调查Microsoft Defender XDR中的警报

  • 项目

注意

想要体验Microsoft Defender XDR? 详细了解如何评估和试点Microsoft Defender XDR

适用于:

  • Microsoft Defender XDR

注意

本文介绍 Microsoft Defender XDR 中的安全警报。 但是,当用户在 Microsoft 365 中执行特定活动时,可以使用活动警报将电子邮件通知发送给自己或其他管理员。 有关详细信息,请参阅创建活动警报 - Microsoft Purview |Microsoft Docs

警报是所有事件的基础,指示环境中出现恶意或可疑事件。 警报通常是更广泛攻击的一部分,并提供有关事件的线索。

在Microsoft Defender XDR中,相关警报聚合在一起形成事件。 事件将始终提供更广泛的攻击上下文,但是,当需要更深入的分析时,分析警报可能很有用。

警报队列显示当前警报集。 在快速启动Microsoft Defender门户时,可以从事件 & 警报>警报进入警报队列。

Microsoft Defender门户中的“警报”部分

来自不同 Microsoft 安全解决方案(如Microsoft Defender for Endpoint、Microsoft Defender for Office 365和Microsoft Defender XDR)的警报会显示在此处。

默认情况下,Microsoft Defender门户中的警报队列显示过去 30 天内的新警报和正在进行的警报。 最新的警报位于列表顶部,因此你可以先看到它。

在默认警报队列中,可以选择“ 筛选 ”以查看“ 筛选器 ”窗格,从中可以指定警报的子集。 下面是一个示例。

Microsoft Defender门户中的“筛选器”部分。

可以根据以下条件筛选警报:

  • Severity
  • 状态
  • 服务源
  • 实体(受影响的资产)
  • 自动调查状态

Defender for Office 365警报所需的角色

需要具有以下任一角色才能访问Microsoft Defender for Office 365警报:

  • 对于Microsoft Entra全局角色:

    • 全局管理员
    • 安全管理员
    • 安全操作员
    • 全局读取者
    • 安全读取者

  • Office 365安全性 & 合规性角色组

    • 合规性管理员
    • 组织管理

  • 自定义角色

分析警报

若要查看主警报页,请选择警报的名称。 下面是一个示例。

显示Microsoft Defender门户中警报详细信息的屏幕截图

还可以从“管理警报”窗格中选择“打开main警报页”操作。

警报页由以下部分组成:

  • 警报情景,它是与此警报相关的事件和警报的链,按时间顺序排列
  • 摘要详细信息

在整个警报页中,可以选择任何实体旁边的省略号 (...) 以查看可用操作,例如将警报链接到另一个事件。 可用操作列表取决于警报的类型。

警报源

Microsoft Defender XDR警报可能来自Microsoft Defender for Endpoint、Microsoft Defender for Office 365等解决方案Microsoft Defender for Identity,Microsoft Defender for Cloud Apps,Microsoft Defender for Cloud Apps的应用治理加载项,Microsoft Entra ID 保护和 Microsoft 数据丢失防护。 你可能会注意到警报中包含前置字符的警报。 下表提供了指导,可帮助你了解基于警报前置字符的警报源映射。

注意

  • 前置 GUID 仅特定于统一体验,例如统一警报队列、统一警报页、统一调查和统一事件。
  • 前面附加的字符不会更改警报的 GUID。 对 GUID 的唯一更改是前面的组件。
警报源 前置字符
Microsoft Defender XDR ra
ta for ThreatExperts
ea for DetectionSource = DetectionSource.CustomDetection
Microsoft Defender for Office 365 fa{GUID}
例如:fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Endpoint 对于自定义检测警报,daed
Microsoft Defender for Identity aa{GUID}
例如:aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
例如:ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID 保护 ad
应用治理 ma
Microsoft 数据丢失防护 dl

配置Microsoft Entra IP 警报服务

  1. 转到Microsoft Defender门户 (security.microsoft.com) ,选择“设置Microsoft Defender XDR>”。

  2. 从列表中选择“警报服务设置”,然后配置Microsoft Entra ID 保护警报服务。

    Microsoft Defender门户中Microsoft Entra ID 保护警报设置的屏幕截图。

默认情况下,仅启用安全操作中心最相关的警报。 如果要获取所有Microsoft Entra IP 风险检测,可以在“警报服务设置”部分中进行更改。

还可以直接从Microsoft Defender门户中的“事件”页访问警报服务设置

重要

某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

分析受影响的资产

处理部分包含受影响资产的列表,例如邮箱、设备和受此警报影响的用户。

还可以选择“在操作中心查看”,在Microsoft Defender门户中查看操作中心的历史记录”选项卡。

跟踪警报在警报情景中的角色

警报情景在进程树视图中显示与警报相关的所有资产或实体。 首次进入所选警报页面时,游戏中的警报是焦点。 警报情景中的资产可展开且可单击。 它们提供了其他信息,并允许你在警报页面的上下文中采取相应措施,从而加快响应。

注意

警报情景部分可能包含多个警报,与所选警报之前或之后显示与相同执行树相关的其他警报。

在详细信息页上查看更多警报信息

详细信息页显示所选警报的详细信息,以及与之相关的详细信息和操作。 如果在警报情景中选择任何受影响的资产或实体,则详细信息页将更改为向所选对象提供上下文信息和操作。

选择感兴趣的实体后,详细信息页将更改为显示有关所选实体类型的信息、可用时的历史信息,以及直接从警报页对此实体执行操作的选项。

管理警报

若要管理警报,请在警报页的摘要详细信息部分中选择“管理警报”。 对于单个警报,下面是“管理警报”窗格的示例。

Microsoft Defender门户中“管理警报”部分的屏幕截图

使用“ 管理警报 ”窗格可以查看或指定:

  • 警报状态(新建、已解决、正在进行)。
  • 已分配警报的用户帐户。
  • 警报的分类:
    • 未设置 默认) (。
    • 具有某种威胁的真正值。 对准确指示真实威胁的警报使用此分类。 指定此威胁类型会提醒安全团队看到威胁模式,并采取行动保护组织免受威胁模式的危害。
    • 具有某种类型活动的信息性预期活动。 对于技术上准确但表示正常行为或模拟威胁活动的警报,请使用此选项。 你通常希望忽略这些警报,但预期这些警报适用于将来由实际攻击者或恶意软件触发的类似活动。 使用此类别中的选项对来自受信任应用和用户的安全测试、红队活动和预期异常行为的警报进行分类。
    • 对于创建的警报类型(即使没有恶意活动)或针对误报,则为误报。 使用此类别中的选项将错误地标识为正常事件或活动的警报分类为恶意或可疑事件。 与“信息性、预期活动”的警报不同,“信息性、预期活动”也可用于捕获实际威胁,你通常不希望再次看到这些警报。 将警报分类为误报有助于Microsoft Defender XDR提高检测质量。
  • 对警报的注释。

注意

2022 年 8 月 29 日左右,以前支持的警报确定值 (“Apt”和“SecurityPersonnel”) 将弃用,不再通过 API 提供。

注意

使用标记管理警报的一种方法。 Microsoft Defender for Office 365的标记功能正在逐步推出,目前为预览版。

目前,修改后的标记名称仅应用于更新 创建的警报。 修改前生成的警报不会反映更新的标记名称。

若要管理一组类似于特定警报的警报,请在警报页的“摘要详细信息”部分的“见解”框中选择“查看类似警报”。

在Microsoft Defender门户中选择警报的屏幕截图

然后,可从“管理警报”窗格中同时对所有相关警报进行分类。 下面是一个示例。

在Microsoft Defender门户中管理相关警报的屏幕截图

如果过去已对类似警报进行分类,则可以使用Microsoft Defender XDR建议来了解如何解决其他警报,从而节省时间。 在摘要详细信息部分中,选择“建议”。

为警报选择建议的示例的屏幕截图

建议 选项卡提供下一步操作和建议,用于调查、修正和预防。 下面是一个示例。

警报建议示例的屏幕截图

优化警报

作为安全运营中心 (SOC) 分析师,首要问题之一是会审每天触发的警报数量。 分析师的时间很宝贵,希望只关注高严重性和高优先级警报。 同时,分析师还需要对低优先级警报进行会审和解决,这往往是一个手动过程。

通过警报优化,可以提前优化和管理警报。 这可以简化警报队列,并自动隐藏或解决警报,每次发生特定预期的组织行为,并满足规则条件,从而节省会审时间。

可以基于“证据类型”创建规则条件,例如文件、进程、计划任务以及触发警报的许多其他证据类型。 创建规则后,可以对所选警报或任何满足规则条件的警报类型应用规则来优化警报。

此外,此功能还涵盖来自各种Microsoft Defender XDR服务源的警报。 公共预览版中的警报优化功能可从 Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps、Microsoft Entra ID 保护 (Microsoft Entra IP) 等工作负载(如果这些源在平台和计划中可用)获取警报。 以前,警报优化功能仅从 Defender for Endpoint 工作负载捕获警报。

注意

建议谨慎使用警报优化(以前称为 警报抑制)。 在某些情况下,已知的内部业务应用程序或安全测试会触发预期的活动,你不希望看到这些警报。 因此,可以创建规则来优化这些警报类型。

创建规则条件以优化警报

可通过两种方法在 Microsoft Defender XDR 中优化警报。 若要从 “设置” 页优化警报,请执行以下操作:

  1. 转到"设置"。 在左窗格中,转到 “规则” ,然后选择“ 警报优化”。

    Microsoft Defender XDR的“设置”页中的“警报优化”选项的屏幕截图。

    选择“ 添加新规则 ”以优化新警报。 还可以通过从列表中选择规则来编辑此视图中的现有规则。

    在“警报优化”页中添加新规则的屏幕截图。

  2. “优化警报 ”窗格中,可以在“服务源”下的下拉菜单中选择规则适用的 服务源

    “优化警报”页中“服务源”下拉菜单的屏幕截图。

    注意

    仅显示用户有权访问的服务。

  3. 在 IOC 部分下,添加触发警报 (IOC) 泄露指示器 。 可以添加条件,以在由特定 IOC 或警报中添加的任何 IOC 触发时停止警报。

    IOC 是触发警报的文件、进程、计划任务和其他证据类型等指标。

    “优化警报”页中 IOC 菜单的屏幕截图。

    若要设置多个规则条件,请使用 ANDOR 和分组选项在导致警报的多个“证据类型”之间建立关系。

    1. 例如,选择触发证据 实体角色:触发器等于任意 ,以在警报中添加的任何 IOC 触发时停止警报。 此“证据”的所有属性将自动填充为下面的相应字段中的新子组。

    注意

    条件值不区分大小写。

    1. 如果支持) ,可以根据要求 (使用通配符编辑和/或删除此“证据”的属性。

    2. 除文件和进程外,反恶意软件扫描接口 (AMSI) 脚本、Windows Management Instrumentation (WMI) 事件以及计划任务是一些新添加的证据类型,你可以从证据类型下拉列表中进行选择。

    3. 若要添加另一个 IOC,请单击“ 添加筛选器”。

    注意

    至少需要向规则条件添加一个 IOC 才能优化任何警报类型。

  4. “操作” 部分中,执行“ 隐藏警报” 或“ 解决警报”的相应操作。

    输入“名称”、“说明”,然后单击“保存”。

    注意

    警报标题 (名称) 基于警报类型 (IoaDefinitionId) 决定警报标题。 具有相同警报类型的两个警报可以更改为不同的警报标题。

    “优化警报”页中“操作”菜单的屏幕截图。

若要从“警报”页优化 警报 ,请执行以下操作:

  1. 在“事件和警报”下的“警报”页中选择一个警报。 或者,可以在“事件”页中查看事件详细信息时选择警报。

    可以通过自动在警报详细信息页面右侧打开的 “优化警报 ”窗格来优化警报。

    “警报”页中的“优化警报”窗格的屏幕截图。

  2. 在“警报类型”部分选择 警报 应用的条件。 选择“ 仅此警报类型 ”,对所选警报应用规则。

    但是,若要对满足规则条件的任何警报类型应用规则,请选择 “基于 IOC 条件的任何警报类型”。

    “优化警报”窗格的屏幕截图,其中突出显示了“警报类型”部分。

  3. 如果警报优化是特定于终结点的 Defender,则需要填写 “作用域 ”部分。 选择规则是应用于组织中的所有设备,还是应用于特定设备。

    注意

    将规则应用于所有组织需要管理角色权限。

    “优化警报”窗格的屏幕截图,其中突出显示了“作用域”部分。

  4. “条件” 部分中添加条件,以在由特定 IOC 或警报中添加的任何 IOC 触发时停止警报。 可以在本节中选择特定设备、多个设备、设备组、整个组织或用户。

    注意

    如果仅为“用户”设置了“作用域”,则必须具有管理员权限。 将“用户范围”与“设备”、“设备组”一起设置时,不需要管理员权限。

    “优化警报”窗格的屏幕截图,其中突出显示了“条件”部分。

  5. 在 IOC 部分中添加应用规则的 IOC 。 可以选择“ 任何 IOC ”来停止警报,无论是什么“证据”导致了警报。

    “优化警报”窗格的屏幕截图,其中突出显示了 IOC 部分。

  6. 或者,可以在“IOC”部分选择“自动填充所有警报 7 相关 IOC”,在“条件”部分同时添加所有与警报相关的证据类型及其属性。

    自动填充所有警报相关的 IOC 的屏幕截图。

  7. “操作” 部分中,执行“ 隐藏警报” 或“ 解决警报”的相应操作。

    输入“名称”、“注释”,然后单击“保存”。

    “优化警报”窗格中“操作”部分的屏幕截图。

  8. 防止 IOC 在将来被阻止:

    保存警报优化规则后,在出现的“ 成功创建规则 ”页中,可以将所选 IOC 作为指示器添加到“允许列表”,并防止将来阻止它们。

    列表中将显示所有与警报相关的 IOC。

    默认情况下,将选择在抑制条件中选择的 IOC。

    1. 例如,可以将要允许的文件添加到 选择证据 (IOC) 允许。 默认情况下,将选择触发警报的文件。
    2. 选择要应用的范围中输入范围。 默认情况下,已选择相关警报的范围。
    3. 单击保存。 现在,文件不会像在允许列表中一样被阻止。

  9. 默认情况下,新的警报优化功能可用。

    但是,可以通过导航到“设置”Microsoft Defender XDR“规则>警报优化”>,>然后关闭“启用新优化规则创建”开关,在Microsoft Defender门户中切换回以前的体验。

    注意

    很快,只有新的警报优化体验才可用。 你将无法返回到以前的体验。

  10. 编辑现有规则:

    通过选择相关规则并单击“编辑规则”,始终可以在Microsoft Defender门户中添加或更改新规则或现有规则的规则条件和范围。

    若要编辑现有规则,请确保已启用“ 启用新建警报优化规则创建 ”开关。

解决警报

分析完警报并可以解决警报后,请转到警报或类似警报 的“管理警报 ”窗格,将状态标记为“ 已解决 ”,然后将其分类为 具有 某种威胁类型、 信息性活动、具有 某种类型活动的预期活动或 误报

对警报进行分类有助于Microsoft Defender XDR提高其检测质量。

使用 Power Automate 对警报进行会审

(SecOps) 团队需要自动化才能高效工作的新式安全运营。 为了专注于搜寻和调查实际威胁,SecOps 团队使用 Power Automate 对警报列表进行会审,并消除那些不是威胁的警报。

解决警报的条件

  • 用户已打开外出邮件
  • 用户未标记为高风险

如果两者均为 true,则 SecOps 会将警报标记为合法旅行并解决它。 警报解决后,Microsoft Teams 中会发布通知。

将 Power Automate 连接到Microsoft Defender for Cloud Apps

若要创建自动化,需要先获得 API 令牌,然后才能将 Power Automate 连接到Microsoft Defender for Cloud Apps。

  1. 打开Microsoft Defender并选择“设置>云应用>API 令牌”,然后在“API 令牌”选项卡中选择“添加令牌”。

  2. 提供令牌的名称,然后选择“ 生成”。 保存令牌,因为稍后会用到它。

创建自动化流

观看此简短视频,了解自动化如何高效地创建流畅的工作流,以及如何将 Power Automate 连接到 Defender for Cloud Apps。

后续步骤

对于进程内事件,请继续 调查

另请参阅

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR技术社区