托管检测和响应
适用于:
提示
有关托管检测和响应说明,检查以下简短视频:https://www.youtube.com/watch?v=fYzquW2hE5I
通过自动化和人工专业知识的组合,Microsoft Defender XDR 专家会审Microsoft Defender XDR事件,代表你确定事件的优先级,筛选出干扰,执行详细的调查,并为安全运营中心 (SOC) 团队提供可操作的托管响应。
事件更新
我们的专家开始调查事件后,事件的 “已分配到 ”和 “状态” 字段将分别更新为 Defender 专家 和 正在进行中。
当我们的专家结束对事件的调查时,事件的 分类 字段将更新为以下其中一项,具体取决于专家的发现:
- 真正
- 误报
- 信息性、预期活动
还更新了与每个分类对应的 “确定 ”字段,以提供有关导致我们的专家确定所述分类的发现结果的更多见解。
如果事件被分类为误报或信息性活动,则事件的“状态”字段将更新为“已解决”。 然后,我们的专家总结了他们针对此事件的工作,并将 “分配到 ”字段更新为 “未分配”。 我们的专家可能会在解决事件时分享调查的最新消息和结论。 这些更新发布在事件的 “批注和历史记录 ”浮出控件面板中。
注意
事件注释是单向帖子。 Defender 专家无法回复你在“ 注释和历史记录 ”面板中添加的任何评论或问题。 有关如何与我们的专家通信的详细信息,请参阅与 XDR Microsoft Defender专家服务中的专家沟通。
否则,如果事件被归类为 “真正”,则我们的专家会确定需要执行的所需响应操作。 执行操作的方法取决于你授予 Defender Experts for XDR 服务的权限和访问级别。 详细了解如何向专家授予权限。
如果你已向 Defender Experts for XDR 授予建议的安全操作员访问权限,我们的专家可以代表你对事件执行所需的响应操作。 这些操作以及调查摘要显示在Microsoft Defender门户中事件的托管响应浮出控件面板中,供你或 SOC 团队查看。 Defender Experts for XDR 完成的所有操作都显示在 “已完成的操作” 部分下。 需要你或你的 SOC 团队完成的任何挂起操作都列在 “挂起的操作 ”部分下。 有关详细信息,请参阅 操作 部分。 一旦我们的专家对事件采取了所有必要的操作,其 “状态” 字段就会更新为 “已解决 ”,“ 分配到 ”字段将更新为 “未分配”。
如果已向 Defender Experts for XDR 授予默认安全读取者访问权限,则所需的响应操作以及调查摘要将显示在事件的托管响应浮出控件面板中,该面板位于Microsoft Defender门户的“挂起操作”部分下,供你或 SOC 团队执行。 有关详细信息,请参阅 操作 部分。 为了识别此移交,事件的 “状态” 字段将更新为 “正在等待客户操作” ,并将“ 分配到 ”字段更新为 “客户”。
可以在Microsoft Defender主页顶部的 Defender 专家横幅中检查需要操作的事件数。
若要查看我们的专家已调查或当前正在调查的事件,请使用 Defender Experts 标记在Microsoft Defender门户中筛选事件队列。
如何在 Microsoft Defender XDR 中使用托管响应
在Microsoft Defender门户中,需要你注意使用托管响应的事件将“状态”字段设置为“正在等待客户操作”,“分配给”字段设置为“客户”,并在“事件”窗格顶部卡任务。 指定的事件联系人还会收到相应的电子邮件通知,其中包含指向 Defender 门户的链接以查看事件。 详细了解通知联系人。 你还将收到一条 Teams 通知,通知你有关更新的信息。 详细了解如何设置 Teams
在任务卡或门户页面顶部选择“查看托管响应”, (“托管响应”选项卡) 打开浮出控件面板,你可以在其中阅读专家的调查摘要、完成专家确定的待处理操作,或通过聊天与他们互动。
调查摘要
调查 摘要 部分提供有关我们的专家分析的事件的更多上下文,以便您了解其严重性和潜在影响(如果未立即解决)。 它可能包括设备时间线、攻击指示器、) 观察到的入侵 (IOC 的指标以及其他详细信息。
操作
“ 操作 ”选项卡显示包含专家建议的响应操作的任务卡。
适用于 XDR 的 Defender 专家目前支持以下一键式托管响应操作:
| 操作 | 说明 |
|---|---|
| 隔离设备 | 隔离设备,这有助于防止攻击者控制设备并执行其他活动,例如数据外泄和横向移动。 隔离的设备仍将连接到Microsoft Defender for Endpoint。 |
| 隔离 | 停止运行进程,隔离文件,并删除注册表项等持久性数据。 |
| 限制应用执行 | 限制潜在恶意程序的执行,并锁定设备以防止进一步的尝试。 |
| 从隔离中释放 | 撤消设备的隔离。 |
| 删除应用限制 | 从隔离中撤消发布。 |
除了这些一键式操作外,还可以收到来自我们专家的托管回复,需要手动执行。
注意
在执行任何建议的托管响应操作之前,请确保自动调查和响应配置尚未解决这些问题。 详细了解 Microsoft Defender XDR 中的自动调查和响应功能。
若要查看并执行托管响应操作,请执行以下操作:
- 选择操作卡中的箭头按钮以将其展开并阅读有关所需操作的详细信息。
- 对于具有一键式响应操作的卡片,请选择所需的操作。 卡中的“操作状态”更改为“正在进行”,然后更改为“失败”或“已完成”,具体取决于操作的结果。
- 对于具有需要手动执行的所需操作的卡片,请选择“ 我已完成此操作 后执行这些操作”,然后在显示的确认对话框中选择“ 是,我已完成 此操作”。
- 如果不想立即完成所需的操作,请选择“ 跳过”,然后在出现的确认对话框中 选择“是,跳过此操作 ”。
重要
如果你注意到操作卡上的任何按钮都灰显,则可能表明你没有执行操作所需的权限。 确保已使用适当的权限登录到 Microsoft Defender XDR 门户。 大多数托管响应操作要求你至少具有安全操作员访问权限。 如果即使具有相应权限,仍遇到此问题,请导航到 “查看设备详细信息 ”,然后从那里完成步骤。
在 SIEM 或 ITSM 应用程序中了解 Defender 专家调查
当 Defender Expert for XDR 调查事件并提出修正操作时,你可以了解他们在安全信息和事件管理 (SIEM) 和 IT 服务管理 (ITSM) 应用程序(包括现成可用的应用程序)中处理事件的工作。
Microsoft Sentinel
可以通过打开 Microsoft Sentinel 的现成Microsoft Defender XDR数据连接器来获取事件可见性。 了解详细信息。
打开连接器后,Defender 专家对Microsoft Defender XDR中的“状态”、“分配到”、“分类”和“确定”字段的更新将显示在 Sentinel 中相应的“状态”、“所有者”和“关闭原因”字段中。
注意
Defender 专家在Microsoft Defender XDR中调查的事件的状态通常从“活动”转换为“正在进行”,到“正在等待客户操作”转换为“已解决”,而在 Sentinel 中,它遵循“新建”到“活动”到“已解决”路径。 Microsoft Defender XDR状态等待客户操作在 Sentinel 中没有等效字段;相反,它在 Sentinel 中的事件中显示为标记。
以下部分介绍了如何在 Sentinel 中更新由专家处理的事件,使其在调查旅程中取得进展:
- 我们的专家正在调查的事件将 “状态 ”列为 “活动 ”,将 “所有者 ”列为 “Defender 专家”。
- 我们的专家已确认为 True Positive 的事件在 Microsoft Defender XDR 中发布了托管响应,并且标记等待客户操作和所有者被列为“客户”。 你需要根据提供的托管响应对事件进行操作。
- 一旦我们的专家结束了调查并关闭了误 报 或 信息性事件, 预期活动,事件 的状态 将更新为 “已解决”, 所有者 将更新为 “未分配”,并提供 关闭原因 。
其他应用程序
可以使用 Sentinel 中的 Microsoft Defender XDR API 或连接器来了解 SIEM 或 ITSM 应用程序中的事件。
配置连接器后,Defender 专家对Microsoft Defender XDR中事件的“状态”、“分配给”、“分类”和“确定”字段的更新可以与第三方 SIEM 或 ITSM 应用程序同步,具体取决于字段映射的实现方式。 为了说明,可以看看 从 Sentinel 到 ServiceNow 可用的连接器。
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈