调查 Microsoft Defender XDR 中的 Defender for Identity 安全警报
本文章介绍了如何在 Microsoft Defender XDR 中使用 Microsoft Defender for Identity 安全警报的基础知识。
Defender for Identity 警报以专用的身份警报页面格式本机集成到 Microsoft Defender XDR 中。
身份警报页面为 Microsoft Defender for Identity 客户提供了更好的跨域信号扩充和新的自动化身份回复功能。 它可确保你的安全,并帮助提高安全运营的效率。
通过 Microsoft Defender XDR 调查警报的好处之一是,Microsoft Defender for Identity 警报与从套件中的每个其他产品获取的信息进一步关联。 这些增强的警报与源自 Microsoft Defender for Office 365 和 Microsoft Defender for Endpoint 的其他 Microsoft Defender XDR 警报格式一致。 新页面有效地消除了导航到另一个产品门户以调查与身份关联的警报的需要。
来自 Defender for Identity 的警报现在可以触发 Microsoft Defender XDR 自动调查和响应 (AIR) 功能,包含自动修正警报以及缓解可疑活动的工具和流程。
重要
作为与 Microsoft Defender XDR 融合的一部分,一些选项和详细信息已从其在 Defender for Identity 门户中的位置更改。 请阅读下面的详细信息,发现在哪里可以找到熟悉的和新的功能。
查看安全警报
可以从多个位置访问警报,包含警报页面、事件页面、单个设备的页面以及高级搜寻页面。 在本例中,我们将查看警报页面。
在 Microsoft Defender XDR 中,转到“事件和警报”,然后转到“警报”。
要查看来自 Defender for Identity 的警报,请在右上角选择筛选器,然后在服务源下选择 Microsoft Defender for Identity,然后选择应用:
警报的信息显示在以下列中:警报名称、标记、严重性、调查状态、状态、类别、检测源、受影响的资产、第一个活动和最后一个活动。
安全警报类别
Defender for Identity 安全警报分为以下类别或阶段,如典型的网络攻击杀伤链中的阶段。
管理警报
如果你选择了其中一个警报的警报名称,你将转到包含警报详细信息的页面。 在左侧窗格中,你将看到发生了什么的摘要:
发生了什么框上方是警报的帐户、目的地主机和源主机按钮。 对于其他警报,你可能会看到有关其他主机、帐户、IP 地址、域和安全组的详细信息的按钮。 选择其中任何一个以获取有关实体的更多详细信息。
在右侧窗格中,你将看到警报详细信息。 在此处,你可以看到更多详细信息并执行多项任务:
将此警报分类 - 在此处你可以将此警报指定为真警报或假警报
警报状态 - 在设置分类中,可以将警报分类为真或假。 在分配对象中,你可以将警报分配给自己或取消分配。
警报详细信息 - 在警报详细信息下,你可以找到有关特定警报的更多信息,单击有关警报类型的文档链接,查看警报与哪个事件关联,查看链接到此警报类型的任何自动调查,并查看受影响的设备和用户。
批注和历史记录 - 可在此处向警报添加批注,并查看与警报关联的所有操作的历史记录。
管理警报 - 如果你选择管理警报,你将转到一个窗格,该窗格将允许你编辑:
状态 - 你可以选择新建、已解决或正在进行。
分类 - 你可以选择真警报或假警报。
注释 - 你可以添加有关警报的注释。
如果选择管理警报旁边的三个点,则可以将警报链接到另一个事件、创建抑制规则(仅预览版客户可用)或询问 Defender 专家。
你也可以将警报导出到 Excel 文件中。 为此,请选择导出。
注意
在 Excel 文件中,你现在有两个可用链接:在 Microsoft Defender for Identity 中查看和在 Microsoft Defender XDR 中查看。 每个链接都会将你带到相关门户,并在那里提供有关警报的信息。
优化警报
优化你的警报以进行调整和优化,减少误报。 警报优化功能使您的 SOC 团队能够专注于高优先级警报,并增大在整个系统中的威胁检测覆盖面。 在 Microsoft Defender XDR 中,根据证据类型创建规则条件,然后将规则应用于与您的条件匹配的任何规则类型。
有关详细信息,请参阅优化警报。