通过

Microsoft Defender门户中的威胁响应

  • 适用于: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

随着网络威胁的发展以及数据存储和工具越来越复杂,安全解决方案必须更快地进行实时调整和响应。 本文介绍Microsoft Defender门户中提供的高级响应功能如何在检测到威胁时帮助遏制威胁,并在造成损害之前将其消除。

跨 Defender 门户的威胁响应

在 Defender 门户中,跨多个攻击面对事件关联和集成威胁情报的统一支持可帮助安全团队有效地响应威胁。

事件关联

来自多个攻击面的相关警报在 Defender 门户中分组为单个事件,从而提高事件响应效率。 关联来自各种源(例如终结点、标识、电子邮件和云工作负载)的警报,可帮助安全团队全面了解攻击活动。 这种全面的视角使分析师能够了解事件的全部范围,确定根本原因,并确定最有效的补救作。

下图显示了在 Defender 门户中收集到单个事件中的警报的示例集合。 在此示例中,来自 Microsoft Defender for Endpoint、Microsoft Defender for Identity、Microsoft Defender XDR、Microsoft Defender for Office 365 和 的警报Microsoft Sentinel都包含在同一事件中。

事件屏幕截图,其中包含来自 Defender 门户的服务的警报。

有关详细信息,请参阅 Microsoft Defender 门户中的警报关联和事件合并

集成威胁情报

威胁情报跨 Defender 门户服务集成,通过有关恶意 IP 地址、域和文件哈希等恶意 IP 地址、域 (和文件哈希) 泄露指标的信息来丰富警报。 此扩充可帮助安全团队快速掌握威胁上下文和严重性,更好地识别误报,并更快地做出明智的决策。 使用来自Microsoft和第三方来源的威胁情报将警报与攻击者) 使用的 TTP (的攻击模式和策略、技术和过程相关联。

对威胁情报源的持续更新使安全团队能够领先于新出现的威胁,并提高组织的整体复原能力。

下图显示了与 Defender 门户威胁情报区域中人为作的勒索软件威胁分析报告相关的事件示例。

特定威胁的相关事件列表的屏幕截图。

有关详细信息,请参阅 通过 Defender 门户使用威胁情报发现攻击者

Microsoft Defender XDR威胁响应功能

Microsoft Defender XDR通过跨终结点、标识、电子邮件、应用和云工作负载自动实现安全性来统一威胁防护,帮助组织有效地应对威胁。

自动攻击中断

自动攻击中断通过在升级之前快速检测和遏制威胁来提升 SOC 团队的响应能力。 它使用 AI 检测、预定义 playbook 和实时威胁情报来识别攻击模式并触发即时作,例如隔离受攻击的终结点或阻止恶意连接。 此方法可减少攻击者的窗口,并将事件影响降到最低。

下图显示了标记有攻击中断作的事件示例。 通知中的链接会将你转到 作中心的筛选视图,其中列出了所有相关的自动攻击中断作。

包含攻击中断作的事件的屏幕截图。

下图显示了此方案中 的作中心 。 选择网格中的每个项,以显示有关所执行自动作的更多详细信息。

作中心的屏幕截图,其中显示了自动攻击中断作。

自动攻击中断还通过简化通信和响应来改善 SOC 团队之间的协作。 它向分析师发出警报,并且可以根据预定义的策略建议或执行作。 此业务流程可加速决策制定,并确保安全团队可以有效地扩展其工作,尽管威胁不断增加。

使用Microsoft Defender XDR的自动攻击中断来增强环境的整体复原能力、缩短响应时间,并增强组织的网络安全状况。 有关详细信息,请参阅 Microsoft Defender XDR 中的自动攻击中断

自动调查和响应 (AIR)

Microsoft Defender XDR的 AIR 功能通过自动化调查和响应流程来帮助安全运营团队管理大量警报。

作为虚拟分析师,AIR 会模拟理想的调查步骤,全天候工作,以减少响应时间,并腾出安全团队执行其他任务。 当警报触发事件时,AIR 会启动自动调查,导致 恶意可疑无威胁等判断,并确定必要的修正作,例如隔离文件或停止进程。

下图显示了 Microsoft Defender XDR 在我们的示例中针对事件采取的自动调查步骤。 在“ 调查 ”选项卡上,选择每个调查以在一侧查看更多详细信息。

“调查”选项卡的屏幕截图,其中显示了Microsoft Defender XDR执行的自动调查步骤。

组织可以根据自己的需求配置 AIR 功能,选择自动修正作或需要安全团队批准的修正作。 这种自动化显著提高了安全作的效率和有效性。

有关详细信息,请参阅 Defender XDR 中的自动调查和响应

使用智能 Microsoft Security Copilot 副驾驶®的引导响应

Microsoft Defender XDR由智能 Microsoft Security Copilot 副驾驶®提供支持的引导式响应功能,通过 AI 驱动的建议帮助安全运营团队有效地管理和解决事件。 对于响应作,引导响应会提出特定措施来修正威胁并确保全面的事件解决。

引导式响应与其他 Copilot 建议一起显示,作为描述建议的作、目标实体和建议背后的理由的可作卡片。 这种结构化方法使事件响应团队能够自信地快速应用适当的措施,从而增强整体安全态势。

下图显示了特定事件的 Copilot 窗格的“ 引导响应 ”部分的示例。 如果有很多建议的作要排序,请选择 “状态” 筛选器,一次只显示部分作

特定事件的 Copilot 窗格的“引导响应”部分的屏幕截图。

有关详细信息,请参阅使用Microsoft Defender中Microsoft Copilot的引导响应对事件进行会审和调查

在Microsoft Defender专家的帮助下扩展响应

Microsoft Defender XDR 专家是一项托管威胁检测和响应服务,可扩展Microsoft安全堆栈的功能,提供主动威胁搜寻和专家驱动的分析。 这有助于 SOC 团队专注于最关键的威胁,同时减轻手动调查的负担。

咨询Microsoft Defender XDR中的 Defender 专家通过提供对Microsoft安全分析师的直接访问权限,进一步提高了 SOC 团队的效率。 当事件需要更深入的调查或专家见解时,SOC 团队可以通过 Defender 门户提交查询。 借助此功能,安全团队可以澄清复杂的攻击模式、修正步骤的指导以及对新出现的威胁的见解,所有这些都不会中断其工作流。 通过利用Microsoft的专业知识,组织可以改进其威胁响应策略,使其 SOC 团队更主动,更灵活地应对不断变化的网络威胁。

有关更多信息,请参阅:

Microsoft Sentinel威胁响应功能

Microsoft Sentinel提供云原生安全信息和事件管理 (SIEM) 和安全业务流程、自动化和响应 (SOAR) 功能,用于整个企业中的智能安全分析和威胁情报。 本部分介绍Microsoft Sentinel功能如何添加到响应功能。

自动化规则

Microsoft Sentinel自动化规则允许 SOC 团队简化和自动执行事件处理过程,确保跨环境进行结构化响应。 自动化规则可以执行基本步骤,例如添加事件任务、抑制干扰事件和更改事件状态。 它们还可以同时自动执行多个检测的响应、控制作的执行顺序,以及仅在有限的时间段(例如在测试或维护时段)执行自动化。

下图显示了可用于Microsoft Sentinel自动化规则的配置类型的示例。

Microsoft Sentinel中示例自动化规则的屏幕截图。

在 Defender 门户中,具有事件触发器的自动化规则在Microsoft Sentinel和Microsoft Defender XDR事件中普遍应用,确保一致且全面的事件管理。

有关详细信息,请参阅使用自动化规则在 Microsoft Sentinel 中自动执行威胁响应

自动化 playbook

Microsoft Sentinel playbook 是使用 Azure 逻辑应用生成的,是自动化工作流,用于简化和加强 SOC 团队中的威胁响应。 让 playbook 通过配置的自动化规则自动触发以响应特定活动,或者根据需要手动运行它们。 例如,在检测到已泄露的帐户和计算机时,playbook 可以将受影响的计算机与网络隔离,并在 SOC 团队收到事件警报之前阻止该帐户。

Microsoft Sentinel playbook 的常见用例包括数据扩充、与票证系统的双向同步、通过Microsoft Teams 或 Slack 等通信平台协调事件管理,以及即时威胁响应作。 Microsoft Sentinel在内容中心提供的解决方案中提供了许多现用的 playbook。

下图显示了Microsoft Sentinel内容中心,其中筛选了现成的 playbook 以及Microsoft Sentinel解决方案。

内容中心提供的许多 playbook 的屏幕截图。

若要创建和管理这些 playbook,需要特定角色和权限,使用 Azure 逻辑应用可能会产生额外的费用。 有关详细信息,请参阅 Microsoft Sentinel 中使用 playbook 自动执行威胁响应

SOC 优化

安全运营中心 (SOC) 团队寻找改进流程和结果的方法,并确保你拥有解决风险所需的数据,而无需额外的引入成本。 SOC 团队希望确保你拥有所有必要的数据来应对风险,而无需支付超过所需数据的费用。 同时,SOC 团队还必须随着威胁和业务优先级的变化而调整安全控制措施,以便快速高效地实现投资回报最大化。

SOC 优化是可作的建议,可以提出优化安全控制的方法,随着时间的推移,从Microsoft安全服务获得更多价值。 建议有助于在不影响 SOC 需求或覆盖范围的情况下降低成本,并有助于根据需要添加安全控制和数据。 这些优化是针对你的环境并根据当前覆盖范围和威胁环境定制的。

使用 SOC 优化建议可帮助你缩小针对特定威胁的覆盖范围差距,并针对不提供安全价值的数据提高引入率。 SOC 优化可帮助你优化Microsoft Sentinel工作区,而无需让 SOC 团队花费时间进行手动分析和研究。

Microsoft Sentinel SOC 优化建议的屏幕截图。

有关详细信息,请参阅Microsoft Sentinel SOC 优化

潜在威胁响应Microsoft 安全风险管理

Microsoft 安全风险管理使组织能够在利用潜在攻击路径之前识别和缓解这些攻击路径。 Microsoft 安全风险管理将攻击路径视为事件,提供主动方法来管理漏洞和错误配置,并协助响应正在进行的攻击。

下图显示了Microsoft 安全风险管理中随时间推移检测到的攻击路径数的示例。

“攻击路径概述”页的屏幕截图。

攻击路径分析会映射出潜在的攻击途径,并提供修正建议来降低风险。 Microsoft 安全风险管理的安全评分系统有助于确定构成最大威胁的漏洞和错误配置的优先级,自动建议建议加强组织整体安全态势所需的措施。

有关详细信息,请参阅开始使用Microsoft 安全风险管理攻击路径概述

相关内容

有关更多信息,请参阅: