使用英语阅读

通过


Microsoft Defender XDR 中的自动调查和响应

适用于:

  • Microsoft Defender XDR

如果组织正在使用 Microsoft Defender XDR,则每当检测到恶意或可疑活动或项目时,安全运营团队会在 Microsoft Defender 门户中收到警报。 鉴于可能传入的威胁流似乎永无止境,安全团队经常面临应对大量警报的挑战。 幸运的是,Microsoft Defender XDR包括自动调查和响应 (AIR) 功能,可帮助安全运营团队更高效地应对威胁。

本文概述了 AIR,并提供了指向后续步骤和其他资源的链接。

自动调查和自愈的工作原理

触发安全警报后,安全运营团队将负责调查这些警报并采取措施以保护你的组织。 对警报进行优先级划分和调查可能会非常耗时,如果在调查期间不断发出新警报,则尤为如此。 安全运营团队可能对必须监视和防范的大量威胁感到不知所措。 Microsoft Defender XDR中的自动调查和响应功能以及自我修复功能可以提供帮助。

观看以下视频,了解自我修复的工作原理:

在Microsoft Defender XDR中,具有自我修复功能的自动调查和响应可跨设备、电子邮件 & 内容和标识工作。

提示

本文介绍自动调查和响应的工作原理。 若要配置这些功能,请参阅在 Microsoft Defender XDR 中配置自动调查和响应功能

你自己的虚拟分析师

假设第 1 层或第 2 层安全运营团队中有一名虚拟分析师。 虚拟分析师模仿安全运营团队调查和修正威胁所采取的理想步骤。 虚拟分析师可以全天候工作,容量不受限制,并承担大量调查和威胁修正。 此类虚拟分析师可以显著缩短响应时间,使安全运营团队能够处理其他重要威胁或战略项目。 如果这个场景听起来像科幻小说, 它不是! 此类虚拟分析师是Microsoft Defender XDR套件的一部分,其名称是自动调查和响应

自动调查和响应功能使安全运营团队能够显著提高组织处理安全警报和事件的能力。 借助自动调查和响应,可以降低处理调查和响应活动的成本,并充分利用威胁防护套件。 自动调查和响应功能通过以下方式帮助安全运营团队:

  1. 确定是否需要针对某个威胁采取行动。
  2. 执行(或建议执行)任何必要的修正操作。
  3. 确定是否应执行其他调查以及应执行哪些其他调查。
  4. 根据需要对其他警报重复此流程。

自动调查流程

警报会创建事件,这可以启动自动调查。 自动调查将对每条证据作出裁定。 裁定结果分为:

  • 恶意
  • 可疑
  • 未发现威胁

识别到恶意实体或可疑实体的修正操作。 修正操作的示例包括:

  • 将文件发送到隔离区
  • 停止进程
  • 正在隔离设备
  • 阻止 URL
  • 其他操作

有关详细信息,请参阅 Microsoft Defender XDR 中的修正操作

根据为组织 配置自动调查和响应功能的方式 ,修正操作会自动执行或仅在安全运营团队批准后执行。 所有操作(无论是挂起的还是已完成的)都列在 操作中心

运行调查时,出现的所有其他相关警报将被添加到调查中,直到调查完成。 如果在其他位置看到受影响的实体,则自动调查会扩展其范围以包含该实体,并且重复调查流程。

在Microsoft Defender XDR,每个自动调查都会关联Microsoft Defender for Identity、Microsoft Defender for Endpoint和Microsoft Defender for Office 365,如下表所示:

实体 威胁防护服务
设备 (也称为终结点或计算机) Defender for Endpoint
本地 Active Directory 用户、实体行为和活动 Defender for Identity
Email内容 (可能包含文件和 URL 的电子邮件) Defender for Office 365

备注

并非每个警报都会触发自动调查,也不是每个调查都会导致自动修正操作。 这一切都取决于你的组织配置 AIR 的方式。 请参阅配置自动调查和响应功能

查看调查列表

若要查看调查,请转到 “事件” 页。 选择事件,然后选择“ 调查 ”选项卡。若要了解详细信息,请参阅 自动调查的详细信息和结果

自动调查 & 响应卡

Microsoft Defender门户 () 中提供了新的自动调查 & https://security.microsoft.com 响应卡。 此新卡可用修正操作总数的可见性。 卡还提供了所有警报的概述以及每个警报所需的审批时间。

显示自动调查 & 响应卡的屏幕截图。

使用自动调查 & 响应卡,安全运营团队可以快速导航到操作中心,方法是选择“在操作中心批准”链接,然后采取适当的操作。 卡使安全运营团队能够更有效地管理等待审批的操作。

后续步骤

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区