面偵測回應 訓練圖示調查事件。 Microsoft Defender 全面偵測回應 將來自多個服務的威脅數據整合,並使用 AI 將它們合併成事件和警示。 了解如何縮短事件與其管理之間的時間長度,以進行後續的回應與解決。

    27 分鐘 - 6 單位

    開始 >

    後續步驟

    根據您在安全性小組上的經驗層級或角色,使用列出的步驟。

    體驗層級

    請遵循下表,瞭解您在安全性分析和事件回應的體驗層級。

    層級 步驟
    新增
    1. 請參閱回應您的第一個事件逐步解說,以取得在 Microsoft Defender 入口網站中使用範例攻擊進行分析、補救和事件后檢閱的一般程序導覽。
    2. 查看哪些事件應根據嚴重性和其他因素排 定優先順序
    3. 管理事件,包括重新命名、指派、分類,以及根據您的事件管理工作流程新增標記和批註。
    經歷
    1. 從 Microsoft Defender 入口網站的 [事件] 頁面開始使用事件佇列。 您可以在這裡:
      • 查看哪些事件應根據嚴重性和其他因素排 定優先順序
      • 管理事件,包括重新命名、指派、分類,以及根據您的事件管理工作流程新增標記和批註。
      • 執行事件 調查
    2. 使用 威脅分析來追蹤和回應新興威脅。
    3. 使用 進階威脅搜捕主動搜捕威脅
    4. 如需網路釣魚、密碼噴射和應用程式同意授與攻擊的詳細指引,請參閱這些 事件回應劇本

    安全性小組角色

    請根據您的安全性小組角色遵循下表。

    角色 步驟
    第 1 層 (事件回應) 從 Microsoft Defender 入口網站的 [事件] 頁面開始使用事件佇列。 您可以在這裡:
    • 查看哪些事件應根據嚴重性和其他因素排 定優先順序
    • 管理事件,包括重新命名、指派、分類,以及根據您的事件管理工作流程新增標記和批註。
    第 2 層 (安全性調查人員或分析師)
    1. 從 Microsoft Defender 入口網站的 [事件] 頁面執行事件調查
    2. 如需網路釣魚、密碼噴射和應用程式同意授與攻擊的詳細指引,請參閱這些 事件回應劇本
    第 3 層 (進階安全性分析師或威脅搜捕人員)
    1. 從 Microsoft Defender 入口網站的 [事件] 頁面執行事件調查
    2. 使用 威脅分析來追蹤和回應新興威脅。
    3. 使用 進階威脅搜捕主動搜捕威脅
    4. 如需網路釣魚、密碼噴射和應用程式同意授與攻擊的詳細指引,請參閱這些 事件回應劇本
    SOC 管理員 瞭解如何將 Microsoft Defender 全面偵測回應 整合到資訊安全作業中心 (SOC)

    提示

    想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。