分享方式:


在 Microsoft Defender 全面偵測回應中調查事件

適用於:

  • Microsoft Defender XDR

Microsoft Defender 全面偵測回應 會將來自裝置、使用者和信箱的所有相關警示、資產、調查和辨識項匯總成事件,讓您全面了解整個攻擊範圍。

在事件中,您會分析會影響您網路的警示、瞭解其意義,並定序辨識項,以便設計有效的補救計劃。

初始調查

在深入瞭解詳細數據之前,請先查看事件的屬性和整個攻擊案例。

您可以從複選標記資料列中選取事件開始。 以下為範例。

在 Microsoft Defender 入口網站中選取事件

當您這麼做時,即會開啟摘要窗格,其中包含事件的重要資訊,例如事件指派給誰的嚴重性,以及 MITRE ATT&事件的 CK™ 類別。 以下為範例。

顯示 Microsoft Defender 入口網站中事件摘要詳細數據的窗格。

您可以從這裡選取 [開啟事件頁面]。 這會開啟事件的主頁面,您可以在其中找到警示、裝置、使用者、調查和辨識項的完整攻擊故事資訊和索引卷標。

您也可以從事件佇列中選取事件名稱,以開啟事件的主頁面。

攻擊故事

攻擊案例可協助您快速檢閱、調查及補救攻擊,同時在同一個索引卷標上檢視攻擊的完整故事。它也可讓您檢閱實體詳細數據並採取補救動作,例如刪除檔案或隔離裝置,而不會遺失內容。

下列影片會簡短描述攻擊案例。

在攻擊案例中,您可以找到警示頁面和事件圖表。

事件警示頁面有下列區段:

  • 警示案例,包括:

    • 發生了什麼事
    • 採取的動作
    • 相關事件
  • 右窗格中的警示屬性 (狀態、詳細數據、描述和其他)

請注意,並非每個警示都會有警示 本文 一節中列出的所有子區段。

此圖表顯示攻擊的完整範圍、攻擊如何隨著時間分散到您的網路、其開始位置,以及攻擊者所進行的程度。 它會將屬於攻擊一部分的不同可疑實體與其相關資產連線,例如使用者、裝置和信箱。

從圖表中,您可以:

  • 在圖形上播放警示和節點,因為這些節點會隨著時間而發生,以瞭解攻擊的時間順序。

    顯示在攻擊故事圖表頁面上播放警示和節點的螢幕快照。

  • 開啟實體窗格,讓您檢閱實體詳細數據,並針對補救動作採取行動,例如刪除檔案或隔離裝置。

    此螢幕快照顯示攻擊劇本圖表頁面上實體詳細數據的檢閱。

  • 根據其相關實體醒目提示警示。

  • 搜捕裝置、檔案、IP 位址或URL的實體資訊。

Go 搜捕選項會利用進階搜捕功能來尋找實體的相關信息。 Go 搜尋查詢會檢查相關的架構數據表,以找出涉及您所調查之特定實體的任何事件或警示。 您可以選取任何選項來尋找實體的相關信息:

  • 查看所有可用的查詢 – 此選項會傳回您正在調查之實體類型的所有可用查詢。
  • All Activity – 查詢會傳回與實體相關聯的所有活動,為您提供事件內容的完整檢視。
  • 相關警示 – 查詢會搜尋並傳回涉及特定實體的所有安全性警示,確保您不會錯過任何資訊。

在攻擊案例中選取裝置上的 [搜捕] 選項

藉由選取結果,然後選取 [ 連結至事件],即可將產生的記錄或警示連結至事件。

在 Go 搜尋查詢結果中醒目提示事件連結選項

如果事件或相關警示是您已設定的分析規則結果,您也可以選取 [ 執行查詢 ] 以查看其他相關結果。

摘要

使用 [ 摘要] 頁面來評估事件的相對重要性,並快速存取相關聯的警示和受影響的實體。 [ 摘要] 頁面可讓您以快照集概覽事件最常注意的事項。

顯示 Microsoft Defender 入口網站中事件摘要信息的螢幕快照。

這些章節會組織資訊。

區段 描述
警示和類別 視覺和數值檢視,指出攻擊對終止鏈結的進階程度。 如同其他Microsoft安全性產品,Microsoft Defender 全面偵測回應 會對齊MITRE ATT&CK™ 架構。 警示時間軸會顯示警示發生的時間順序,以及每個警示的狀態和名稱。
範圍 顯示受影響的裝置、使用者和信箱數目,並依風險層級和調查優先順序列出實體。
證據 顯示受事件影響的實體數目。
事件資訊 顯示事件的屬性,例如標籤、狀態和嚴重性。

警示

在 [ 警示] 索引標籤 上,您可以檢視與事件相關的警示及其他相關信息的警示佇列,例如:

  • 嚴重性。
  • 涉及警示的實體。
  • 警示 (適用於身分識別的 Microsoft Defender、適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender、Defender for Cloud Apps 和應用程式的來源治理附加元件) 。
  • 它們連結在一起的原因。

以下為範例。

Microsoft Defender 入口網站中事件的 [警示] 窗格

根據預設,警示會依時間順序排序,讓您查看攻擊在一段時間內的運作方式。 當您選取事件內的警示時,Microsoft Defender 全面偵測回應 顯示整體事件內容特定的警示資訊。

您可以看到警示的事件、其他觸發的警示導致目前的警示,以及攻擊涉及的所有受影響實體和活動,包括裝置、檔案、使用者和信箱。

以下為範例。

Microsoft Defender 入口網站中事件內警示的詳細數據。

瞭解如何在 調查警示中使用警示佇列和警示頁面。

資產

使用新的 [資產] 索引標籤,輕鬆地在單一位置檢視和管理所有 資產 。此統一檢視包括 [裝置]、[使用者]、[信箱] 和 [應用程式]。

[資產] 索引標籤會顯示其名稱旁邊的資產總數。 選取 [資產] 索引標籤時,會顯示具有該類別內資產數目的不同類別清單。

Microsoft Defender 入口網站中事件的 [資產] 頁面

裝置

[ 裝置 ] 檢視會列出與事件相關的所有裝置。 以下為範例。

Microsoft Defender 入口網站中事件的 [裝置] 頁面

從清單中選取裝置會開啟可讓您管理所選裝置的列。 您可以快速匯出、管理標籤、起始自動化調查等等。

您可以選取裝置的複選標記,以查看裝置、目錄數據、作用中警示和登入使用者的詳細數據。 選取裝置名稱,以查看適用於端點的 Defender 裝置清查中的裝置詳細數據。 以下為範例。

Microsoft Defender 入口網站中 [資產] 頁面中的 [裝置] 選項。

從裝置頁面,您可以收集裝置的其他相關信息,例如其所有警示、時程表和安全性建議。 例如,從 [ 時程表] 索引卷 標,您可以捲動裝置時間軸,並依時間順序檢視計算機上觀察到的所有事件和行為,並插入引發的警示。 以下是範例

Microsoft Defender 入口網站中 [裝置] 頁面中的裝置詳細數據。

提示

您可以在裝置頁面上執行隨選掃描。 在 Microsoft Defender 入口網站中,選擇 [端點>裝置清查]。 選取具有警示的裝置,然後執行防病毒軟體掃描。 系統會追蹤防病毒軟體掃描等動作,並顯示在 [裝置清查 ] 頁面上。 若要深入瞭解,請參閱在裝置上執行 Microsoft Defender 防病毒軟體掃描

使用者

[ 使用者 ] 檢視會列出已識別為事件一部分或與事件相關的所有使用者。 以下為範例。

Microsoft Defender 入口網站中的 [使用者] 頁面。

您可以選取使用者的複選標記,以查看使用者帳戶威脅、曝光和連絡資訊的詳細數據。 選取使用者名稱以查看其他用戶帳戶詳細數據。

瞭解如何在調查用戶中檢視其他用戶資訊及管理事件的 使用者

信箱

[ 信箱] 檢視 會列出已識別為事件一部分或與事件相關的所有信箱。 以下為範例。

Microsoft Defender 入口網站中事件的信箱頁面。

您可以選取信箱的複選標記,以查看作用中警示的清單。 選取信箱名稱,以在 [總管] 頁面上查看其他信箱詳細數據,以取得 適用於 Office 365 的 Defender。

應用程式

[ 應用程式] 檢視會列出識別為事件一部分或與事件相關的所有應用程式。 以下為範例。

Microsoft Defender 入口網站中事件的 [應用程式] 頁面。

您可以選取應用程式的複選標記,以查看作用中警示的清單。 選取應用程式名稱,以在 [總管] 頁面上查看 Defender for Cloud Apps 的其他詳細數據。

調查

[ 調查] 索引標籤會列出此事件中警示所觸發的所有 自動化調查 。 自動化調查會執行補救動作,或等候分析師核准動作,視您如何設定自動調查在適用於端點的 Defender 中執行並 適用於 Office 365 的 Defender 而定。

Microsoft Defender 入口網站中事件的 [調查] 頁面

選取調查以流覽至其詳細數據頁面,以取得調查和補救狀態的完整資訊。 如果在調查過程中有任何擱置核准的動作,它們會出現在 [ 擱置動作歷程記錄 ] 索引卷標中。在事件補救過程中採取動作。

另外還有一個 [ 調查圖表] 索引標籤 ,其中顯示:

  • 警示與組織中受影響資產的連線。
  • 哪些實體與哪些警示相關,以及它們如何成為攻擊故事的一部分。
  • 事件的警示。

調查圖表可協助您快速了解攻擊的完整範圍,方法是將屬於攻擊一部分的不同可疑實體與其相關資產連線,例如使用者、裝置和信箱。

如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的自動化調查和回應

辨識項和回應

[ 辨識項和回應] 索引 卷標會顯示事件中警示中的所有支援事件和可疑實體。 以下為範例。

Microsoft Defender 入口網站中事件的辨識項和回應頁面

Microsoft Defender 全面偵測回應 會自動調查警示中所有事件的支援事件和可疑實體,為您提供重要電子郵件、檔案、程序、服務、IP 位址等的相關信息。 這可協助您快速偵測並封鎖事件中的潛在威脅。

每個分析的實體都會標示 (惡意、可疑、清除) 和補救狀態的決策。 這可協助您了解整個事件的補救狀態,以及可採取的後續步驟。

核准或拒絕補救動作

對於補救狀態 為 [擱置核准] 的事件,您可以核准或拒絕事件內的補救動作。

  1. 在瀏覽窗格中,移至 [ 事件 & 警示>事件]
  2. 篩選 [自動調查狀態] (選擇性) 的 [ 擱置] 動作
  3. 選取事件名稱以開啟其摘要頁面。
  4. 選取 [ 辨識項和回應] 索引標籤
  5. 選取清單中的項目以開啟其飛出視窗窗格。
  6. 檢閱信息,然後採取下列其中一個步驟:
    • 選取 [核准暫止動作] 選項以起始擱置中的動作。
    • 選取 [拒絕暫止動作] 選項,以防止採取擱置中的動作。

Microsoft Defender 入口網站中事件 [辨識項與回應管理] 窗格中的 [核准\拒絕] 選項。

後續步驟

視需要:

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群