通过

Microsoft Defender门户中的事件和警报

  • 项目
  • 适用于:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender门户汇集了一组统一的安全服务,以减少受到安全威胁的风险、改善组织安全状况、检测安全威胁以及调查和响应违规行为。 这些服务收集并生成门户中显示的信号。 两种main类型的信号是:

警报:各种威胁检测活动产生的信号。 这些信号指示环境中发生恶意或可疑事件。

事件:包含相关警报集合并讲述攻击完整情况的容器。 单个事件中的警报可能来自所有Microsoft安全性和合规性解决方案,以及来自通过 Microsoft Sentinel 和 Microsoft Defender for Cloud 收集的大量外部解决方案。

用于关联和调查的事件

虽然可以调查和缓解单个警报引起你注意的威胁,但这些威胁本身是孤立的事件,不会告诉你有关更广泛、复杂的攻击情况的任何信息。 可以搜索、研究、调查和关联属于单个攻击事件中的警报组,但这将花费大量时间、精力和精力。

相反,Microsoft Defender门户中的相关引擎和算法会自动聚合相关警报并将其关联在一起,以形成表示这些较大攻击事件的事件。 Defender 将多个信号识别为属于同一个攻击事件,使用 AI 持续监视其遥测源,并为已打开的事件添加更多证据。 事件包含被认为彼此相关和整体攻击事件相关的所有警报,并采用各种形式呈现该事件:

  • 警报及其所基于的原始事件的时间线
  • 使用的策略列表
  • Lists所有涉及和受影响的用户、设备和其他资源
  • 故事中所有玩家如何交互的可视化表示形式
  • Defender XDR启动和完成的自动调查和响应过程的日志
  • 支持攻击故事的证据集合:恶意参与者的用户帐户和设备信息和地址、恶意文件和进程、相关威胁情报等
  • 攻击故事的文本摘要

事件还提供用于管理和记录调查和威胁响应的框架。 有关事件在这方面的功能的详细信息,请参阅在 Microsoft Defender 中管理事件

警报源和威胁检测

Microsoft Defender门户中的警报来自许多源。 这些源包括属于Microsoft Defender XDR的许多服务,以及与 Microsoft Defender 门户不同程度集成的其他服务。

例如,将Microsoft Sentinel载入Microsoft Defender门户时,Defender 门户中的相关引擎可以访问Microsoft Sentinel引入的所有原始数据,可在 Defender 的高级搜寻表中找到这些数据。

Microsoft Defender XDR本身也会创建警报。 Defender XDR独特的关联功能为数字资产中的所有非Microsoft解决方案提供了另一层数据分析和威胁检测。 除了Microsoft Sentinel的分析规则已提供的警报外,这些检测还会生成Defender XDR警报。

在这些源中,有一个或多个威胁检测机制根据每个机制中定义的规则生成警报。

例如,Microsoft Sentinel至少有四个不同的引擎生成不同类型的警报,每个引擎都有自己的规则。

用于调查和响应的工具和方法

Microsoft Defender门户包括用于自动执行或以其他方式协助会审、调查和解决事件的工具和方法。 下表显示了这些工具:

工具/方法 说明
管理和调查事件 确保根据严重性确定事件的优先级,然后通过它们进行调查。 使用高级搜寻来搜索威胁,并通过威胁分析提前应对新出现的威胁。
自动调查和解决警报 如果启用此操作,Microsoft Defender XDR可以通过自动化和人工智能自动调查和解决来自 Microsoft 365 和 Entra ID 源的警报。
配置自动攻击中断操作 使用从Microsoft Defender XDR和Microsoft Sentinel收集的高置信度信号以机器速度自动中断主动攻击,从而遏制威胁并限制影响。
配置Microsoft Sentinel自动化规则 使用自动化规则自动对事件进行会审、分配和管理,而不管其来源如何。 通过配置规则以根据事件内容向事件应用标记、抑制干扰 (误报) 事件,以及关闭满足适当条件的已解决事件、指定原因并添加注释,从而进一步提高团队的效率。
使用高级搜寻主动搜寻 使用 Kusto 查询语言 (KQL) 通过查询在 Defender 门户中收集的日志来主动检查网络中的事件。 高级搜寻为寻求查询生成器便利的用户支持引导模式。
利用 AI 与 Microsoft Copilot for Security 添加 AI 以支持具有复杂且耗时的日常工作流的分析师。 例如,Microsoft Copilot for Security 可提供明确描述的攻击案例、分步可操作的修正指南和事件活动汇总报告、自然语言 KQL 搜寻和专家代码分析,从而优化来自所有源数据的 SOC 效率,从而帮助进行端到端事件调查和响应。

此功能是Microsoft Sentinel在用户和实体行为分析、异常检测、多阶段威胁检测等领域为统一平台带来的其他基于 AI 的功能的补充。

若要详细了解 Defender 门户中的警报关联和事件合并,请参阅警报、事件和Microsoft Defender XDR