通过

托管检测和响应

  • 项目

适用于:

有关托管检测和响应说明,请查看此简短视频。

通过自动化和人工专业知识的组合,Microsoft Defender Experts for XDR 会审Microsoft Defender XDR 事件,代表你确定这些事件的优先级,筛选出干扰,执行详细的调查,并为安全运营中心 (SOC) 团队提供可操作的托管响应。

事件更新

我们的专家开始调查事件后,事件的 “已分配到 ”和 “状态” 字段将分别更新为 Defender 专家正在进行中

当我们的专家结束对事件的调查时,事件的 分类 字段将更新为以下其中一项,具体取决于专家的发现:

  • 真正
  • 误报
  • 信息性、预期活动

还更新了与每个分类对应的 “确定 ”字段,以提供有关导致我们的专家确定所述分类的发现结果的更多见解。

“事件”页的屏幕截图,其中显示了“标记”、“状态”、“分配给”、“分类”和“确定”字段。

如果事件被分类为误报信息性活动,则事件的“状态”字段将更新为“已解决”。 然后,我们的专家总结了他们针对此事件的工作,并将 “分配到 ”字段更新为 “未分配”。 我们的专家可能会在解决事件时分享调查的最新消息和结论。 这些更新在事件的“托管响应”浮出控件面板中的“调查摘要”下发布。

否则,如果事件被归类为 “真正”,则我们的专家会确定需要执行的所需响应操作。 执行操作的方法取决于你授予 Defender Experts for XDR 服务的权限和访问级别。 详细了解如何向专家授予权限

  • 如果你已向 Defender Experts for XDR 授予建议的安全操作员访问权限,我们的专家可以代表你对事件执行所需的响应操作。 这些操作以及 调查摘要显示在 Microsoft Defender 门户中事件的 托管响应 浮出控件面板中,供你或 SOC 团队查看。 Defender Experts for XDR 完成的所有操作都显示在 “已完成的操作” 部分下。 需要你或你的 SOC 团队完成的任何挂起操作都列在 “挂起的操作 ”部分下。 有关详细信息,请参阅 操作 部分。 一旦我们的专家对事件采取了所有必要的操作,其 “状态” 字段就会更新为 “已解决 ”,并将“ 分配到 ”字段更新为 “客户”。

  • 如果已向 Defender Experts for XDR 授予默认安全读取者访问权限,则所需的响应操作以及 调查摘要将显示在事件的 托管响应 浮出面板中,位于 Microsoft Defender 门户的 “挂起操作 ”部分下,供你或 SOC 团队执行。 有关详细信息,请参阅 操作 部分。 为了识别此移交,事件的 “状态” 字段将更新为 “正在等待客户操作” ,并将“ 分配到 ”字段更新为 “客户”。

可以在 Microsoft Defender 主页顶部的 Defender 专家横幅中检查需要你执行操作的事件数。

Microsoft Defender 门户中 Defender 专家卡片的屏幕截图,其中显示了等待客户操作的事件数。

可以通过使用多个筛选器集在 Microsoft Defender 门户中筛选事件队列来查看与 Defender 专家相关的事件。 详细了解如何添加事件队列筛选器

  • 若要查看我们的专家当前正在调查的事件,请使用 事件分配 筛选器,选择 “分配给 Defender 专家”。

  • 若要查看我们的专家已调查并移交给团队处理待处理修正操作的事件,请使用 “事件分配 ”筛选器选择“ 已分配给客户团队”。

    已筛选的事件队列的屏幕截图,仅显示具有“分配到 Defender 专家”标记的事件队列。

  • 若要查看我们的专家已调查并移交给团队处理待处理的修正操作的事件,请使用 状态 筛选器,选择 “等待客户操作”。

    Microsoft Defender 门户中“事件”队列的屏幕截图,其中筛选为仅显示具有“正在等待客户操作”标记的那些事件队列。

  • 若要查看我们的专家已完成对 (的调查,并直接解决或分配给团队,以便) 等待修正操作,请使用 “标记” 筛选器,选择 “Defender 专家”。

    Microsoft Defender 门户中“事件”队列的屏幕截图,其中筛选为仅显示 Defender Experts 标记。

如何在 Microsoft Defender XDR 中使用托管响应

在 Microsoft Defender 门户中,需要你注意使用托管响应的事件将 “状态” 字段设置为 “正在等待客户操作”,“ 分配给 ”字段设置为 “客户 ”,并在“ 事件 ”窗格顶部设置了任务卡。 指定的事件联系人还会收到相应的电子邮件通知,其中包含指向 Defender 门户的链接以查看事件。 详细了解通知联系人。 你还会收到一条 Teams 通知,通知你有关更新的信息。 详细了解如何设置 Teams

选择任务卡上或门户页面顶部的“ 查看托管响应 ” (“托管响应 ”选项卡) ,打开浮出控件面板,你可以在其中阅读专家的调查摘要、完成专家确定的待定操作或通过聊天与他们互动。

调查摘要

调查 摘要 部分提供有关我们的专家分析的事件的更多上下文,以便您了解其严重性和潜在影响(如果未立即解决)。 它可能包括设备时间线、攻击指标和) 观察到的入侵指标 (IOC 和其他详细信息。

托管响应调查摘要的屏幕截图。

操作

操作 ”选项卡显示包含专家建议的响应操作的任务卡。

适用于 XDR 的 Defender 专家目前支持以下一键式托管响应操作:

操作 说明
隔离设备 隔离设备,这有助于防止攻击者控制设备并执行其他活动,例如数据外泄和横向移动。 隔离的设备仍将连接到 Microsoft Defender for Endpoint。
隔离 停止运行进程,隔离文件,并删除注册表项等持久性数据。
限制应用执行 限制潜在恶意程序的执行,并锁定设备以防止进一步的尝试。
从隔离中释放 撤消设备的隔离。
删除应用限制 从隔离中撤消发布。
禁用用户 禁止标识访问网络和不同的终结点。

除了这些一键式操作外,还可以收到来自我们专家的托管回复,需要手动执行。

注意

在执行任何建议的托管响应操作之前,请确保自动调查和响应配置尚未解决这些问题。 详细了解 Microsoft Defender XDR 中的自动调查和响应功能

若要查看并执行托管响应操作,请执行以下操作:

  1. 选择操作卡中的箭头按钮以将其展开,并阅读有关所需操作的详细信息。

    用于隔离设备生产服务器的托管响应操作的屏幕截图。

  2. 对于具有一键式响应操作的卡片,请选择所需的操作。 卡片中的 “操作状态 ”更改为 “正在进行”,然后更改为 “失败 ”或“ 已完成”,具体取决于操作的结果。

    托管响应操作的屏幕截图,其中显示了正在隔离设备生产服务器。

提示

还可以在 操作中心监视门户中响应操作的状态。 如果响应操作失败,请尝试从 “查看设备详细信息 ”页再次执行此操作,或启动与 Defender Experts 的聊天

  1. 对于具有需要手动执行的所需操作的卡片,请选择“ 我已完成此操作 后执行这些操作”,然后在显示的确认对话框中选择“ 是,我已完成 此操作”。

    用于确认操作完成的托管响应操作的屏幕截图。

  2. 如果不想立即完成所需的操作,请选择“ 跳过”,然后在出现的确认对话框中 选择“是,跳过此操作 ”。

重要

如果你注意到操作卡上的任何按钮都灰显,则可能表明你没有执行操作所需的权限。 确保已使用适当的权限登录到 Microsoft Defender XDR 门户。 大多数托管响应操作要求你至少具有安全操作员访问权限。 如果即使具有相应权限,仍遇到此问题,请导航到 “查看设备详细信息 ”,然后从那里完成步骤。

在 SIEM 或 ITSM 应用程序中了解 Defender 专家调查

当 Defender Expert for XDR 调查事件并提出修正操作时,你可以了解他们在安全信息和事件管理 (SIEM) 和 IT 服务管理 (ITSM) 应用程序(包括现成可用的应用程序)中处理事件的工作。

Microsoft Sentinel

可以通过打开 Microsoft Sentinel 的现成Microsoft Defender XDR 数据连接器来获取事件可见性。 了解详细信息

打开连接器后,Defender 专家对 Microsoft Defender XDR 中的 “状态”、“ 分配到”、“ 分类”和 “确定” 字段的更新将显示在 Sentinel 中相应的 “状态”、“ 所有者”和“ 关闭原因 ”字段中。

注意

Defender 专家在 Microsoft Defender XDR 中调查的事件的状态通常从“活动”转换为“正在进行”,到“正在等待客户操作”转换为“已解决”,而在 Sentinel 中,它遵循“新建”到“活动”“已解决”路径。 Microsoft Defender XDR 状态 等待客户操作 在 Sentinel 中没有等效字段;相反,它在 Sentinel 中的事件中显示为标记。

以下部分介绍了如何在 Sentinel 中更新由专家处理的事件,使其在调查旅程中取得进展:

  1. 我们的专家正在调查的事件将 “状态 ”列为 “活动 ”,将 “所有者 ”列为 “Defender 专家”。

  2. 我们的专家已确认为 True Positive 的事件在 Microsoft Defender XDR 中发布了托管响应,并且 标记等待客户操作所有者 被列为 “客户”。 你需要根据在 Defender 门户中提供的托管响应来处理事件。

  3. 我们的专家已确认为 “真正”事件,并且 Defender 专家采取了所有修正操作,事件的状态已更新为 “已解决 ”, 并且所有者 被列为 “客户”。 可以使用 Defender 门户中提供的托管响应查看针对事件完成的操作。

  4. 一旦我们的专家结束了调查并关闭了误 信息性事件, 预期活动,事件 的状态 将更新为 “已解决”, 所有者 将更新为 “未分配”,并提供 关闭原因

    Microsoft Sentinel 事件的屏幕截图。

其他应用程序

可以使用 Sentinel 中的 Microsoft Defender XDR API 或连接器来查看 SIEM 或 ITSM 应用程序中的事件。

配置连接器后,Defender 专家对 Microsoft Defender XDR 中事件的 “状态”、“ 分配给”、“ 分类”和 “确定” 字段的更新可以与第三方 SIEM 或 ITSM 应用程序同步,具体取决于字段映射的实现方式。 为了说明,可以看看 从 Sentinel 到 ServiceNow 可用的连接器

另请参阅

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区