调查 Microsoft Defender XDR 中的 Defender for Identity 安全警报

注意

Defender for Identity 的设计目的并非作为审计或日志记录解决方案,用于捕获安装传感器的服务器上的每一个操作或活动。 它只捕获检测和建议机制所需的数据。

本文章介绍了如何在 Microsoft Defender XDR 中使用 Microsoft Defender for Identity 安全警报的基础知识。

Defender for Identity 警报以专用的身份警报页面格式本机集成到 Microsoft Defender XDR 中。

身份警报页面为 Microsoft Defender for Identity 客户提供了更好的跨域信号扩充和新的自动化身份回复功能。 它可确保你的安全,并帮助提高安全运营的效率。

通过 Microsoft Defender XDR 调查警报的好处之一是,Microsoft Defender for Identity 警报与从套件中的每个其他产品获取的信息进一步关联。 这些增强的警报与源自 Microsoft Defender for Office 365Microsoft Defender for Endpoint 的其他 Microsoft Defender XDR 警报格式一致。 新页面有效地消除了导航到另一个产品门户以调查与身份关联的警报的需要。

来自 Defender for Identity 的警报现在可以触发 Microsoft Defender XDR 自动调查和响应 (AIR) 功能,包含自动修正警报以及缓解可疑活动的工具和流程。

重要

作为与 Microsoft Defender XDR 融合的一部分,一些选项和详细信息已从其在 Defender for Identity 门户中的位置更改。 请阅读下面的详细信息,发现在哪里可以找到熟悉的和新的功能。

查看安全警报

可以从多个位置访问警报,包含警报页面、事件页面、单个设备的页面以及高级搜寻页面。 在本例中,我们将查看警报页面

Microsoft Defender XDR 中,转到事件 & 警报,然后转到警报

“警报”菜单项

要查看来自 Defender for Identity 的警报,请在右上角选择筛选器,然后在服务源下选择 Microsoft Defender for Identity,然后选择应用

Defender for Identity 事件的筛选器

警报的信息显示在以下列中:警报名称标记严重性调查状态状态类别检测源受影响的资产第一个活动最后一个活动

Defender for Identity 事件

安全警报类别

Defender for Identity 安全警报分为以下类别或阶段,如典型的网络攻击杀伤链中的阶段。

管理警报

如果你选择了其中一个警报的警报名称,你将转到包含警报详细信息的页面。 在左侧窗格中,你将看到发生了什么的摘要:

“发生了什么”窗格

发生了什么框上方是警报的帐户目的地主机源主机按钮。 对于其他警报,你可能会看到有关其他主机、帐户、IP 地址、域和安全组的详细信息的按钮。 选择其中任何一个以获取有关实体的更多详细信息。

在右侧窗格中,你将看到警报详细信息。 在此处,你可以看到更多详细信息并执行多项任务:

  • 将此警报分类 - 在此处你可以将此警报指定为真警报假警报

    可对警报进行分类的页面

  • 警报状态 - 在设置分类中,可以将警报分类为。 在分配对象中,你可以将警报分配给自己或取消分配。

    “警报状态”窗格

  • 警报详细信息 - 在警报详细信息下,你可以找到有关特定警报的更多信息,单击有关警报类型的文档链接,查看警报与哪个事件关联,查看链接到此警报类型的任何自动调查,并查看受影响的设备和用户。

    “警报详细信息”页面

  • 评论 & 历史记录 - 在此处,你可以将批注添加到警报中,并查看与警报相关联的所有操作的历史记录。

    “批注和历史记录”页面

  • 管理警报 - 如果你选择管理警报,你将转到一个窗格,该窗格将允许你编辑:

    • 状态 - 你可以选择新建已解决正在进行

    • 分类 - 你可以选择真警报假警报

    • 注释 - 你可以添加有关警报的注释。

    • 如果选择管理警报旁边的三个点,则可以将警报链接到另一个事件创建抑制规则(仅预览版客户可用)或询问 Defender 专家

      “管理警报”选项

      你也可以将警报导出到 Excel 文件中。 为此,请选择导出。

      注意

      在 Excel 文件中,你现在有两个可用链接:在 Microsoft Defender for Identity 中查看在 Microsoft Defender XDR 中查看。 每个链接都会将你带到相关门户,并在那里提供有关警报的信息。

优化警报

优化你的警报以进行调整和优化,减少误报。 警报优化功能使您的 SOC 团队能够专注于高优先级警报,并增大在整个系统中的威胁检测覆盖面。 在 Microsoft Defender XDR 中,根据证据类型创建规则条件,然后将规则应用于与您的条件匹配的任何规则类型。

有关详细信息,请参阅优化警报

另请参阅

了解详细信息